Ольга, чи готові українські підприємства до реалізації норм Закону "Про захист персональних даних"?
- Формально законодавець надав бізнесу більше напівроку на вивчення нового закону - це період між його офіційним прийняттям влітку 2010 року і набиранням законної сили 1 січня 2011 року. Тобто, на перший погляд, у компаній було досить часу, щоб "звикнути" до нового нормативного акту і до думки про необхідність його виконання.
Проте, на мій погляд, не усі компанії готові до реалізації Закону навіть зараз, в першу чергу, морально, через відсутність аналогічних нормативних актів до його прийняття і, відповідно, простого нерозуміння його норм. У свою чергу, фахівців, які могли б роз'яснити норми закону, на ринку не так вже і багато з тих же самих причин. Крім того, відносно деяких питань відсутні практичні важелі для виконання Закону.
Ми займаємося питаннями захисту персональних даних вже декілька років, і з практики я б сказала, що компанії з іноземним капіталом підготовленіші в цьому питанні, чим українські компанії, оскільки іноземний бізнес, по-возможности, впроваджує свої корпоративні принципи в українські "дочки". А, як відомо, питання захисту персональних даних в європейських і західних країнах регулюються досить жорстко. Саме наші іноземні клієнти в першу чергу зацікавилися новим законом і процедурами його впровадження.
"Підприємствам треба в терміновому порядку перевірити, чи правильно вони обробляють персональні дані, чи є у них згоди від суб'єктів персональних даних на таку обробку, чи є у них належний рівень захисту даних.". |
Які положення цього Закону клієнтам необхідно враховувати в першу чергу?
- Зараз головну увагу треба звернути на виконання тих зобов'язань, передбачених Законом, невиконання яких може привести до відповідальності компаній і окремих посадовців. Як відомо, з 1 січня 2012 року набуває чинності закон, яким впроваджується серйозна відповідальність за невиконання окремих положень Закону. Тому підприємствам треба в терміновому порядку перевірити, чи правильно вони обробляють персональні дані, чи є у них згоди від суб'єктів персональних даних на таку обробку, чи є у них належний рівень захисту даних, а також чи зареєстрували вони усі бази персональних даних, які ведуться в компанії.
Які практичні складнощі можуть виникнути у них при дотриманні приписів цього Закону?
- Складнощів, насправді, вистачає. Один з найскладніших моментів - це як узяти згоди у усіх суб'єктів персональних даних, дані яких обробляються, не порушуючи законодавство. Я маю на увазі неврегульованість питання відносно форми такої згоди. Згідно нашого Закону, згода - це документоване волевиявлення, зокрема у письмовій формі. При цьому немає чіткого розуміння, які інші форми, окрім письмової, є законодавчо прийнятними.
Ще одне питання, це порядок передачі даних за рубіж. З одного боку, Закон передбачає необхідність отримання дозволу від служби на таку передачу, з іншої - такого дозвільного документу немає. На даний момент ми радимо нашим клієнтам в такій ситуації узабезпечити себе, в першу чергу, від можливих претензій з боку суб'єкта, чиї дані передаються, і узяти у нього однозначну згоду на передачу таких даних іноземним особам. Плюс до цього укласти договір з іноземною особою і упевнитися в належному рівні захисту даних з його боку.
Як Закон вплине на практику юридичних компаній? Які послуги в цьому напрямі будуть найбільш затребувані?
- Вже зараз ми отримуємо багато запитів від наших клієнтів з проханням допомогти їм розібратися з нормами Закону і проаналізувати їх діяльність на предмет відповідності законодавству про персональні дані. Самими затребуваними послугами в цій сфері з боку нашої фірми на сьогодні являється допомога в ідентифікації баз персональних даних на підприємствах і їх реєстрація в держслужбі по захисту персональних даних. Також ми часто готуємо проекти согласий суб'єктів персональних даних на обробку їх даних нашими клієнтами.
Що стосується найближчого майбутнього, то, на мій погляд, компанії приводитимуть свої локальні документи у відповідність із законодавством і, що називається, "підтягувати хвости" в цьому напрямі. Наприклад, вже зараз у нас є достатня кількість завдань від різних клієнтів на розробку внутрішньокорпоративних положень про захист персональних даних, а також на підготовку стандартних договорів про передачу персональних даних третім особам.
"Головне, щоб відсутність чіткості в законодавстві не зашкодила бізнесу і не стала важелем для необгрунтованих дій з боку державних органів" |
Які Ваші прогнози відносно повної реалізації механізму цього Закону і функцій, покладених на держслужбу з питань захисту персональних даних?
- Багато питань, які регулюються Законом, потребують істотного роз'яснення. Без них належна реалізація просто неможлива. Зрозуміло, що розробка роз'яснюючих підзаконних актів вимагає часу і, швидше за все, ринок повинен буде почекати їх прийняття ще деякий час. Головне, щоб відсутність чіткості в законодавстві не зашкодила бізнесу і не стала важелем для необгрунтованих дій з боку державних органів. Справедливості ради скажу, що з нашого досвіду співробітники держслужби по захисту персональних даних на сьогодні дуже кооперативні - відповідають на питання, дають роз'яснення в міру можливості.
Що стосується безпосередньо функцій держслужби, хотілося б мати чітке розуміння підстав для проведення перевірок цим органом.
Бесіду вів Сергій Саченко, головний редактор порталу ЮРЛИГА
