вівторок, 19 лютого 2013 р.

Захист персональних даних: від кого і навіщо

З 1.01.2012 набирає чинності новий Закон України "Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних". Розмір заявлених тут штрафів спричинив у бізнесових колах наприкінці року справжню паніку і довжелезні черги до уповноважених Державної служби з питань захисту персональних даних. А штрафи такі. Наприклад, за ухилення від державної реєстрації бази персональних даних: на посадових осіб, громадян — суб"єктів підприємницької діяльності — від 8500 до 17000 гривень! А щоб зовсім покращити бізнес-настрої напередодні нового року, то з 1 січня за незаконне зберігання конфіденційної інформації про особувводиться ще й кримінальна відповідальність — буцегарня строком до трьох років (максимум за новою статтею 182 Кримінального кодексу України, щоправда є тут і штраф, і арешт, і виправні роботи — покарання на будь-який смак).
   

   Навіщо і кому це потрібно
  
   Усе почалося із Закону України "Про захист персональних даних" від 1.06.2010, що набув чинності з 1.01.2011. На думку авторів цього Закону, необхідність його прийняття обумовлена тим, що стан нормативно-правової бази недостатньо забезпечує захист прав людини, виконання положень статей 3, 32, 34 Конституції України стосовно персональних даних. Більш ніж два десятки законів України регулюють суспільні відносини, що пов’язані із збиранням, зберіганням, використанням та поширенням інформації про особу (персональних даних), однак вони не мають чіткого та скорельованого з європейським законодавством визначення персональних даних. Між тим сучасні суспільні відносини характеризуються широким використанням персональних даних під час обігу інформації (соці­аль­ного, фінансового, правоохоронного, науково-технічного та ін. характеру), товарів, послуг і капіталів, що вимагає не тільки вільний рух інформації про особу, забезпечення її надійного захисту відповідно до основних прав і свобод людини.
  
   Конституцією України визначено зміст основних прав людини, у тому числі стаття 32 гарантує недоторканність особистого життя, зокрема — щодо збирання інформації про особу. Зазначене право повинно бути конкретизовано законами, встановленням технологій їх виконання. Бази персональних даних про своїх клієнтів сьогодні формує широке коло суб’єктів — фізичних та юридичних осіб: підприємства та торгівля, приватні лікарі, нотаріуси тощо. "Витік інформації" з цих баз даних наносить шкоду багатьом особам, що потребує термінового законодавчого врегулювання цих питань.
  
   На думку авторів Закону, Україна спізнюється майже на чверть століття як з підписанням міжнародних угод, так і з впровадженням відповідних норм міжнародного прав. Лише у 2005 році підписано Конвенцію 1981 року Ради Європи № 108 "Про захист осіб у зв’язку з автоматизованою обробкою персональних даних", яку до цього часу не подано на ратифікацію. Європейське право охоплює майже два десятки загальноєвропейських конвенцій, директив та рекомендацій з питань захисту персональних даних, кожна країна ЄС видала свої базові нормативно-законодавчі акти, приймалися конкретні закони: щодо діяльності з персональними даними у медичній, статистичній, державній, журналістській, поліцейській та інших сферах. Аналогічні закони прийнято в багатьох країнах світу, зокрема в Росії.
  
   Принципи, що містяться у Конвенції, уточнюються і розширюються в Директиві 95/46/ЕС Єв­ропейського парламенту і Ради від 24.10.1995 р. стосовно захисту фізичних осіб у питаннях обробки персональних даних і вільного обігу цих даних та в Директиві 97/66/ЕС Єв­ропейського парламенту і Ради від 15.12.1997 р. стосовно обробки персональних даних і захисту приватності у телекомунікаційному секторі.
  
   Що саме збираємось захищати за новим законом
  
   То що ж воно таке — персональні данні про особу, які збираються так активно захищати, аж до арешту і багатотисячних штрафів?
  
   Визначення основних понять нового Закону наводиться у його статті 2.
  
   База персональних даних — іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних. На жаль, що таке упорядкування данних, картотека Закон не роз’яснює. Натомість, зазначається, що персональні дані обробляються у формі, яка допускає ідентифікацію фізичної особи, якої вони стосуються, у строк, не більший ніж це необхідно відповідно до їх законного призначення. А відповідно до ст.12 — збирання персональних даних є складовою процесу їх обробки, що передбачає дії з підбору чи впорядкування відомостей про фізичну особу та внесення їх до бази персональних даних.
  
   Згідно із Законом накопичення та зберігання персональних даних передбачає дії щодо поєднання та систематизації відомостей про фізичну особу чи групу фізичних осіб або внесення цих даних до бази персональних даних.
  
   Обробка персональних даних - будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов"язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу.
  
   Персональні дані — відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. У статті.1 цього Закону спеціально зазначається, що його дія не поширюється на діяльність зі створення баз персональних даних та обробки персональних даних: фізичною особою — виключно для непрофесійних особистих чи побутових потреб; журналістом — у зв"язку з виконанням ним службових чи професійних обов"язків; професійним творчим працівником — для здійснення творчої діяльності. З наведеного виникає більше питань аніж відповідей.
  
   Та що ж таке база персональних даних, яку підприємцю слід негайно зареєструвати, бо інакше штраф або в’язниця?
  
   Нагадаємо, що йдеться лише про персональні данні фізичних осіб, пересічних громадян. Судячи з усього, громадяни-СПД також входять до цього переліку. Отже, маємо базу даних контрагентів-фізичних осіб. Далі списки та паспортні данні найманих працівників — найбільш вірогідний варіант бази персональних даних.
  
   Чи можна віднести до бази персональних даних, наприклад, альбом з візитними картками (картотека?), перелік поіменованих абонентів у мобільному телефоні бізнесмена? Список для секретаря ділових партнерів, керівників банкірів-кредиторів, податкового інспектора, яких слід привітати з Новим роком — ПІБ, поштові адреси, назви посад — іменована сукупність упорядкованих персональних даних? Систематизація у персональному комп’ютері бізнесмена директорів підприємств-партнерів, усіляких кредиторів за датами дня народження — не забути привітати! А ще є їхні дружини, чоловіки, діточки, коханки і коханці — дехто вважає за необхідне поздоровити і їх. Багато підприємців і банків мають списки боржників-громадян, які також систематизовані певним чином. Уся ця інформація стала наслідком "накопичення та зберігання персональних даних", що "передбачає дії щодо поєднання та систематизації відомостей про фізичну особу чи групу фізичних осіб" (ст.13 Закону).
  
   Та це ще не все. На підставі статті 12 Закону суб"єкт персональних даних (той, про кого ці данні) протягом десяти робочих днів з дня включення його персональних даних до відповідної бази повідомляється про свої права, визначені цим Законом, мету збору даних та осіб, яким передаються його персональні дані. Повідомляти слід виключно в письмовій формі. Судячи з усього виглядати це має приблизно так. "Шановний пан…повідомляю, що Ви у мене в базі персональних даних боржників і тепер вимушений Вас поздоровляти, аж поки не повернете борг…Інакше прийдеться привітати Вашу дружину, а потім і діточок…". Фантазувати можна і далі — Закон дає для цього широкий простір. Чомусь не смішно, як згадаєш про штраф або про три роки ув’язнення.
  
   Паганого мало не буває
  
   Складності, що породжує новий Закон, вищенаведеним не обмежується. У зауваженнях фахівців на проект Закону зверталась увага на його недоліки та вади.
  
   Так, зазначалося фахівцями, текст Закону містить значну кількість оціночних понять і суб’єктивних критеріїв. Законопроект було переобтяжено такими поняттями та словосполученнями, як “склад та зміст персональних даних мають бути відповідними та ненадмірними стосовно визначеної мети їх обробки”, “персональні дані мають бути точними, достовірними”, “якщо обробка персональних даних є необхідною для захисту життєво важливих інтересів суб’єкта персональних даних”, “суб’єкт персональних даних має право застосовувати засоби правового захисту” тощо, а також не встановлено співвідношення термінів “володілець” та “розпорядник”, що вживаються у законопроекті, з термінами “держатель” та “адміністратор”, що вживаються в чинних законах України. Однак від чіткого та однозначного формулювання термінів і понять у тексті Закону значною мірою залежатиме правильність застосування його норм на практиці. Тому цим законопроектом мали б бути визначені відповідні критерії для практичного застосування його положень.
  
   У тексті законопроекту (ст. 1) передбачається, що дія цього Закону не поширюється на діяльність зі створення баз персональних даних та обробки персональних даних у цих базах фізичною особою виключно для непрофесійних особистих чи побутових потреб. Проте невизначеність меж таких потреб може призвести до вільного тлумачення цієї норми, а отже, і до порушення права фізичної особи на конфіденційність її персональних даних та заборону обробки її даних без її згоди.
  
   Хто не встиг, той запізнився: готуйтесь до покарання
  
   Хоча сам Закон набув чинності ще 1.01.2011, санкції за його порушення почнуть застосовувати з 1.01.2012. До цієї дати слід встигнути зареєструвати свої бази персональних даних.
  
   Бази персональних даних підлягають державній реєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних — Державною службою з питань захисту персональних даних. КМУ своєю постановою від 25 травня 2011 р. № 616 затвердив Положення про Державний реєстр баз персональних даних та порядок його ведення.
  
   Реєстрація баз персональних даних здійснюється за заявочним принципом шляхом повідомлення. Заява про реєстрацію бази персональних даних подається володільцем бази персональних даних.
  
   Сергій ТЕНЬКОВ | Юридичний вісник України №52, 31 грудня 2011 - 6 січня 2012
 
По материалам: Мониторинг СМИ

Немає коментарів:

Дописати коментар