Юридические компании

Авторизация

Логин:
Пароль:
  
Регистрация
Забыли свой пароль?

Консультация
юриста on-line

Вопрос юристу на "Status-Quo"


поиск юриста

Юристы и адвокаты

Кого защищает Закон Украины «О защите персональных данных» № 2273?

04.01.2011

Кого защищает Закон Украины «О защите персональных данных» № 2273?

Дмитрий Йовдий, Управляющий партнёр ЮК «Лигал Асистанс Групп»

Валентин Калашник, Президент Украинской ассоциации директ маркетинга.

1 июня 2010 года Верховный Совет принял Закон Украины «О защите персональных данных» № 2273 (далее - Закон). Появление данного Закона обусловлено евроинтеграционными процессами Украины, в частности, необходимостью выполнения Украиной требований Евросоюза, содержащихся в совместном Соглашении под названием «Матрица сотрудничества». Одним из условий данного документа является обязательство Украины ратифицировать и имплементировать конвенцию о защите персональных данных. Таким образом, вслед за ведущими демократическими странами, Украина урегулировала правоотношения в сфере правовой защиты персональной информации о лице, и это, несомненно, положительный факт. Сделан очередной шаг, направленный на обеспечения гарантий прав и свобод человека, что является одним из основных признаков правового государства.

Вместе с тем, отдельные положения данного Закона вызывают вопросы среди представителей профильных бизнес отраслей: некоторые нормы Закона нецелесообразны или вовсе невыполнимы. Но обо всём по порядку.

Законом предусмотрено создание уполномоченного государственного органа по вопросам защиты персональных данных, далее – Уполномоченный орган (ст. 23 Закона). На данный момент неизвестно, будет ли это новая структура, или указанные полномочия будут дополнительно возложены на одно из ныне действующих ведомств. Необходимо обратить внимание, что Уполномоченный орган, среди прочего, будет наделён контрольно-надзорными полномочиями в сфере защиты персональных данных. Так, его представителям будет предоставлено право свободного доступа к любым помещениям, где осуществляется обработка персональных данных либо находятся базы персональных данных (далее – ПД) (п. 4 ч. 2 ст. 23 Закона). Таким образом, колл-центры, банки, страховые компании, маркетинговые агентства и практически любые предприятия (далее – Компании) получат новую категорию государственных проверяющих с почти неограниченными полномочиями. Учитывая «приятную» практику общения и злоупотребления со стороны представителей контролирующих инстанций, это вряд ли порадует собственников Компаний!

Законом также предусмотрено создание Государственного реестра баз персональных данных с обязательным требованием к владельцам баз ПД по регистрации всех баз в данном реестре (ч.1 ст. 9 Закона). Более того, владельцы баз ПД должны будут уведомлять Уполномоченный орган о каждом факте изменения распорядителя базы ПД, целей обработки, места расположения базы (с соответствующим внесением изменений в государственный реестр) (ч. 6 ст. 9 Закона). Уже сейчас можно утверждать, что реализация данного положения Закона будет весьма затруднительной. Ведь подавая заявление о регистрации базы ПД, заявитель, среди прочего, должен указать информацию о распорядителе базы ПД и местонахождение базы (то есть, место хостинга) (абзацы 5, 7 ч. 3 ст. 9 Закона). В данной норме не учитывается тот факт, что о месте физического расположения оборудования, которое используется для хранения базы ПД, часто знает лишь соответствующий датацентр, но никак не владелец или распорядитель базы. К тому же, если база ПД является составной частью интернет-сайта – изменение хостинга влечёт за собой обязательство владельца базы ПД уведомлять об этом Уполномоченный орган.

Стоит отметить, что целесообразность введения данной нормы является весьма сомнительной. Вероятно, данная норма принята на выполнение требований Директивы Европейского Парламента и Совета Европейского Союза от 24 октября 1995 года N 95/46/ЭС «О защите физических лиц при обработке ПД и о свободном перемещении таких данных», которой предусмотрено обязательство владельца базы ПД информировать уполномоченный орган об операциях, связанных с обработкой ПД. В то же время, в данной Директиве ничего не говорится о необходимости создания государственного реестра и, тем более, об обязательной регистрации баз данных!

К тому же, исходя из приведённого в Законе определения понятия «персональные данные» (ст. 2 Закона), можно утверждать, что практически все предприятия и предприниматели ведут в каком-то виде базы персональных данных. На сегодняшний день в Украине насчитывается почти миллион субъектов хозяйствования. У некоторых компаний (рекламный бизнес, колл-центры, датацентры) количество баз ПД измеряется сотнями. Это означает, что все они должны будут зарегистрироваться в качестве владельцев баз ПД и регистрировать имеющиеся у них базы. При таких обстоятельствах сложно даже представить объем работы Уполномоченного органа, а также финансовые и организационные ресурсы государства на обслуживание данного реестра. К слову, Законом предусмотрено, что финансирование работ по обеспечению защиты ПД будет осуществляться, в том числе, и за счёт средств хозяйствующих субъектов, связанных с персональными данными (ст. 26 Закона). То есть государство вряд ли проигнорирует возможность сделать данную процедуру платной, введя государственную пошлину за внесение ведомостей в данный реестр. Стоит отметить, что аналогичным российским Законом данный вопрос урегулирован более рационально: оператор, осуществляющий обработку, обязан лишь уведомить уполномоченный орган о своём намерении осуществлять обработку ПД, и никаких упоминаний о государственной регистрации всех баз ПД в законе нет (ст. 22 Закона Российской Федерации «О персональных данных» от 27.06.2007 года).

Можно констатировать, что в Законе выполнены требования о недопустимости использования ПД без согласия самого субъекта (носителя) ПД, установленные Конвенцией «О защите лиц относительно автоматизированной обработки данных личностного характера», подписанной в Страсбурге 28.01.1981 года. Так, в подтверждение ранее действующих законодательных норм (Конституция Украины, Закон Украины «Об информации») Законом установлено, что не допускается обработка ПД физического лица без его согласия, кроме случаев, предусмотренных законом (например, в интересах национальной безопасности, экономического благосостояния и прав человека (ч. 6 ст. 6 Закона)).

Одним из ключевых является положение Закона о возможности получения согласия субъекта ПД любым другим удобным способом, кроме письменного (абзац 5 ст. 2 Закона). Указанная норма имеет большое значение для Компаний, так как даёт последним возможность «легализировать» базы ПД, составленные, например, путём телемаркетинга. Кроме того, при такой формулировке указанные Компании смогут применять наиболее простые и эффективные по их мнению способы получения согласия физического лица (например: путём подтверждения согласия отправкой SMS, или, к примеру, фактом регистрации лица на каком-либо мероприятии, в правилах участия которого публично указывалось о праве организаторов в дальнейшем использовать персональные данные участников и т.д.).

Вместе с этим, Законом установлено положение о том, что обработка персональных данных может осуществляться только в соответствии с целью такой обработки, которая формулируется при получении у субъекта ПД согласия на обработку данных. В каждом случае изменения цели использования ПД, владелец базы ПД должен повторно обратиться к субъекту ПД за получением согласия на использование его ПД уже для новой цели (абзац 2 ч. 2 ст. 6 Закона). Логично предположить, что во избежание необходимости направлять повторные запросы субъекту ПД для получения согласия, Компании при получении первичного согласия у субъекта на использование его данных, будут практиковать формы запроса, в которых цель обработки данных будет указана как можно обширней (например, использование персональных данных в маркетинговых целях).

Очевидно, владельцы баз ПД должны будут хранить доказательства получения согласия субъекта ПД. Последнее, безусловно, прибавит собственникам предприятий головной боли, поскольку крайне сложно будет технически обеспечить хранение документации о каждом физическом лице, чьи персональные данные поддавались обработке, особенно, если их количество исчисляется десятками или сотнями тысяч.

Пожалуй, самым неприятным и трудно выполнимым для Компаний станет требование Закона осуществлять уведомление физического лица о включении его ПД в базу ПД (ч. 2 ст. 12 Закона). Данное уведомление должно осуществляться исключительно в письменной форме на протяжении 10 рабочих дней со дня включения его данных в базу (к слову, подобное обязательство также возлагается на владельца базы ПД в случае изменения или уничтожения ПД (ч. 3 ст. 21 Закона)). В уведомлении, среди прочего, должна содержаться информация о правах данного субъекта, цели обработки и лиц, которым передаются эти данные. Стоит отметить, что выполнение данного требования является финансово затратным для Компаний, ведь направлять письма каждому субъекту (особенно учитывая постоянно растущие тарифы Укрпочты) – дорогое удовольствие. К тому же, такое требование является непоследовательным. Как уже отмечалось, любая обработка (в т. ч. и сбор ПД) и так становится возможной только после получения согласия субъекта ПД. При существующей же редакции Закона, владелец базы ПД, осуществляя обработку данных, должен вступать в коммуникацию с субъектом ПД минимум два раза: первый раз – для получения согласия лица на использование его ПД, второй – для уведомления данного лица о включении его данных в базу (в письменной форме). В случае же уничтожения ПД, требование об уведомлении лица и вовсе невозможно выполнить физически. Ведь как можно уведомить того, чьи данные уже удалены?

Важно также обратить внимание на то, что данное уведомление не осуществляется в случае сбора ПД из общедоступных источников (ч. 3 ст. 12 Закона). В то же время, ни данным Законом, ни каким либо другим нормативно-правовым актом, не дано определения, какие источники являются общедоступными. Эта категория является оценочной и крайне спорной. В частности, непонятно, является ли полученной из открытого источника информация о ФИО должностного лица, сообщенная сотрудником компании по телефону или находящаяся в социальных медиа. Вероятно, для урегулирования данного вопроса потребуется специальное разъяснение Уполномоченного органа.

Дополнительную проблему также создаёт приведённое в Законе определение термина «база персональных данных», исходя из которого база ПД может существовать, в том числе, и в форме картотеки (абзац 2 ст. 2 Закона). В связи с этим, абсолютно резонным является утверждение, что, к примеру, визитница, содержащая визитки с ФИО и реквизитами должностных лиц (равно как и любой другой массив информации о должностных лицах), также формально является базой ПД в форме картотеки, и, следовательно, требует государственной регистрации. Во избежание неопределённостей в понимании и применении данной нормы требуется законодательное разъяснение, что именно является картотекой в понимании данного Закона.

Интересно, что в Законе предусмотрена категория лиц, чьи ПД не являются информацией с ограниченным доступом, а, следовательно, их обработка допускается без получения согласия данных лиц и каких-либо других ограничений. К этой категории Закон относит лиц занимающих либо претендующих на занятие выборной должности, а также государственных служащих первой категории (ч. 4 ст. 5 Закона). Важно отметить, что установленный Законом перечень таких лиц носит исчерпывающий характер, в связи с чем возникает вопрос, как быть с персональными данными других публичных лиц, не входящих в данный перечень (например, лидеров политических партий, гражданских организаций, руководителей предприятий, профессиональных объединений, а также сотрудников компаний, имеющих и раздающих свои визитки либо оставляющих информацию о себе в соответствующих государственных реестрах в связи с выполнением своих служебных обязанностей). Являются ли информацией с ограниченным доступом ПД таких лиц? Ведь, по сути, степень публичности данных лиц ни чем не отличается от приведённого в Законе перечня. Данная проблема также нуждается в урегулировании.

Несколько дискриминационной по отношению к компаниям негосударственной формы собственности выглядит норма Закона о том, что распорядителем базы ПД, владельцем которой является орган государственной власти или орган местного самоуправления, может быть только предприятие государственной либо коммунальной формы собственности, входящий в сферу управления этого органа (ч. 4 ст. 5 Закона). При таком ограничении, к примеру, аутсорсинговый колл-центр негосударственной формы собственности (где без обработки ПД не обойтись) не имеет права обслуживать государственные органы.

Законом также установлено, что цель обработки ПД должна быть сформулирована в уставных документах владельца базы ПД (ч. 1 ст. 6 Закона). Весьма вероятно, что в связи с этим в уставы многих компаний нужно будет вносить изменения.

Отдельного комментария заслуживает тот факт, что в противоречие требованиям Директивы ЕС от 24 октября 1995 года N 95/46/ЭС Законом не установлено конкретной ответственности за нарушения законодательства о защите ПД. Более того, Законом определено, что ответственность за нарушение законодательства о защите ПД устанавливается именно Законом (ст. 28 Закона), что исключает возможность установления штрафных санкций нормативно-правовым актом уполномоченного органа либо других органов исполнительной власти. Необходимо подчеркнуть, что вопрос об ответственности требует безотлагательного законодательного урегулирования, поскольку в противном случае теряется смысл существования всего Закона. Ведь при таких обстоятельствах субъекты данных правоотношений будут попросту игнорировать его.

Интересно, что Законом дано право профессиональным объединениям создавать корпоративные кодексы поведения с целью обеспечения эффективной защиты прав субъектов ПД (ч.2 ст. 27 Закона). В связи с этим отраслевые компании (например, рекламный и маркетинговый бизнес, медицина, транспорт и т.д.) смогут вырабатывать стандарты, обязательные для компаний данных отраслей.

Еще одним заслуживающим внимания обстоятельством является то, что данный Закон вступает в силу с 1 января следующего года (ч. 1 ст. 31 Закона). То есть, субъектам хозяйствования, осуществляющим обработку ПД, предоставлено всего полгода на подготовку и приведение своей деятельности в соответствие с выставленными требованиями. Учитывая их содержание, есть все основания полагать, что на протяжении такого короткого срока это просто технически невозможным. Для сравнения можно привести пример Российской Федерации, где этот срок составляет около четырёх с половиной лет (аналогичный Закон РФ принят 27.07.2006 года и вступает в силу в полном объёме 1 января 2011 года).

Как видно из описанного выше, Закон Украины «О защите персональных данных» содержит немало положений и требований, выполнение которых существенно усложняет деятельность многих компаний, или вообще ставит под угрозу их нормальное функционирование. Впрочем, Кабинету Министров еще только предстоит разработать нормативно-правовые акты, устанавливающие механизм выполнения данного Закона. Возможно, после их утверждения ситуация прояснится. Все зависит от своевременной и надлежащей реакции на данный Закон со стороны представителей заинтересованных бизнес отраслей. Именно поэтому мы и призываем коллег к оперативной реакции на принятие данного Закона.


Количество показов: 10226
Рейтинг:  2.36

Возврат к списку