Защитит ли НДС Закон о защите персональных данных!
1 января 2011 года вступил в силу Закон о защите ПД. Принятие этого Закона для Украины стало крайне необходимым, так как состояние нормативно-правовой базы по защите персональных данных находится в плачевном состоянии.
Украина до принятия Закона о защите ПД оставалась в списке немногих демократических стран, где такого закона не было. Более того, в Украине существует более двух десятков законов, регулирующих общественные отношения, связанные со сбором, хранением, использованием и распространением информации о лице (персональных данных), но ни один из них не имеет четкого определения персональных данных. И это в эпоху Интернета, когда в базах данных накапливается информация о гражданах, которые во многих случаях даже не защищены.
Украина запаздывает почти на четверть века как с подписанием международных соглашений, так и с внедрением соответствующих норм международного права по защите персональных данных (ПД). Только в 2005 году подписана Конвенция о защите лиц в связи с автоматизированной обработкой ПД, ратифицированная в 2011 году.
Европейское право охватывает почти два десятка общеевропейских конвенций, директив и рекомендаций по вопросам защиты ПД, каждая страна ЕС выдала свои базовые нормативно-законодательные акты, приняты конкретные законы: о деятельности с персональными данными в медицинской, статистической, государственной, журналистской, полицейской и других сферах. Аналогичные законы приняты во многих странах мира, в том числе - в странах СНГ, в частности в России.
Учитывая необходимость применения современных технологий при автоматизированной обработке информации о личности, а также возникновения угрозы для конкретного человека относительно утечки и несанкционированного использования ПД, многие европейские страны подписали Конвенцию о защите лиц при автоматизированной обработке ПД. Принципы, содержащиеся в Конвенции, уточняются и расширяются в Директиве 95/46/ЕС и в Директиве 97/66/ЕС.
Принятый Закон о защите ПД можно вполне серьезно назвать многострадальным, так как разрабатываться он начал еще в далеком 1997 году и при этом имел 8 версий в 23 редакциях. Проект закона о защите ПД был принят 16 марта 2006 года, после чего дорабатывался по поручению Верховной Рады Украины и с учетом предложений Президента Украины.
Принятие этого Закона является важным как для рядового гражданина Украины, то есть защиты частной жизни каждого из нас, так и для представителей бизнеса, поскольку защита ПД необходима в условиях стремительного развития научно-технического прогресса и его влияния на бизнес.
Цели и задачи закона о защите ПД
Цель принятия Закона о защите ПД - улучшение нормативно-правового обеспечения защиты ПД в Украине согласно международному праву, законодательству Европейского сообщества, содействие социальному, экономическому и научно-техническому прогрессу и обеспечение баланса прав человека, общества и государства в этой сфере общественных отношений.
Задачи настоящего Закона - создание правовой базы государственного регулирования общественных отношений человека, общества и государства в условиях действенной защиты гражданских прав в сфере ПД; установление прав и гарантий, обязанностей и ответственности всех субъектов деятельности, связанной с защитой ПД; обеспечение равноправного и взаимовыгодного международного сотрудничества.
Сфера действия закона о защите ПД
Закон о защите ПД регулирует отношения, связанные с защитой ПД во время их обработки, и распространяется всеми владельцами и распорядителями персональных данных.
Действие данного Закона не распространяется на деятельность по созданию баз персональных данных и обработке персональных данных в этих базах (абзац 2 ст. 1 Закона о защите ПД):
- физическим лицом - исключительно для непрофессиональных личных или бытовых потребностей;
- журналистом - в связи с выполнением им служебных или профессиональных обязанностей;
- профессиональным творческим работником - для осуществления творческой деятельности.
К основополагающим терминам данного Закона следует отнести термины «персональные данные», «база персональных данных», «обработка персональных данных».
Персональные данные - сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано.
Таким образом, к ПД может быть отнесена информация, относящаяся к определенному или однозначно определяемому на основании этой информации физическому лицу, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
То есть речь идет о сведениях, вводимых, хранящихся, обрабатываемых и передаваемых в информационной системе: - касающихся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
- позволяющих идентифицировать субъекта персональных данных и получить о нем дополнительную информацию (например, данные об абитуриентах, проходящих внешнее независимое оценивание, данные, приведенные в резюме с целью трудоустройства, электронная социальная карточка* и т.д.);
- обезличенных и (или) общедоступных ПД (например, уровень заболеваемости гриппом, количество вкладчиков депозитов, уровень безработицы, количество туристов, посетивших ту или иную страну и т.д.).
К примеру, обычная поликлиническая карта содержит фамилию, имя, отчество, адрес, номера страховых полисов и сведения о здоровье. Следовательно, любые медицинские данные, а также кадровый учет, содержащий графу «национальность» и (или) «вероисповедание», партийную приэлектронная социальная карточка призвана дать возможность определить, где и какие затраты в государстве идут на социальные выплаты, кто получает выплаты и т.д. В качестве эксперимента электронная социальная карточка будет внедрена в Киеве, а также в Харьковской и Черновицкой областях надлежность, относятся к ПД.
Под базой персональных данных следует понимать совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек ПД.
Законом о защите ПД дано следующее определение термину «обработка персональных данных» - любое действие или совокупность действий, осуществленных полностью или частично в информационной (автоматизированной) системе и/или в картотеках ПД, которые связаны со сбором, регистрацией, накоплением, хранением, адаптированием, изменением, обновлением, использованием и распространением (реализацией, передачей), обезличением, уничтожением сведений о физическом лице.
Исходя из приведенного в Законе определения понятия «персональные данные», можно утверждать, что практически все предприятия и предприниматели ведут в каком-то виде базы ПД. На сегодняшний день в некоторых компаниях (рекламный бизнес, колл-центры, дата-центры) количество баз ПД измеряется сотнями. Это означает, что все они должны будут зарегистрироваться в качестве владельцев баз ПД и регистрировать имеющиеся у них базы. При таких обстоятельствах сложно даже представить объем работы контролирующего органа, а также финансовые и организационные ресурсы государства на обслуживание регистрации ПД.
Законом о защите ПД предусмотрено, что финансирование работ по обеспечению защиты ПД будет осуществляться, в том числе, и за счет средств хозяйствующих субъектов, связанных с персональными данными (ст. 26 Закона о защите ПД). То есть государство вряд ли проигнорирует возможность сделать данную процедуру платной.
Субъекты отношений, связанных с персональными данными
Субъекты отношений, связанных с ПД, приведены в табл.1.
Таблица 1
| N п/п | Субъект отношений | Примечание |
| 1. | Субъект ПД | Физическое лицо, по которому в соответствии с законом осуществляется обработка его ПД |
| 2. |
Владелец базы ПД |
Физическое или юридическое лицо, которому законом или при согласии субъекта ПД предоставлено право на обработку этих данных, которое утверждает цель обработки персональных данных в этой базе данных, устанавливает состав этих данных и процедуры их обработки, если иное не определено законом |
| 3. |
Распорядитель базы ПД |
Физическое или юридическое лицо, которому владельцем базы ПД или законом предоставлено право обрабатывать эти данные |
| 4. |
Третье лицо |
Любое лицо, за исключением субъекта ПД, владельца или распорядителя базы ПД и уполномоченного государственного органа по вопросам защиты ПД, которому владелец или распорядитель базы ПД передает ПД в соответствии с законом |
| 5. |
Уполномоченный государственный орган по вопросам защиты ПД | Центральный орган исполнительной власти, к полномочиям которого относится защита ПД |
| 6. |
Другие органы государственной власти и органы местного самоуправления, к полномочиям которых относится осуществление защиты ПД | . |
Следует отметить, что такой субъект отношений, как третье лицо, в проекте Закона о защите ПД изначально не был предусмотрен. Он был внесен в данный Закон авторами в окончательной редакции, которые таким образом расширили перечень субъектов отношений, связанных с ПД, лицами, которым передаются ПД.
Владельцами или распорядителями базы ПД могут быть предприятия, учреждения и организации всех форм собственности, органы государственной власти или органы местного самоуправления, физические лица - предприниматели, которые обрабатывают персональные данные в соответствии с законом.
Распорядителем базы ПД, владельцем которой является орган государственной власти или орган местного самоуправления, кроме этих органов, может быть лишь предприятие государственной или коммунальной формы собственности, которая относится к сфере управления этого органа.
Объекты защиты
Объектами защиты, согласно Закону о защите ПД, являются:
- персональные данные, обрабатываемые в базах ПД;
- персональные данные, кроме обезличенных ПД, которые по режиму доступа являются информацией с ограниченным доступом.
Общие требования к обработке персональных данных
Закон о защите ПД содержит вполне понятные основные требования к обработке баз ПД, которые сводятся к следующим десяти принципам:
1) цель обработки ПД должна быть сформулирована в законах, других нормативно-правовых актах, положениях, учредительных или других документах, регулирующих деятельность владельца базы персональных данных, и отвечать законодательству о защите ПД;
2) персональные данные должны быть точными, достоверными, в случае необходимости - обновляться;
3) состав и содержание ПД должны быть соответствующими и нечрезмерными относительно определенной цели их обработки;
4) первичными источниками сведений о физическом лице являются: выданные на его имя документы; подписанные им документы; сведения, которые лицо предоставляет о себе;
5) обработка ПД осуществляется для конкретных и законных целей, определенных при согласии субъекта ПД, или в случаях, предусмотренных законами Украины, в порядке, установленном законодательством;
6) не допускается обработка данных о физическом лице без его согласия, кроме случаев, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека;
7) если обработка ПД необходима для защиты жизненно важных интересов субъекта ПД, обрабатывать персональные данные без его согласия можно до времени, когда получение согласия станет возможным;
8) персональные данные обрабатываются в форме, допускающей идентификацию физического лица, которого они касаются, в срок, не более, чем это необходимо в соответствии с их законным назначением;
9) использование ПД в исторических, статистических или научных целях может осуществляться лишь в обезличенном виде;
10) типичный порядок обработки ПД в базах персональных данных утверждается уполномоченным государственным органом по вопросам защиты ПД.
К сожалению, эти требования нельзя назвать безупречными, поскольку некоторые из них нецелесообразны и невыполнимы и вызывают множество вопросов.
Например, Законом о защите ПД установлено положение о том, что обработка ПД может осуществляться только в соответствии с целью такой обработки, которая формулируется при получении у субъекта ПД согласия на обработку данных. В каждом случае изменения цели использования ПД владелец базы ПД должен повторно обратиться к субъекту ПД за получением согласия на использование его ПД уже для новой цели (абзац 2 ч. 1 ст. 6 Закона о защите ПД). Логично предположить, что во избежание необходимости направлять повторные запросы субъекту ПД для получения согласия компании при получении первичного согласия у субъекта на использование его данных будут практиковать формы запроса, в которых цель обработки данных будет указана как можно обширней.
Законом о защите ПД также установлено, что цель обработки ПД должна быть сформулирована в уставных документах владельца базы ПД (ч. 1 ст. 6). Весьма вероятно, что в связи с этим в уставы многих компаний нужно будет вносить изменения.
Регистрация баз ПД
Законом о защите ПД предусмотрено создание Государственного реестра баз ПД с обязательным требованием к владельцам баз ПД по регистрации всех баз в данном реестре (ч. 1 ст. 9). При этом сегодня такого органа не существует, а положение о Госреестре еще должен принять Кабмин Украины. Более того, согласно ч. 6 ст. 9 данного Закона, владельцы баз ПД должны будут уведомлять Уполномоченный государственный орган по вопросам защиты ПД о каждом факте изменения распорядителя базы ПД, целей обработки, места расположения базы (с соответствующим внесением изменений в Государственный реестр).
Можно с уверенностью констатировать, что реализация данного положения Закона о защите ПД будет весьма затруднительной. Ведь, подавая заявление о регистрации базы ПД, заявитель, среди прочего, должен указать информацию о распорядителе базы ПД и местонахождение базы (то есть место хостинга) (абзацы 5, 7 ч. 3 ст. 9 Закона о защите ПД).
В данной норме не учитывается то, что о месте физического расположения оборудования, которое используется для хранения базы ПД, часто знает лишь соответствующий дата-центр, но никак не владелец или распорядитель базы. К тому же, если база ПД является составной частью Интернет-сайта, то изменение хостинга влечет за собой обязательство владельца базы ПД уведомлять об этом уполномоченный государственный орган по вопросам защиты ПД.
Контроль за соблюдением законодательства о защите ПД
Статьей 23 Закона о защите ПД предусмотрено создание Уполномоченного государственного органа по вопросам защиты персональных данных, который:
1) обеспечивает реализацию государственной политики в сфере защиты ПД;
2) регистрирует базы ПД;
3) ведет Государственный реестр баз ПД;
4) осуществляет в пределах своих полномочий контроль за соблюдением требований законодательства о защите ПД с обеспечением в соответствии с законом доступа к информации, связанной с обработкой ПД в базе персональных данных, и к помещениям, где осуществляется их обработка;
5) выдает обязательные для выполнения законные требования (предписания) об устранении нарушений законодательства о защите ПД;
6) рассматривает предложения, запросы, обращения, требования и жалобы физических и юридических лиц;
7) организовывает и обеспечивает взаимодействие с иностранными субъектами отношений, связанных с ПД;
8) принимает участие в работе международных организаций по вопросам защиты ПД.
Необходимо обратить внимание, что Уполномоченный государственный орган по вопросам защиты ПД, среди прочего, наделен контрольно-надзорными полномочиями в сфере защиты ПД.
Так, его представителям предоставлено право свободного доступа к любым помещениям, где осуществляется обработка ПД либо находятся базы персональных данных. Таким образом, коллцентры, банки, страховые компании, маркетинговые агентства и практически любые предприятия получат новую категорию государственных проверяющих с почти неограниченными полномочиями, что вряд ли порадует собственников этих компаний.
Ответственность за нарушение законодательства о защите ПД
Законом о защите ПД не установлено конкретной ответственности за нарушения законодательства о защите ПД. Следует отметить, что в законодательстве других стран ответственность за конкретные нарушения часто выписана прямо в тексте самого закона.
Конечно, можно найти подобные нормы, предусматривающие ответственность за нарушения законодательства о защите ПД в УК Украины и ГК Украины, но Законом о защите ПД определено, что ответственность за нарушение законодательства о защите ПД устанавливается именно Законом о защите ПД (ст. 28), что исключает возможность установления штрафных санкций нормативно-правовым актом уполномоченного органа либо других органов исполнительной власти.
Но в Верховной Раде уже принят за основу Проект закона N 7355, который устанавливает вполне конкретную ответственность физических и юридических лиц за правонарушения в этой сфере. Например, предполагается, что уклонение от регистрации баз данных или работа с ними до регистрации в соответствующем органе может повлечь взыскание штрафа в размере от 300 до 500 НМДГ (5100 - 8500 грн) на граждан и от 500 до 1000 НМДГ (8500 - 17000 грн) на должностных лиц. Несанкционированное распространение персональных данных может повлечь за собой два года лишения свободы.
Плюсы и минусы закона о защите ПД
Анализируя Закон о защите ПД, можно сказать, что он сыроват и требует существенной доработки, поскольку даже определение понятия «персональные данные» создает массу возможностей для злоупотреблений. Плюсы и недостатки Закона о защите ПД приведем в табл.2
Таблица 2
| N п/п | Характеристика недостатков и плюсов | Примечания |
| Недостатки Закона о защите персональных данных | ||
| 1. |
Нечеткая формулировка термина «персональные данные» |
Под определение «персональные данные» подпадают практически любые сведения о человеке, содержащиеся в многочисленных базах предприятий, работающих на розничном рынке с конечным потребителем. Нечеткость формулировки законодателя приведет к неоднозначности толкования норм данного Закона и к злоупотреблениям как со стороны создателей и пользователей баз данных, так и со стороны контролирующих органов |
| 2. |
Создание уполномоченного государственного органа по вопросам защиты ПД | Государственное регулирование защиты ПД созданием специального органа в структуре органов исполнительной власти противоречит европейским нормам в данной сфере правоотношений. В странах ЕС защита ПД обеспечивается независимым органом, административный, рыночный и политический нейтралитет которого закреплены государством |
| 3. |
Бизнесу осложнили жизнь |
С принятием Закона о защите ПД представителям бизнеса следует ожидать появления новых контролирующих и проверяющих органов, которые будут следить за соблюдением норм нового нормативного акта. Персональные базы бизнес-партнеров поставлены вне закона: списки клиентов или деловых контактов благодаря расплывчатым формулировкам Закона формально подпадают под определение базы ПД. Кроме того, теперь компаниям необходимо получать письменное согласие сотрудников и клиентов на использование их личных данных. Отсутствие таких документов может привести к применению санкций соответствующих контролирующих органов |
| 4 |
Наличие Интернета проигнорировано |
Закон о защите ПД не регулирует потребности Интернет-компаний. В частности, в данном Законе не прописан механизм получения письменных разрешений пользователя на предоставление дистанционных услуг, а соответственно - и дистанционных транзакций с участием персональных данных пользователя |
| 5 |
Не разделены идентифици рующие (фамилия, имя, отчество, дата и место рождения) и уязвимые (данные о состоянии здоровья, этническая принадлежность, отношение к религии и др.) ПД |
Согласно европейским стандартам именно уязвимые данные запрещены для использования без согласия субъекта |
| 6 |
Всеобъемлемость Закона о защите ПД | Под действие Закона о защите ПД подпадает любая общественная и коммерческая деятельность |
| Плюсы Закона о защите персональных данных | ||
| 1 |
Шаг навстречу Европе |
Принятый Закон о защите ПД, по большей части, внедряет прогрессивные европейские стандарты, установленные Конвенцией о защите лиц в связи с автоматизированной обработкой ПД |
| 2 |
Защита от почтового и мобильного спама | Появился шанс привлечь к ответственности компании и должностных лиц , которые занимаются сбором данных о физических лицах и продают эту информацию для использования в рекламных рассылках |
| 3 |
Контроль за распростране нием личных данных |
Лицо имеет право получить информацию о том, в каких именно базах находятся его ПД. Это гарантирует осведомленность каждого о том, откуда то или иное учреждение, предприятие или лицо получило его ПД и с какой целью. Но реализация данного права четко не установлена: Закон о защите ПД надлежащим образом не обеспечивает основания и внятную процедуру уведомления граждан |
| 4 |
Легализация рынка сбора и обработки личных данных | Принятие Закона о защите ПД важно для регулирования деятельности, связанной со сбором и обработкой личных данных граждан, что облегчит открытие компаний, готовых законно зарабатывать деньги на ПД |
Как видно из описанного выше, Закон о защите ПД содержит немало положений и требований, выполнение которых существенно усложняет деятельность многих компаний или вообще ставит под угрозу их нормальное функционирование. Возможно, после утверждения КМУ нормативно-правовых актов, устанавливающих механизм выполнения данного Закона, ситуация прояснится. Все зависит от своевременной и надлежащей реакции на данный Закон со стороны представителей заинтересованных бизнес-отраслей.
Список использованных документов
ГК Украины - Гражданский кодекс Украины
УК Украины - Уголовный кодекс Украины
Закон о защите ПД - Закон Украины от 01.06.2010 г. N 2297-VI «О защите персональных данных»
Конвенция о защите лиц в связи с автоматизированной обработкой ПД - Конвенция Совета Европы от 28.01.1981 г. N 108 «О защите лиц в связи с автоматизированной обработкой персональных данных», вступила в силу для Украины 1 января 2011 года
Директива 95/46/ЕС - Директива 95/46/ЕС Европейского парламента и Совета Европейского союза от 24.10.1995 г. «О защите прав частных лиц применительно к обработке персональных данных и о свободном движении таких данных»
Директива 97/66/ЕС - Директива 97/66/ЕС Европейского парламента и Совета Европейского союза от 15.12.1997 г. «Об обработке персональных данных и защите приватности в телекоммуникационном секторе»
Проект закона N 7355 - Проект закона Украины от 11.11.2010 г, N 7355 «О внесении изменений в некоторые законодательные акты Украины относительно нарушения законодательства о защите персональных данных» (принят в первом чтении 3 февраля 2011 г.)
“Экспресс анализ законодательных и нормативных актов”, N 7 (789),
14 февраля 2011 г.
Подписной индекс 40783