Революція або еволюція?
Українське законодавство про захист персональних даних стало одним з самих обговорюваних в минулому році. Закон "Про захист персональних даних" набув чинності 1 січня 2011 року, недостатньо розумів суспільством, зате Україна формально виконала свої міжнародні зобов'язання. Великого інтересу до усіх аспектів цього Закону не було, поки Верховна Рада не ввела отвественность за його порушення. Це стало причиною паніки серед юрособ і фізосіб-підприємців, яких планувалося штрафувати за невиконання обов'язку зареєструвати бази персональних даних (далі - БПД). Враховуючи напружену ситуацію, покарання відстрочили до 1 липня 2012 року, а тема виконання цього законодавства стала ще популярніша - потенційні власники БПД зрозуміли, що держава з ними не жартує, і почали ретельно вивчати нові норми.
А ось в Європі таке законодавство вже давно не в новинку, адже український Закон про захист персональних даних був ухвалений саме у виконання ратифікованою Україною в 2010 році Конвенції Ради Європи "Про захист осіб у зв'язку з автоматизованою обробкою персональних даних". Дані правила діють в державах-членах ЦЕ вже майже три десятки років, хоча на даний момент і в них готуються зміни: прийнята директива з проектом істотних змін в законодавство, зокрема, планується збільшити штрафи, що викликає обурення у бізнесу.
Не можна сказати, що в Україні особиста інформація до недавнього часу взагалі не мала захисту. Адже з 1992 року діє Закон "Про інформацію", в якому була закріплена заборона на збір відомостей про особу без його згоди, право особи на ознайомлення з інформацією, зібраною відносно нього. Проте цей Закон розумів персональну інформацію дуже вузько. У будь-якому випадку, новий Закон про захист персональних даних перевороту не робитьадже Особисте життя і інформація про неї захищене Цивільним кодексом також порівняно давно. А незаконний збір, зберігання, використання і поширення конфіденційної інформації про особу без його згоди взагалі були кримінально карними і залишаються такими. Тобто, особливий режим інформації про фізичну особу існував давно, але самі фізособи і органи, покликані права цих осіб охороняти, звиклися з думкою про те, що є куди відчутніші і реальніші цінності, що вимагають охорони. Тому довгий час механізм захисту діяв тільки у випадках поширення дуже особистої інформації, яке завдавало серйозного морального збитку, відмічає керівний партнер ЮФ Cai&Lenard Костянтин Пильков. Новий закон "матеріалізував" ці дані, "упресував" їх у бази.
"Закон "Про захист персональних даних" написаний так, що кожен може трактувати його як хоче. Абсолютно незрозуміла мета його прийняття, - які персональні дані, від кого саме і яким чином слід захищати, - категорична у своїх судженнях керівник Національної правової палати, адвокат Ганна Самойленко. - Перші роз'яснення відносно практичного застосування цього Закону Мінюст примудрився написати опісля півтора роки після його прийняття - в грудні 2011 року. При цьому створюється відчуття, що Мінюст надав ці роз'яснення, прочитавши Закон по діагоналі, і толком не розібравшись, а в чому ж суть справи. Роз'яснення Міністерства юстиції не лише не допомогли в практичному застосуванні Закону, але і остаточно усіх заплутали. Для чого потрібний Закон "Про захист персональних даних", крім того, щоб наповнити бюджет, мені абсолютно незрозуміло".
Спокій, тільки спокій!
Завдяки новому законодавству, практично будь-які операції з персональними даними обросли оберемком внутрішньої документації. На багатьох підприємствах взагалі із здивуванням дізналися про те, у них обробляються персональні дані і існують БПД. Для контролю за виконанням вимог Закону була створена Державна служба з питань захисту персональних даних, основною функцією якого на даний момент є реєстрація баз. Але коли більшість БПД будуть узаконена, Служба напевно займеться перевірками, результатом яких будуть штрафні санкції. Цього і побоюються підприємці. Хоча перевірки і штрафи не повинні стати масовими, прогнозують юристи.
Зате масовій реалізації (аж до зловживання) фізособами права на звертання до Служби із скаргою можна чекати. Тепер практично будь-яка особа, до якої поводяться з вимогами або присилають повідомлення, може зажадати у Служби перевірити, що на якій основі прислав повідомлення обробляє дані адресата. Це може створити деякі проблеми для компаній.
Представники бізнесу засмучуються, але, привчені до жорсткіших витівок українських законодавців, великої трагедії у виконанні нового Закону не бачать. Найменш схильні до паніки компанії з іноземним капіталом, які знають про подібне законодавство не з чуток. "Мы рахуємо наявність і використання такого закону абсолютно нормальним цивілізованим явищем, яке не повинне вибивати з колії жодну з нормально діючих компаній, - вважає гендиректор рекрутинговой компанії "Хадсон" Олексій Юрченко. - На наш погляд, практика впровадження Закону є досить простою. Деяку сумбурність у практику застосування цього Закону внесла служба, яка займається реєстрацією персональних даних : виникли певні нюанси, в першу чергу, з точки зору інтерпретації законодавства України. Спочатку держслужба по реєстрації баз даних дотримувалася погляду, що реєструвати треба усі бази даних, які не ведуться компаніями за вимогами законодавства. Проте остання тенденція, коли кожна компанія повинна зареєструвати базу цих своїх співробітників виглядає дещо безглуздо, оскільки ми не ведемо баз цих співробітників, ми виконуємо вимогу кадрового обліку (зберігання трудових книжок, копій документів). Тому тут виникає швидше питання трактування і способів інтерпретації цього закону конкретними виконавчими органами на території України.
Олексій Юрченко |
Наскільки мені відомо, процедура реєстрації персональних даних була досить сильно спрощенаі на сьогодні для реєстрації бази даних заявку можна подати і через інтернет. Тому сказати, що компанії стикаються з великою кількістю об'єктивних складнощів, - неможливо. За бажання і знанні цієї інформації процес реєстрації не є бюрократично складним. Так, дійсно, держслужбі важко обробляти велику кількість заявок, проте інформація подається до розгляду, і великих складнощів, проте, я не бачу. Тому відстрочення санкцій до 1 липня 2012 року мені важко назвати принциповим питанням.
Компанії зараз звертаються до юристів, в першу чергу, з проблемами інтерпретації і практики використання існуючого закону і повноважень держоргану по контролю захисту персональних даних. Оскільки чіткого розуміння того, що потрапляє під дію Закону, поки ні".
Особливості української реєстрації БПД
Отже, як ми вже з'ясували, основні труднощі починаються з реєстрації бази персональних даних. Нормы Закона передбачають, що будь-яка сукупність впорядкованих персональних даних про фізичну особу, яка ідентифікована або може бути конкретно ідентифіковано, вважається БПД, і кожна така база підлягає державній реєстрації.
Зареєструвавши базу в держреєстрі, підприємець стає об'єктом для перевірок і застосування фінансових санкцій, як говорилося вище. Тому, перш ніж подавати заяву про реєстрацію, необхідно точно визначити, чи є у вас взагалі база персональних даних. Само по собі володіння персональними даними ще не означає, що ви є власником саме базиоскільки наявність БПД припускає деякі характеристики. Для цього краще проконсультуватися з юристом-експертом.
Передбачено три способи, якими робиться реєстрація баз персональних даних :
1. Відправка заяви у паперовій формі за адресою держслужби;
2. Відправка заяви по електронній пошті register@zpd.gov.ua;
3. Заповнення заяви на сайті Госсреестра баз персональних даних - rbpd.informjust.ua.
Зверніть увагу: при подачі заяви по електронній пошті або через сайт Госсреестра необхідно дотримати вимоги законодавства про електронний цифровий підпис. Отримати сертифікат ключа можна в акредитованому центрі сертифікації ключів.
На сайті Держслужба України з питань захисту персональних даних розміщена корисна інформація |
Відмітимо досить продуктивну роботу Державної служби України з питань захисту персональних даних, який регулярно займається просветительськой діяльністю в цій сфері. Також на сайті Служби розміщені відповіді на найпопулярніші питання, приклади заповнення заяв для реєстрації баз персональних даних і інша корисна інформація.
To - do list
Допустимо, база персональних даних зареєстрована. Але цього недостатньо. Компаніям слід потурбуватися про приведення своєї діяльності у відповідність із законодавством - організувати взаємодію з суб'єктами персональних даних, оформити стосунки з розпорядниками баз і так далі
Так, на підприємствах необхідно визначити структурний підрозділ або відповідальну особу, організуючу роботу, пов'язану із захистом ПД при їх обробці. Також компанії доведеться розщедритися на технічні засоби захисту БПД, наприклад, антивірусні програми і тому подібне. Такі вимоги Типового порядку обробки персональних даних можуть бути фінансово обтяжливі, особливо для малого бізнесу.
Організація взаємодії з суб'єктами ПД має на увазі внутрішню оцінку (аудит) використання таких даних, підготовку внутрішніх документів і стандартів для обробки ПД, документування згоди на обробку ПД, кадрові призначення і організацію захисту даних, роботу із запитами суб'єктів, повідомлення, поточний контроль.
Законодавець зобов'язав підприємства розробити власні локальні акти і документидетально визначати їх взаємини з особами, чиї дані містяться у відповідних базах даних. Це, в першу чергу, необхідно для уникнення надалі проблем відносно незаконності обробки персональних даних фізичних осіб. Необхідно розробити Положення про порядок обробки і захист персональних даних, зразків стандартної згоди особи на обробку ПД і повідомлень. Для спрощення роботи можна документувати згоду особи на використання ПД одночасно з повідомленням про використання.
На думку радника ЮФ "Василь Кисиль і Партнери" Оксани Войнаровскойосновна проблема Закону - неузгодженість вимог стосовно форми деяких документів. Так, повідомляти особу про використання його персональних даних необхідно у письмовій формі, що є архаїзмом і негативно відобразиться на веденні бізнесу. В той же час, згода на обробку даних можна отримати і в електронній формі. Алогічно, але факт.
Юридична допомога
Правозастосовних проблем по БПД виникає множина, і не всяка компанія впорається з ними без сторонньої допомоги. Виникає необхідність удатися до допомоги юристів "з боку". У зв'язку з реалізацією законодавства про захист персональних даних на юррынке з'являються нові послуги - юридичні консультації стосовно обробки ПД, ведення судових справ стосовно захисту ПД і тому подібне
До юристів часто поводяться з питаннями по розробці власних локальних актів і документів компанії : положення про порядок обробки персональних даних у відповідній базі, згода на обробку персональних даних, повідомлення осіб про включення їх персональних даних у відповідну базу. Цікавить підприємства і питання, що необхідно вказувати в договорах, щоб уникнути відповідальності відносно використання персональних даних.
Необхідно визначити структурний підрозділ, який здійснюватиме організацію роботи по захисту персональних даних |
У зв'язку з цим, в першу чергу підприємствам необхідно обов'язково визначити структурний підрозділ або відповідальна особаяке здійснюватиме організацію роботи на підприємстві, пов'язану із захистом персональних даних при їх обробці, рекомендує юрист ПГ "Домініон" Юлія Розуменко. На таке обличчя або підрозділ покладається обов'язок організувати реєстрацію БПД, обробку даних, збір, накопичення, зберігання, адаптацію, зміну, оновлення, використання, поширення, знищення відомостей про фізичну особу. "Це, у свою чергу, дозволить зменшити число осіб, які матимуть доступ до персональних даних на підприємстві, що сприятиме кращій захищеності персональних даних і зведе до мінімуму можливість незаконної передачі таких даних". Така особа або підрозділ призначається, як правило, наказом, про що повідомляються усі працівники.
Провідний юрист ЮФ "Василь Кисиль і Партнери", адвокат Владислав Подоляк рекомендує такі функції покласти на IT- відділ або кадрову службу.
На практиці можливо виникатимуть питання з приводу організації структурних підрозділів, які здійснюватимуть організацію роботи, пов'язаної із захистом персональних даних, передусім, на великих підприємствахуточнює Ю. Розуменко. Необхідно буде створювати відповідні положення (інструкції) про порядок їх діяльності. Окрім цього, необхідно буде передбачити порядок взаємодії такого підрозділу з іншими структурними підрозділами (відділами) на підприємстві. Це, у свою чергу, додасть роботи такому підприємству, а саме, необхідно буде допрацьовувати положення (інструкції) існуючих підрозділів (відділ), які співпрацюватимуть з підрозділом, який здійснюватиме організацію роботи на підприємстві, пов'язану із захистом персональних даних при їх обробці.
Отже, в найближчому часі бізнесу належить зайнятися паперовою роботою - розробляти внутрішню документацію, типові договірні положення і тому подібне. Враховуючи неоднозначність і широкі трактования Закону про захист персональних даних, роботи стане більше і у юристів. Рекомендуємо компаніям уважно віднестися до вибору юридичних радників у такому важливому питанні.
Однією з тем минулого місяця на порталі ЮРЛИГА було законодавство про захист персональних даних. Ми розповіли, як організувати захист персональних даних на підприємствіз'ясували, що Закон про захист персональних даних перевороту не робить.
Гостями нашої постійної рубрики "1 Х 1" стали замголови Державної служби України з питань захисту персональних даних і керівний партнер юрфірми - з їх діалогом можна ознайомитися в інтерв'ю "Проблеми реєстрації баз персональних даних в Україні".
Також ЮРЛИГА зібрала фахівців із захисту персональних даних на круглий стіл. Крім того, відеокоментарі юристів по цій темі можна побачити в розділі ЮРTV.