Захист персональних даних: ласкаво просимо в Україну!

У підсумковому матеріалі ЮРЛІГІ по темі захисту персональних даних аналізується готовність громадськості та бізнесу до законодавчих змін, визначаються особливості реєстрації баз персональних даних, організації структурного підрозділу на підприємстві і т.д.

Революція чи еволюція?

Українське законодавство про захист персональних даних стало одним з найбільш обговорюваних в минулому році. Закон «Про захист персональних даних» набув чинності 1 січня 2011 року, був недопонят суспільством, зате України формально виконала свої міжнародні зобов'язання. Великого інтересу до всіх аспектів цього Закону не було, поки Верховна Рада не ввела відповідальність за його порушення. Це стало причиною паніки серед юросіб і фізосіб-підприємців, яких планувалося штрафувати за невиконання обов'язку зареєструвати бази персональних даних (далі - БПД). Враховуючи напружену ситуацію, покарання відстрочили до 1 липня 2012 року, а тема виконання даного законодавства стала ще популярнішою - потенційні власники БПД зрозуміли, що держава з ними не жартує, і почали ретельно вивчати нові норми.

А ось в Європі таке законодавство вже давно не в новинку, адже український Закон про захист персональних даних був прийнятий саме на виконання ратифікованої Україною у 2010 році Конвенції Ради Європи «Про захист осіб у зв'язку з автоматизованою обробкою персональних даних». Дані правила діють в державах-членах РЄ вже майже три десятки років, хоча на даний момент і в них готуються зміни: прийнята директива з проектом істотних змін в законодавство, зокрема, планується збільшити штрафи, що викликає обурення у бізнесу.

Не можна сказати, що в Україну особиста інформація до недавнього часу взагалі не мала захисту. Адже з 1992 року діє Закон «Про інформацію», в якому був закріплений заборона на збір відомостей про особу без її згоди, право особи на ознайомлення з інформацією, зібраною щодо нього. Однак цей Закон розумів персональну інформацію дуже вузько. У будь-якому випадку, новий Закон про захист персональних даних перевороту не робить, адже Приватне життя і інформація про неї захищена Цивільним кодексом також порівняно давно. А незаконний збір, зберігання, використання та поширення конфіденційної інформації про особу без її згоди взагалі були кримінально караними і залишаються такими. Тобто, особливий режим інформації про фізичну особу існував давно, але самі фізособи і органи, покликані права цих осіб охороняти, звиклися з думкою про те, що є куди більш відчутні і реальні цінності, які потребують охорони. Тому довгий час механізм захисту діяв лише у випадках розповсюдження дуже особистої інформації, яке завдавало серйозний моральний збиток, відзначає керуючий партнер ЮФ Cai & Lenard Костянтин Пільков. Новий закон «матеріалізував» ці дані, «впресовано» їх в бази.

«Закон« Про захист персональних даних »написаний так, що кожен може трактувати його як хоче. Абсолютно незрозуміла мета його прийняття, - які персональні дані, від кого саме і яким чином слід захищати, - категорична у своїх судженнях керівник Національної правової палати, адвокат Анна Самойленко. - Перші роз'яснення щодо практичного застосування цього Закону Мін'юст примудрився написати через півтора року після його прийняття - в грудні 2011 року. При цьому створюється відчуття, що Мін'юст надав дані роз'яснення, прочитавши Закон по діагоналі, і толком не розібравшись, а в чому ж суть справи. Роз'яснення Міністерства юстиції не тільки не допомогли в практичному застосуванні Закону, а й остаточно всіх заплутали. Для чого необхідний Закон «Про захист персональних даних», крім того, щоб наповнити бюджет, мені абсолютно незрозуміло ».

Спокій, тільки спокій!

Завдяки новому законодавству, практично будь-які операції з персональними даними обросли купою внутрішньої документації. На багатьох підприємствах взагалі з подивом дізналися про те, у них обробляються персональні дані і існують БПД. Для контролю за виконанням вимог Закону була створена Державна служба з питань захисту персональних даних, основною функцією якої на даний момент є реєстрація баз. Але коли більшість БПД буде узаконено, Служба напевно займеться перевірками, результатом яких будуть штрафні санкції. Цього і побоюються підприємці. Хоча перевірки і штрафи не повинні стати масовими, прогнозують юристи.

Зате масової реалізації (аж до зловживання) фізособами права на звернення до Служби з скаргою можна чекати. Тепер практично будь-яка особа, до якої звертаються з вимогами або надсилають повідомлення, може вимагати у Служби перевірити, на якій підставі надіслав повідомлення обробляє дані адресата. Це може створити деякі проблеми для компаній.

Представники бізнесу журяться, але, привчені до жорсткіших витівок українських законодавців, великої трагедії у виконанні нового Закону не бачать. Найменш схильні до паніки компанії з іноземним капіталом, які знають про подібний законодавстві не з чуток. «Ми вважаємо наявність і використання такого закону абсолютно нормальним цивілізованим явищем, яке не повинно вибивати з колії жодну з нормально діючих компаній, - вважає гендиректор рекрутингової компанії« Хадсон »Олексій Юрченко. - З нашої точки зору, практика впровадження Закону є досить простою. Якусь сумбурність в практику застосування цього Закону внесла служба, яка займається реєстрацією персональних даних: виникли певні нюанси, в першу чергу, з точки зору інтерпретації законодавства Україні. Спочатку Держслужба по реєстрації баз даних дотримувалася точки зору, що реєструвати потрібно всі бази даних, які не ведуться компаніями за вимогами законодавства. Однак остання тенденція, коли кожна компанія повинна зареєструвати базу даних своїх співробітників виглядає дещо безглуздо, оскільки ми не ведемо баз даних співробітників, ми виконуємо вимогу кадрового обліку (зберігання трудових книжок, копій документів). Тому тут виникає швидше питання трактування і способів інтерпретації цього закону конкретними виконавчими органами на території Україні.

Наскільки мені відомо, процедура реєстрації персональних даних була досить сильно спрощена, і на сьогоднішній день для реєстрації бази даних заявку можна подати і через Інтернет. Тому сказати, що компанії стикаються з великою кількістю об'єктивних складнощів, - неможливо. При бажанні та знанні цієї інформації процес реєстрації не є бюрократично складним. Так, дійсно, держслужба важко обробляти велику кількість заявок, проте інформація подається до розгляду, і великих складнощів, тим не менше, я не бачу. Тому відстрочку санкцій до 1 липня 2012 року мені важко назвати принциповим питанням.

Компанії зараз звертаються до юристів, у першу чергу, з проблемами інтерпретації та практики використання існуючого закону і повноважень держоргану з контролю захисту персональних даних. Оскільки чіткого розуміння того, що потрапляє під дію Закону, поки немає ».

Особливості української реєстрації БПД

Отже, як ми вже з'ясували, основні труднощі починаються з реєстрації бази персональних даних. Норми Закону передбачають, що будь-яка сукупність упорядкованих персональних даних про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована, вважається БПД, і кожна така база підлягає державній реєстрації.

Зареєструвавши базу в держреєстрі, підприємець стає об'єктом для перевірок і застосування фінансових санкцій, як говорилося вище. Тому, перш ніж подавати заяву про реєстрацію, необхідно точно визначити, чи є у вас взагалі база персональних даних. Саме по собі володіння персональними даними ще не означає, що ви є власником саме бази, оскільки наявність БПД передбачає деякі характеристики. Для цього краще проконсультуватися з юристом-експертом.

Передбачено три способи, якими проводиться реєстрація баз персональних даних:

1. Відправлення заяви в паперовій формі за адресою Держслужби;

2. Відправлення заяви електронною поштою register@zpd.gov.ua;

3. Заповнення заяви на сайті Госсреестра баз персональних даних - rbpd.informjust.ua.

Зверніть увагу: при подачі заяви по електронній пошті або через сайт Госсреестра необхідно дотримати вимоги законодавства про електронний цифровий підпис. Отримати сертифікат ключа можна в акредитованому центрі сертифікації ключів.

На сайті Держслужби України з питань захисту персональних даних розміщена корисна інформація

Відзначимо досить продуктивну роботу Державної служби України з питань захисту персональних даних, яка регулярно займається просветітельськой діяльністю в даній сфері. Також на сайті Служби розміщені відповіді на найпопулярніші питання, приклади заповнення заяв для реєстрації баз персональних даних та інша корисна інформація.

To-do list

Припустимо, база персональних даних зареєстрована. Але цього недостатньо. Компаніям слід подбати про приведення своєї діяльності у відповідність до законодавства - організувати взаємодію із суб'єктами персональних даних, оформити відносини з розпорядниками баз і т.д.

Так, на підприємствах необхідно визначити структурний підрозділ або відповідальна особа, що організує роботу, пов'язану із захистом ПД при їх обробці. Також компанії доведеться розщедритися на технічні засоби захисту БПД, наприклад, антивірусні програми і т.п. Такі вимоги Типового порядку обробки персональних даних можуть бути фінансово обтяжливі, особливо для малого бізнесу.

Організація взаємодії з суб'єктами ПД передбачає внутрішню оцінку (аудит) використання таких даних, підготовку внутрішніх документів і стандартів для обробки ПД, документування згоди на обробку ПД, кадрові призначення та організацію захисту даних, роботу з запитами суб'єктів, повідомлення, поточний контроль.

Законодавець зобов'язав підприємства розробити власні локальні акти і документи, детально визначати їх взаємини з особами, чиї дані містяться у відповідних базах даних. Це, в першу чергу, необхідно для уникнення в подальшому проблем щодо незаконності обробки персональних даних фізичних осіб. Необхідно розробити Положення про порядок обробки і захисту персональних даних, зразків стандартного згоди особи на обробку ПД і повідомлень. Для спрощення роботи можна документувати згода особи на використання ПД одночасно з повідомленням про використання.

На думку радника ЮФ «Василь Кісіль і Партнери» Оксани Войнаровської, основна проблема Закону - неузгодженість вимог стосовно форми деяких документів. Так, повідомляти особу про використання його персональних даних необхідно в письмовій формі, що є архаїзмом і негативно відобразиться на веденні бізнесу. У той же час, згода на обробку даних можна отримати і в електронній формі. Алогічно, але факт.

Юридична допомога

Правозастосовних проблем по БПД виникає безліч, і не всяка компанія впорається з ними без сторонньої допомоги. Виникає необхідність вдатися до допомоги юристів «зі сторони». У зв'язку з реалізацією законодавства про захист персональних даних на юрринке з'являються нові послуги - юридичні консультації стосовно обробки ПД, ведення судових справ стосовно захисту ПД і т.п.

До юристам часто звертаються з питаннями по розробці власних локальних актів і документів компанії: положення про порядок обробки персональних даних у відповідній базі, згода на обробку персональних даних, повідомлення осіб про включення їх персональних даних у відповідну базу. Цікавить підприємства і питання, що необхідно вказувати в договорах, щоб уникнути відповідальності щодо використання персональних даних.

Необхідно визначити структурний підрозділ, який буде здійснювати організацію роботи по захисту персональних даних

У зв'язку з цим, в першу чергу підприємствам необхідно обов'язково визначити структурний підрозділ або відповідальна особа, яка буде здійснювати організацію роботи на підприємстві, пов'язану із захистом персональних даних при їх обробці, рекомендує юрист ПГ «Домініон» Юлія Розуменко. На таку особу чи підрозділ покладається обов'язок організувати реєстрацію БПД, обробку даних, збір, накопичення, зберігання, адаптування, зміна, оновлення, використання, поширення, знищення відомостей про фізичну особу. «Це, в свою чергу, дозволить зменшити число осіб, які матимуть доступ до персональних даних на підприємстві, що сприятиме кращій захищеності персональних даних та зведе до мінімуму можливість незаконної передачі таких даних». Така особа або підрозділ призначається, як правило, наказом, про що повідомляються всі працівники.

Ведучий юрист ЮФ «Василь Кісіль і Партнери», адвокат Владислав Подоляк рекомендує такі функції покласти на IT-відділ або кадрову службу.

На практиці можливо будуть виникати питання з приводу організації структурних підрозділів, які здійснюватимуть організацію роботи, пов'язаної із захистом персональних даних, перш за все, на великих підприємствах, уточнює Ю.Розуменко. Необхідно буде створювати відповідні положення (інструкції) про порядок їх діяльності. Крім цього, необхідно буде передбачити порядок взаємодії такого підрозділу з іншими структурними підрозділами (відділами) на підприємстві. Це, в свою чергу, додасть роботи такому підприємству, а саме, необхідно буде доопрацьовувати положення (інструкції) існуючих підрозділів (відділ), які будуть співпрацювати з підрозділом, який буде здійснювати організацію роботи на підприємстві, пов'язану із захистом персональних даних при їх обробці.

Отже, в найближчому часі бізнесу належить зайнятися паперовою роботою - розробляти внутреннююдокументацію, типовыедоговорныеположения і т.п. Враховуючи неоднозначність і широкі трактування Закону про захист персональних даних, роботи стане більше і в юристів. Рекомендуємо компаніям уважно поставитися до вибору юридичних радників в такому важливому питанні.

Однією з тем минулого місяця на порталі ЮРЛІГА було законодавство про захист персональних даних. Ми розповіли, як організувати захист персональних даних на підприємстві, з'ясували, що Закон про захист персональних даних перевороту не робить.

Гостями нашої постійної рубрики «1 Х 1» стали заступник голови Державної служби України з питань захисту персональних даних і керуючий партнер юрфірми - з їх діалогом можна ознайомитися в інтерв'ю «Проблеми реєстрації баз персональних даних в Україну».

Також ЮРЛІГА зібрала фахівців із захисту персональних даних на круглий стіл. Крім того, відеокоментарі юристів з даної теми можна побачити в розділі ЮРTV.

ЮРЛІГА


Адрес этой страницы: http://npp.com.ua/news/2510.html

 - .  Rambler's Top100