Захист персональних даних – практика першого року

Уже понад рік діє Закон України “Про захист персональних даних” (далі – Закон), який набрав чинності 1 січня 2011-го. Увагу до цього Закону насамперед виявили юристи, журналісти та компанії, які в ході здійснення своєї діяльності масово використовують персональні дані своїх клієнтів. Разом із тим інтерес до нього особливо посилився напередодні нового року, коли набрав чинності Закон України “Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних” (далі – Закон № 3454-VI). Щоправда на сьогодні Закон № 3454-VI “знову” не діє, оскільки відбулось “відтермінування” дати набрання ним чинності Незважаючи на таке відтермінування відповідальності, прийняття законодавства у сфері захисту персональних даних викликало серед громадськості та ділових кіл значний інтерес.

Багато хто сприйняв Закон як обтяжливий, оскільки він покладає насамперед на юридичні особи ряд додаткових обов’язків у сфері інформаційних відносин. Таких, наприклад, як необхідність реєстрації баз персональних даних та виконання зобов’язань по отриманню згоди від фізичних осіб на обробку їх персональних даних. Деякі фахівці вважають, що окремі положення Закону, насамперед поняття “персональні дані” та “суб’єкт персональних даних”, є незрозумілими. Крім того, практична реалізація окремих норм потребує офіційних роз’яснень з боку державних органів.

Та попри те, на наш погляд, вказаний Закон є ще одним важливим кроком України до стандартів ЄС у сфері захисту прав людини. Право на захист персональних даних випливає з права особи на повагу до свого приватного і сімейного життя, закріпленого у ст. 8 Європейської конвенції про захист прав людини і основоположних свобод 1950 року (ратифікована Україною в 1997 році). Окрім того, в європейських державах ще з 1981 року діє Конвенція про захист осіб у зв”язку з автоматизованою обробкою персональних даних, яка набрала чинності для України лише в січні минулого року.

Нам відомі непоодинокі випадки, коли захист персональних даних є вимогою не лише закону, але й іноземних контрагентів, які замовляють послуги в українських провайдерів, насамперед ІТ сектора. До того ж, деякі компанії публічно інформують про реєстрацію своїх баз даних як ще одного доказу прозорості своєї діяльності та надійного захисту приватної інформації, яку їм довірили їхні клієнти.

Практика не лише Європи, але й країн Північної та Південної Америки переконливо свідчить, що законодавство про захист персональних даних поступово вливається в рамки національного й міжнародного законодавства та набуває практики застосування. Отже, ми не можемо залишити поза увагою прийняття вказаного Закону, а також Закону “Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних”, який вчергове набирає чинності 1 липня 2012 року, та прокоментуємо основні їх положення.

Коротко про штрафи

Із 1 липня нинішнього року кожна фізична особа-підприємець чи керівник компанії, яка використовує незареєстровану базу персональних даних, ризикує сплатити штраф у розмірі від 8500 до 17000 гривень. Штраф “за ухилення від реєстрації баз даних” накладатиме місцевий загальний суд (районний, районний у місті чи міський суд) на підставі протоколу про адміністративне правопорушення, складеного працівниками Державної служби України з питань захисту персональних данних (далі – Держслужба). Крім того, після реєстрації бази даних слід регулярно відслідковувати, чи не змінилась інформація, яка містилась у поданій до Держслужби заяві про реєстрацію бази персональних даних. До Держслужби необхідно подавати оновлені дані протягом 10 робочих днів (у формі стандартної заяви). Наприклад, може змінитись назва компанії, її місцезнаходження, місцезнаходження бази даних чи компанія залучить зовнішню компанію, яка обслуговуватиме базу даних чи обробку даних як розпорядник бази (це може бути ІТ компанія, маркетингова компанія, ассистанс-компанія тощо). При невиконанні вимоги про оновлення даних – ФОП або керівник компанії ризикують сплатити штраф у розмірі від 3400 до 6800 гривень.

Законодавство також передбачатиме штрафи за інші порушення у сфері захисту персональних даних (неповідомлення суб’єктів персональних даних про їх права; невжиття заходів захисту, що спричинило незаконний доступ до бази даних; невиконання вимог Держслужби).

Реєстрація бази даних

Однією з вимог Закону є вимога до володільця бази персональних даних – зареєструвати базу персональних даних. Реєстрація баз даних проводиться Держслужбою безкоштовно на основі заповненої компанією заяви. Форма заяви про реєстрацію бази офіційно затверджена наказом Міністерства юстиції України. Заповнити та подати її до Держслужби можна трьома способами: безпосередньо до Держслужби у паперовому форматі, надіславши електронною поштою на адресу register@zpd.gov.ua (якщо компанія має електронний цифровий підпис) та заповнивши заяву на веб-сторінці https://rbpd.informjust.ua (якщо компанія має електронний цифровий підпис).

Проте реєстрація бази персональних даних – це, скажімо, проміжний етап у реалізації цілого комплексу заходів по організації захисту персональних даних у рамках компанії. І ось чому. Ознайомившись із текстом стандартної заяви про реєстрацію, стає очевидним, що для і до її підготовки слід вирішити ряд першочергових питань. Зокрема, проаналізувати, які категорії даних взагалі використовуються компанією (наприклад, анкетні та фінансові дані працівників; анкетні, паспортні, біографічні, сімейні дані про споживачів; тестові чи інші результати кандидатів на посаду; відомості про майновий стан та історію покупок клієнтів або будь-які інші) та яка мета обробки відповідних категорій даних і відповідно до вимог ч. 1 ст. 6 Закону закріпити цю мету (або декілька сегментів мети) у внутрішньому документі-наказі, а ще краще, у внутрішньому комплексному локальному акті “Положенні про порядок обробки та захисту персональних даних”. Також варто визначити, чи має будь-який аутсорсинговий провайдер послуг чи інший діловий партнер доступ до вказаних даних для їх опрацювання в інтересах самої компанії, оскільки такий суб’єкт вважатиметься розпорядником бази даних. Укласти з таким розпорядником бази даних письмовий договір щодо мети і умов обробки та захисту персональних даних або внести відповідні зміни в існуючий договір про послуги.

Скільки баз персональних даних повинні мати компанії?

21 листопада 2011 року Держслужба розмістила на своєму офіційному сайті (http://www.zpd.gov.ua/) окремі коментарі до Закону України “Про захист персональних даних”. На думку Держслужби, кожна компанія є володільцем принаймні двох баз персональних даних: бази персональних даних працівників (компанія веде цю базу з метою забезпечення вимог трудового законодавства, реалізації податкових відносин та відносин у сфері бухгалтерського обліку й аудиту) та бази персональних даних клієнтів та інших осіб (компанія обробляє ці дані в ході своєї господарської діяльності). Більш того, Держслужба підкреслює, що згаданий Закон не містить винятків і обов’язок реєструвати базу поширюється на всіх. Іншими словами, практично кожна компанія тепер має зареєструвати Держслужбі, принаймні, дві бази персональних даних – своїх працівників та власних приватних клієнтів.

Ведення бази персональних даних клієнтів та інших осіб особливо актуальне для банків, ломбардів, страхових компаній, магазинів, клубів дозвілля, готелів, ресторанів, медичних установ, навчальних закладів, туристичних та кадрових агентств та інших компаній у форматі “В2С”. Крім того, є ряд компаній, які співпрацюють з фізичними особами-підприємцями, на яких також поширюються гарантії Закону. Саме для керівників цих компаній дана інформація має першочергове значення.

Виконання інших вимог Закону

У багатьох публікаціях та інформаційних повідомленнях стосовно захисту персональних даних найбільший акцент зроблено на реєстрації баз персональних даних. Тим не менше, ми переконані, що реєстрація баз даних – це достатньо незначна частина у загальному обсягу робіт, пов’язаних з виконанням вимог Закону. Поряд з діями по реєстрації бази персональних даних володілець бази повинен: призначити особу, відповідальну за захист персональних даних у компанії, як це вимагає ч. 5 ст. 24 Закону; відібрати згоду у суб’єктів персональних даних, чиї дані використовує володілець (за приписами ч. 6 ст. 6 Закону); при цьому рекомендуємо ретельно розробити стандартний текст такої згоди, який би максимально відповідав інтересам компанії щодо мети й способів обробки персональних даних; письмово повідомити суб’єктів персональних даних про їх права, визначені ст. 8 Закону, про мету збору даних та про осіб, яким передаються його персональні дані. Письмове повідомлення може бути проблематичним, якщо база даних ведеться щодо великої кількості осіб (клієнтів, абонентів, споживачів, респондентів тощо). Іноді практично неможливо його здійснити, наприклад, якщо особа повідомила певні персональні дані через електронну пошту, але при цьому не вказала свою домашню адресу; вжити заходів захисту персональних даних. Чітких вимог, які засоби вживати, Законом не передбачено, а тому все залежить від конкретних умов обробки даних, ризиків та специфіки самих даних.

Перспективи майбутнього

Звісно, першочергове завдання юриста-практика – дати клієнтові пораду щодо застосування нового законодавства. Разом з тим, аналіз перспектив законодавства також варте уваги у сучасного правника. Без сумніву, коментований Закон потребує певних удосконалень і законодавчі зміни до нього неодмінно будуть. Але серед науковців та практиків побутує думка, що законодавство у сфері захисту персональних даних, як правило, не буде встигати за реальними правовідносинами. Це пов’язано головним чином з тим, що проблема захисту персональних даних була породжена в умовах комп’ютеризації, назвімо це умовно першим “етапом” (з 1980-х до середини 1990-х). Другий “етап” – розвиток Інтернету – вплинув на взаємини людей, оскільки розширив можливості передачі і обміну інформацією на національному та міжнародному рівнях. Цей етап припав на середину 1990-х – початок 2000-х років, що саме збігається з періодом прийняття чинних актів європейських держав.

На сьогодні ж ні європейське законодавство, ні міжнародні документи – ще не встигли дати вичерпні відповіді на проблематику, породжену третім “етапом” інформатизації та комп’ютеризації. Оскільки відтепер ми живемо в епоху стрімкого обміну персональними даними через потужні платформи (соціальні мережі) на кшталт Facebook, YouTube та інші. А персональні нині дані можуть зберігатись у різних юрисдикціях водночас. У таких умовах виникла ще одна ключова проблема – перманентність інформації. Коли після видалення даних на одному комп’ютері (сервері), такі ж дані (резервна чи інша копія) можуть все ще зберігатись на іншому сервері.

Владислав ПОДОЛЯК
Юридичний вісник України №11, 17-23 березня 2012
Стаття опублікована у вівторок, 20.03.2012, у категорії Право, суди. Ви можете відслідковувати відповіді на цю статтю за допомогою RSS 2.0.

Написати відповідь


− три = 4