Ещё один весёленький закон Опции

[Work]

Только что отгремели залпы боёв вокруг Налогового кодекса. Кому-то он понравился, кому-то - не очень.
Но он уже принят. Малый бизнес вздохнул с некоторым облегчением и расслабился на ближайшие пару месяцев - его пока
оставили в покое. Бизнес покрупнее приноравливается к Налоговому кодексу. Все заняты.

И никто не заметил принятия ещё одного весёленького закона, который затронет уже не только малый бизнес, но уже и тех,
кто покрупнее. Причём затронет всерьёз.

О чём я? Да о таком, на первый взгляд, довольно безобидном для бизнеса законе, как Закон Украины "О защите персональных данных".

http://focus.ua/politics/122203
http://proit.com.ua/news/telecom/2010/06/02/133438.html

Текст закона:
http://zakon1.rada.gov.ua/cgi-bin/laws/main.cgi?nreg=2297-17

Этот закон уже принят, подписан Президентом и вступает в действие 1 января 2011 года:

http://www.rbc.ua/rus/newsline/show/v-yanu...-24062010224500

Ну, и что же в нём такого страшного? Давайте разберёмся.

Что такое, с точки зрения закона, персональные данные?
Это "відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно
ідентифікована;" (Ст.2).
Т.е. фактически ЛЮБЫЕ данные о конкретном человеке.

Что такое база персональных данных?
Это "іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек
персональних даних; " (Ст.2.)

Под эти определения попадают практически любые электронные списки и картотеки, в которых фигурируют ФИО граждан.
Включая адресные книги на служебных компьютерах и мобильных телефонах. И даже деловые визитницы с подборками визитных карточек.

И что же требуют с 1 января от владельцев таких списков и картотек? Давайте посмотрим.

Согласно закону, владельцы баз персональных данных обязаны:

Регистрировать свои базы данных в Госреестре баз персональных данных. Для чего подавать письменное заявление с указанием сведений о владельце базы, её названии и местонахождении, цели обработки данных, информации обо всех прочих распорядителях базы персональных данных. С подтверждением обязательств о выполнении требований о защите персональных данных согласно Закону.
Решение о регистрации базы персональных данных принимается в течение 10 дней, и владельцу базы выдаётся сертификат специального образца.

При изменении каких-либо параметров, указанных в заявлении на регистрацию базы, владелец базы должен уведомить Госреестр баз персональных данных в 10-дневный срок, а также должен быть извещен каждый, кто включен в эту базу данных.

Типовой порядок обработки персональных данных утверждается уполномоченным госорганом по вопросам защиты персональных данных (т.е. этот госорган должен вникнуть в нюансы любого бизнеса, с которым имеет дело. Иначе такого наутверждает...)

От каждого человека, чьи персональные данные включаются в базу данных, необходимо получить письменное согласие (а как его иначе подтвердить в случае необходимости?)
Любому сотруднику, допускаемому к работе с базой персональных данных, владельцем базы выдаётся разрешение только в письменном виде.
Каждому человеку, чьи данные включены в базу, в 10-дневный срок необходимо направить письменное уведомление о его правах, с этим связанных (кроме случая сбора данных из общедоступных источников).

Уведомлять каждого человека об изменении или уничтожении его данных также необходимо в течение 10 рабочих дней.


...Э-э-э, скажете вы. Да мало ли в нашем государстве абсолютно маразматических, но, к счастью, не работающих законов?
А вот тут-то и начинается самое интересное.

Открываем очередной законопроект Азарова, о внесении изменений в этот закон.
Законопроект, кстати, уже передан на рассмотрение в Комитет по вопросам законодательного обеспечения:
http://gska2.rada.gov.ua/pls/zweb_n/webproc4_1?pf3511=38996

И вот комментарий прессы:
http://www.medialaw.kiev.ua/news/1559/

Если совсем коротко, то за любое нарушение вышеназванного закона "О защите персональных данных" предлагается взимать многотысячные штрафы - вплоть до 2000 необлагаемых налогом минимумов. То есть до 34000 грн., более 4000 долларов США.
На штрафы различной величины можно нарваться за:

- уклонение от регистрации любой базы персональных данных;
- нарушение порядка доступа к базе персональных данных;
- необеспечение защиты данных, которое привело к их разглашению или утрате (например, "посыпалась" магнитная поверхность жёсткого диска в компьютере);
- неуведомление Госреестра баз персональных данных об изменении параметров, подаваемых для регистрации базы персональных данных;
- неуведомление или несвоевременное письменное уведомление человека о его правах в связи с включением его данных в базу персональных данных или о цели сбора этих данных;
- вообще за нарушение требований Закона о защите персональных данных.

И, разумеется, за любые нелицеприятные последствия таких нарушений.

При повторных нарушениях такого рода штрафы удваиваются, вплоть до вышеуказанной суммы.

Причём, что интересно: Кабмин, согласно Ст.30 Закона о Защите персональных данных, должен разработать все необходимые нормативно-правовые акты, предусмотренные этим законом, в течение 6 месяцев с момента вступления закона в силу. Т.е. до июня 2011 г. включительно.
А вступление в силу законопроекта о штрафах предполагается уже с 1 января 2011 г.

Иначе говоря, под угрозой кары, с 1 января 2011 г. все нижеперечисленные фирмы и организации должны будут прекратить свою работу до тех пор, пока их базы персональных данных не будут официально зарегистрированы, в точном соответствии с Законом о защите персональных данных.
Как и сотрудники любых компаний, создавшие себе для служебных целей списки адресов/телефонов коллег или клиентские базы - на компьютерах, в телефонах, в бумажном виде...
А иначе может случиться штраф до двух с лишним тысяч долларов.

Кроме того, от каждого человека, включаемого или УЖЕ ВКЛЮЧЁННОГО в их списки/базы данных, эти организации или отдельные лица будут обязаны получить письменное согласие, с обязательным указанием цели обработки данных:

* отделы кадров всех фирм и организаций, имеющих наёмных работников;
* бухгалтера;
* рекрутеры;
* рекламисты/маркетологи (имею в виду адресные рассылки и всевозможные программы лояльности клиентов);
* магазины, работающие по предварительным заказам, по каталогам и т.п.
* брачные агентства;
* социальные сети;
* сайты по трудоустройству;
* издатели телефонных справочников;
* телефонные справочные службы;
* санатории, кемпинги, базы отдыха;
* отели;
* кладбища (в законе нет оговорки о том, что охраняются персональные данные только живых... )
* издатели всевозможных биографических справочников и справочников типа "Кто есть кто";
* организаторы конкурсов красоты (там уж такие личные данные накапливают... )
* организаторы любых спортивных (и не только) соревнований;
* туристические фирмы;
* авиакомпании;
* страховые компании;
* Укрпочта и все подписные агентства;
* телефонные компании с базами данных по абонентам;
* Интернет-провайдеры с их базами по клиентам-физлицам;

А также:

* ЖЭКи;
* ГАИ;
* все политические партии;
* библиотеки;
* загсы;
* школы, школы-интернаты, в т.ч. для больных детей;
* детские сады;
* больницы, роддома и поликлиники;
* ясли, детдома;
* ...

Список можете продолжить сами.

Как воспринимать такой маразм?

Всё функционирование человеческой цивилизации основано на взаимодействии людей, которое невозможно без постоянного обмена информацией. В том числе и массой персональных данных. И именно этот обмен государство тупо пытается запретить, данной редакцией закона. Остановить цивилизацию, иначе говоря. А иначе всем - штрафы, штрафы, штрафы...

Конечно, приватность надо защищать. Однозначно должен быть чёткий список данных, которые не могут собираться, обрабатываться и тем более распространяться без согласия их владельца. Должна быть отвественность за разглашение/утечку ряда данных - но список таких данных должен быть чётко определён.

Но пытаться запретить обмен информацией и её обработку вообще - этому трудно подобрать название.
Может, государство таким образом пытается псевдозаконно добраться до денег граждан? Выпуская нелепые и заведомо невыполнимые законы типа "Усё запретить ваабще!!"
Текст этого закона явно писал человек, имеющий очень слабое представление как об информатике, так и о теории информации.

К чему это я? Прежде чем принимать решения о штрафах за невыполнение бредового закона, уважаемые наши правители, сядьте и подумайте над тем, что сам этот закон нуждается в серьёзнейшей доработке.

...Но догадаются ли об этом наши правители самостоятельно? Или им выгоднее ничего не понимать?

Определённую надежду вселяет вывод Комитета по вопросам законодательного обеспечения о том, что нуждается в доработке законопроект о штрафах.
Но означает ли это, что полностью завершена маразматическая эпопея - попытка полностью контролировать движение информации в обществе, угрожающая бессмысленно затормозить/нарушить деятельность огромного числа предприятий и организаций в самых разных сферах деятельности?

Сообщение отредактировал Work - 11.12.2010, 18:59

[xeops]

Любая электронна почта является Базой персональных данных (далее - БПД). Даже если вы не ведёте в ней адресную книгу, то Gmail, например, ведёт её за вас. Очевидно что государство не заставит регистрироваться каждого пользователя почты.

Поэтому основной вопрос - что считать Базой персональных данных?

Пример 1. Допустим, я регистрирую пользователей сайта, они заполняют поля Имя, Е-мейл, Пароль. Это ещё регистрировать не надо?

Пример 2. В Excel-евской таблице хранятся данные о работниках фирмы: Имя, Е-мейл, Дата рождения, Должность, Дата приёма, Оклад. Это ещё не БПД. А у себя в почте вы храните полные резюме всех этих людей с фамилиями. Вместе, очевидно, эти данные являются БПД и подлежат регистрации, но как проверяющие смогут их связать?

Пример 3. Если у меня работает 3 человека и я их "посчитал" (то есть переписал все персональные данные в таблицу). 3 человека - это уже База или ещё нет? А 5 человек - это уже База?

Что думаеете по этому поводу?

[Work]

Любая электронна почта является Базой персональных данных (далее - БПД). Даже если вы не ведёте в ней адресную книгу, то Gmail, например, ведёт её за вас. Очевидно что государство не заставит регистрироваться каждого пользователя почты.

Поэтому основной вопрос - что считать Базой персональных данных?

Пример 1. Допустим, я регистрирую пользователей сайта, они заполняют поля Имя, Е-мейл, Пароль. Это ещё регистрировать не надо?

Пример 2. В Excel-евской таблице хранятся данные о работниках фирмы: Имя, Е-мейл, Дата рождения, Должность, Дата приёма, Оклад. Это ещё не БПД. А у себя в почте вы храните полные резюме всех этих людей с фамилиями. Вместе, очевидно, эти данные являются БПД и подлежат регистрации, но как проверяющие смогут их связать?

Пример 3. Если у меня работает 3 человека и я их "посчитал" (то есть переписал все персональные данные в таблицу). 3 человека - это уже База или ещё нет? А 5 человек - это уже База?

Что думаеете по этому поводу?

1. А шут его знает. Какие именно е-мэйлы? Зарегистрированные в Интернете почтовые ящики или е-мэйлы у конкретного провайдера, с которым люди подписали договор? Присутствует ли в логине пользователя его фамилия? И.т.д., думаю, Вы поняли. Тут всё - на усмотрение и доброхотство проверяющих, при нынешней редакции закона. А план по штрафам наверняка будет и у них.

2. Почтовый ящик, набитый резюме - это уже база ПД. Поскольку он "поименован", содержит персональные данные и находится на электронном носителе. Дополнительная табличка Excel уже ничего не меняет.

3. Согласно закону, Вы не вправе собирать для работы, хранить и обрабатывать персональные данные в электронных файлах, независимо от их количества, если не зарегистрировали базу ПД. Наказывать, штрафовать могут просто за сам процесс несанкционированного сбора ПД.

Этот закон в его нынешнем виде абсурден и противоречит здравому смыслу.
Но зато позволяет собрать немало денег с коммерческих предприятий и их наёмных работников, в виде штрафов...
Якобы законно.

Сообщение отредактировал Work - 15.07.2011, 20:00

[Work]

Определения, данные в этом законе, напоминают спор двух философов. Один сказал, что человек - это двуногое существо без перьев,
а другой тут же притащил ему ощипанного петуха и показал "человека".
Я уж не говорю о самом механизме контроля за персональными данными.
Только пока не понял: это сделано по злому умыслу (насильно собрать деньги) или просто по дурости?

Сообщение отредактировал Work - 02.12.2011, 21:35