Автор: Новикова Е.В.
Научный руководитель: Тюльченко И.К.
Источник: Актуальні проблеми сучасного розвитку України: соціально-економічні, науково-технічні та правові аспекти / Матерiали регіональної наукової конференцiї викладачів, аспірантів та студентів вищих навчальних закладів — Донецьк, ДонНТУ — 2011, с. 116-119.
Новикова Е.В. Проблема защиты персональных данных в Украине. В данной работе анализируется Закон Украины «О защите персональных данных», который внес значительные коррективы в практику использования персональных данных. Описываются основные положения и требования, выполнение которых существенно усложняет деятельность многих компаний, или вообще ставит под угрозу их нормальное функционирование.
24 июня 2010 г. Президент Украины Янукович В.Ф. подписал закон «О защите персональных данных». Появление закона обусловлено евроинтеграционными процессами в Украине, в частности необходимостью выполнения нашей страной ряда требований ЕС. Одним из них является улучшение нормативно-правового обеспечения защиты персональных данных в Украине согласно нормам международного права - положениям Конвенции от 28.01.1981 г. № 108 «О защите физических лиц при автоматизированной обработке персональных данных», а также Директиве 95/46/ЕС Европейского Парламента и Совета «О защите физических лиц при обработке персональных данных и о свободном перемещении таких данных».
Принятый закон направлен на создание надлежащих правовых и организационных условий для сбора и использования информации персонального характера. Этот документ регулирует отношения, связанные с защитой персональных данных при их обработке. Таким образом, приняв этот закон, вслед за ведущими демократическими странами Украина урегулировала правоотношения в сфере правовой защиты персональной информации о лице, и это, несомненно, положительный факт. Сделан очередной шаг, направленный на обеспечение гарантий прав и свобод человека, что является одним из основных признаков правового государства.
Принятие нового Закона Украины «О защите персональных данных» вносит значительные коррективы в практику использования персональных данных. Вместе с тем, отдельные положения данного Закона вызывают вопросы среди представителей профильных бизнес отраслей: некоторые нормы Закона нецелесообразны или вовсе невыполнимы.
В рамках данного закона дано определение персональных данных - это сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано. При этом база персональных данных - именуемая совокупность упорядоченных персональных данных в электронной форме или в форме картотек персональных данных. Законом установлено, что обработка персональных данных - это любые действия или их совокупность, совершенные полностью или частично в информационной системе или картотеках персональных данных, которые связаны со сбором, регистрацией, накоплением, хранением, адаптацией, изменением, обновлением, использованием и распространением, обезличиванием, уничтожением сведений о физическом лице.
В соответствии с определением персональных данных к таким данным относится буквально любая информация о физическом лице. Это достаточно широкое определение, в связи с чем у юридических лиц, которые обрабатывают персональные данные, могут возникнуть некоторые сложности. Что касается определения базы персональных данных, оно также представлено достаточно широко. Несколько примеров, попадающих, под это определение: база персональных данных сотрудников, база данных клиентов, база данных партнеров предприятий. В частности, даже визитница подходит под это определение, поскольку является своего рода картотекой упорядоченных персональных данных.
К тому же, исходя из приведённого в Законе определения понятия «персональные данные» (ст. 2 Закона), можно утверждать, что практически все предприятия и предприниматели ведут в каком-то виде базы персональных данных. На сегодняшний день в Украине насчитывается почти миллион субъектов хозяйствования. У некоторых компаний (рекламный бизнес, колл-центры, датацентры) количество баз персональных данных измеряется сотнями. Это означает, что все они должны будут зарегистрироваться в качестве владельцев баз персональных данных и регистрировать имеющиеся у них базы. Стоит отметить, что аналогичным российским Законом данный вопрос урегулирован более рационально: оператор, осуществляющий обработку, обязан лишь уведомить уполномоченный орган о своём намерении осуществлять обработку персональных данных, и никаких упоминаний о государственной регистрации всех баз ерсональных данных в законе нет (ст. 22 Закона Российской Федерации «О персональных данных» от 27.06.2007 года).
Выполнить требование части 3 ст. 9 о необходимости указания информации о местонахождении базы персональных данных, в частности электронных, не всегда возможно. Это объясняется тем, что владелец или распорядитель часто не знает места физического расположения оборудования, которое используется для хранения базы персональных данных.
Также вызывает вопросы норма закона о необходимости регистрации баз персональных данных. Так, база персональных данных подлежит государственной регистрации путем внесения соответствующей записи уполномоченным органом в Государственный реестр баз персональных данных. Президент Украины также определил орган, который будет регистрировать базы данных - это Министерство юстиции. Положение о Государственном реестре баз персональных данных и порядок его ведения еще предстоит разработать и утвердить Кабинету Министров Украины.
Необходимо обратить внимание, что Уполномоченный орган, среди прочего, наделён контрольно-надзорными полномочиями в сфере защиты персональных данных. Так, его представителям предоставлено право свободного доступа к любым помещениям, где осуществляется обработка персональных данных либо находятся базы персональных данных (п. 4 ч. 2 ст. 23 Закона). Таким образом, колл-центры, банки, страховые компании, маркетинговые агентства и практически любые предприятия получают новую категорию государственных проверяющих с почти неограниченными полномочиями.
Законом также предусмотрено создание Государственного реестра баз персональных данных с обязательным требованием к владельцам баз персональных данных по регистрации всех баз в данном реестре (ч.1 ст. 9 Закона). Более того, владельцы баз персональных данных должны уведомлять Уполномоченный орган о каждом факте изменения распорядителя базы персональных данных, целей обработки, места расположения базы (с соответствующим внесением изменений в государственный реестр) (ч. 6 ст. 9 Закона). Реализация данного положения Закона весьма затруднительна. Стоит отметить, что целесообразность введения данной нормы является весьма сомнительной. Вероятно, данная норма принята на выполнение требований Директивы Европейского Парламента и Совета Европейского Союза, которой предусмотрено обязательство владельца базы персональных данных информировать уполномоченный орган об операциях, связанных с обработкой персональных данных. В то же время, в данной Директиве ничего не говорится о необходимости создания государственного реестра и, тем более, об обязательной регистрации баз данных!
Важно обратить внимание, что о каждом изменении сведений, необходимых для регистрации соответствующей базы, ее владелец должен в течение 10 дней уведомить уполномоченный государственный орган.
Важным моментом является то, что в случае изменения цели использования персональных данных, владелец базы данных должен повторно обратиться к субъекту за получением согласия на использование его персональных данных уже для новой цели. Из этого можно сделать вывод, что компании, скорее всего, будут стараться как можно шире указывать цель обработки данных.
Говоря о получении согласия от субъекта, целесообразно учитывать все возможные варианты использования его персональных данных, указывая максимально полный объем таковых, а также четкое фиксирование такого согласия. Техническая возможность хранения доказательств согласия субъектов персональных данных может оказаться весьма затруднительной для компании либо требующей значительных инвестиций. Кроме того, необходимо уведомлять в письменном виде субъектов баз персональных данных о том, что информация о них включена в такую базу, передана третьему лицу, а также об изменении, ограничении доступа к ней, ее уничтожении.
В законе сказано, что субъекты отношений, связанных с персональных данных, обязаны обеспечить защиту этих данных от незаконной обработки, а также незаконного доступа к ним. Обеспечение такой защиты возлагается на владельца этой базы.
Касательно ответственности за нарушение законодательства о защите персональных данных (ст. 28) указано, что такое нарушение тянет за собой ответственность, установленную законом. Комментируя это положение закона, можно отметить, что ответственность определяется по 2 категориям: административная и уголовная. И, не имея достаточного опыта работы в этом направлении, сложно говорить о том, какие меры наказаний будут применяться, и кто за этим будет следить. Необходимо подчеркнуть, что вопрос об ответственности требует безотлагательного законодательного урегулирования, поскольку в противном случае теряется смысл существования всего Закона. Ведь при таких обстоятельствах субъекты данных правоотношений будут попросту игнорировать его.
Интересным является степень ответственности за нарушения законодательства о персональных данных в России и ЕС. Российский закон определяет, что лица, виновные в нарушении требований закона, несут гражданскую, уголовную, административную, дисциплинарную и иную ответственность, предусмотренную законодательством. При этом в Европе четко определено, что ответственностью за такие нарушения является денежный штраф в размере до 1,5 млн евро или лишение свободы до 5 лет.
В ст. 30 закона определено, что он вступил в силу 1 января 2011 г. То есть, субъектам хозяйствования, осуществляющим обработку персональных данных, было предоставлено всего полгода на подготовку и приведение своей деятельности в соответствие с выставленными требованиями. Учитывая их содержание, есть все основания полагать, что на протяжении такого короткого срока это просто технически невозможным. Для сравнения можно привести пример Российской Федерации, где этот срок составлял около четырёх с половиной лет (аналогичный Закон РФ принят 27.07.2006 года и вступил в силу в полном объёме 1 января 2011 года).
В целом закон является позитивным и соответствует нормам защиты персональных данных, которые действуют в ЕС, в частности Директиве о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных.
Наиболее слабые стороны закона: отсутствие четкой формы согласия на обработку персональных данных, необходимость предоставлять большое количество уведомлений, неясность относительно формулировки цели обработки персональных данных.
Как видно из описанного выше, Закон Украины «О защите персональных данных» содержит немало положений и требований, выполнение которых существенно усложняет деятельность многих компаний, или вообще ставит под угрозу их нормальное функционирование.