Постановою Кабінету Міністрів України від 11 квітня 2012 року №295 затверджені нові Правила надання та отримання телекомунікаційних послуг (далі - Правила), прийняття яких стало деремо кроком у формуванні в Україні спеціальних положень щодо захисту персональних даних у телекомунікаційному секторі.
При цьому в чинній редакції враховані всі пропозиції та зауваження, які булі сформовані Державною службою України з питань захисту персональних даних на стадії опрацювання проекту Правил. Відповідні зауваження стосувалися реалізації вимог Закону України "Про захист персональних даних" в частині реалізації принципів забезпечення конфіденційності персональних даних споживачів з метою захисту їх прав та свобод, в тому числі й на невтручання в особістові та сімейне життя.
Насамперед, в Загальній частині Правив до переліку законодавчих та нормативно-правових актів, що встановлюють загальний порядок надання та отримання телекомунікаційних послуг внесене Закон України "Про захист персональних даних".
У Правилах до персональних даних споживачів віднесено даніякі стосуються абонентів, містять інформацію про особістові життя фізичних осіб і пов' язані з правом на приватність: "відомості про абонента, отриманих під година укладання договору" і які згідно Закону України "Про захист персональних даних" є первинними джерелами відомостей про фізичну особу (видані на ім 'я фізичної особини документи, підписані нею документи; відомості, які особа надала про собі).
Також варто звернути увагу на ті, що Правилами до інформації про споживача, яка підлягає захисту віднесено не тільки відомості про абонента, які булі отримані оператором або провайдером під година укладення договору, а й інша інформація, яка отримується під година телекомунікаційних послуг, у тому числі - "маршрути передачі інформації худе".
Таким чином, оператор, провайдер відповідно до пункту 42 Правив встановлює склад, зміст даних про абонента, який відповідно до законодавства про захист персональних даних повинний бути відповідним та не надмірним стосовно визначеної мети. Також законодавство вимагає, щоб обсяг персональних даних, які можуть бути включені до баз персональних даних, визначаються умовами згоди суб' єкта персональних даних або відповідно до закону.
Важливим є ті, що Правила зазначають мету обробки персональних даних абонентів операторами, провайдерами телекомунікацій : "надання послуг, забезпечення виконання зобов'язань за договором". Будь-яка обробка даних, якові може здійснити постачальних телекомунікаційних послуг для цілей просування на ринку власних телекомунікаційних послуг, може здійснюватися лише у разі, коли абонент надає на це згоду.
При цьому збирання персональних даних абонентів операторами, провайдерами законодавством про захист персональних даних визначається як складова процесу їх обробки, що передбачає дії з підбору чи впорядкування відомостей про фізичну особу та внесення її до бази персональних даних.
Відповідно до Закону "Про захист персональних даних" дані про абонента у базах даних операторів, провайдерів повинні бути точними та достовірними. Оператор, провайдер зобов'язаний вносити зміни на підставі вмотивованої письмової вимоги абонента, а зміна даних, які не відповідають дійсності, повинна відбуватися невідкладно з моменту встановлення невідповідності.
Дані про абонента, які булі зібрані оператором, провайдером з порушеннями вимог, згідно вимог Закону "Про захист персональних даних" підлягають знищенню у базах у встановленому законодавством порядку.
Оператор, провайдер повинний повідомити абонента про:
- включення його до бази персональних даних;
- його права у зв'язку з включенням до бази;
- мету збору даних та осіб, яким передаються його персональні дані.
Зважаючи на ті, що оператор, провайдер здійснює свою діяльність за законодавством, що встановлює загальний порядок надання та отримання телекомунікаційних послуг, або за згодою абонента, то затверджує мету обробки персональних даних, а також встановлює склад цих даних, відповідно до Закону України "Про захист персональних даних" оператори, провайдери є володільцями баз персональних даних, які створюють та використовують бази персональних даних.
Відповідно до законодавства в сфері захисту персональних даних, дозвіл на обробку персональних даних, наданий операторові, провайдерові відповідно до закону реалізовується виключно для здійснення його повноважень.
Саме тому чинними Правилами наголошується на тому, що процес створення та використання баз даних, необхідних для надання телекомунікаційних послуг, повинний відбуватися у порядку, встановленому законодавством. У свою чергу, Законом України "Про захист персональних даних" встановлені наступні вимоги:
- база персональних даних підлягає державній реєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних;
- використання даних оператором, провайдером здійснюється у разі створення ним умів для захисту цих даних;
- оператор, провайдер як володілець бази даних повинний встановити процедури обробки цих даних;
- зберігання персональних даних операторами, провайдерами повинне передбачати дії щодо забезпечення їх цілісності та відповідного режиму доступу до них.
Повідомлення про дії з персональними даними включають питання повідомлення операторами, провайдерами абонентів про передачу даних третій особі, якщо цього вимагають умови згоди абонента або інше не передбачено законом. Також повідомлення операторами, провайдерами повинне здійснюватися у разі зміни чи знищення даних або обмеження доступу до даних про абонентів.
Окремо Правилам наголошується на питаннях порядку доступу до персональних даних абонентів у відповідності до умів згоди абонента, наданої операторові, споживачу на обробку цих даних або відповідно до вимог закону, а також на питаннях поширення інформації про абонентів відповідно до вимог законодавства про захист персональних даних за згодою абонента:
- "інформація про надані послуги може бути надана законному представникові абонента, а також іншим особам за письмовою згодою абонента чи відповідно до закону";
- "дані про місцезнаходження кінцевого обладнання абонента не можуть передаватися оператором, провайдером без його згоди третім особам, крім випадків, встановлених законом".
Випадки передачі даних третім особам без згоди абонента Закон "Про захист персональних даних" дозволяє винятково в інтересах національної безпеки, економічного добробуту та прав людини.
У Правилах питання формування та оприлюднення телефонних довідників, у тому числі їх електронні версії та бази даних інформаційно - довідкових служб, які можуть містити інформацію про споживача під година замовлення та/або отримання послуг (прізвище, ім 'я та по батькові, найменування, адресі та номер телефону абонента) можливе тільки за умови надання споживачем згоди на опублікування такої інформації, що відповідає законодавству про захист персональних даних стосовно питань поширення персональних даних. Зважаючи на ті, що довідники є загальнодоступними, абоненти повинні мати змогу визначати процедури, пов' язані з оприлюдненням їх персональних даних, що реалізовує надане право невтручання в особістові життя через незамовлені дзвінки.
У відповідності до Закону "Про захист персональних даних" абонент має право на одержання будь-яких відомостей про собі у оператора, провайдера без зазначення мети запиту, а доступ абонента до даних про собі у базах даних операторів, провайдерів здійснюється безкоштовно.
При цьому законодавство також вимагає, що виконання вимог встановленого режиму захисту персональних даних забезпечує сторона, що поширює ці дані, а сторона, якій передаються персональні дані, повинна попередньо вжити заходів щодо забезпечення вимог закону.
Дані про абонента можуть зберігатися оператором, провайдером тільки тоді, коли це необхідно при наданні телекомунікаційної послуги (для цілей виставлення рахунків чи розрахунків за надані послуги худо) і тільки протягом обмеженого годині.
Питання знищення персональних даних абонентів у базах операторів, провайдерів повинні здійснюватися відповідно до Закону "Про захист персональних даних" :
- у разі закінчення рядок зберігання, визначеного згодою абонента на обробку цих даних або законом;
- припинення правовідносин між абонентом та оператором, провайдером, якщо інше не передбачено законом;
- набрання законної сили рішенням суду щодо вилучення даних про абонента з бази даних оператора, провайдера.
Важливим питанням є ті, що у розділ "Права, обов'язки та відповідальність споживачів" Правил внесене окремий пункт щодо правий споживачів під година замовлення та/або отримання послуг "на захист персональних даних, іншої інформації з обмеженим доступом у порядку, встановленому законодавством".
У Правилах вимоги законодавства щодо забезпечення захисту даних про абонента у базах даних операторів, провайдерів чітко прописані у розділі "Захист інформації про споживача":
- "оператор, провайдер повинний відповідно до законодавства забезпечувати збереження відомостей про абонента …";
- "оператор, провайдер у порядку, встановленому законодавством, забезпечує нерозголошення інформації з обмеженим доступом";
- "оператор, провайдер неце відповідальність за схоронність відомостей про абонента".
Згідно вимог Закону "Про захист персональних даних" забезпечення захисту персональних даних у базі даних покладається на володільця цієї баз - оператора, провайдера, який повинний забезпечити захист даних від незаконної обробки та незаконного доступу до них.
Окремо слід відзначити ті, що у теперішній година деякі потужні телекомунікаційні компанії вже розпочали роботи щодо доповнення та уточнення деяких положень щодо захисту персональних даних власних клієнтів та працівників, в тому числі щодо уточнення вимог щодо захисту персональних даних, використовуючи надану Законом "Про захист персональних даних" можливість шляхом розробки корпоративних кодексів поведінки. Головною метою затвердження таких кодексів є забезпечення ефективного захисту прав суб' єктів персональних даних, враховуючи специфіку обробки персональних даних в реальних умовах функціонування конкретної компанії. Отже, корпоративні кодекси поведінки є додатковим засобом саморегулювання та встановлення внутрішніх принципів захисту даних для досягнення визначеного рівня захисту даних. Значимість таких кодексів полягає в тому, що компанія самостійно визначає, які принципи захисту даних їм необхідно впроваджувати, пропонує реальні заходь щодо дотримання цих принципів.
Не можна залишати поза увагою тій факт, що більшість телекомунікаційних компаній акумулюють у процесі своєї діяльності величезні масиви персональних даних, що у сукупності із їх потужними технологічними можливостями, може бути спрямоване у напрямі максимально повного дотримання принципів захисту даних.
Враховуючи ті, що у відповідності до Закону "Про захист персональних даних" в компаніях повинні бути визначені структурні підрозділи або відповідальні особини, які організовують роботові, пов'язану з обробкою персональних даних, то наявні корпоративні кодекси поведінки або кодекси усталеної практики по обробці персональних даних будуть забезпечувати функціонування системи саморегулювання в межах певної компанії. Зокрема, в проведенні внутрішніх розслідувань фактів порушень процедур обробки персональних даних та вжитті відповідних заходів реагування.
Фото: Економічна правда.
