Защита персональных данных по-украински

Что такое "персональные данные"

Часто встречается утверждение, что персональные данные это такие данные о физическом лице, которые позволяют это лицо идентифицировать. Это не так, хотя Интернет и пестрит подобными трактовками. Объем понятия персональных данных гораздо шире. Одни и те же данные могут быть как персональными так и неперсонализированными. Обратимся к формулировке Закона:

"Персональные данные - сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано" (ст. 2). Изъятие сведений, которые дают возможность идентифицировать лицо, ведет к деперсонализации этих данных. Такой же формулировки придерживается и упомянутая Конвенция: персональные данные — это любая информация, которая касается конкретно определенного лица или лица, которое может быть конкретно определено.

Таким образом, любая по содержанию и виду информация может быть персональной, если она любым способом "привязана" к конкретному лицу. Даже данные о том, что автором этой статьи является адвокат Федоров, становятся персональными, если только "адвокат Федоров" не является псевдонимом. Ранее же к "персональным данным" относились такие основные данные о лице как национальность, образование, семейное положение, состояние здоровья, адрес, дата и место рождения (ст. 23 старой, но еще действующей редакции ЗУ "Об информации"). Сейчас же идентифицирующие данные, которые как раз и должны подлежать строгой охране, растворились в нечеткой сфере персональных данных.

В итоге, стремясь защитить право на неприкосновенность личной жизни, Закон охватил и информацию о жизни публичной, скрывать которую никто и не стремиться по определению.

Сфера действия Закона

Упомянутая Конвенция посвящена вопросам охраны права на неприкосновенность личной жизни в связи с автоматизированной обработкой файлов, содержащих персональные данные. Украинский закон термин "обработка" сохранил, но придал ему принципиально иной смысл, нежели в Конвенции. Обработка персональных данных –это абсолютно все, что связано со сбором, регистрацией, накоплением, хранением, адаптацией, изменением, возобновлением, использованием и распространением (реализацией, передачей), деперсонализацией, уничтожением сведений. Об ограничении всех этих действий только компьютерными системами в ст. 1 Закона и речи не идет. Между прочим, этим наш Закон отличается не только от Конвенции, но и от аналогичного российского закона. Таким образом, Закон касается обработки данных, содержащихся и на бумажных носителях информации.

Ст. 5 Закона уточняет, что объектом защиты являются только те персональные данные, которые обрабатываются в базах данных. При этом остается неясным, относится ли Закон к обработке данных вне баз данных. К тому же ряд действий, включенных в понятие "обработка данных", вообще не предполагает существование каких-либо баз. Так, простой сбор данных без их систематизации может и не предполагать формирование из них базы. если на предприятии и подобрались персональные данные, никто не может обязать формировать из них базу.

Базы данных

Вообще говоря, понятие баз данных, как в математике, так и юриспруденции неразрывно связано с поисковым аппаратом, позволяющем этой базой пользоваться. Только такая совокупность данных является базой, сведения в которой "… могут быть найдены с помощью специальной поисковой системы на основе электронных средств (компьютера) или других средств" (ст. 1 ЗУ "Об авторском праве и смежных правах").

Рассматриваемый же Закон превратил в базу персональных данных даже визитницу на столе. Обратимся к формулировке Закона:

"База персональных данных - именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных" (ст. 2).

Пачка визиток несомненно является совокупностью данных в форме картотеки. Помимо визитницы под понятие базы персональных данных подпадут папки с резюме соискателей, адресная книга служебного мобильного телефона, список должностных лиц клиентов, которым разосланы открытки к новому году, не говоря уже о подписчиках на корпоративном сайте и т.п. Закон не отличает базы данных от других форм упорядочивания данных.

Вопрос о том, что относить к базам данных, вовсе не праздный, поскольку любая база персональных данных подлежит регистрации. Правда регистрация будет уведомительной и необходимость направлять копию базы данных для целей регистрации Законом не предусмотрена. Тем не менее, нужно дождаться выхода Кабминовского постановления о Госреестре баз персональных данных, в котором могут появиться сюрпризы.

Очевидно, что без соответствующих ведомственных разъяснений трудно будет определить, по каким критериям квалифицировать совокупность данных в качестве базы и определить таким образом сферу действия Закона.

Кого это коснется

Из сформулированного Законом определения баз персональных данных следует, что положения этого Закона коснутся абсолютно всех. Но в первую очередь Закон затронет тех, чья профессиональная деятельность основана на оперировании базами данных. Это, прежде всего, рекрутинговые и кадровые агентства, агентства по недвижимости, провайдеры телекоммуникационных услуг, медицинские, образовательные, финансовые учреждения, социальные сети и т.п.

Основные обязанности и ограничения для владельцев баз персональных данных:

• 1) Прежде всего реципиентов необходимо уведомлять о цели, с которой собираются персональные данные. А цель, в свою очередь, должна быть указана во внутренних документах, регулирующих деятельность владельца базы. С этим связано и важное ограничение: нельзя собирать те персональные данные, которые не удовлетворяют заявленной цели. Цель конечно можно изменить, но с обязательным уведомлением каждого из уже существующих реципиентов.

• 2) Реципиент должен дать согласие на сбор персональных данных о себе в заявленном объеме. Более того, в качестве согласия расценивается только каким-либо образом задокументированное волеизъявление лица. Такое же согласие реципиента необходимо для доступа третьих лиц к его персональным данным.

Можно встретить утверждение, что если сбор информации осуществляется из открытых источников, то получение такого согласия не требуется. Это неверно. Открытость источников информации освобождает только от выполнения требования ч. 2 ст. 12 Закона, о котором ниже.

• 3) Положение ч. 2 ст. 12 является безусловным хитом этого Закона:

"Субъект персональных данных в течение десяти рабочих дней с дня включения его персональных данных в базу персональных данных уведомляется о своих правах, определенных этим Законом, цели сбора данных и лицах, которым передаются его персональные данные, исключительно в письменной форме".

Можно даже не обсуждать практическую выполнимость этой нормы. Она просто абсурдна. Ведь, давая согласие на сбор своих персональных данных в определенном объеме, реципиент может попросту отказаться предоставить свой адрес или указать его неверно.

• 4) Любой реципиент вправе знать: а) кто имеет доступ к его персональным данным; б) какая именно информация о нем хранится в базе; в) где хранится база данных и каково местонахождение ее владельца.

Высказывалось предложение хранить базы персональных данных на зарубежных серверах. Это не запрещено Законом, но не избавит лиц, находящихся под юрисдикцией украинского законодательства, о необходимости выполнять все требования этого Закона. Ведь применение его норм не определяется местонахождением базы.

• 5) Любой реципиент вправе получить доступ к своим персональным данным или просто получить информацию о их составе.

• 6) Персональные данные должны быть уничтожены, среди прочего, и в случае прекращения правоотношений владельца базы и реципиента. Эта норма нуждается в разъяснении. В каких, к примеру, правоотношениях с магазином находится покупатель, который после совершения покупки передал свои персональные данные для получении дисконтной карты? С какого момента эти правоотношения будут считаться прекратившимися?

Закон обратной силы не имеет

Сейчас сложно сказать, в какой части будет применяться Закон к тем базам, которые были созданы до его вступления в силу. А ведь момент создания большинства баз установить в принципе невозможно. На вопрос о том, будут ли такие базы подлежать последующей регистрации, должны ответить ведомственные нормативные акты.

Недостатки Закона

Персональные данные, в формулировке Закона, подпадают под правовой режим информации с ограниченным доступом. В предыдущих блогах уже говорилось о том, что такого режима не существует. Информация с ограниченным доступом – это общее название для совершенно различных режимов конфиденциальной и тайной информации. А какой из этих двух режимов применять к персональным данным Закон не указывает, что делает указанно положение абсолютно бессмысленным. Новая редакция Закона "Об информации" сделает это статус еще более неопределенным.

Под удар попадут только те компании, для которых невозможно скрывать наличие у них баз персональных данных, например, – рекрутинговые агентства или операторы телекоммуникационных услуг.

Закон не учитывает существование так называемых распределенных баз данных, фрагменты которых хранятся на сотнях серверов по всему миру. Конкретного почтового адреса места хранения такой базы не существует.

Чиновники уполномоченного органа по вопросам защиты персональных данных вправе получить доступ к помещениям, где осуществляется обработка персональных данных. Учитывая объем понятия "обработка данных" это может быть любое помещения любого офиса, от приемной до серверной. Следует ожидать появления ведомственного положения о проведении соответствующих проверок.

На основании п. 4 ч. 2. ст. 23 Закона чиновники вправе получить доступ к "информации, связанной с обработкой персональных данных в базе персональных данных". А CRM-база компании зачастую составляет 95% стоимости всего бизнеса.

Высказывается мнение, что Закон наконец-то даст легальный инструмент в борьбе со спамом. Это не так, поскольку недобросовестно используемые электронные адреса, особенно на публичных сервисах, как правило, обезличены.

Ответственность

И, наконец, самое главное. Ответственность за нарушения Закона все еще не установлена. Скорее всего, следует ожидать введения административной ответственности за нарушение его положений, которая может быть определена только Законами Украины. А, учитывая загруженность Верховной Рады, легко предположить, что Закон на практике заработает не скоро.

Тем не менее, не стоит недооценивать серьезность этого вопроса. В зарегистрированном в ВР законопроекте № 7355 предлагается ввести, в том числе, и уголовную ответственность за нарушение требований о защите информации вплоть до ограничения свободы на срок до трех лет.