Прийнятий у 2010 році Закон України "Про захист персональних даних" (далі - Закон) став одним з найбільш обговорюваних нововведень в українському законодавстві за останній час. І, мабуть, не стільки завдяки його новизні для України, скільки завдяки масі пропусків і неточностей, які він містить.
Не буде перебільшенням сказати, що цей Закон викликав дуже негативну реакцію в суспільстві, особливо після того, як був ухвалений Закон України "Про внесення змін до деяких законодавчих актів України про посилення відповідальності за порушення законодавства про захист персональних даних". Найбільше побоювань викликає той факт, що досить серйозна відповідальність передбачена за порушення закону, який рясніє неточностями і містить масу пропусків.
Закон "Про захист персональних даних" написаний на основі європейського законодавства. |
У світлі численних пропозицій про внесення змін до Закону, особливий інтерес викликає ситуація із захистом персональних даних в Євросоюзі. Адже новий Закон написаний на основі європейського законодавства, і логічно припустити, що Україна наслідуватиме приклад Євросоюзу в цій сфері.
У Європі питання захисту персональних даних регулюється цілим поруч документів, до яких відноситься і Європейська конвенція про захист фізичних осіб у зв'язку з автоматизованою обробкою персональних даних, і цілий ряд директив і резолюцій Європарламенту і Ради Євросоюзу. При цьому в кожній державі є і своє національне законодавство про захист персональних даних. Проте і в Європі немає задоволеності рівнем захисту персональних даних, що підштовхує Європейську Комісію до розробки нових норм в цій області.
Так, нещодавно були опубліковані пропозиції Єврокомісії по реформуванню законодавства про захист персональних даних в Європі - Стандарти захисту персональних даних Євросоюзу (Стандарти).
Стандарти спрямовані, передусім, на гармонізацію режиму захисту персональних даних в Європі і надання споживачам можливості контролювати яким чином їх персональні дані обробляються компаніями.
Особливий акцент в Стандартах робиться на надання громадянам більшого об'єму можливостей контролювати їх персональні дані і на проблему користування Інтернетом дітьми. Пропонується уставити, що доступ до веб-сайтів і реєстрація на них, а також отримання розсилок цільового маркетингу особами молодше 18 років вимагають згоди їх батьків.
Також пропонується істотно змінити підхід до отриманню згоди особи на обробку його даних. Суть змін полягає у відході від існуючої концепції надання згоди шляхом конклюдентних дій. По новим правилам згода повинна виражати вільне волевиявлення особи на підставі вичерпною інформації, з чіткою вказівкою воля особи, що дає згоду.
Стандарти також передбачають нові права для індивідуумів:
- право на повне знищення інформації про обличчі на соціальних сайтах без можливості їх відновлення;
- право на вільне переміщення інформації від одного провайдера до іншому;
- право заперечувати проти обробки персональних даних.
У цьому контексті пропонується покласти на компанію зобов'язання по доведенню правомірності продовження обробки даних про особу.
|
Олександр Плотников |
Особливо цікавими, на наш погляд, являються пропозиції відносно санкцій за порушення законодавства про захист персональних даних. Розробники Стандартів дотримуючись позиції, що санкції мають бути ефективними, пропорційними і попереджуючими нові порушення, пропонують встановити максимальний розмір санкцій на рівні 2 % від світового річного обороту компанії.
Не дивлячись на те, що Стандарти ще не прийняті, вони є чітким індикатором сучасних настроїв в Єврокомісії. Виходячи з основних положень Стандартів, напрошується висновок, що чиновники Єврокомісії серйозно мають намір змусити компанії більше відповідально підходити до питанням захисту і обробки персональних даних.
У загальних рисах основні пропозиції Стандартів зводяться до наступному:
- розробити єдині правила з метою гармонізації стандартів обробки персональних даних у Європі, що дозволити зменшити адміністративну навантаження на бізнес і буде сприяти росту економіки;
- зробити більший акцент на персональній відповідальності окремої особи замість того, що покладає надії на контролюючі органи;
- зобов'язати компанії повідомляти національні контролюючі органи про серйозне порушення правил захисту персональних даних впродовж 24 годин;
- встановити правило, згідно якому компанії будуть мати справа тільки з органом по захисту персональних даних країни реєстрації компанії, у том числі і у тих випадках, коли вони обробляють дані і за межами Євросоюзу;
Чиновники Єврокомісії мають намір змусити компанії більше відповідально підходити до питанням захисту і обробки персональних даних. |
- компанії з кількістю працівників більше 250 чоловік, а також компанії, які здійснюють постійний моніторинг інформації про фізичних осіб, будуть зобов'язані призначити незалежну уповноважену особу по захисту персональних даних;
- згода на обробку персональних даних повинне бути чітко виражене і не може передбачатися;
- будь-яка компанія, працююча на ринку Євросоюзу, буде зобов'язана дотримувати правила Євросоюзу, навіть якщо вона розташована за його межами;
- надати індивідуумам ширший доступ до їх персональних даних і спростити процедуру перекладу даних від одного провайдера до іншого;
- надати громадянам право "бути забутими", те є вимагати повного знищення даних про них, якщо відсутній законне основа на подальшу обробку таких даних;
- надати національним уповноваженим органам по захисту персональних даних право застосовувати штрафні санкції до порушникам у розмірі до 1 мільйона євро чи 2% від світового річного обороту компанії;
- прийняти усіма членами Євросоюзу нові закони про захист персональних даних при розслідуванні кримінальних справ.
Як ми бачимо, деякі з нових пропозицій Єврокомісії вже знайшли своє віддзеркалення у українському Законі. У частковості: вимоги до згоді на обробку даних; зобов'язання призначити окреме обличчя, відповідальне за захист персональних даних; право обличчя вимагати знищення даних.
Цікаво відмітити, що ситуація, яка зараз складається в Євросоюзі, дуже нагадує ситуацію в Україні. Влада прагнути встановити більше жорсткі правила звернення з персональними даними і вводить серйозні санкції за порушення. А бізнес старається знайти той необхідний мінімум, який дозволить виконувати основні вимоги законодавства, щоб виключити можливість застосування до йому жорстких санкцій.
Так або інакше, враховуючи тенденції у Європі, нам не слідує розраховувати на пом'якшення законодавства про захисту персональних даних. Пора усвідомити, що в умовах глобалізації нам не вдасться залишитися в стороні від європейських тенденцій. Тому ця нова для України сфера регулювання і далі розвиватиметься і залишатиметься під пильним наглядом держави.
Олександр Плотников, старший юрист АТ Arzinger, адвокат.
