А зачем нам ваше? У нас и своего хватает!
Оптимальным вариантом для иностранных компаний является регистрация баз данных на дочернее предприятие в Украине, где материнская компания будет выступать только распорядителем баз персональных данных на основании соответсвующего договора. Однако на практике могут встречатся и более сложные конструкции.
Встречаются случаи, когда ввиду внутренней политики иностранных компаний регистрация баз данных на дочернее предприятие в Украине не является приемлемой. При этом, в большинстве случаев у иностранной компании есть уже существующие базы данных, которые созданы и функционируют согласно их национальному законодательству. В этой связи вполне логичным вопросом является необходимость регистрации таких баз данных в Украине в частности и применимости украинского законодательства к правоотношениям по обработке персональных данных в целом. При возникновении такой ситуации на практике следует учитывать ряд практических моментов, которые помогут избежать возможных трудностей и разногласий с Госслужбой по защите персональных данных при проверке.
Специальных положений в законодательстве Украины (в частности, в ЗУ «О защите персональных данных» и в ЗУ «О международном частном праве») не предусмотрено. Поэтому возникает вопрос касательно возможности обработки персональных данных субъектов согласно законодательству той страны, в которой базы данных иностранного предприятия были созданы и функционируют.
К примеру, для компаний ЕС, которые действуют на территории Украины, можно отметить Соглашение о партнерстве и сотрудничестве между Украиной и ЕС. Согласно этому Соглашению, когда компании ЕС начинают свою деятельность на территории Украины, они имеют право по своему выбору получить национальный статус (т.е. руководствоватся правилами, предусмотреными для украинских юридических лиц) или статус наибольшего способствования (т.е. выбрать наиболее благоприятные условия, которые установлены для юридических лиц) в зависимости от того, какие условия являются наиболее выгодными.
Более того, согласно ст. 6 Закона Украины «О международном частном праве» применение нормы права иностранного государства не может быть ограничено только на том основании, что эта норма принадлежит к публичному праву.
Однако, c учетом того, что защита персональных данных принадлежит к личным неимущественным правам (ст. 32 Конституции Украины и ст. 302 Гражданского кодекса Украины), для тех правотношений с субъектами персональных данных, которые будут иметь место на территории Украины (например, трудовые правоотношения с сотрудниками, договорные отношения с клиентами), а также с учетом ст. 22 ЗУ «О международном частном праве» все-таки будет применятся право Украины (необходимость регистрации баз данных).
В своей рекомендации по этому вопросу Госслужба по вопросам защиты персональных данных, ссылаясь на право Украины, отметила, что для передачи персональных данных за границу необходимо:
- получить согласие субъекта персональных данных на трансграничную передачу персональных данных;
- урегулировать на договорной основе отношения между дочерним предприятием и материнской компанией в части обработки персональных данных;
- получить от материнской компании документы, которые подтверждают меры по защите персональных данных, которые реализированны материнской компанией, с целью подтверждения условий обеспечения ею надлежащей защиты персональных данных.
Следует отметить, что даже при отсутствии факта регистрации баз данных иностранной (материнской) компании в Украине привлечь соответвующих должностных лиц такой иностранной компании к административной/криминальной отвественности в Украине, с учетом регулирования ст. 16 Кодекса Украины об административных правонарушениях и ст. 8 Криминального кодекса Украины, будет крайне сложно.
Вопрос права, применимого к обработке персональных данных, еще не нашел однозначного регулирования в международной практике. Однако, общий обзор международной практики свидетельствует о том, что при наличии разных юрисдикций применению подлежит национальное законодательство каждой юрисдикции. При наличии факта обработки персональных данных граждан определенной страны (межгосударственного объединения), национальное (межгосударственное) законодательство будет применятся ко всем субъектам, которые обрабатывают такие данные, назависимо от их географического местонахождения.
Как пример, в конце января 2012 года представлены изменения в законодательство ЕС, согласно которым единые стандарты защиты конфиденциальности жителей ЕС будут действовать вне зависимости от того, в какой точке мира их персональные данные обрабатываются, где географически расположен сервер, провайдер, технические средства. Любая компания, осуществляющая свою деятельность в ЕС, или любой онлайн-продукт, ориентированный на покупателя из ЕС, будет требовать соблюдения требований законодательства ЕС.
Выбираем распорядителей
При регистрации баз данных сотрудников возникает вопрос в необходимости указания обслуживающего банка и страховой компании (при наличии) как распорядителей базы персональных данных. При этом, дочерняя компания в Украине фактически является распорядителем, но договор на предоставление банковских услуг и договор на оказание страховых услуг заключенны именно с такой дочерней компанией. В этой связи возникает вопрос надлежащего исполнения ст.11 Закона касательно наличия письменного договора между владельцем и распорядителем баз персональных данных.
Дополнительный важный момент, который необходимо учитывать, - какие именно базы данных уже зарегестрированы банком или страховой, а также особенности заключенных с банком и страховой договоров (обычно банк и страховая регистрирую базу данных клиентов и/или базу данных сотрудников клиентов).
При наличии у банка/страховой таких баз персональных данных сотрудников клиентов вопросов с определением банка и страховой как распорядителей баз персональных данных иностранной компании или его дочернего предприятия в Украине не возникает, так как в таком случае владельцем базы персональных данных будет выступать банк или страховая, что, соответственно, не будет требовать каких либо дополнительных действий со стороны материнской или дочерней компании. В таком случае банк/страховая компания обязаны будут осуществить все необходимые действия, направленные на получение согласия сотрудника, уведомление сотрудника о включении его данных в базу данных банка/страховой компании и т.д. (хотя и, по нашей информации, не расскрывая деталей, ряд банков в скором времени будут готовы предоставить именно своим корпоративным клиентам дополнительные правила (условия) работы с персональными данными).
При этом, в юридическом значении персональные данные сотрудника дочереней компании будут обрабатыватся в двух базах данных: в базе данных материнской/дочерней компании и в базе данных банка/страховой компании, где каждый из них должен осуществлять те действия, которые предусмотрены законодательством о защите персональных данных.
Дополнительно возможно рассматривать и ряд других вариантов, при которых, в зависимости от ситуации, возможно обеспечить соблюдение этого положения (снова-таки при условии, что владельцем базы персональных данных явялется иностранная компания):
- Заключение прямого договора между иностранной материнской компанией и соответствующим банком, страховой компанией в Украине (дополнительно к договору на предоставление банковских услуг, заключенным между дочерней компанией и банком / страховой).
- Включение в существующие договора на банковское/страховое облуживание положений касательно обработки персональных данных. При этом дочерную комапнию по договору необходимо будет как минимум определить доверенным лицом, уполномоченным действовать от имени материнской компании (соответсвующие положения можно включить в договор на обработку персональных данных между материнской и дочерней компаниями).
Дополнительный вариант, который в данном случае возможно рассмотреть, это предоставление банку и страховой доступа к персональным данным согласно ст.16 Закона. В таком случае банк или страховая по опеределению будет отнесены к третьим лицам, а не к распорядителям баз персональных данных. Чтобы получить доступ к персональным данным, они будут обязаны делать запрос на владельца персональных данных касательно доступа к персональным данным сотрудников, указывая, что целью запроса является выполнение своих своих обязательств по соотвествующему договору заключенному с дочерней компанией. На возможность предоставления доступа в таком случае указывает и Госслужба по по защите персональных данных. При этом следует учитывать, что порядок доступа к персональным данным третьих лиц определяется условиями согласия субъекта персональных данных, предоставленой владельцу базы персональных данных на обработку этих данных, или согласно требованиям закона.
Итак, к иностранным компаниям применяются требования украинского законодательства касательно необходимости регистрации баз данных, несмотря на наличие надлежащего создания (регистрации, авторизации) баз согласно национальному законодательству этих компаний. Особое внимание необходимо обратить на правильное определение распорядителей баз персональных данных.
Олег Климчук, адвокат МЮФ Noerr