Авторські блоги та коментарі до них відображають виключно точку зору їхніх авторів. Редакція ЛІГА.net може не поділяти думку авторів блогів.

MicrosoftInternetExplorer4

 

Кілька років правозахисники різних рівнів наполягали на необхідності прийняття закону, який би захищав персональні данні. Проект зазначеного закону з 1997 року обговорювався за участю представників міністерств, відомств, організацій, науковців, громадськості та засобів масової інформації. І, коли нарешті такий закон прийнято, маємо хвилю критики. Бажання деяких правників представити себе в ролі «голосу народу» інколи викликає подив. Пошук недоліків у всіх діях влади лише через те, що її представники не належать до улюбленої політичної сили – це непрофесійно. Більше того, невдоволення зазначений закон викликав у єврофілів. Адже він був прийнятий саме завдяки бажанню України влитися в цивілізовану Європу, привести національне законодавство у відповідність до європейського уявлення про права і свободи людини в сфері персональних даних.

 

Повернення в Союз

 

Будь-який союз, навіть Європейський, це все одно союз. Ознайомлення з директивою № 2002/58/ЕС "Про обробку персональних даних і захисту недоторканності приватного життя в секторі електронних комунікацій" може шокувати громадян країни, яка лише недавно звільнилися «з-під ярма КДБ». Однак мало хто безпосередньо знайомий із нормативними актами ЄС у сфері обігу персональних даних, яке розроблено в дусі орвеллівського "Великого Брата". Саме намагання отримати безвізовий режим поїздок до країн Євросоюзу повертає нас у часи КДБ.

 

Закон «Про захист персональних даних» від 1 червня 2010 року N 2297-VI (далі – Закон) орієнтований саме на норми європейського права. Звісно, знайти недоліки можна у будь-якому нормативному акті. І зазначений Закон не виключення. З однієї сторони, він покликаний захистити право на приватність. А з іншого - може дещо ускладнити життя українському бізнесу. Важко уявити собі компанію, яка б існувала на ринку, не збираючи інформації про покупців, конкурентів, абонентів... Перш за все, занепокоєння викликав припис для всіх підприємств та організацій усіх форм власності проводити державну реєстрацію баз персональних даних. При цьому під персональними даними розуміється досить широка інформація.

 

Широта розуміння

 

У вітчизняному Законі "персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована". У російському Законі "Про персональні дані" від 27.07.2006 року "персональні дані - це будь-яка інформація, що відноситься до певної або визначеній особі (суб'єкту персональних даних), у тому числі її прізвище, ім'я, по батькові, рік, місяць, дата і місце народження, адреса, сімейне, соціальне, майнове положення, освіта, професія, доходи, інша інформація. У Законі Польщі від 1997 року ("Ustawa z dnia 29 sierpnia 1997 r . o ochronie danych osobowych ") "дані особистого характеру означають будь-яку інформацію, що стосується ідентифіковано ї або такої, що може бути ідентифікованою особи. Інформація не вважається ідентифікуючою особу, якщо така ідентифікація буде пов'язана з надмірними витратами часу і зусиль". У європейській Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних, підписаної в м. Страсбурзі 28.01.1981 року «персональні дані - це інформація, яка стосується конкретної або такої, що може бути ідентифікованою особи». Тобто український законодавець розуміє поняття «персональні дані» не ширше, ніж європейський.

 

Проблема візитних карток

 

В самому визначенні персональних даних, взятому за зразком європейської конвенції, криється неоднозначність. Згідно з Законом під поняття бази персональних даних підпадає будь-який файл в будь-якому вигляді з персональною інформацією, наприклад, база контактів в мобільному телефоні або створена програмою "Outlook" .

 

Доводилось зустрічатись з думкою про те, що з набранням чинності Законом доведеться реєструвати як базу даних власну візитницю. Дійсно, наведене в Законі визначення терміну "база персональних даних", виходячи з якого вона може існувати, в тому числі, і у формі картотеки (ст. 2). Тобто візитниця, що містить візитки з даними осіб формально є базою персональних даних у формі картотеки, і, отже, вимагає державної реєстрації. Відповідно до ст. 1 дія Закону не поширюється , зокрема, на "діяльність зі створення баз персональних даних та обробки персональних даних у цих базах фізичною особою - виключно для непрофесійних особистих чи побутових потреб". Тобто візитницю з даними своїх улюблених перукарів, сантехників та ветеринарів улюблених котів реєструвати не доведеться, як таку, що використовується для особистих та побутових потреб. Проте, якщо до візитниці зібрано візитки ділових партнерів, то вона використовується вже для професійних потреб. Таким чином, проблема полягає лише в одному слові – «непрофесійних».

 

Доречи, в ст. 3а польського закону, яка окреслює сферу його дії, зазначено, закон не поширюється на осіб, які обробляють дані тільки для особистого або домашнього використання. Тобто використання бази даних, у тому числі у формі картотеки візиток, не пов’язується з професійною діяльністю. Крім того, тим, хто готується до реєстрації своєї візитниці як бази даних, варто врахувати, що Закон «Про інформацію» вказує, що статус конфіденційної інформації присвоюється її власником. Тобто фактично будь-яка особиста інформація може бути визнана конфіденційною. Але при цьому конфіденційними за визначенням не можуть бути дані, які сама особа добровільно поширює , в тому числі за допомогою візитних карток .

 

 

Civilization_vs_black_magic.jpg

 

Уникнути невизначеностей в розумінні та застосуванні терміну "база персональних даних" допоможе ратифікація Конвенції Ради Європи "Про захист фізичних осіб при автоматизованій обробці персональних даних" від 28 січня 1981 року (Україною підписано ще у 2005 році), а також внесення змін до закону або розробка нормативно-правових актів, передбачених цим Законом, з врахуванням всієї нормативної бази ЄС (а не зкопійованого терміну без врахування контексту) та іноземного досвіду, зокрема, згадуваного польського закону, оскільки він відповідає вимогам усіх директив ЄС в цій сфері. Так, відповідно до нормативних актів ЄС або закону Польщі (ст. 27) персональні дані поділяються на дані загального характеру (ПІБ, дата і місце народження, громадянство, місце проживання) та вразливі персональні дані (дані про стан здоров’я; етнічна належність; ідентифікаційні коди; підпис; відбитки пальців, фотографії; дані про розмір доходів, про вклади і рахунки в банках, нерухомість, податковий статус; кредитна історія; дані про судимість та інші форми притягнення особи до відповідальності; результати іспитів тощо). Вітчизняний Закон мав би заборони ти збирання, зберігання, використання та поширення без згоди суб’єкта даних саме вразливих персональних даних, а не взагалі усіх персональних даних. Саме такий поділ персональних даних вирішив би «проблему візитних карток».

 

Бракує повноважень…

 

Законом передбачено створення уповноваженого державного органу з питань захисту персональних даних. Уповноважений орган, серед іншого, буде наділений контрольно-наглядовими повноваженнями (ст. 23). Тобто колл-центри, банки, страхові компанії, маркетингові агенції і практично будь-які компанії, що мають базу даних свої клієнтів, отримають нову категорію державних перевіряючих з майже необмеженими повноваженнями.

 

З іншої сторони, наразі невідомо чи буде створено окрему інституцію, або відповідні повноваження буде покладено на вже існуюче міністерство чи відомство (це може бути і Національна комісія з питань зв'язку, і Міністерство транспорту та зв'язку, і Міністерство юстиції). Додатковий протокол до Конвенції Ради Європи № 108 вимагає, щоб цей орган мав гарантії незалежності. Адже він має надавати обов"язкові до виконання приписи будь-яким суб’єктам (в тому числі Президенту, Кабінету Міністрів, судам, парламенту, прокуратурі) в разі порушення закону про захист персональних даних.

 

Враховуючи зазначене, а також можливі зловживання з боку представників Уповноваженого органу до недоліків Закону можна віднести те, що питання створення і діяльності цього органу мають регулюватися підзаконними нормативними актами. Орган виконавчої влади за своєю суттю не може давати обов’язкові вказівки Президенту , парламенту, суддям чи правоохоронним органам. Отже, контроль за дотримання закону щодо захисту персональних даних в органах влади буде практично відсутнім. Доречи, ці питання в Польщі детально врегульовані саме згадуваним законом, який передбачає існування окремої незалежної інституції – Генерального інспектора з охорони персональних даних.

 

…та відповідальності

 

В умовах беззахисності приватної інформації і постійних витоків з баз даних позитивним фактом є сама наявність Закону. Нарешті можна сподіватися на те, що Закон обмежить набридливі спамерські розсилки та можливості для торгівлі чужими даними - сьогодні купити нелегальну або напівлегальну базу даних можна на більшості розкладок. Та чи буде Закон працювати на практиці?

 

Закон у ст. 28 містить загальне положення про те, що порушення законодавства про захист персональних даних тягне за собою відповідальність, встановлену законом. Але Закон не передбачає внесення змін ні в КК України, ні в КУпАП . Тобто в протиріччя вимогам Директиви ЄС від 24 жовтня 1995 року N 95/46/ЕС Законом не встановлено відповідальності за порушення законодавства про захист персональних даних. До врегулювання питання про відповідальність втрачається сенс існування всього Закону.

 

Час на підготовку

 

Як зазначалося, виходячи з наведеного в Законі визначення поняття "персональні дані" (ст. 2), практично всі підприємства і підприємці ведуть в якомусь вигляді бази персональних даних. У деяких компаній (рекламний бізнес, колл-центри) кількість баз вимірюється сотнями. Складно уявити обсяг роботи Уповноваженого органу, а також фінансові та організаційні ресурси на обслуговування Державного реєстру баз персональних даних . Мабуть тому Законом передбачено, що фінансування робіт із забезпечення захисту персональних даних буде здійснюватися, в тому числі, і за рахунок коштів господарюючих суб'єктів, пов'язаних з персональними даними (ст. 26). Навряд чи ця можливість зробити процедуру платною буде проігнорована. Слід очікувати або на введення збору за внесення відомостей до реєстру , або на отримання технічних регламентів за плату (про платний доступ до ДСТУ та ДБН тут http://www.v-home.com.ua/news/show/353-normativnyie-dokumentyi-platnyiy-dostup).

 

Вартою уваги обставиною є і те, що Закон набуває чинності з 1 січня наступного року (ч. 1 ст. 31). Тобто, суб'єктам господарювання надано лише півроку на приведення своєї діяльності у відповідність з вимогами Закону . З огляду на його зміст, є всі підстави вважати, що протягом такого короткого терміну це технічно неможливо. В Російській Федерації, де умови ведення бізнесу наближені до вітчизняних, цей термін складає близько чотирьох з половиною років і аналогічний Закон РФ прийнятий 27.07.2006 року набуває чинності в повному обсязі 1 січня 2011 р .

 

Можна сподіватись на те, що набрання чинності Законом буде відстрочено. Проте, щоб не ставити під загрозу нормальне функціонування компанії вже час  запланувати витрати на впровадження нових технологій, які дозволять досягти відповідності з положеннями Закону .

Якщо Ви помітили орфографічну помилку, виділіть її мишею і натисніть Ctrl+Enter.
Останні записи
Контакти
E-mail: [email protected]