У фокусі діалогу експертів - питання реєстрації баз персональних даних в Україні. Як вплине відстрочення санкцій на ситуацію з виконанням норм Закону? Які підприємства ігнорують реєстрацію баз персональних даних? Яка мета перевірок органів по захисту персональних даних? Чи готове українське суспільство до реалізації цього Закону? Відповіді на ці і багато інших актуальних питань читайте у свіжому матеріалі ЮРЛИГИ.
|
Володимир Козак і Дмитро Йовдий |
Колеги, чи підтримуєте Ви недавнє відстрочення застосування санкцій за порушення норм про захист персональних даних? З чим вона була пов'язана і чи вирішить проблеми, що накопичилися?
Володимир Козак: Вважаю, що це відстрочення зможе вирішити лише деякі питання, а деякі проблеми лише "законсервує". У зв'язку з тим, що з 1 січня в Україні повинні були вводитися санкції, на протяг грудня 2011 р. до нас в Службу поступила немислима кількість заявок на реєстрацію баз персональних даних, що перевищило усі можливі ресурси по їх обробці. Боячись штрафів, до нас приходили навіть приватні підприємці, які зовсім не обробляють персональні дані. З причини великого завантаження Служби по прийому заяв, великій кількості нарікань з боку бізнесу, Парламентом були прийняті зміни до Закону по відстроченню санкцій.
Відстрочення може дати можливість внести в наш Закон потрібні корективи. Адже на відміну від Директиви Європейського Союзу, в нім немає виключень з необхідності реєструвати бази персональних даних. Тобто обов'язковій реєстрації підлягають абсолютно усі бази персональних даних в Україні. Між тим, такі виключення в деяких країнах досягають 80-ти і більше відсотків баз або процесів обробки даних. Мало того, Конвенція, на підставі якої був ухвалений наш Закон, датується 1981 роком. У найближчій перспективі і Конвенція і Директива модернізуватимуться, внаслідок чого проблема реєстрації баз персональних даних буде знята.
Проте у вирішенні деяких питань відстрочення не допоможе. Наш річний досвід показав, що існують організації, які не те що не готові впроваджувати вимоги законодавства, вони їх відкрито ігнорують. Відсутність санкції дозволить їм ще рік ігнорувати вимоги, впроваджувальні європейські стандарти обробки персональних даних.
Владимир, які типи підприємств, як правило, ігнорують реєстрацію?
Володимир Козак: В основному це підприємства, які надають масові послуги. Також це підприємства, які передають дані про своїх клієнтів колекторним компаніям. При чому передача даних здійснюється по нікому невідомій формулі. Адже не можуть же бути положення договору про передачу персональних даних комерційною таємницею. Закон вимагає відкритості процесів обробки персональних даних.
"Річний досвід показав, що існують організації, які не те що не готові впроваджувати вимоги законодавства, вони їх відкрито ігнорують" |
Дмитро, чи готове сьогодні українське суспільство відповідати по санкціях згаданого Закону?
Дмитро Йовдий: Я вважаю, що на сьогодні в цілому українське суспільство не готове повноцінно виконувати вимоги цього Закону. Безумовно, Закон треба імплементувати і реалізовувати. Але згадаємо про те, що навіть наш Північний сусід - Російська Федерація витратила 4 року на повну імплементацію відповідного законодавства. У нас же з моменту ухвалення Закону пройшло 1,5 року, проте цього замало.
Між тим, говорити про відстрочення, як про факт, що відбувся, поки рано. Адже Президент може не підписати зміни до Закону, зважаючи на прийдешнє Євро-2012, оскільки це може значно ускладнити передачу персональних даних між країнами.
Якщо все-таки Закон буде підписаний, що це дасть?
Дмитро Йовдий: Звичайно, частково це може зняти якусь напругу в суспільстві, розмови про корупційні мотиви цього Закону можуть на якийсь час припинитися. Але, як правильно помітив Володимир Федорович, відстрочення Закону також дозволить деяким підприємствам продовжити ігнорувати важливі норми. Адже саме ризик притягнення до відповідальності за порушення закону змусив підприємців серйозно замислитися над необхідністю його виконання.
За великим рахунком, відстрочення санкцій ситуацію не міняє. По-перше, відповідальність за неправомірну обробку персональних даних передбачена і в діючому Карному кодексі. І новий Закон про відповідальність лише доповнює і конкретизує цю відповідальність. По-друге, на даний момент ще не затверджений Порядок здійснення контролю за дотриманням Закону про захист персональних даних (тобто, немає навіть механізму складання протоколів про адміністративні порушення) . На мою думку, підприємствам зараз варто більше побоюватися не штрафів, а громадян - суб'єктів персональних даних, які можуть пред'явити до них відповідну претензію у разі неправомірного використання їх персональних даних.
З якими питаннями відносно реєстрації баз персональних даних найчастіше звертаються сьогодні громадяни за консультацією?
Дмитро Йовдий : Почнемо з того, що існує обгрунтоване і ключове положення Закону про обробку персональних даних людини лише з його згоди, яка має бути документованою. Тому найчастіше підприємців цікавить питання: яким чином узяти згоду у особи, щоб при цьому максимально заощадити ресурси підприємства і повноцінно виконати вимогу закону. Багато питань викликає тлумачення форми документування такої згоди. Відповідно до Порядку обробки персональних даних, затверджених Мінюстом, вже існують більш-менш зрозумілі укладення про те, що навіть галочка в полі "згоден" буде вважатися задокументованою згодою.
Також підприємствами піднімається питання про те, як зберігати персональні дані - в електронному, або все-таки в роздрукованому виді. Адже навіть судова практика ще не дала однозначної відповіді на питання - чи признаються документи в електронному вигляді доказами у справі. Закон звичайно ж не зможе дати вичерпної відповіді на усі ці питання, тому сподіваюся, що перша судова практика розставить усе по своїх місцях.
Володимир Козак : В ході розробки Типового порядку ми обгрунтували форми документування згоди, які існують і в інших країнах. Базова концепція полягає в тому, що організація, яка узяла згоду, зацікавлена довести, що таке згода мала місце. Це має бути строго документована процедура. До того ж в інформаційній системі доцільно здійснювати реєстрацію відомостей про надання согласий на обробку персональних даних і забезпечувати цілісність таких відомостей при зберіганні. У нас в країні діє Закон "Про електронні документи і електронний документообіг", який дозволяє зберігати такі відомості у формі електронних документів і мати необхідні докази про дачу згоди.
Проте усі, захопившись реєстрацією баз персональних даних, забули ще про одне важливе питання. Для бізнесу, який обробляє бази персональних даних, найскладніше питання полягає в передачі цих даних між різними суб'єктами господарювання. Наприклад, в Україні функціонують представництва міжнародних корпорацій, де персональні дані кожного працівника обробляються в материнській компанії за кордоном. Як це врегульовано контрактними зобов'язаннями?
Також хотілося б порушити питання, що часто зустрічається сьогодні, з приводу можливих перевірок. Чомусь в нашому суспільстві прийнято вважати, що мета будь-якої перевірки - це обов'язково штраф. Проте по міжнародному досвіду мета перевірок органів захисту персональних даних - не обов'язково штраф. Наша головна мета полягає в співпраці з менеджментом підприємств, щоб розібратися в рисках захищеності персональних даних, дати рекомендації або приписи і добитися усунення порушень. І тільки ігнорування приписів про усунення порушень Закону, у такому разі, приведе до застосування санкцій.
Досвід перевірок в Україні, яких ми вже провели близько десятка, показав, що усі вони пройшли у дусі співпраці. Ми також багато чому навчилися, адже обробка персональних даних в різних сферах може придбавати різні варіанти. Збирати штрафи - це не наша політика, вона не приведе нас до кінцевої мети. Наша мета - зробити так, щоб забезпечити захист прав громадян, передбачених Законом, і звичайно ж, щоб в осяжному майбутньому рівень захисту персональних даних був визнаний рівнозначним рівню прийнятому в Європейській спільноті.
"Підприємствам зараз варто більше побоюватися не штрафів, а громадян - суб'єктів персональних даних, які можуть пред'явити до них відповідну претензію у разі неправомірного використання їх персональних даних" |
Що на Ваш погляд треба вже змінити в чинному Законі?
Володимир Козак : Як я вже говорив, один важливий момент в законі упущений. Наш Закон припускає, що мають бути зареєстровані абсолютно усі бази персональних даних. Ми свого часу намагалися перенести час реєстрації груп баз з найменшими рисками на пізніший термін. Адже не можна зареєструвати усі бази за півроку. Між тим, закони багатьох країн розділяють бази, які треба реєструвати і бази, про обробку персональних даних в яких треба лише оголошувати. Приміром, бібліотеки, у багатьох країнах, не зобов'язані реєструвати бази даних, оскільки і так зрозуміло, які дані і для яких цілей ними обробляються. У нас немає такої норми, і це якраз і привело до того, що кількість заяв перевищила усі допустимі межі.
Вважаю, що нам також потрібний час, щоб бізнес зрозумів свою відповідальність і поступово, крок за кроком, відкрито заявив про свої процеси обробки персональних даних. Сьогодні, якщо, наприклад, пробігтися по сайтах представництв іноземних компаній - резидентів України, то можна побачити, що персональні дані на вебсайтах таких компаній обробляються вже навіть з реалізацією вимог українського законодавства. На сайтах українських компаній відповідної інформації про того, хто і навіщо збирає персональні дані про відвідувачів сайту, яким чином вони використовуються, яким чином відвідувачі сайту можуть забезпечувати захист наданих Законом прав досі немає.
Дмитро Йовдий : Моя позиція відносно реєстрації баз персональних даних категоричніша. Вважаю, що існування реєстру баз персональних даних недоцільно в цілому (хоча це і є вимога Євродирективи). Адже основна мета такого реєстру - дати відповідь, хто обробляє персональні дані, і де можна знайти такого "обробника". Розвиток інформаційних технологій на сьогодні дійшов до такого рівня, коли в мережі Інтернет про будь-яке підприємство можна прочитати будь-яку ідентифікуючу інформацію. Більше того, реєстрація баз персональних даних в Україні носить настільки формалізований характер, що в результаті ми отримуємо реєстр, який за своєю суттю лише дублює інші реєстри, які вже існують в Україні. І замість того, щоб уповноважений орган займався реалізацією державної політики по захисту персональних даних, на 90% він займається лише цією бюрократичною процедурою.
Що стосується інших положень чинного Закону, однозначно підлягає виключенню норма про необхідність повідомлення особи про включення його даних у базу, оскільки обробка персональних даних і так є можливою тільки після отримання згоди особи, і абсолютно немає сенсу робити повторне повідомлення.
Крім того, Законом необхідно визначити різні режими захисту для "уразливих" і "ідентифікуючих" персональних даних. Адже набагато більше шкоди можна завдати неналежним використанням інформації, приміром, про хворобу людини, чим його ідентифікуючих даних.
У Законі також повинна з'явитися норма, яка міститься в Євродирективі 1995 року. Відповідно до цієї норми не вимагає згоди обробка персональних даних особи з метою укладення або виконання договору з такою особою. У чинному Законі такого виключення немає, внаслідок чого, приміром, навіть для виконання звичайного рядового замовлення товару через інтернет-магазин, компанія-продавець повинна отримати документовану згоду споживача на це.
"Збирати штрафи - це не наша політика, вона не приведе нас до кінцевої мети" |
Як Ви вважаєте, чи готова Служба до того об'єму роботи, який відведений їй Законом? Чи зручно практикуючим юристам сьогодні співпрацювати з цим уповноваженим органом?
Володимир Козак: Уся кореспонденція, яка до нас приходить, ділиться на три частини. Перша - це заяви про реєстрацію. З ними ми не справляємося. Ми може обробити лише незначну долю таких заяв. Виходом з цієї ситуації може послужити лише зміна в законодавстві, яке допоможе усе це розібрати і навести лад.
Другий момент - це листи із запитами про роз'яснення норм Закону про захист персональних даних. З цими зверненнями ми важко, але справляємося і відповідаємо відповідними рекомендаціями. Ми проводимо і активно беремо участь у будь-яких заходах, на яких можна обговорювати практичні методи реалізації вимог Закону. Упевнений, що таких звернень з часом стане менше, коли рівень обізнаності суспільства зросте, коли Закон сприйматиметься як зрозумілий і виконання вимог Закону стане нормою.
І останнє, що ми зобов'язані розглядати - це скарги громадян. Їх поки що не так багато, але вони вимагають серйозної роботи.
Дмитро Йовдий. Вважаю, що Служба поки що ще не готова повноцінно протидіяти вже явним порушенням закону. Приміром, існує одно відоме театральне агентство, яке реальне вже усіх "дістало". Воно поширює квитки на концерти, в театр і кіно, при цьому його співробітники нахабно і безпринципно дзвонять на один і той же телефон, навіть коли їх просиш припинити цю справу. Людина може на такі контори написати скаргу в Службу, яка зобов'язана його розглянути і вжити певні заходи. Але у зв'язку з тим, що на сьогодні не існує порядку проведення таких перевірок, відповідно, немає і механізму, за допомогою якого можна вплинути на недобросовісних порушників. Адже результати будь-якої такої перевірки можуть бути оскаржені в суді. Іншими словами, відбувається процес становлення.
Бесіду вів Сергій Саченкоголовний редактор порталу ЮРЛИГА
