Революция или эволюция?
Украинское законодательство о защите персональных данных стало одним из самых обсуждаемых в прошедшем году. Закон «О защите персональных данных» вступил в силу 1 января 2011 года, был недопонят обществом, зато Украина формально выполнила свои международные обязательства. Большого интереса ко всем аспектам данного Закона не было, пока Верховная Рада не ввела отвественность за его нарушение. Это стало причиной паники среди юрлиц и физлиц-предпринимателей, которых планировалось штрафовать за невыполнение обязанности зарегистрировать базы персональных данных (далее - БПД). Учитывая напряженную ситуацию, наказание отсрочили до 1 июля 2012 года, а тема исполнения данного законодательства стала еще популярнее - потенциальные владельцы БПД поняли, что государство с ними не шутит, и принялись тщательно изучать новые нормы.
А вот в Европе такое законодательство уже давно не в новинку, ведь украинский Закон о защите персональных данных был принят именно во исполнение ратифицированной Украиной в 2010 году Конвенции Совета Европы «О защите лиц в связи с автоматизированной обработкой персональных данных». Данные правила действуют в государствах-членах СЕ уже почти три десятка лет, хотя на данный момент и в них готовятся изменения: принята директива с проектом существенных изменений в законодательство, в частности, планируется увеличить штрафы, что вызывает возмущение у бизнеса.
Нельзя сказать, что в Украине личная информация до недавнего времени вообще не имела защиты. Ведь с 1992 года действует Закон «Об информации», в котором был закреплен запрет на сбор ведомостей о лице без его согласия, право лица на ознакомление с информацией, собранной в отношении него. Однако этот Закон понимал персональную информацию весьма узко. В любом случае, новый Закон о защите персональных данных переворота не делает, ведь Личная жизнь и информация о ней защищена Гражданским кодексом также сравнительно давно. А незаконный сбор, хранение, использование и распространение конфиденциальной информации о лице без его согласия вообще являлись уголовно наказуемыми и остаются таковыми. То есть, особый режим информации о физическом лице существовал давно, но сами физлица и органы, призванные права этих лиц охранять, свыклись с мыслью о том, что есть куда более осязаемые и реальные ценности, требующие охраны. Поэтому долгое время механизм защиты действовал только в случаях распространения очень личной информации, которое наносило серьезный моральный ущерб, отмечает управляющий партнер ЮФ Cai&Lenard Константин Пильков. Новый закон «материализовал» эти данные, «впрессовал» их в базы.
«Закон «О защите персональных данных» написан так, что каждый может трактовать его как хочет. Совершенно непонятна цель его принятия, - какие персональные данные, от кого именно и каким образом следует защищать, - категорична в своих суждениях руководитель Национальной правовой палаты, адвокат Анна Самойленко. - Первые разъяснения относительно практического применения данного Закона Минюст умудрился написать спустя полтора года после его принятия - в декабре 2011 года. При этом создается ощущение, что Минюст предоставил данные разъяснения, прочитав Закон по диагонали, и толком не разобравшись, а в чем же суть дела. Разъяснения Министерства юстиции не только не помогли в практическом применении Закона, но и окончательно всех запутали. Для чего необходим Закон «О защите персональных данных», кроме того, чтобы наполнить бюджет, мне совершенно непонятно».
Спокойствие, только спокойствие!
Благодаря новому законодательству, практически любые операции с персональными данными обросли ворохом внутренней документации. На многих предприятиях вообще с удивлением узнали о том, у них обрабатываются персональные данные и существуют БПД. Для контроля за исполнением требований Закона была создана Государственная служба по вопросам защиты персональных данных, основной функцией которой на данный момент является регистрация баз. Но когда большинство БПД будет узаконено, Служба наверняка займется проверками, результатом которых будут штрафные санкции. Этого и опасаются предприниматели. Хотя проверки и штрафы не должны стать массовыми, прогнозируют юристы.
Зато массовой реализации (вплоть до злоупотребления) физлицами права на обращение в Службу с жалобой можно ожидать. Теперь практически любое лицо, к которому обращаются с требованиями или присылают уведомления, может потребовать у Службы проверить, на каком основании приславший уведомление обрабатывает данные адресата. Это может создать некоторые проблемы для компаний.
Представители бизнеса сокрушаются, но, приученные к более жестким выходкам украинских законодателей, большой трагедии в исполнении нового Закона не видят. Наименее подвержены панике компании с иностранным капиталом, которые знают о подобном законодательстве не понаслышке. «Мы считаем наличие и использование такого закона абсолютно нормальным цивилизованным явлением, которое не должно выбивать из колеи ни одну из нормально действующих компаний, - считает гендиректор рекрутинговой компании «Хадсон» Алексей Юрченко. - С нашей точки зрения, практика внедрения Закона является достаточно простой. Некую сумбурность в практику применения этого Закона внесла служба, которая занимается регистрацией персональных данных: возникли определенные нюансы, в первую очередь, с точки зрения интерпретации законодательства Украины. Первоначально Госслужба по регистрации баз данных придерживалась точки зрения, что регистрировать нужно все базы данных, которые не ведутся компаниями по требованиям законодательства. Однако последняя тенденция, когда каждая компания должна зарегистрировать базу данных своих сотрудников выглядит несколько нелепо, поскольку мы не ведем баз данных сотрудников, мы выполняем требование кадрового учета (хранение трудовых книжек, копий документов). Поэтому здесь возникает скорее вопрос трактовки и способов интерпретации данного закона конкретными исполнительными органами на территории Украины.
Алексей Юрченко |
Насколько мне известно, процедура регистрации персональных данных была достаточно сильно упрощена, и на сегодняшний день для регистрации базы данных заявку можно подать и через Интернет. Поэтому сказать, что компании сталкиваются с большим количеством объективных сложностей, - невозможно. При желании и знании этой информации процесс регистрации не является бюрократически сложным. Да, действительно, госслужбам тяжело обрабатывать большое количество заявок, однако информация подается к рассмотрению, и больших сложностей, тем не менее, я не вижу. Поэтому отсрочку санкций до 1 июля 2012 года мне тяжело назвать принципиальным вопросом.
Компании сейчас обращаются к юристам, в первую очередь, с проблемами интерпретации и практики использования существующего закона и полномочий госоргана по контролю защиты персональных данных. Поскольку четкого понимания того, что попадает под действие Закона, пока нет».
Особенности украинской регистрации БПД
Итак, как мы уже выяснили, основные трудности начинаются с регистрации базы персональных данных. Нормы Закона предусматривают, что любая совокупность упорядоченных персональных данных о физическом лице, которое идентифицировано или может быть конкретно идентифицировано, считается БПД, и каждая такая база подлежит государственной регистрации.
Зарегистрировав базу в госреестре, предприниматель становится объектом для проверок и применения финансовых санкций, как говорилось выше. Поэтому, прежде чем подавать заявление о регистрации, необходимо точно определить, есть ли у вас вообще база персональных данных. Само по себе владение персональными данными еще не значит, что вы являетесь владельцем именно базы, поскольку наличие БПД предполагает некоторые характеристики. Для этого лучше проконсультироваться с юристом-экспертом.
Предусмотрено три способа, которыми производится регистрация баз персональных данных:
1. Отправка заявления в бумажной форме по адресу Госслужбы;
2. Отправка заявления по электронной почте register@zpd.gov.ua;
3. Заполнение заявления на сайте Госсреестра баз персональных данных - rbpd.informjust.ua.
Обратите внимание: при подаче заявления по электронной почте или через сайт Госсреестра необходимо соблюсти требования законодательства об электронной цифровой подписи. Получить сертификат ключа можно в аккредитованном центре сертификации ключей.
На сайте Госслужбы Украины по вопросам защиты персональных данных размещена полезная информация |
Отметим достаточно продуктивную работу Государственной службы Украины по вопросам защиты персональных данных, которая регулярно занимается просветительськой деятельностью в данной сфере. Также на сайте Службы размещены ответы на самые популярные вопросы, примеры заполнения заявлений для регистрации баз персональных данных и прочая полезная информация.
To-do list
Допустим, база персональных данных зарегистрирована. Но этого недостаточно. Компаниям следует позаботиться о приведении своей деятельности в соответствие с законодательством - организовать взаимодействие с субъектами персональных данных, оформить отношения с распорядителями баз и т.д.
Так, на предприятиях необходимо определить структурное подразделение или ответственное лицо, организующее работу, связанную с защитой ПД при их обработке. Также компании придется раскошелиться на технические средства защиты БПД, например, антивирусные программы и т.п. Такие требования Типового порядка обработки персональных данных могут быть финансово обременительны, особенно для малого бизнеса.
Организация взаимодействия с субъектами ПД подразумевает внутреннюю оценку (аудит) использования таких данных, подготовку внутренних документов и стандартов для обработки ПД, документирование согласия на обработку ПД, кадровые назначения и организацию защиты данных, работу с запросами субъектов, уведомления, текущий контроль.
Законодатель обязал предприятия разработать собственные локальные акты и документы, детально определять их взаимоотношения с лицами, чьи данные содержатся в соответствующих базах данных. Это, в первую очередь, необходимо для избежания в дальнейшем проблем относительно незаконности обработки персональных данных физических лиц. Необходимо разработать Положение о порядке обработки и защите персональных данных, образцов стандартного согласия лица на обработку ПД и уведомлений. Для упрощения работы можно документировать согласие лица на использование ПД одновременно с уведомлением об использовании.
По мнению советника ЮФ «Василь Кисиль и Партнеры» Оксаны Войнаровской, основная проблема Закона - несогласованность требований касаемо формы некоторых документов. Так, уведомлять лицо об использовании его персональных данных необходимо в письменной форме, что является архаизмом и негативно отобразится на ведении бизнеса. В то же время, согласие на обработку данных можно получить и в электронной форме. Алогично, но факт.
Юридическая помощь
Правоприменительных проблем по БПД возникает множество, и не всякая компания справится с ними без посторонней помощи. Возникает необходимость прибегнуть к помощи юристов «со стороны». В связи с реализацией законодательства о защите персональных данных на юррынке появляются новые услуги - юридические консультации касаемо обработки ПД, ведение судебных дел касаемо защиты ПД и т.п.
К юристам часто обращаются с вопросами по разработке собственных локальных актов и документов компании: положения о порядке обработки персональных данных в соответствующей базе, согласие на обработку персональных данных, уведомления лиц о включении их персональных данных в соответствующую базу. Интересует предприятия и вопрос, что необходимо указывать в договорах, чтобы избежать ответственности относительно использования персональных данных.
Необходимо определить структурное подразделение, которое будет осуществлять организацию работы по защите персональных данных |
В связи с этим, в первую очередь предприятиям необходимо обязательно определить структурное подразделение или ответственное лицо, которое будет осуществлять организацию работы на предприятии, связанную с защитой персональных данных при их обработке, рекомендует юрист ПГ «Доминион» Юлия Розуменко. На такое лицо или подразделение возлагается обязанность организовать регистрацию БПД, обработку данных, сбор, накопление, хранение, адаптирование, изменение, обновление, использование, распространение, уничтожение сведений о физическом лице. «Это, в свою очередь, позволит уменьшить число лиц, которые будут иметь доступ к персональным данным на предприятии, что будет способствовать лучшей защищенности персональных данных и сведет к минимуму возможность незаконной передачи таких данных». Такое лицо или подразделение назначается, как правило, приказом, о чем уведомляются все работники.
Ведущий юрист ЮФ «Василь Кисиль и Партнеры», адвокат Владислав Подоляк рекомендует такие функции возложить на IT-отдел или кадровую службу.
На практике возможно будут возникать вопросы по поводу организации структурных подразделений, которые будут осуществлять организацию работы, связанной с защитой персональных данных, прежде всего, на крупных предприятиях, уточняет Ю.Розуменко. Необходимо будет создавать соответствующие положения (инструкции) о порядке их деятельности. Кроме этого, необходимо будет предусмотреть порядок взаимодействия такого подразделения с другими структурными подразделениями (отделами) на предприятии. Это, в свою очередь, добавит работы такому предприятию, а именно, необходимо будет дорабатывать положения (инструкции) существующих подразделений (отдел), которые будут сотрудничать с подразделением, которое будет осуществлять организацию работы на предприятии, связанную с защитой персональных данных при их обработке.
Итак, в ближайшем времени бизнесу предстоит заняться бумажной работой - разрабатывать внутреннюю документацию, типовые договорные положения и т.п. Учитывая неоднозначность и широкие трактования Закона о защите персональных данных, работы станет больше и у юристов. Рекомендуем компаниям внимательно отнестись к выбору юридических советников в таком важном вопросе.
Одной из тем прошедшего месяца на портале ЮРЛИГА было законодательство о защите персональных данных. Мы рассказали, как организовать защиту персональных данных на предприятии, выяснили, что Закон о защите персональных данных переворота не делает.
Гостями нашей постоянной рубрики «1 Х 1» стали зампредседателя Государственной службы Украины по вопросам защиты персональных данных и управляющий партнер юрфирмы - с их диалогом можна ознакомиться в интервью «Проблемы регистрации баз персональных данных в Украине».
Также ЮРЛИГА собрала специалистов по защите персональных данных на круглый стол. Кроме того, видеокомментарии юристов по данной теме можно увидеть в разделе ЮРTV.