В фокусе диалога экспертов - вопросы регистрации баз персональных данных в Украине. Как повлияет отсрочка санкций на ситуацию с выполнением норм Закона? Какие предприятия игнорируют регистрацию баз персональных данных? Какова цель проверок органов по защите персональных данных? Готово ли украинское общество к реализации данного Закона? Ответы на эти и многие другие актуальные вопросы читайте в свежем материале ЮРЛИГИ.
Владимир Козак и Дмитрий Йовдий |
Коллеги, поддерживаете ли Вы недавнюю отсрочку применения санкций за нарушение норм о защите персональных данных? С чем она была связана и решит ли накопившиеся проблемы?
Владимир Козак: Полагаю, что данная отсрочка сможет решить лишь некоторые вопросы, а некоторые проблемы лишь «законсервирует». В связи с тем, что с 1 января в Украине должны были вводиться санкции, на протяжение декабря 2011 г. к нам в Службу поступило немыслимое количество заявок на регистрацию баз персональных данных, что превысило все возможные ресурсы по их обработке. Боясь штрафов, к нам приходили даже частные предприниматели, которые вовсе не обрабатывают персональные данные. В виду большой загрузки Службы по приему заявлений, большому количеству нареканий со стороны бизнеса, Парламентом были приняты изменения в Закон по отсрочке санкций.
Отсрочка может дать возможность внести в наш Закон нужные коррективы. Ведь в отличие от Директивы Европейского Союза, в нем нет исключений из необходимости регистрировать базы персональных данных. То есть обязательной регистрации подлежат абсолютно все базы персональных данных в Украине. Между тем, такие исключения в некоторых странах достигают 80-ти и более процентов баз или процессов обработки данных. Мало того, Конвенция, на основании которой был принят наш Закон, датируется 1981 годом. В ближайшей перспективе и Конвенция и Директива будут модернизироваться, вследствие чего проблема регистрации баз персональных данных будет снята.
Однако в решении некоторых вопросов отсрочка не поможет. Наш годичный опыт показал, что существуют организации, которые не то что не готовы внедрять требования законодательства, они их открыто игнорируют. Отсутствие санкции позволит им еще год игнорировать требования, внедряющие европейские стандарты обработки персональных данных.
Владимир, какие типы предприятий, как правило, игнорируют регистрацию?
Владимир Козак: В основном это предприятия, которые предоставляют массовые услуги. Также это предприятия, которые передают данные о своих клиентах коллекторским компаниям. При чем передача данных осуществляется по никому неизвестной формуле. Ведь не могут же быть положения договора о передаче персональных данных коммерческой тайной. Закон требует открытости процессов обработки персональных данных.
«Годичный опыт показал, что существуют организации, которые не то что не готовы внедрять требования законодательства, они их открыто игнорируют» |
Дмитрий, готово ли сегодня украинское общество отвечать по санкциям упомянутого Закона?
Дмитрий Йовдий: Я считаю, что на сегодняшний день в целом украинское общество не готово полноценно выполнять требования этого Закона. Безусловно, Закон нужно имплементировать и реализовывать. Но вспомним о том, что даже наш Северный сосед - Российская Федерация потратила 4 года на полную имплементацию соответствующего законодательства. У нас же с момента принятия Закона прошло 1,5 года, однако этого маловато.
Между тем, говорить об отсрочке, как о свершившемся факте, пока рано. Ведь Президент может не подписать изменения в Закон, ввиду грядущего Евро-2012, поскольку это может значительно усложнить передачу персональных данных между странами.
Если все-таки Закон будет подписан, что это даст?
Дмитрий Йовдий: Конечно, частично это может снять какое-то напряжение в обществе, разговоры о коррупционных мотивах данного Закона могут на время прекратиться. Но, как правильно заметил Владимир Федорович, отсрочка Закона также позволит некоторым предприятиям продолжить игнорировать важные нормы. Ведь именно риск привлечения к ответственности за нарушение закона заставил предпринимателей всерьез задуматься над необходимостью его выполнения.
По большому счету, отсрочка санкций ситуацию не меняет. Во-первых, ответственность за неправомерную обработку персональных данных предусмотрена и в действующем Уголовном кодексе. И новый Закон об ответственности лишь дополняет и конкретизирует эту ответственность. Во-вторых, на данный момент еще не утвержден Порядок осуществления контроля за соблюдением Закона о защите персональных данных (то есть, нет даже механизма составления протоколов об административных нарушениях) . По моему мнению, предприятиям сейчас стоит больше опасаться не штрафов, а граждан - субъектов персональных данных, которые могут предъявить к ним соответствующую претензию в случае неправомерного использования их персональных данных.
С какими вопросами относительно регистрации баз персональных данных чаще всего обращаются сегодня граждане за консультацией?
Дмитрий Йовдий: Начнем с того, что существует обоснованное и ключевое положение Закона об обработке персональных данных человека лишь с его согласия, которое должно быть документированным. Поэтому наиболее часто предпринимателей интересует вопрос: каким образом взять согласие у лица, чтобы при этом максимально сэкономить ресурсы предприятия и полноценно выполнить требование закона. Много вопросов вызывает толкование формы документирования такого согласия. В соответствии с Порядком обработки персональных данных, утвержденных Минюстом, уже существуют более-менее понятные заключения о том, что даже галочка в поле «согласен» будет считаться задокументированным согласием.
Также предприятиями поднимается вопрос о том, как хранить персональные данные - в электронном, либо все-таки в распечатанном виде. Ведь даже судебная практика еще не дала однозначного ответа на вопрос - признаются ли документы в электронном виде доказательствами по делу. Закон конечно же не сможет дать исчерпывающего ответа на все эти вопросы, поэтому надеюсь, что первая судебная практика расставит все по своим местам.
Владимир Козак: В ходе разработки Типового порядка мы обосновали формы документирования согласия, которые существуют и в других странах. Базовая концепция заключается в том, что организация, которая взяла согласие, заинтересована доказать, что такое согласие имело место. Это должна быть строго документированная процедура. К тому же в информационной системе целесообразно осуществлять регистрацию сведений о предоставлении согласий на обработку персональных данных и обеспечивать целостность таких сведений при хранении. У нас в стране действует Закон «Об электронных документах и электронном документообороте», который позволяет хранить такие сведения в форме электронных документов и иметь необходимые доказательства о даче согласия.
Однако все, увлекшись регистрацией баз персональных данных, забыли еще об одном важном вопросе. Для бизнеса, который обрабатывает базы персональных данных, самый сложный вопрос заключается в передаче этих данных между разными субъектами хозяйствования. Например, в Украине функционируют представительства международных корпораций, где персональные данные каждого работника обрабатываются в материнской компании за границей. Как это урегулировано контрактными обязательствами?
Также хотелось бы затронуть часто встречающийся сегодня вопрос по поводу возможных проверок. Почему-то в нашем обществе принято полагать, что цель любой проверки - это обязательно штраф. Однако по международному опыту цель проверок органов защиты персональных данных - не обязательно штраф. Наша главная цель заключается в сотрудничестве с менеджментом предприятий, чтобы разобраться в рисках защищенности персональных данных, дать рекомендации или предписания и добиться устранения нарушений. И только игнорирование предписаний об устранении нарушений Закона, в таком случае, приведет к применению санкций.
Опыт проверок в Украине, которых мы уже провели около десятка, показал, что все они прошли в духе сотрудничества. Мы также многому научились, ведь обработка персональных данных в разных сферах может приобретать разные варианты. Собирать штрафы - это не наша политика, она не приведет нас к конечной цели. Наша цель - сделать так, чтобы обеспечить защиту прав граждан, предусмотренных Законом, и конечно же, чтобы в обозримом будущем уровень защиты персональных данных был признан равнозначным уровню принятом в Европейском сообществе.
«Предприятиям сейчас стоит больше опасаться не штрафов, а граждан - субъектов персональных данных, которые могут предъявить к ним соответствующую претензию в случае неправомерного использования их персональных данных» |
Что на Ваш взгляд нужно уже изменить в действующем Законе?
Владимир Козак: Как я уже говорил, один важный момент в законе упущен. Наш Закон предполагает, что должны быть зарегистрированы абсолютно все базы персональных данных. Мы в свое время пытались перенести время регистрации групп баз с наименьшими рисками на более поздний срок. Ведь нельзя зарегистрировать все базы за полгода. Между тем, законы многих стран разделяют базы, которые нужно регистрировать и базы, об обработке персональных данных в которых нужно лишь оглашать. К примеру, библиотеки, во многих странах, не обязаны регистрировать базы данных, поскольку и так понятно, какие данные и для каких целей ими обрабатываются. У нас нет такой нормы, и это как раз и привело к тому, что количество заявлений превысило все допустимые границы.
Считаю, что нам также необходимо время, чтобы бизнес понял свою ответственность и постепенно, шаг за шагом, открыто заявил о своих процессах обработки персональных данных. Сегодня, если, например, пробежаться по сайтам представительств иностранных компаний - резидентов Украины, то можно увидеть, что персональные данные на вебсайтах таких компаний обрабатываются уже даже с реализацией требований украинского законодательства. На сайтах украинских компаний соответствующей информации о том, кто и зачем собирает персональные данные о посетителях сайта, каким образом они используются, каким образом посетители сайта могут обеспечивать защиту предоставленных Законом прав до сих пор нет.
Дмитрий Йовдий: Моя позиция относительно регистрации баз персональных данных более категорична. Считаю, что существование реестра баз персональных данных нецелесообразно в целом (хотя это и есть требование Евродирективы). Ведь основная цель такого реестра - дать ответ, кто обрабатывает персональные данные, и где можно найти такого «обработчика». Развитие информационных технологий на сегодняшний день дошло до такого уровня, когда в сети Интернет про любое предприятие можно прочитать любую идентифицирующую информацию. Более того, регистрация баз персональных данных в Украине носит настолько формализированный характер, что в результате мы получаем реестр, который по своей сути лишь дублирует другие реестры, которые уже существуют в Украине. И вместо того, чтобы уполномоченный орган занимался реализацией государственной политики по защите персональных данных, на 90% он занимается лишь этой бюрократической процедурой.
Что касается других положений действующего Закона, однозначно подлежит исключению норма о необходимости уведомления лица о включении его данных в базу, так как обработка персональных данных и так является возможной только после получения согласия лица, и совершенно нет смысла делать повторное уведомление.
Кроме того, Законом необходимо определить разные режимы защиты для «уязвимых» и «идентифицирующих» персональных данных. Ведь намного больше вреда можно причинить ненадлежащим использованием информации, к примеру, о болезни человека, чем его идентифицирующих данных.
В Законе также должна появиться норма, которая содержится в Евродирективе 1995 года. В соответствии с этой нормой не требует согласия обработка персональных данных лица с целью заключения либо выполнения договора с таким лицом. В действующем Законе такого исключения нет, в результате чего, к примеру, даже для выполнения обычного рядового заказа товара через интернет-магазин, компания-продавец должна получить документированное согласие потребителя на это.
«Собирать штрафы - это не наша политика, она не приведет нас к конечной цели» |
Как Вы полагаете, готова ли Служба к тому объему работы, который отведен ей Законом? Удобно ли практикующим юристам сегодня сотрудничать с данным уполномоченным органом?
Владимир Козак: Вся корреспонденция, которая к нам приходит, делится на три части. Первая - это заявления о регистрации. С ними мы не справляемся. Мы может обработать лишь незначительную долю таких заявлений. Выходом из данной ситуации может послужить лишь изменение в законодательстве, которое поможет все это разобрать и навести порядок.
Второй момент - это письма с запросами о разъяснениях норм Закона о защите персональных данных. С этими обращениями мы с трудом, но справляемся и отвечаем соответствующими рекомендациями. Мы проводим и активно участвуем в любых мероприятиях, на которых можно обсуждать практические методы реализации требований Закона. Уверен, что таких обращений со временем станет меньше, когда уровень осведомленности общества возрастет, когда Закон будет восприниматься как понятный и выполнение требований Закона станет нормой.
И последнее, что мы обязаны рассматривать - это жалобы граждан. Их пока что не так много, но они требуют серьезной работы.
Дмитрий Йовдий. Считаю, что Служба пока что еще не готова полноценно противодействовать уже явным нарушениям закона. К примеру, существует одно известное театральное агентство, которое реально уже всех «достало». Оно распространяет билеты на концерты, в театр и кино, при этом его сотрудники нагло и беспринципно звонят на один и тот же телефон, даже когда их просишь прекратить это дело. Человек может на такие конторы написать жалобу в Службу, которая обязана его рассмотреть и принять определенные меры. Но в связи с тем, что на сегодняшний день не существует порядка проведения таких проверок, соответственно, нет и механизма, с помощью которого можно повлиять на недобросовестных нарушителей. Ведь результаты любой такой проверки могут быть обжалованы в суде. Иными словами, происходит процесс становления.
Беседу вел Сергей Саченко, главный редактор портала ЮРЛИГА