Защита персональных данных: новый Закон


Автор: Ольга КАРПЕНКО

Источник: http://biz.liga.net/articles/EA100153.html

В начале июня Верховная Рада Украины приняла в целом Закон "О защите персональных данных". С одной стороны, этот документ служит последовательному внедрению в украинских реалиях европейских ценностей и опыта по скрупулезной защите "приватного пространства" гражданина: информации, касающейся его непосредственно, его семьи, его здоровья, etc. Персональные данные - личное дело каждого, и на решение об аккумуляции таких данных сторонней организацией или компанией (когда и если закон вступит в силу) будет в большинстве случаев влиять человек, жизнь которого они непосредственно описывают.

С другой стороны, довольно сложно вообразить себе компанию, которой бы удалось действовать на рынке, не собирая информации, например, о покупателях или партнерах. Или абонентах. Или подписчиках. А по новому закону компании обязаны будут регистрировать свои базы персональных данных, а деятельность таких компаний, связанную с обработкой личной информации, будет мониторить специальный контролирующий орган.

Об особенностях Закона, а также возможных последствиях его введения редакцииЛІГАБізнесІнформрассказали представители украинского бизнеса и эксперты законодательной сферы.

В чем суть

Закон, который должен вступить в силу с 1 января 2011 года, ориентирован в значительной мере на подобные нормы европейского права (об этом позднее). Он призван защитить такие глобальные права человека, как право на приватность, но при этом может несколько усложнить жизнь украинскому бизнесу, который имеет дело с базами данных своих клиентов (то есть, изменения коснутся и деятельности телеком-компаний, и некоторых онлайн-бизнесов, и операторов связи, и продавцов товаров и услуг).

Среди этих изменений, прежде всего, предписание для всех компаний или организаций всех форм собственности проводить государственную регистрацию баз персональных данных. При этом под персональными данными понимается весьма широкая информация о субъекте.

Для сравнения: в украинском Законе "О защите персональных данных":

Персональные данные  ведомости или совокупность ведомостей про физическое лицо, которое идентифицировано либо может быть конкретно идентифицировано.

В российском Законе "О персональных данных" от 27.06.2007 года:

Персональные данные  это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

В европейской Конвенции о защите лиц в связи с автоматизированной обработкой персональных данных, подписанной в г. Страсбурге 28.01.1981 года:

Персональные данные  это информация, касающаяся конкретного или могущего быть идентифицированным лица

Базы персональных данных надлежит регистрировать в установленном порядке: по тексту Закона, это означает подать заявку в уполномоченный государственный орган, который будет заниматься регуляцией данного вопроса, и который документом определяется, но не называется. По мнению члена консультативного совета по вопросам информатизации при ВР Александра Баранова, для телеком-отрасли, например, это может быть и Национальная комиссия по вопросам связи (НКРС), и Министерство транспорта и связи Украины. В России, например, за этим следит Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

При этом обязательная регистрация не будет обязательной для тех баз, которые создаются "физическим лицом исключительно для непрофессиональных личных или бытовых нужд", а также на журналистов или на профессиональных творческих работников.

Порядок регистрации баз данных банков будет устанавливать Национальный банк Украины.

Отдельной интересной нормой является положение о том, что компании, занимающиеся обработкой персональных данных, должны хранить документы, которыми подтверждается согласие субъекта этих данных на их обработку. А для того, чтобы включить данные в базу, потребуется письменное извещение субъекта на протяжении 10 рабочих дней. Также закон устанавливает существенные ограничения на доступ к таким данным для третьих лиц.

По тексту Закона, субъекты, чьи персональные данные занесены в базу, имеют право получать информацию об условиях доступа к персональным данным, в частности, о тех третьих лицах, которым такой доступ будет предоставлен. Субъект может также предъявлять мотивированное требование запретить обработку своих персональных данных органами власти. Доступ к базам персональных данных не может предоставляться третьим сторонам, которые не ознакомлены с данным Законом.

Плюсы и "крючки"

В целом рынок позитивно высказывается о принятом Законе. Так, его действие, может, например, существенно повлиять на неприятную, но ставшую традиционной "спамерскую" составляющую онлайн-бизнеса. "На деятельности компаний, которые проявляли уважение к персональным данным клиента, не продавая их куда-либо и не совершая с ними действий, которые с ними совершать не следовало, закон никак особо не отразится. А на деятельности компаний, которые занимались сбором данных и их продажей, например, спамерах, отразится самым непосредственным образом", — говорит заместитель председателя Интернет Ассоциации Украины Александр Ольшанский. Закон также прямо ограничивает возможности для торговли чужими данными — сегодня же купить нелегальную или полулегальную базу данных крупной компании можно на большинстве раскладок.

Рядовые пользователи могут порадоваться еще и тому, что принятие такого закона является еще одним шагом к ратификации упомянутой Конвенции 81-го года, которая, в свою очередь, — необходимое требование для введения безвизового режима Украины с Европой.

Недавно (15 июня 2010 года) в парламенте был зарегистрирован проект Закона №0170 о ратификации данной Конвенции и дополнительного к ней протокола. В проекте есть два интересных момента. Первый: конвенция (на основании которой, собственно, и был разработан Закон) не будет применяться к персональным данным, которые обрабатываются физлицами исключительно для непрофессиональных личных или бытовых нужд. И второй: "Украина будет применять данную Конвенцию к информации, которая касается групп лиц, ассоциаций, фондов, компаний, корпораций и любых других организаций, которые непосредственно либо опосредованно состоят из отдельных лиц, независимо от того, имеют ли они статус юридического лица". Напомним, это пока только законопроект, находящийся на рассмотрении в парламентском комитете иностранных дел.

С другой стороны, уже в самом (достаточно широком) определении персональных данных, взятом по образцу европейской конвенции, кроется неоднозначность. "Согласно этому закону, под понятие базы персональных данных подпадает любой файлик в любом виде с персональной информацией, например, файлики "Outlook", где могут быть записаны телефоны, визитные карточки коллег, Подозреваю, что в каждом офисе этих баз персональных данных будут десятки или тысячи, и все их регистрировать в принципе технически невозможно", — замечает по поводу данной нормы глава Украинской ассоциации директ-маркетинга (УАДМ) Валентин Калашник.

По его словам, неоднозначность кроется и в той информации, которую необходимо будет указывать в заявке на регистрацию базы. Так, затруднительно будет указывать фактическое местонахождение базы на хостинге "где-нибудь в США", что в украинском Интернете является довольно распространенным явлением. А место расположения физического оборудования, которое используется для хранения базы, часто знает только дата-центр, но никак не владелец или распорядитель базы (компания или подразделение компании, которой база отдана в обработку, например, колл-центр).

И надо учитывать, что уполномоченный орган (кто будет исполнять его функции, пока не известно) по закону имеет право заходить на территорию компании, которая работает с базами таких данных, или же на территории которой эта база просто находится, и проверять ее работу (ст. 23 п. 2 Закона). То есть — плюс еще одна категория проверяющих для украинских компаний.

Живую реакцию участников рынка вызывает и норма, предписывающая письменно уведомлять субъекта личных данных о включении информации о нем в базу. "Хитрость заключается в том, что очень многие сделки заключаются по договорам публичной оферты, и приравниваются ли такие договора к письменным — этот вопрос сегодня законодательно плохо урегулирован. То есть, норма о письменном уведомлении клиента, на мой взгляд, не расшифрована и не учитывает некоторых реалий электронной жизни", — объясняет А.Ольшанский. Эту норму В.Калашник предлагает заменить нормой из Рекомендаций № (85) 20 Комитета Министров ЕС, согласно которой уведомление субъекта персональных данных осуществляется максимально простым и удобным для него способом (например, с помощью SMS или счета, направленного субъекту как клиенту).

Наконец, в законе никак не предусмотрена ответственность за нарушение его норм. Вернее, все еще интереснее: закон не устанавливает ответственности за нарушение законодательства в сфере защиты персональных данных, но его нормы указывают, что ответственность устанавливается только законодательно. "Закон не имеет значения, пока не будет установлена ответственность за нарушение его норм. В данный момент Закон в ст. 28 содержит общее положение о том, что "Нарушение законодательства о защите персональных данных влечет за собой ответственность, установленную законом". Но Закон не предусматривает внесения изменений ни в уголовный, ни в административный кодекс", — объясняет глава Ассоциации предприятий информационных технологий Украины (АПИТУ) Юрий Пероганич.

Последствия Закона

Внедрение Закона может изменить некоторые принципы взаимодействия с информацией для украинских компаний. Совокупность обязательных действий, которые будут требоваться от компаний в результате имплементации норм закона, по словам главы ассоциации "Телекоммуникационная палата Украины" Константина Грицака, будет выглядеть так: регистрация баз персональных данных в госреестре, разработка или изменения внутренних документов, например, положения об обработке персональной информации с учетом требований Закона. Компании также должны будут дополнить положения о коммерческой тайне и конфиденциальной информации; получить согласие физлиц на использование их персональных данных, включив соответствующий пункт в договоры компаний с клиентами.

"Наконец, определенных изменений потребуют и документы, регулирующие отношения телеком-компаний с третьими лицами, которым при определенных условиях могут быть переданы эти базы (например, для взыскания задолженности или выставления счетов абонентам). Таким образом, этот закон, прежде всего, повлечет за собой изменения в нормативных документах, а на их основании — и некоторых принципов работы с информацией", — объясняет К.Грицак.

Европейский контекст

Данный закон был принят в значительной мере благодаря желанию Украины влиться в цивилизованную Европу, где к проблемам защиты данных относятся очень щепетильно. Как рассказал А.Баранов, существует конвенция Конвенция Совета Европы "О защите физических лиц при автоматизированной обработке персональных данных" от 28 января 1981 года, к которой Украина присоединилась, но которую не ратифицировала. Она является образцом правового решения этой проблемы.

Кроме этого, как объяснил эксперт, в 2002 году в Европе был принят целый пакет телекоммуникационных актов. Это так называемый пул из 4 директив, среди них обозначена специальная директива № 2002/58/ЕС, которая называется "Об обработке персональных данных и защите неприкосновенности частной жизни в секторе электронных коммуникаций". "Согласно последним дополнениям (внесенным в директиву в ноябре 2009 года), телекоммуникационные компании Европы будут обязаны сообщать официальным органам о любом случае нарушения положений этой директивы, то есть пользователь теперь будет знать, что в такой-то телекоммуникационной компании случилось такое-то нарушение требований о защите персональных данных. И это объявление будет публичным, тем самым пользователь будет иметь возможность выбирать оператора, который в наибольшей степени заботится о защите его персональных данных", — рассказал А.Баранов.

А в Украине была сформулирована цель по гармонизации законодательства во многих секторах, в том числе и телекоммуникационном, с международным и европейским правом. По мнению Ю.Пероганича, наилучшим ориентиром для Украины в плане защиты персональных данных по-европейски мог бы стать польский закон от 1997 года ("Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych") с изменениями на сегодняшний день, поскольку данный закон отвечает требованиям всех пяти директив евросообщества в этой сфере. В любом случае, принятие Закона "О защите персональных данных" является серьезным украинским шагом на пути в Европу.