Якщо клієнт згоди не давав,

або Особливості ведення баз персональних даних адвокатами

Наприкінці 2011 року значне занепокоєння правничої спільноти, зокрема адвокатів, викликав Закон «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» від 02.06.2011 року (далі – Закон №3454-VI).
Пам’ятається минулого разу подібна тривога серед цієї спільноти правників була викликана віднесенням їх до спеціально визначених суб’єктів первинного фінансового моніторингу в зв’язку із впровадженням у дію Закону «Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, або фінансуванню тероризму» в редакції від 18.05.2010 року. Цього ж разу палкі дискусії в адвокатських колах розгорілися навколо Закону №3454-VI, яким фактично вводилася реальна відповідальність за порушення норм Закону «Про захист персональних даних» від 01.06.2010 року (далі – Закон №2297-VI).
Не зупиняючись на детальному аналізі всіх положень цього Закону, розглянемо лише окремі його вимоги, з’ясуємо як саме вони стосуються адвокатів, які працюють поза межами адвокатських об’єднань (індивідуально).

Микола ГЛОТОВ,
спеціальний кореспондент «ЮВУ» в м. Рівне, адвокат

Про персональні дані та їх бази

Під персональними даними в Законі №2297-VI розуміються відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Первинними джерелами відомостей про фізичну особу, згідно з ч. 4 ст. 6 Закону №2297-VI, є: видані на її ім’я документи; підписані нею документи; відомості, які особа надає про себе. Базою персональних даних у вказаному Законі вважається іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних. У наданому Міністерством юстиції України роз’ясненні «Деякі питання практичного застосування Закону України «Про захист персональних даних» (http://www.minjust.gov.ua/0/38266) (далі – роз’яснення Мін’юсту) вказується, що законодавством України не встановлено і не може бути встановлено чіткого переліку відомостей про фізичну особу, які є персональними даними, задля можливості застосування положень Закону до різноманітних ситуацій.

Бази персональних даних адвоката

Виходячи з визначення бази персональних даних, яке міститься у Законі №2297-VI, адвокати можуть вести як мінімум такі бази персональних даних, як «Клієнти» та «Працівники», що пов’язано з особливостями їх професійної діяльності.
По-перше, відповідно до ст. 5 Закону України «Про адвокатуру» від 19.12.1992 року (далі – Закон про адвокатуру) адвокати дають консультації та роз’яснення з юридичних питань, усні і письмові довідки щодо законодавства; складають заяви, скарги та інші документи правового характеру; посвідчують копії документів у справах, які вони ведуть; здійснюють представництво в суді, інших державних органах, перед громадянами та юридичними особами тощо. У процесі надання наведених послуг адвокати отримують доступ до різноманітної інформації (про сімейний, майновий стан, стан здоров’я своїх клієнтів, їх рідних тощо). Ті з них, які здійснюють упорядкування таких відомостей (наприклад, у власних архівах, в адвокатських досьє тощо), а також ведуть облік прийому власних клієнтів (у паперових картотеках та / або електронних реєстраційних формах), фактично мають відповідні бази даних клієнтів. Ця наша позиція підтверджується і роз’ясненням Мін’юсту, в якому, крім іншого, вказано, що якщо адвокати формують справи на своїх клієнтів, які вони постійно оновлюють та підтримують в актуальному стані, то такі справи є базою персональних даних.
Хоча під час здійснення своєї професійної діяльності на адвокатів законодавством і не покладено обов’язок ведення баз персональних даних клієнтів. Тому вести відповідну базу чи ні кожен адвокат має вирішувати сам для себе.
Та, на нашу думку, людина, яка постійно і системно займається адвокатською практикою, має формувати справи на своїх клієнтів, постійно їх оновлювати та підтримувати в актуальному стані, а по завершенні зберігати у власному архіві. Адже матеріали кожної такої справи – історія правозастосування, адвокатської практики.
По-друге, Закон про адвокатуру передбачає право адвоката мати одного чи кількох помічників. Крім того, адвокатам не заборонено наймати й інших працівників.
Згідно з роз’ясненням Мін’юсту базою персональних даних є інформація про найманих працівників, оскільки особові справи, трудові книжки, копії паспортів, документів про освіту зберігаються та обробляються роботодавцем (у нашому випадку адвокатом). До позиції, що відомості, які отримує роботодавець про своїх працівників при працевлаштуванні та під час перебування на роботі, становлять базу персональних даних, фахівці Мін’юсту дійшли виходячи з вимог статті 24 Кодексу законів про працю України. Вона передбачає, що громадянин при укладенні трудового договору зобов’язаний подати паспорт або інший документ, що посвідчує особу, трудову книжку, а у випадках, передбачених законодавством, – також документ про освіту (спеціальність, кваліфікацію), про стан здоров’я та інші документи.
Таким чином, ми переконані, якщо в адвоката є працівники, які працюють з ним за трудовим договором (помічник чи помічники адвоката, технічні працівники – секретар, прибиральниця, водій чи ін.), то він фактично при укладенні з ними договору здійснює збір їх персональних даних. Такі дії є одним із складових елементів поняття «обробка персональних даних», що міститься в статті 2 Законі №2297-VI. Тобто в такого адвоката-роботодавця є і відповідна база персональних даних його працівників.

Про обов’язок реєстрації бази персональних даних

Закон №2297-VI передбачає обов’язок володільця бази персональних даних зареєструвати відповідну базу в уповноваженому державному органі з питань захисту персональних даних. Таким органом, згідно з Указом Президента України «Про оптимізацію системи центральних органів виконавчої влади» від 09.12.2010 року, є Державна служба України з питань захисту персональних даних.
За ухилення від державної реєстрації бази персональних даних передбачена адміністративна відповідальність у вигляді накладення штрафу на громадян від трьохсот до п’ятисот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян – суб’єктів підприємницької діяльності – від п’ятисот до тисячі неоподатковуваних мінімумів доходів громадян.

Про володільців та розпорядників баз персональних даних

Володільцем бази персональних даних Закон №2297-VI вважає фізичну або юридичну особу, якій законом або за згодою суб’єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом. А розпорядником такої бази персональних даних – фізичну чи юридичну особу, якій володільцем бази персональних даних або законом надано право обробляти ці дані.
Виходячи з того, що чинний Кодекс законів про працю України (в частині вимог до документів, які надаються при працевлаштуванні) та Закон про адвокатуру (в частині отримання інформації про відповідність особи вимогам, які пред’являються до помічника адвоката) дає право адвокатам як роботодавцям збирати персональні дані про власних працівників, то адвокати, які мають працівників, повинні реєструвати таку базу, як «Працівники». Фактично адвокати, які здійснюють індивідуальну практику, і є володільцями таких баз. Хто ж не використовує найманої праці, то такої бази персональних даних реєструвати не повинен.
Що ж стосується бази персональних даних «Клієнти», то її адвокати повинні реєструвати лише, якщо вони формують справи на своїх клієнтів, які вони постійно оновлюють та підтримують в актуальному стані. Володільцями такої бази персональних даних є адвокат, який здійснює індивідуальну практику. Розпорядниками ж вказаних баз можуть бути ті, кому адвокат надасть право працювати з такими базами (помічники, інші його працівники).

Щодо контролю за веденням адвокатом бази персональних даних

Відповідно до підпункт 14 пункту 3 Положення про Державну службу України з питань захисту персональних даних, затвердженого Указом Президента України від 6 квітня 2011 року № 390, ця служба здійснює контроль за додержанням законодавства про захист персональних даних шляхом проведення виїзних та безвиїзних перевірок володільців та (або) розпорядників баз персональних даних. Як видно з позиції зазначеного державного органу, розміщеної на його веб-сайті http://zpd.gov.ua/indexPovidomlenya3.html, такі перевірки будуть проводитись лише на підставі скарг громадян України. За результатами таких перевірок посадові особи відповідної служби вправі складати протоколи про адміністративні правопорушення з направленням їх до суду для вирішення питання про притягнення до адміністративної відповідальності. Тобто в громадян з’явилася додаткова можливість поскаржитись на адвоката.

Чи можна перевірити адвоката?

На наше переконання, посадовці Державної служби з питань захисту персональних даних (далі – перевіряючи) можуть перевірити ведення адвокатом такої бази персональних даних, як «Працівники». Однак вони не мають права перевірити, як адвокат веде таку базу персональних даних, як «Клієнти». Така наша позиція обумовлена тим, що одним із засадничих принципів адвокатури є конфіденційність.
Пункт 8 статті 9 Правил адвокатської етики, схвалених Вищою кваліфікаційною комісією адвокатури при Кабінеті Міністрів України 1 жовтня 1999 року, передбачає, що адвокат зобов’язаний забезпечити такі умови зберігання документів, переданих йому клієнтом, адвокатських досьє та інших матеріалів, що знаходяться в його розпорядженні і містять конфіденційну інформацію, котрі розумно виключають доступ до них сторонніх осіб.
Водночас, пункт 3 цих же Правил адвокатської етики вказує, що конфіденційність певної інформації, що охороняється правилами цієї статті, може бути відмінена тільки особою, зацікавленою в її дотриманні (або спадкоємцями такої фізичної особи чи правонаступниками юридичної особи), в письмовій або іншій зафіксованій формі.
Тому виходить, що перевіряючі можуть перевірити ведення адвокатом такої бази персональних даних, як «Клієнти» в частині, яка стосується інформації лише того клієнта адвоката, який подав на його скаргу і лише, якщо на розголошення такої інформації (ввіреної клієнтом адвокату) надасть свою зафіксовану згоду відповідний клієнт (його спадкоємці) й коли відкриття доступу до такої бази не створить умови для розкриття інформації про інших клієнтів адвоката.
Якщо ж адвокатом ведеться цілісна база «Клієнти», доступ до наявної інформації в якій про одного клієнта, котрий дав на такий доступ згоду, і виникне можливість доступу до інформації про інших клієнтів, які такої згоди не надавали, то з посиланням на ст. 9 Правил адвокатської етики та статті 9 і 15 Закону про адвокатуру адвокат однозначно має відмовити посадовцям у доступі до відповідної бази. Адже такий доступ може призвести до порушення конфіденційності та адвокатської таємниці як такої.

Теги: