Принятый в 2010 году Закон Украины «О защите персональных данных» (далее - Закон) стал одним из наиболее обсуждаемых нововведений в украинском законодательстве за последнее время. И, пожалуй, не столько благодаря его новизне для Украины, сколько благодаря массе пробелов и неточностей, которые он содержит.
Не будет преувеличением сказать, что этот Закон вызвал очень негативную реакцию в обществе, особенно после того, как был принят Закон Украины «О внесении изменений в некоторые законодательные акты Украины об усилении ответственности за нарушение законодательства о защите персональных данных». Больше всего опасений вызывает тот факт, что достаточно серьёзная ответственность предусмотрена за нарушение закона, который изобилует неточностями и содержит массу пробелов.
Закон «О защите персональных данных» написан на основе европейского законодательства. |
В свете многочисленных предложений о внесении изменений в Закон, особый интерес вызывает ситуация с защитой персональных данных в Евросоюзе. Ведь новый Закон написан на основе европейского законодательства, и логично предположить, что Украина будет следовать примеру Евросоюза в этой сфере.
В Европе вопрос защиты персональных данных регулируется целым рядом документов, к которым относится и Европейская конвенция о защите физических лиц в связи с автоматизированной обработкой персональных данных, и целый ряд директив и резолюций Европарламента и Совета Евросоюза. При этом в каждом государстве есть и своё национальное законодательство о защите персональных данных. Однако и в Европе нет удовлетворённости уровнем защиты персональных данных, что подталкивает Европейскую Комиссию к разработке новых норм в этой области.
Так, недавно были опубликованы предложения Еврокомиссии по реформированию законодательства о защите персональных данных в Европе - Стандарты защиты персональных данных Евросоюза (Стандарты).
Стандарты направлены, прежде всего, на гармонизацию режима защиты персональных данных в Европе и предоставление потребителям возможности контролировать каким образом их персональные данные обрабатываются компаниями.
Особый акцент в Стандартах делается на предоставление гражданам большего объёма возможностей контролировать их персональные данные и на проблему пользования Интернетом детьми. Предлагается уставить, что доступ к веб-сайтам и регистрация на них, а также получение рассылок целевого маркетинга лицами моложе 18 лет требуют согласия их родителей.
Также предлагается существенно изменить подход к получению согласия лица на обработку его данных. Суть изменений заключается в отходе от существующей концепции предоставления согласия путём конклюдентных действий. По новым правилам согласие должно выражать свободное волеизъявление лица на основании исчерпывающей информации, с чётким указанием воли лица, дающего согласие.
Стандарты также предусматривают новые права для индивидуумов:
- право на полное уничтожение информации о лице на социальных сайтах без возможности их восстановления;
- право на свободное перемещение информации от одного провайдера к другому;
- право возражать против обработки персональных данных.
В этом контексте предлагается возложить на компанию обязательство по доказыванию правомерности продолжения обработки данных о лице.
|
Александр Плотников |
Особенно интересными, на наш взгляд, являются предложения относительно санкций за нарушение законодательства о защите персональных данных. Разработчики Стандартов придерживаясь позиции, что санкции должны быть эффективными, пропорциональными и упреждающими новые нарушения, предлагают установить максимальный размер санкций на уровне 2 % от мирового годового оборота компании.
Не смотря на то, что Стандарты ещё не приняты, они являются чётким индикатором современных настроений в Еврокомиссии. Исходя из основных положений Стандартов, напрашивается вывод, что чиновники Еврокомиссии серьёзно намерены заставить компании более ответственно подходить к вопросам защиты и обработки персональных данных.
В общих чертах основные предложения Стандартов сводятся к следующему:
- разработать единые правила с целью гармонизации стандартов обработки персональных данных в Европе, что позволить уменьшить административную нагрузку на бизнес и будет способствовать росту экономики;
- сделать больший акцент на персональной ответственности отдельного лица вместо упования на контролирующие органы;
- обязать компании уведомлять национальные контролирующие органы о серьёзном нарушении правил защиты персональных данных в течение 24 часов;
- установить правило, согласно которому компании будут иметь дело только с органом по защите персональных данных страны регистрации компании, в том числе и в тех случаях, когда они обрабатывают данные и за пределами Евросоюза;
Чиновники Еврокомиссии намерены заставить компании более ответственно подходить к вопросам защиты и обработки персональных данных. |
- компании с количеством работников более 250 человек, а также компании, которые осуществляют постоянный мониторинг информации о физических лицах, будут обязаны назначить независимое уполномоченное лицо по защите персональных данных;
- согласие на обработку персональных данных должно быть чётко выражено и не может предполагаться;
- любая компания, работающая на рынке Евросоюза, будет обязана соблюдать правила Евросоюза, даже если она расположена за его пределами;
- предоставить индивидуумам более широкий доступ к их персональным данным и упростить процедуру перевода данных от одного провайдера к другому;
- предоставить гражданам право «быть забытыми», то есть требовать полного уничтожения данных о них, если отсутствует законное основание на дальнейшую обработку таких данных;
- предоставить национальным уполномоченным органам по защите персональных данных право применять штрафные санкции к нарушителям в размере до 1 миллиона евро или 2% от мирового годового оборота компании;
- принять всеми членами Евросоюза новые законы о защите персональных данных при расследовании уголовных дел.
Как мы видим, некоторые из новых предложений Еврокомиссии уже нашли своё отражение в украинском Законе. В частности: требования к согласию на обработку данных; обязательство назначить отдельное лицо, ответственное за защиту персональных данных; право лица требовать уничтожения данных.
Интересно отметить, что ситуация, которая сейчас складывается в Евросоюзе, очень напоминает ситуацию в Украине. Власть стремиться установить более жёсткие правила обращения с персональными данными и вводит серьёзные санкции за нарушения. А бизнес старается найти тот необходимый минимум, который позволит выполнять основные требования законодательства, чтобы исключить возможность применения к нему жёстких санкций.
Так или иначе, учитывая тенденции в Европе, нам не следует рассчитывать на смягчение законодательства о защите персональных данных. Пора осознать, что в условиях глобализации нам не удастся остаться в стороне от европейских тенденций. Поэтому эта новая для Украины сфера регулирования будет и дальше развиваться и оставаться под пристальным надзором государства.
Александр Плотников, старший юрист АО Arzinger, адвокат.
