ДЕРЖАВНА СЛУЖБА УКРАЇНИ З ПИТАНЬ ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ
ЛИСТ
20.06.2014 N 08.1/680.14
Міністерству юстиції України
Департаменту взаємодії з органами влади
Щодо пропозицій до законопроекту
Верховною Радою України прийнято у першому читанні (03.06.2014) проект Закону України "Про електронну комерцію" (реєстр. N 2306а від 17.06.2013) (далі - законопроект), який визначає організаційно-правові засади здійснення електронної комерції в Україні та регулює відносини, що виникають під час укладення й виконання правочинів, вчинених в електронній формі із застосуванням інформаційно-телекомунікаційних систем.
ДСЗПД України, як центральний орган виконавчої влади, до основних завдань якого належить внесення пропозицій щодо формування державної політики у сфері захисту персональних даних, вважає за необхідне надати наступні зауваження та пропозиції до законопроекту.
В першу чергу, слід зазначити, що положення законопроекту характеризуються певною неузгодженістю між собою та певною мірою не враховують вимоги Закону України "Про захист персональних даних" та Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних, ратифікованої Законом України від 06.07.2010 N 2438-VI.
Відтак, ДСЗПД України пропонує доопрацювати законопроект з урахуванням наступного.
1. В статті 2 законопроекту зазначаються правові основи регулювання відносин у сфері електронної комерції (торгівлі). Оскільки відповідні відносини між суб'єктами електронної комерції, а також іншими особами, мають регулюватись із дотриманням вимог Закону України "Про захист персональних даних", пропонуємо у цій статті після слів та знака "Закон України "Про захист інформації в інформаційно-телекомунікаційних системах." додати слова та знак "Закон України "Про захист персональних даних".".
2. Частиною другою статті 8 законопроекту передбачається, що покупець/покупці товарів електронної торгівлі та замовники інформаційних електронних послуг, які відправляють від свого імені акцепт або згоду з пропозицією оферента, за допомогою електронної форми представлення інформації зобов'язані повідомляти про себе певну сукупність відомостей, що містять персональні дані. Серед таких відомостей є й "інші відомості, необхідні для здійснення електронного правочину або обов'язковість яких визначена законодавством". Разом з цим, у цій же статті зазначається, що фізична особа - покупець надає інформацію про себе, необхідну для подальшого вчинення правочинів у сфері електронної комерції, у тому числі укладення договорів, створення електронного підпису, який використовуватиметься при придбанні товарів, послуг чи здійснення інших дій (вчиненні інших правочинів) в системі учасника електронної комерції, а також введення (створення) особою спеціального набору електронних даних, які дозволять ідентифікуватися їй в обліковій системі продавця (постачальника) товарів, робіт, послуг в електронній торгівлі/постачальника (виконавця) інформаційних електронних послуг. Перелік необхідної інформації визначається сторонами електронної комерції. Інформація про покупця/покупців в електронній комерції повинна містити тільки ті відомості, без яких продавець не зможе оформити правочин й виконати свої зобов'язання по його вчиненню. Отже, виходячи із змісту статті 8, невирішеним залишається питання щодо конкретного складу персональних даних, яка надається фізичною особою, а також питання щодо обов'язковості (як альтернатива - узгодженості між сторонами електронної комерції) надавання фізичною особою тих чи інших відомостей про себе. Крім цього, пропонується структурно розмежувати перелік інформації, що надається фізичною особою або юридичною особою. Слід враховувати, що відповідно до частини третьої статті 6 Закону України "Про захист персональних даних" склад та зміст персональних даних мають бути відповідними, адекватними та ненадмірними стосовно визначеної мети їх обробки. Відтак, стаття 8 законопроекту потребує доопрацювання з урахуванням вищезазначеного.
3. Правовий статус постачальників послуг проміжного характеру у інформаційній сфері, визначений у статті 9 законопроекту, дає можливість зробити висновок, що відповідні постачальники є розпорядниками персональних даних в розумінні Закону України "Про захист персональних даних". Відповідно до статті 8 Закону України "Про захист персональних даних" суб'єкт персональних даних, серед іншого, має право знати про місцезнаходження своїх персональних даних, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом. Відтак, пропонуємо статтю 9 законопроекту доповнити положенням наступного змісту: "Постачальники послуг проміжного характеру у інформаційній сфері зобов'язані забезпечити прямий, простий, стабільний доступ інших суб'єктів електронної комерції та компетентних органів до такої інформації про себе:
- повне найменування (для юридичної особи) або прізвище, ім'я, по батькові (для фізичної особи);
- місцезнаходження юридичної особи або місце реєстрації та фактичного проживання фізичної особи;
- адреса електронної пошти;
- код згідно з ЄДРПОУ (для юридичної особи) або реєстраційний номер облікової картки платника податків (для фізичної особи) чи серія та номер паспорта (для фізичних осіб, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та офіційно повідомній про це відповідний орган державної податкової служби і мають відмітку у паспорті);
- номер свідоцтва про реєстрацію постачальника платником податку на додану вартість, якщо така реєстрація здійснена відповідно до вимог Податкового кодексу України;
- відомості про наявні діючі ліцензії, якщо здійснювана діяльність підлягає ліцензуванню:
- інші відомості, які відповідно до законодавства України є обов'язковими для оприлюднення по деяких видах правочинів.".
4. Статтею 10 законопроекту пропонується врегулювати питання розповсюдження комерційної інформації у сфері електронної комерції. Так, інформування потенційних покупців/замовників про товари та послуги, які пропонуються сторонами, може здійснюватись за допомогою комерційних електронних повідомлень. Основною умовою поширення комерційних електронних повідомлень є згода споживача на їх отримання. Комерційне електронне повідомлення може бути надіслане споживачу без його згоди лише за умови наявності в нього можливості відмови від подальшого отримання таких комерційних електронних повідомлень від такого продавця товарів, робіт, послуг в електронній торгівлі / постачальника (виконавця) інформаційних електронних послуг. Загалом ДСЗПД України підтримує запровадження такого підходу, що також відповідає європейським стандартам у сфері електронної комерції1. Водночас, як зазначається у преамбулі Директиви Європейського парламенту та Ради N 2000/31/ЄС, розсилка комерційних повідомлень без згоди одержувача електронною поштою може бути небажаною для споживачів та постачальників інформаційних послуг і може завадити стабільному функціонуванню інтерактивних мереж. В тих державах - членах ЄС, які дозволяють розсилку комерційних повідомлень без згоди одержувача електронною поштою, має стимулюватись та полегшуватись запровадження відповідної системи фільтрації повідомлень.
___________
1 Директива 2000/31/ЄС Європейського парламенту та Ради "Про деякі правові аспекти інформаційних послуг, зокрема, електронної комерції, на внутрішньому ринку" ("Директива про електронну комерцію") від 8 червня 2000 року; Директива N 2002/58/EC Європейського парламенту та Ради стосовно обробки персональних даних та захисту конфіденційності в секторі електронних засобів зв'язку.
Разом з цим слід зазначити, що у статті 10 (як по всьому тексту законопроекту) вживається термін "споживач", проте відсутнє змістовне визначення цього терміна для цілей законопроекту, що потребує відповідного врегулювання. Водночас, надсилання споживачам комерційних електронних повідомлень без їх згоди викликає низку питань щодо правових підстав обробки (збирання, використання, зберігання) електронних адрес споживачів, як персональних даних, на які будуть надсилатись комерційні електронні повідомлення. Відтак, існує необхідність запровадження в законопроекті чіткого механізму врегулювання питання розповсюдження комерційної інформації у сфері електронної комерції за наявності правових підстав для обробки персональних даних споживачів відповідно до статті 11 Закону України "Про захист персональних даних".
З огляду на зазначене, пропонуємо:
- частину третю статті 10 законопроекту викласти у такій редакції: "3. Комерційне електронне повідомлення може бути надіслане споживачам, які надали свою попередню згоду на отримання таких повідомлень продавцю товарів, робіт, послуг в електронній торгівлі / постачальнику (виконавцю) інформаційних електронних послуг за умови, що споживачу ясно і чітко надається можливість заперечувати проти подальшого отримання таких комерційних електронних повідомлень";
- у частині п'ятій статті 10 слова "без згоди споживача" вилучити.
5. Статтею 11 законопроекту пропонується визначити порядок укладення електронного правочину. З аналізу статті 11 вбачається за доцільне розмежування порядку укладення електронного правочину з фізичними та юридичними особами, оскільки при укладанні електронних правочинів з фізичними особами у продавців (постачальників) товарів, робіт, послуг (як володільців персональних даних) виникає низка зобов'язань відповідно до Закону України "Про захист персональних даних", зокрема суб'єкт персональних даних (покупець (замовник)) має повідомлятися про володільця персональних даних, склад та зміст зібраних персональних даних, свої права, визначені цим Законом України "Про захист персональних даних", мету збору персональних даних та осіб, яким передаються його персональні дані стаття 12 Закону України "Про захист персональних даних".
6. З метою приведення у відповідність статті 14 законопроекту до вимог Закону України "Про захист персональних даних" та редакційного уточнення деяких її частин пропонуємо:
- частину першу статті викласти у такій редакції: "1. Суб'єкти електронної комерції мають право збирати від фізичних осіб тільки ті персональні дані, без яких вони не зможуть укласти договір та/або виконати свої зобов'язання за електронним правочином. Фізичні особи мають повідомлятися в момент збору персональних даних про володільця персональних даних, склад та зміст зібраних персональних даних, свої права, визначені цим Законом України "Про захист персональних даних", мету збору персональних даних та осіб, яким передаються його персональні дані.";
- частину другу статті викласти у такій редакції: "2. Суб'єкти електронної комерції зобов'язані забезпечити захист електронних документів та/або повідомлень, що містять персональні дані, які стали їм відомі з електронних документів та/або повідомлень, отриманих у ході оформлення і здійснення електронних правочинів, в порядку, передбаченому Законом України "Про захист персональних даних";
- частину четверту статті викласти у такій редакції: "4. Реєстрація в інформаційній системі суб'єкта електронної комерції означає надання згоди суб'єктом електронної комерції (фізичною особою) на обробку його персональних даних для конкретних і законних цілей, визначених умовами реєстрації в інформаційній системі, про які суб'єкта електронної комерції (фізичну особу) було чітко і ясно повідомлено".
7. Законопроектом ("Прикінцеві положення") пропонується внести зміни до абзацу п'ятого статті 2 Закону України "Про захист персональних даних" з метою уточнення форми надання згоди суб'єкта персональних даних в сфері електронної комерції (шляхом реєстрації в інформаційній системі учасника електронної комерції). Зазначені пропозиції не вбачаються доцільними, оскільки визначення "згода суб'єкта персональних даних" (абзац п'ятий статті 2 Закону України "Про захист персональних даних") містить в узагальненому варіанті всі можливі форми надання такої згоди (письмова форма або форма, що дає змогу зробити висновок про надання згоди). Згода суб'єкта персональних даних на обробку його персональних даних шляхом реєстрації в інформаційній системі учасника електронної комерції дає можливість зробити висновок про її надання.
На додаток до зазначеного, повідомляємо, що ДСЗПД України також підтримує пропозиції та зауваження до законопроекту, що містяться в висновку Головного науково-експертного управління Верховної Ради України.
Просимо врахувати зазначену позицію ДСЗПД України при підготовці позиції Кабінету Міністрів України в порядку, передбаченому Регламентом Кабінету Міністрів України, затвердженим постановою Кабінету Міністрів України від 18.07.2007 N 950, під час подальшого розгляду законопроекту у Верховній Раді України.
Голова М. О. Бурмака