Суперечності законів про захист персональних даних

Прийняття законів про захист персональних даних є досить неоднозначним. При цьому слід зазначити, що вже в наступному році наступає адміністративна і кримінальна відповідальність за порушення їх норм. Однак зараз уже є інформація щодо перевірок виконання вимог даного законодавства при повній відсутності розуміння і різного тлумачення положень цих законів. Нижче ми розглянемо самі суперечливі з них.

Згідно з положеннями Закону України “Про захист персональних даних”, який набрав чинності 1 січня 2011 року, та Закону Україні “Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних”, який набирає чинності 1 січня 2012 , утворена Державна служба України з питань захисту персональних даних для обліку персональних даних. Так 1 січня 2012 настає адміністративна та кримінальна відповідальність за порушення норм цих законів.

Стопка візиток – теж база персональних даних?

Аналіз норм Закону України “Про захист персональних даних” дає підставу зробити висновок, що персональними даними може бути визнана практично будь-яка інформація про людину. Слід зазначити, що згідно із законодавством більшості європейських держав персональні дані поділяються за критерієм “чутливості” на дані загального характеру (прізвище, ім’я, по батькові, дата і місце народження, громадянство, місце проживання) і “чутливі” (вразливі) персональні дані (дані про стан здоров’я (історія хвороби, діагнози) етнічна приналежність, ставлення до релігії, ідентифікаційні коди чи номери, відбитки пальців, записи голосу, фотографії, кредитна історія, дані про судимість тощо). Для чутливих персональних даних передбачена більш висока ступінь захисту. Так, забороняється збирання, зберігання, використання та передача без згоди суб’єкта даних саме чутливих, а не всіх персональних даних.

У Законі України “Про захист персональних даних” така класифікація відсутня. В результаті цього, розповсюдження всіх без винятку персональних даних, у тому числі навіть прізвища, ім’я, по батькові особи, може здійснюватися тільки за попередньою згодою цієї особи.

Отже будь-яка база клієнтів, список телефонів бізнес-партнерів чи просто стос візитівок підпадають під категорію бази персональних даних та потребують реєстрації.

Невиправданою також є всеосяжність Закону України “Про захист персональних даних”: базою персональних даних визнається не тільки база даних в автоматизованих комп’ютерних системах (як у європейській практиці), а й паперові картотеки – такою картотекою, як приклад, можна вказати папку з договорами. Всі такі “бази персональних даних” потрібно реєструвати в державному реєстрі (це означає, що за обсягом він швидко перевищить реєстр ЄДРПОУ).

Нецільове використання – незаконне

Законом встановлено положення про те, що обробка персональних даних може здійснюватися тільки відповідно до мети обробки, яка була сформульована при отриманні у суб’єкта персональних даних згоди на обробку даних. У кожному разі зміни мети використання персональних даних, власник бази персональних даних повинен повторно звернутися до суб’єкта персональних даних за отриманням згоди на використання його персональних даних вже для нової мети. Однак у Законі відсутні норми, які б деталізували і конкретизували його застосування для окремих категорій суб’єктів (страхові компанії, медичні установи, банки і т.п.).

Законом встановлено, що обов’язок власника персональних даних полягає в тому, щоб повідомляти виключно в письмовій формі суб’єкту персональних даних про його права у зв’язку з включенням його даних у базу персональних даних протягом 10 робочих днів з дати такого розміщення. Варто зазначити, що така вимога Закону не є доцільною. Адже будь-яка обробка персональних даних є можливою після отримання попередньої документованої згоди суб’єкта персональних даних.

Тому незрозуміло, не тільки для чого додатково повідомляти суб’єкту персональних даних про його права у зв’язку з включенням його даних у базу, якщо від нього попередньо отримано згоду використання його даних (та ще й у письмовій формі), а ще й встановлення адміністративної відповідальності у вигляді штрафних санкцій за таке не повідомлення або у випадку несвоєчасного повідомлення.

Підставами (згідно закону) виникнення права на використання персональних даних є:

  • Згода суб’єкта персональних даних на обробку його персональних даних. Суб’єкт персональних даних має право за згодою внести застереження щодо обмеження права на обробку своїх персональних даних;
  • Дозвіл на обробку персональних даних, наданих власнику бази персональних даних відповідно до закону виключно для здійснення його повноважень.

При цьому, якщо суб’єкт персональних даних відмовляється надати згоду на обробку його персональних даних, власник бази повинен знищити всі персональні дані такого суб’єкта.

Цілком логічним є запитання: як повинен вчинити власник бази при прийомі на роботу особи, що відмовляється дати згоду на обробку даних.

Адже, роботодавець, обробляючи персональні дані свого працівника, тільки реалізує свої права та обов’язки, покладені на нього законом як на роботодавця, а тому цей випадок, виходячи з принципу розумності, повинен підпадати під дозволену обробку на підставі закону без згоди суб’єкта.

Однак законодавець не вжив заходів щодо закріплення в законі прямого і зрозумілого тлумачення таких окремих випадків, зокрема, для трудових правовідносин.

Аналогічна проблема виникає і в разі володіння персональними даними фізичних осіб-підприємців для юридичних осіб, які вступили з цими приватними підприємцями в договірні правовідносини, оскільки, як правило, однозначну згоду цих суб’єктів, зокрема, у формі письмового документа, не приймається.

Як знищувати персональні дані?

У Законі відсутня чітка процедура знищення персональних даних, що дуже важливо, враховуючи особливості комп’ютерних технологій обробки даних. Закон дає право суб’єкту персональних даних вимагати видалення його даних з формальних причин. Як приклад, цікавою може бути така ситуація: позичальник банку вимагає видалити його дані з бази даних банку і, таким чином, уникнути відповідальності за договором позики.

Занадто широкі повноваження контролюючого органу

“Спеціальний уповноважений орган з контролю за дотриманням законодавства про захист персональних даних, до повноважень якого належить інспектувати дотримання вимог закону, виносити приписи на усунення порушень і реєструвати всі бази персональних даних в Україні”.

При цьому на сьогоднішній день на законодавчому рівні не встановлено ні порядок проведення, ні механізм проведення перевірок.

За законом, представники уповноваженого органу мають право безперешкодно потрапляти в будь-яке приміщення, де обробляються персональні дані (тобто практично в кожен офіс і в кожну квартиру), що рівнозначно праву на проведення обшуку, яке до цих мали тільки правоохоронні органи.

Варто зазначити, що доцільність цього положення є сумнівною. Законом не враховано факт, що власник або розпорядник бази персональних даних може навіть і не знати, де в той чи інший момент знаходиться обладнання (або інший носій бази), на якому зберігаються персональні дані. Адже на практиці для зберігання баз персональних даних часто використовуються хостінги, які можуть знаходитися, в тому числі, і за межами України.

Уповноваженому органу надано право накладати приписи і покарання на власників баз персональних даних (при всеосяжному визначенні цього поняття – на будь-яку юридичну або фізичну особу), причому можливість покарання ніяк не пов’язується з фактом порушення прав конкретного громадянина – суб’єкта персональних даних.

Відповідальність за порушення

Законодавець у п. 4 ст. 6 Закону нічого не говорить про статус інформації (персональних даних), отриманої із загальнодоступних джерел (газети, телебачення, інтернет). Такого поняття як “загальнодоступні джерела” Закон взагалі не розкриває і не включає його в джерело отримання таких персональних даних, однак саме з них отримують масу персональних даних суб’єкти, які використовують персональні дані.

Про відповідальність за порушення законодавства про захист персональних даних. Оскільки Закон спрямований на захист права людини на таємницю приватного життя, то доцільно залучати до відповідальності порушників закону тільки в разі заподіяння реальної шкоди особі внаслідок неправомірного використання її персональних даних (при чому, якщо ж особа вважає, що його права порушені), а не за ухилення від державної реєстрації баз персональних даних, і не за неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних про його права у зв’язку з включенням його даних у відповідну базу.

Враховуючи вищевикладене доцільно дати доручення Міністерству юстиції України внести на розгляд Верховної Ради України проект закону про припинення норм зазначених Законів і здійснити відповідні заходи щодо врегулювання ситуації, що склалася у зв’язку з прийняттям цих законів.

http://www.prostopravo.com.ua

Стаття опублікована у вівторок, 27.12.2011, у категорії Право, суди. Ви можете відслідковувати відповіді на цю статтю за допомогою RSS 2.0.

Написати відповідь


2 × = вісім