Головна Аналітика Защита персональных данных - практика первого года

Защита персональных данных - практика первого года
Неділя, 01 квітня 2012, 07:13

Защита персональных данных - практика первого годаУже более года действует Закон Украины "О защите персональных данных" (далее - Закон), вступивший в силу 1 января 2011-го. Внимание к этому Закону прежде проявили хорошие юристы, журналисты и компании, которые в ходе осуществления своей деятельности массово используют персональные данные своих клиентов. Вместе с тем интерес к нему особенно усилился накануне нового года, когда вступил в силу Закон Украины "О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных" (далее - Закон № 3454-VI). Правда, на сегодня Закон № 3454-VI "опять" не действует, поскольку произошли "отсрочки" даты вступления в силу. Несмотря на такие отсрочки ответственности, принятие законодательства в сфере защиты персональных данных вызвало среди общественности и деловых кругов значительный интерес.

Многие восприняли закон как обременительный, поскольку он возлагает прежде всего на юридические лица ряд дополнительных обязанностей в сфере информационных отношений. Таких, например, как необходимость регистрации баз персональных данных и выполнения обязательств по получению согласия физических лиц на обработку их персональных данных. Некоторые специалисты считают, что отдельные положения Закона, прежде всего понятие "персональные данные" и "субъект персональных данных", непонятны. Кроме того, практическая реализация отдельных норм требует официальных разъяснений со стороны государственных органов.

Но несмотря на то, на наш взгляд, указанный Закон является еще одним важным шагом Украины к стандартам ЕС в сфере защиты прав человека. Право на защиту персональных данных вытекает из права человека на уважение его личной и семейной жизни, закрепленного в ст. 8 Европейской конвенции о защите прав человека и основных свобод 1950 года (ратифицирована Украиной в 1997 году). Кроме того, в европейских государствах еще с 1981 года действует Конвенция о защите лиц в связи с автоматизированной обработкой персональных данных, которая вступила в силу для Украины лишь в январе прошлого года.

Нам известны отдельные случаи, когда защита персональных данных является требованием не только закона, но и иностранных контрагентов, которые заказывают услуги в украинских провайдеров, прежде ИТ сектора. К тому же, некоторые компании публично информируют о регистрации своих баз данных в качестве еще одного доказательства прозрачности своей деятельности и надежной защиты частной информации, которую им доверили их клиенты.

Практика не только Европы, но и стран Северной и Южной Америки убедительно свидетельствует, что законодательство о защите персональных данных постепенно вливается в рамки национального и международного законодательства и приобретает практики применения. Итак, мы не можем оставить без внимания принятия указанного Закона, а также Закона "О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных", который в очередной раз вступает в силу 1 июля 2012 года, и прокомментируем основные их положения .

Коротко о штрафах

С 1 июля нынешнего года каждое физическое лицо-предприниматель или руководитель компании, которая использует незарегистрированную базу персональных данных, рискует заплатить штраф в размере от 8500 до 17000 гривен. Штраф "за уклонение от регистрации баз данных" накладывает местный общий суд (районный, районный в городе или городской суд) на основании протокола об административном правонарушении, составленного работниками Государственной службы Украины по вопросам защиты персональных данных (далее - Госслужба). Кроме того, после регистрации базы данных следует регулярно отслеживать, не изменилась информация, которая содержалась в поданном Госслужбе заявлении о регистрации базы персональных данных. К Госслужбе необходимо подавать обновленные данные в течение 10 рабочих дней (в форме стандартного заявления). Например, может измениться название компании, ее местонахождение, местонахождение базы данных или компания привлечет внешнюю компанию, которая будет обслуживать базу данных или обработку данных как распорядитель базы (это может быть ИТ компания, маркетинговая компания, ассистанс-компания и т.д.). При невыполнении требования об обновлении данных - ФЛП или руководитель компании рискуют заплатить штраф в размере от 3400 до 6800 гривен.

Законодательство также предусматривает штрафы за другие нарушения в сфере защиты персональных данных (несообщение субъектов персональных данных об их правах; непринятие мер защиты, что повлекло незаконный доступ к базе данных; невыполнение требований Госслужбы).

Регистрация базы данных

 Одним из требований закона является требование к владельца базы персональных данных - зарегистрировать базу персональных данных. Регистрация баз данных проводится Госслужбой бесплатно на основе заполненного компанией заявления. Форма заявления о регистрации базы официально утвержденная приказом Министерства юстиции Украины. Заполнить и подать ее в Госслужбу можно тремя способами: непосредственно в Госслужбу в бумажном формате, отправив электронное письмо на адрес register @zpd.gov.ua (если компания имеет электронную цифровую подпись) и заполнив заявление на странице https://rbpd.informjust.ua (если компания не имеет электронной цифровой подписи).

Однако регистрация базы персональных данных - это, скажем, промежуточный этап в реализации целого комплекса мероприятий по организации защиты персональных данных в рамках компании. И вот почему. Ознакомившись с текстом стандартного заявления о регистрации, становится очевидным, что для и к ее подготовке необходимо решить ряд первоочередных вопросов. В частности, проанализировать, какие категории данных вообще используются компанией (например, анкетные и финансовые данные работников; анкетные, паспортные, биографические, семейные данные о потребителях; тестовые и другие результаты кандидатов на должность, сведения об имущественном состоянии и истории покупок клиентов или любые другие) и какова цель обработки соответствующих категорий данных и в соответствии с требованиями ч. 1 ст. 6 Закона закрепить эту цель (или несколько сегментов цели) во внутреннем документе-приказе, а еще лучше, во внутреннем комплексном локальном акте "Положении о порядке обработки и защиты персональных данных". Также следует определить, имеет ли любой аутсорсинговый провайдер услуг или другой деловой партнер доступ к указанным данным для их обработки в интересах самой компании, поскольку такой субъект будет считаться распорядителем базы данных. Заключить с таким распорядителем базы данных письменный договор о цели и условиях обработки и защиты персональных данных или внести соответствующие изменения в существующий договор об услугах.

Сколько баз персональных данных должны иметь компании?

21 ноября 2011 Госслужба разместила на своем официальном сайте (http://www.zpd.gov.ua/) отдельные комментарии к Закону Украины "О защите персональных данных". По мнению Госслужбы, каждая компания является владельцем по крайней мере двух баз персональных данных: базы персональных данных работников (компания ведет эту базу с целью обеспечения требований трудового законодательства, реализации налоговых отношений и отношений в сфере бухгалтерского учета и аудита) и базы персональных данных клиентов и других лиц (компания обрабатывает эти данные в ходе своей хозяйственной деятельности). Более того, Госслужба подчеркивает, что упомянутый закон не содержит исключений и обязанность регистрировать базу распространяется на всех. Иными словами, практически каждая компания теперь должна зарегистрировать в Госслужбе, по крайней мере, две базы персональных данных - своих работников и собственных частных клиентов.

Ведение базы персональных данных клиентов и других лиц особенно актуально для банков, ломбардов, страховых компаний, магазинов, клубов досуга, гостиниц, ресторанов, медицинских учреждений, учебных заведений, туристических и кадровых агентств и других компаний в формате "В2С". Кроме того, есть ряд компаний, которые сотрудничают с физическими лицами-предпринимателями, на которых также распространяются гарантии Закона. Именно для руководителей этих компаний данная информация имеет первостепенное значение.

Выполнение других требований Закона

Во многих публикациях и информационных сообщениях о защите персональных данных наибольший акцент сделан на регистрации баз персональных данных. Тем не менее, мы убеждены, что регистрация баз данных - это достаточно незначительная часть в общем объеме работ, связанных с выполнением требований Закона. Наряду с действиями по регистрации базы персональных данных владелец базы должен: назначить лицо, ответственное за защиту персональных данных в компании, как это требует ч. 5 ст. 24 Закона; отобрать согласие у субъектов персональных данных, данные использует владелец (по предписаниям ч. 6 ст. 6 Закона), при этом рекомендуем тщательно разработать стандартный текст такого соглашения, который бы максимально отвечал интересам компании по цели и способах обработки персональных данных; письменно уведомить субъектов персональных данных об их правах, определенных ст. 8 Закона, о цели сбора данных и о лицах, которым передаются его персональные данные. Уведомление может быть проблематичным, если база данных ведется по большому количеству лиц (клиентов, абонентов, потребителей, респондентов и т.д.). Иногда практически невозможно его осуществить, например, если лицо сообщило определенные персональные данные через электронную почту, но при этом не указала свой домашний адрес; принять меры защиты персональных данных. Четких требований, какие средства использовать, Законом не предусмотрено, поэтому все зависит от конкретных условий обработки данных, рисков и специфики самих данных.

Перспективы будущего

Конечно, первоочередная задача юриста-практика - дать клиенту совет по применению нового законодательства. Вместе с тем, анализ перспектив законодательства также заслуживает на внимание у современного юриста. Без сомнения, комментируемый Закон требует определенных усовершенствований и законодательные изменения в него непременно будут. Но среди ученых и практиков бытует мнение, что законодательство в сфере защиты персональных данных, как правило, не будет успевать за реальными правоотношениями. Это связано главным образом с тем, что проблема защиты персональных данных была рождена в условиях компьютеризации, назовем это условно первым "этапом" (с 1980-х до середины 1990-х). Второй "этап" - развитие Интернета - повлиял на взаимоотношения людей, так расширил возможности передачи и обмена информацией на национальном и международном уровнях. Этот этап пришелся на середину 1990-х - начало 2000-х годов, как раз совпадает с периодом принятия действующих актов европейских государств.

На сегодня же ни европейское законодательство, ни международные документы - еще не успели дать исчерпывающие ответы на проблематику, порожденную третьим "этапом" информатизации и компьютеризации. Поскольку теперь мы живем в эпоху стремительного обмена персональными данными через мощные платформы (социальные сети) вроде Facebook, YouTube и другие. А персональные сейчас данные могут храниться в разных юрисдикциях одновременно. В таких условиях возникла еще одна ключевая проблема - перманентность информации. Когда после удаления данных на одном компьютере (сервере), такие же данные (резервная или иная копия) могут все еще хранятся на другом сервере.

Источник: Юридический вестник Украины | Владислав Подоляк