Прийняття законів про захист персональних даних є доволі неоднозначним. При цьому слід зазначити, що уже в наступному році наступає адміністративна та кримінальна відповідальність за порушення їх норм. Проте наразі вже маємо інформацію щодо перевірок виконання вимог даного законодавства при повній відсутності розуміння та різного тлумачення положень цих законів. Нижче ми розглянемо найсуперечливіші з них.
Сергій Кравченко, кандидат юридичних наук, доцент, експерт Ради підприємців при Кабінеті міністрів України, для UBR.UA
Відповідно до положень Закону України "Про захист персональних даних", який набрав чинності 1 січня 2011 року, та Закону України "Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних", що набирає чинності 1 січня 2012 року, утворено Державну службу України з питань захисту персональних даних для здійснення обліку персональних даних. Отже 1 січня 2012 року наступає адміністративна та кримінальна відповідальність за порушення норм цих законів.
Стопка візиток – теж база персональних даних?
Аналіз норм Закону України "Про захист персональних даних" дає підставу зробити висновок, що персональними даними може бути визнана практично будь-яка інформація про людину. Слід відзначити, що згідно із законодавством більшості європейських держав персональні дані розділяються за критерієм "чутливості" на дані загального характеру (прізвище, ім’я по батькові, дата і місце народження, громадянство, місце проживання) і "чутливі" (вразливі) персональні дані (дані про стан здоров’я (історія хвороби, діагнози); етнічна приналежність, ставлення до релігії, ідентифікаційні коди чи номери, відбитки пальців, записи голосу, фотографії, кредитна історія, дані про судимість і т.д.). Для чутливих персональних даних передбачена більш висока ступінь захисту. Так, забороняється збирання, зберігання, використання та передача без згоди суб’єкта даних саме чутливих, а не всіх персональних даних.
У Законі України "Про захист персональних даних" така класифікація відсутня. У результаті цього, розповсюдження всіх без винятку персональних даних, у тому числі навіть прізвища, ім’я, по батькові особи, може здійснюватися тільки за попередньою згодою цієї особи. Відтак будь-яка база клієнтів, список телефонів бізнес-партнерів чи просто стопка візиток підпадають під категорію бази персональних даних та потребують реєстрації.
Невиправданою також є всеохопність Закону України "Про захист персональних даних": базою персональних даних визнається не лише база даних в автоматизованих комп’ютерних системах (як в європейській практиці), але й паперові картотеки – такою картотекою, як приклад, можна зазначити папку з договорами. Всі такі "бази персональних даних" треба реєструвати в державному реєстрі (це означає, що за обсягом він швидко перевищить реєстр ЄДРПОУ).
Нецільове використання – незаконне
Законом встановлено положення про те, що обробка персональних даних може здійснюватися тільки відповідно до мети обробки, яка була сформульована при отриманні у суб’єкта персональних даних згоди на обробку даних. У кожному разі зміни мети використання персональних даних, власник бази персональних даних має повторно звернутися до суб’єкта персональних даних за отриманням згоди на використання його персональних даних вже для нової мети. Однак в Законі відсутні норми, які б деталізували і конкретизували його застосування окремих категорій суб’єктів (страхові компанії, медичні установи, банки тощо).
Законом встановлено, що обов’язок володільця персональних даних повідомляти виключно в письмовій формі суб’єкта персональних даних про його права у зв’язку із включенням його даних в базу персональних даних протягом 10 робочих днів від дати такого розміщення. Варто зазначити, що така вимога Закону не є доцільною. Адже будь-яка обробка персональних даних і так є можливою після отримання попередньої документованої згоди суб’єкта персональних даних.
Тому є незрозумілим, не тільки для чого додатково повідомляти суб’єкта персональних даних про його права у зв’язку із включенням його даних в базу, якщо від нього попередньо отримана згода використання його даних (та ще й в письмовій формі), а ще і встановлення адміністративної відповідальності у вигляді штрафних санкцій за таке не повідомлення або у разі несвоєчасного повідомлення.
Підставами (згідно закону) виникнення права на використання персональних даних є:
- згода суб’єкта персональних даних на обробку його персональних даних. Суб’єкт персональних даних має право при наданні згоди внести застереження стосовно обмеження права на обробку своїх персональних даних;
- дозвіл на обробку персональних даних, наданий володільцю бази персональних даних відповідно до закону виключно для здійснення його повноважень.
При цьому, якщо суб’єкт персональних даних відмовляє надати згоду на обробку його персональних даних власник бази повинен знищити усі персональні дані такого суб’єкта. Цілком логічним являється питання: як має вчинити власник бази при прийманні на роботу особи, яка відмовляється надати згоду на обробку даних.
Адже, роботодавець, обробляючи персональні дані свого працівника, лише реалізує свої права та обов’язки, покладені на нього законом як на роботодавця, а тому цей випадок, виходячи з принципу розумності, повинен підпадати під дозволену обробку на підставі закону без згоди суб’єкта.
Однак законодавець не вжив заходів щодо закріплення в законі прямого і зрозумілого тлумачення таких окремих випадків, зокрема, для трудових правовідносин.
Аналогічна проблема постає і у випадку володіння персональними даними фізичних осіб-підприємців для юридичних осіб, які вступили з цими приватними підприємцями в договірні правовідносини, оскільки, як правило, однозначна згода цих суб’єктів, зокрема, у формі письмового документа, не отримується.
Як знищувати персональні дані?
В Законі відсутня чітка процедура знищення персональних даних, що є дуже важливим, враховуючи особливості комп’ютерних технологій обробки даних. Закон дає право суб’єкту персональних даних вимагати видалення його даних з формальних причин. Як приклад, цікавою може бути така ситуація: позичальник банку вимагає видалити його дані з бази даних банку і, таким чином, уникнути відповідальності по договору позики.
Занадто широкі повноваження контролюючого органу
"Спеціальний уповноважений орган з контролю за дотриманням законодавства про захист персональних даних, до повноважень якого належить інспектувати дотримання вимог закону, виносити приписи на усунення порушень та реєструвати всі бази персональних даних в Україні".
При цьому на сьогоднішній день на законодавчому рівні не встановлено ні порядок проведення, ні механізм проведення перевірок.
За Законом, представники уповноваженого органу мають право безперешкодно потрапляти до будь-якого приміщення, де обробляються персональні дані (тобто практично до кожного офісу та в кожну квартиру), що є рівнозначним праву на проведення обшуку, яке до сьогодні мали лише правоохоронні органи. Варто відзначити, що доцільність цього положення є сумнівною. Законом не враховано факт, що власник або розпорядник бази персональних даних може навіть і не знати, де в той чи інший момент знаходиться обладнання (чи інший носій бази), на якому зберігаються персональні дані. Адже на практиці для зберігання баз персональних даних часто використовуються хостінги, які можуть знаходитися, в тому числі, і за межами України.
Уповноваженому органу надано право накладати приписи та покарання на власників баз персональних даних (при всеохоплюючому визначенні цього поняття – на будь-яку юридичну чи фізичну особу), причому можливість покарання жодним чином не пов’язується з фактом порушення прав конкретного громадянина – суб’єкта персональних даних.
Відповідальність за порушення
Законодавець у п. 4 ст. 6 Закону нічого не говорить про статус інформації (персональних даних), отриманої із загальнодоступних джерел (газети, телебачення, інтернет). Такого поняття як "загальнодоступні джерела" Закон взагалі не розкриває і не включає його в джерело отримання таких персональних даних, однак саме з них отримують масу персональних даних суб’єкти, які використовують персональні дані.
Щодо відповідальності за порушення законодавства про захист персональних даних. То оскільки Закон спрямований на захист права особи на таємницю приватного життя, то видається доцільним притягати до відповідальності порушників Закону лише у випадку спричинення реальної шкоди особі внаслідок неправомірного використання її персональних даних (при чому, якщо сама особа вважає, що її права порушені), а не за ухилення від державної реєстрації баз персональних даних, та не за неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних про його права у зв’язку із включенням його даних до відповідної бази.
Враховуючи вищевикладене доцільно дати доручення Міністерству юстиції України внести на розгляд Верховної Ради України проект закону щодо призупинення норм зазначених Законів та здійснити відповідні заходи стосовно врегулювання ситуації яка склалася у зв’язку з прийняттям цих законів.
Автор: Сергей Кравченко
Источник: Украинский Бизнес Ресурс
Комментарии
RSS лента комментариев этой записи