Приведене в Законі "Про захист персональних даних" визначення терміну "персональні дані" повною мірою відповідає аналогічному поняттю, передбаченому в Конвенції Ради Європи про захист осіб у зв'язку з автоматизованою обробкою персональних даних. Згідно з міжнародними стандартами, термін "персональні дані" повинен охоплювати усю інформацію про фізичну особу, яка ідентифікована або може бути ідентифіковано у будь-який можливий спосіб. Для визначення факту ідентифікації особи необхідно враховувати усі можливі засоби.
Відмітимо, що 24 січня 2012 року КСУ виніс рішення у справі за конституційним уявленням Жашковского райради Черкаської області відносно офіційного тлумачення положень частин першої, другої статті 32, частин другої, третьої статті 34 Конституції України. Згідно з цим рішенням, інформацією про особисте і сімейне життя людини являються будь-які відомості і дані про стосунки немайнового і майнового характеру, обставини, події, відношення і так далі, пов'язані з особою і членами його сім'ї, за винятком передбачених законодавством випадків, пов'язаних з виконанням обличчям функцій держави або органу місцевого самоврядування, посадових або службових повноважень. Така інформація про особу являється конфіденційною.
Збір, зберігання, використання і поширення конфіденційної інформації про особу без його згоди державою, органами місцевого самоврядування, юридичними або фізичними особами є втручанням в його особисте і сімейне життя. Таке втручання допускається виключно у випадках, визначених законом, і тільки в інтересах національної безпеки, економічного добробуту і прав людини.
Такий широкий підхід до визначення персональних даних дає можливість досягти достатньої гнучкості, що дозволяє використовувати це поняття в різних ситуаціях, які не існували на момент прийняття Конвенції, або можуть виникнути в майбутньому.
Відомості про фізичну особувказані на візитній картці, в мобільному телефоні, в електронній адресі, є персональними даними, оскільки такі відомості ідентифікують або можуть конкретно ідентифікувати особу.
При цьому, обробка персональних даних, що містяться на візитній картці, використання телефонних номерів і адрес повинна здійснюватися з конкретними і законними цілями за згодою суб'єкта персональних данихякщо інше не встановлене законом.
Обробка персональних даних підприємствами, установами і організаціями здійснюється у базах персональних даних. Власник бази персональних даних затверджує мету обробки персональних даних, склад персональних даних, зокрема, категорії суб'єктів і категорії персональних даних, а також процедури їх обробки.
Процедури використання персональних даних працівниками суб'єктів стосунків, пов'язаних з персональними даними, включаючи процедури використання адрес електронної пошти, телефонів, відомостей, що містяться на візитних картках, повинні визначати порядок використання таких відомостей про фізичну особу відповідності з їх професійними, службовими або трудовими обов'язками.
Залежно від сфери діяльності підприємств, установ і організацій, прийнятих процедур діяльності або бізнес-процесів власник самостійно визначає перелік баз персональних даних. Наприклад, це може бути база персональних цих працівників, база цих клієнтів, і тому подібне.
Слід враховувати, що дія Закону України "Про захист персональних даних" не поширюється на діяльність по створенню баз персональних даних і обробки персональних даних в цих базах фізичною особою виключно для непрофесійних особистих або побутових потреб.
Олексій Мервинский, голова Державної служби України з питань захисту персональних даних.
Нагадаємощо Державна служба з питань захисту ПД своїм листом надала роз'яснення відносно визначення терміну "персональні дані".
