О круглом столе на тему защиты персональных данных

Как и следовало ожидать,   дебаты и обсуждения того, что это за закон такой - «О защите персональных данных», и как его применять на конкретном предприятии, с определенным видом деятельности, порождают еще больше вопросов.

Однако, конкретному предприятию нужно работать и работать в соотвествии с законом. Последнее означает, что предприятию нужно самому разрабатывать схему "взаимоотношений" с персональными данными физических лиц, опираясь при этом на положения Закона. Так как Законом не предусмотрено универсальной схемы для всех.

Впрочем, последнее объясняется очень легко. Персональные данные – по сути информация, а информационные бизнес-процессы на каждом предприятии уникальны ввиду отраслевого характера последнего.  Иными словами перечень баз данных и цели их обработки в каждой отрасли будут отличаться, кроме, пожалуй, самых типовых: «Работники» и «Клиенты».

Наиболее показательная отрасль в этом контексте - туристическая, поскольку требуется организовать систему защиты персональных данных туриста (физического лица), которые проходят, к примеру, через "руки" и санатория/базы отдыха и туроператора.

Та же проблема возникает в медицинском учереждении, поскольку данные (например, диагноз, находящийся в медкарточке) пациента попадают в распоряжение ряда медицинского персонала.

Как следует из практического опыта приведения системы документооборота относительно персональных данных в соответствие с требованиями Закона в родственных отраслях, положения Закона лишь в общем определяют цель обработки персональных данных. И не самым страшным последствием этого является то, что названия баз данных, целей их обработки и правовые обоснования  будут вводить в заблуждение даже контролирующий и проверяющий орган.

А ведь пока отсутствует даже судебная практика обжалования решений Государственной службы Украины по вопросам защиты персональных данных.

Таким образом, в Закон уже заложена необходимость его интерпретации применительно к каждой отрасли. В свою очередь, каждое предприятие имеет свои организационные особенности. Имея небольшой опыт взаимодействия с правовым механизмом защиты персональных данных, Закон без отраслевых и подотраслевых разъяснений и рекомендаций не будет работать в полной мере.