Защита персональных данных в 2012 году: что изменится

С 1 января 2012 года в стране начнут действовать изменения в Кодексе Украины об административных правонарушениях, что позволит государству штрафовать нарушителей закона "О защите персональных данных". Согласно этому закону, компании, имеющие базы данных (по клиентам/пользователям и сотрудникам), обязаны регистрировать их в Госслужбе по защите персональных данных (ГСЗПД). Также, закон обязывает компанию получить согласие субъекта, прежде чем внести его данные в базу. Несоблюдение закона предполагает штрафные санкции от 3,4 до 17 тыс. грн, а в некоторых случаях и уголовную ответственность. Впрочем, эксперты считают, что проблемы могут появиться только у обладателей самых больших баз данных, мелким и средним компаниям пока беспокоиться не о чем.

Сбор персональных данных

Юрист Интернет ассоциации Украины Олеся Гудзь говорит, что под действие закона попадают интернет-провайдеры, интернет-магазины, и все остальные интернет-компании, которые зарегистрированы как субъекты предпринимательской деятельности и собирают данные о пользователях (Ф.И.О, телефон, адрес проживания, IP-адрес). "Владельцы сайтов знакомств, которые накапливают у себя информацию о физических лицах — тоже могут квалифицироваться как владельцы баз персональных данных", — говорит она.

Одним из ключевых требований закона является получение от каждого пользователя согласия, на внесение его данных в базу или на их обработку каким-либо другим способом. По закону, согласие необоходимо получить в течении 10 дней с момента обработки данных. Госслужба предлагает это делать тремя способами: бумажным письмом, электронным документом, заверенным электронной подписью пользователя, или с помощью отметки в информационной системе, которая будет вести протокол согласий или отказов пользователей и не позволит обработку данных до получения согласия.

Очевидно, что самым подходящим для интернет-компаний, является третий способ. Однако, никаких конкретных разъяснений, о том, какой должна быть эта система, ГСЗПД не дает. Отраслевые специалисты считают, что сайте достаточно будет добавить в пользовательское соглашение информацию о том, что обработка персональных данных осуществляется в соответствии с законом и указать цели обработки этих данных. "С начала года у нас появится пункт о конфиденциальности, который будет на всех страницах сайтов. При регистрации, новому пользователю будет предложено ознакомиться с этим пунктом и поставить галочку рядом со словами "Я принимаю соглашение". Кроме того, мы будем предупреждать пользователя, что указанный мобильный телефон в объявлениях, является общедоступным. Емейл, пароль и IP-адрес будут храниться в защищенном виде, а соответствующий орган будет знать о том, что у нас хранится такая информация. Сделать все это технически не сложно. Это нормальная политика конфиденциальности и зарубежные сайты давно ее практикуют", - рассказал директор RIA Сергей Лужецкий.

Впрочем, пока закон не отработан на практике, нельзя сказать однозначно, какой набор информации может считаться персональными данными. "Вряд ли один емейл, без указания Ф.И.О. и других сведений о пользователе можно назвать персональными данными", — считает Гудзь. В любом случае, тем сайтам, которые уже накопили базы данных, эксперты советуют подстраховаться и получить согласие пользователей на дальнейшее использование их персональных данных. "Сделать это можно при помощи емейл-рассылки. Форму подтверждения можно построить в двух проекциях: попросить пользователя дать свое согласие или предложить ему оставить письмо без ответа, что также может означать, что он не против использования его данных", — объяснила представитель общественного совета при ГСЗПД Юлия Павленко.

Регистрация баз

Еще одним обязательным требованием закона, является регистрация баз данных в Госслужбе. Регистрировать базы данных можно как в письменном виде, так и в электронном виде.

Чтобы зарегистрировать базу данных в электронном виде, необходимо иметь ключ электронной цифровой подписи (ЭЦП), выданный одним из аккредитованных центров сертификации ключей.

Подробная инструкция для подачи заявки в элекронном виде есть на сайте taxer.com.ua. Там же предлагается воспользоваться готовой формой заявки про регистрацию базы и специальной страницей, при помощи которой можно наложить ЭЦП на документ (сервис поддерживает ключи только от IVK и MasterKey).

В помощь украинским предприятиям, общественный совет при ГСЗПД подготовил ряд рекоммендаций по обработке персональных данных. "Над составлением этих рекомендаций работало множество известных экспертов из разных отраслей и этот документ может служить руководством для предприятий, которые обрабатывают персональные данные, эти рекомендации могут обезопасить компанию от возможных проблем", — рассказала Павленко. Сейчас рекомендации на утверждении в Госслужбе и будут представлены публично в начале следующей недели.

Кому стоит беспокоится

Теоретически, начиная с нового года, у компаний, которые не успели зарегистрировать свои базы данных и привести их в соответствие с законом, могут начатся проблемы. Госслужба сможет проводить проверки и в случае выявления нарушений применять штрафные санкции. Например, за несвоевременное предупреждение субъекта о его правах, в связи с включением его персональных данных в базу, предполагается штраф в размере от 3,4 тыс. грн до 6,8 тыс. грн. Штраф за уклонение от государственной регистрации базы данных составит от 5,1 тыс. грн до 8,5 тыс. грн.

Кроме того, с 1 января следующего года, вступит в силу ст. 182 Уголовного кодекса Украины, которая, в частности, за незаконный сбор, хранение, использование и уничтожение конфиденциальной информации, предусматривает штраф в размере 8,5-17 тыс. грн. Наказанием могут стать и исправительные работы сроком до двух лет, арест сроком до шести месяцев, или ограничение свободы на срок до трех лет.

Однако, эксперты считают, что прежде всего, в группе риска находятся те компании, которые являются носителями огромных баз данных. "В Госслужбе работает 51 человек на всю Украину и сейчас ведомство сильно загружено из-за того, что большое количество украинских компании бросились регистрировать свои базы, и хотят сделать это до 1 января. Сейчас служба регистрирует 10-15 тыс. баз персональных данных в день. Поэтому первое время она вряд ли будет проверять всех подряд. У них есть регламинтированный план проверок для всех отраслей, как и у любой службы в Украине. Внеплановые проверки, скорее всего, будут проводиться только по факту нарушения", — рассказал AIN.UA один из участников рынка, знакомый с ситуацией.

Более того, управляющий партнер и президент корпорации "Первая Консалтинговая Группа" Сергей Ткач считает, что наличие у предприятия не систематизированных, не упорядоченных персональных данных, еще не дает основания делать вывод о том, что эта информация представляет собой базу персональных данных. "Следует основательно подумать, прежде чем "на всякий случай" подавать заявления о регистрации персональных данных, — пишет Ткач в своей статье "Пугало персональных данных". — Зарегистрировав мнимую базу в государственном реестре, предприниматель добровольно становиться объектом для проверок и применения финансовых санкций". При этом он отмечает, что законом не предусмотрена ответственность за недопущение контролирующего органа к проведению проверки субъекта предпринимательской деятельности.

Источник: ain.ua