Базовый учет

Перед новогодними праздниками украинские предприниматели ринулись регистрировать базы персональных данных, боясь пропустить последние сроки и получить штрафы. С 1 января 2012 за нарушение закона Украины «О защите персональных данных»  уже могут наказывать рублем.

ТРИ ВЕТО И ОДНА ПОДПИСЬ

В Украине существуют десятки миллионов баз данных, в которых накапливается информация о гражданах. Раньше их уведомления об этом или согласия не требовалось, и защититься от этого было невозможно, равно как и от передачи этих данных третьим лицам – например, коллекторами, которые «достают» письмами и звонками или маркетологами для исследований.  Большинство людей и не догадываются, насколько они опутаны наблюдением. Сайты в большинстве случаев запоминают визит любого посетителя. Перемещения покупателей в супермаркетах тщательно отслеживаются камерами видеонаблюдения. Такие видеозаписи остаются в памяти компьютеров неопределенно долгое время вместе с данными дисконта о покупке. Базы данных телефонов и адресов места жительства можно легко купить на рынке или в интернете. Абоненты сотовой связи страдают от рекламного спама, приходящего на их телефоны без их согласия.

Первый законопроект о защите персональных данных был внесен в Верховную Раду Украины в марте 2003 года нардепами Михаилом Родионовым (КПУ), Станиславом Николаенко (Соцпартия), Игорем Юхновским (Рух – Блок «Наша Украина»), Петром Толочко (БЮТ), Константином Сытником (УРП «Собор» - БЮТ). Этот законопроект был принят Верховной Радой Украины 16 марта 2006 года, однако после многочисленных доработок и голосований трижды ветировался Президентом Украины Виктором Ющенко.

Следующий законопроект № 2273 (который и стал законом), был зарегистрирован 25 марта 2008 года народными депутатами Олегом Шевчуком (БЮТ), Владимиром Литвиным (Блок Литвина), Владимиром Полохало (БЮТ) и Екатериной Самойлик (КПУ). Парламент принял закон 1 июня 2010 года, а уже 23 июня Президент Украины Виктор Янукович подписал его. Три обоснованных вето Президента Украины Виктора Ющенко фактически ни к чему не привели: целый ряд системных недостатков законопроекта устранены не были.

Одна из причин быстрого принятия «старого закона» при новом Президенте Украины Викторе Януковиче – давление Европейского Союза в безвизовом диалоге. Новый лидер нуждался во внешнеполитических победах, поэтому подписал то, что его предшественник три раза ветировал. Защита персональных данных попала в список реформ безотлагательного введения в 2010 году: через «Матрицу сотрудничества» Украины с ЕС и План первоочередных мер по интеграции Украины в ЕС.

Вопрос ответственности был урегулирован практически через год - Законом Украины «О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных» от 02.06.2011. Этот закон, который должен вступить в силу 1 января 2012 года, добавил в КоАП Украины статьи 188-39 и 188-40, предусматривающие штрафы за нарушение законодательства и неисполнение законных требований должностных лиц  спецоргана власти по вопросам защиты персональных данных (от 1,7 тыс. до 17 тыс. грн.). В новой редакции изложили ст. 182 Уголовного кодекса Украины - «Нарушение неприкосновенности частной жизни».

Нужно сказать, что защита персональных данных – отнюдь не украинское изобретение. Это нормальная практика всех развитых демократических стран. Хотя и понимается это по-разному: В ЕС в законодательстве используется термин data protection - защита информации, и термин personal data, которые в первую очередь относятся к сбору и обработке персональных данных в целом. В США привычным является термин privacy — личная жизнь, и privacy data — информация о личной жизни. В Европе более узко и четко трактуют содержание персональных данных, понимая под ними конкретную идентифицирующую информацию, как это принято в США, где в термин privacy включены еще и элементы правового статуса граждан, такие, как их права и свободы. Международно-правовой основой защиты персональных данных в Европе является открытая для подписания с 28 января 1981 г.Конвенция Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных». О европейском опыте можно прочесть здесь.

Российская Федерация давно приняла и закон «О персональных данных» (вступил в действие в начале 2007 года), который уже 9 раз изменялся. Кстати, последняя поправка от 25.07.2011 продлила сроки предоставления информации в уполномоченный орган до 1 января 2013 года. То есть власть фактически на 6 лет растянула регистрацию баз персональных данных. Что же касается содержания самого федерального закона, то он поначалу вызывал те же возмущения, что и украинский. Но, тем не менее, уже отшлифован и более-менее реализовывается на практике. Штраф по статье 13.11 КоАП РФ за «нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)» составляет от 300 до 10 тыс. рублей (юридические лица в частности от 5 тыс. до 10 тыс.). Иными словами, примерно соответствует установленному размеру штрафа в Украине.

ПРОТИВОРЕЧИЯ ЗАКОНА

Общая беда украинского закона о защите персональных данных – недостаточная его детализация. Например, аналогичный закон Словении даже по объему больше украинского в три раза. А ведь недостающие нормы придется «создавать» в разъяснениях и толкованиях Министерству юстиции.

Одна из важнейших проблем закона – отсутствие деления персональных данных на нейтральные и чувствительные (уязвимые). Во многих государствах персональные данные делятся по критерию «чувствительности»: на данные общего характера (фамилия, имя, отчество, дата и место рождения, гражданство, место жительства) и «уязвимые» персональные данные (данные о состоянии здоровья (история болезни, диагнозы), этническая принадлежность, отношение к религии, идентификационные коды или номера, отпечатки пальцев, записи голоса, фотографии, кредитная история, данные о судимости и т.д.). Для «уязвимых» персональных данных предусмотрена более высокая степень защиты. Их сбор, хранение, использование и передача без согласия гражданина запрещены. В Украине же такая классификация отсутствует. В результате выходит, что  распространение всех без исключения персональных данных может осуществляться только с предварительного согласия этого лица.

Также закон устанавливает лишнюю бессмысленную, но трудоемкую процедуру - сообщать исключительно в письменной форме гражданину о его правах в связи с включением его данных в базу персональных данных в течение 10 рабочих дней с даты размещения. Зачем, если любая обработка возможна после получения предварительного согласия субъекта персональных данных? Чтобы поддержать «Укрпочту» массовыми рассылками писем?

В законе нет четкой детализации случаев, когда согласие на обработку данных не требуется, кроме того, не установлены в законе и «общедоступные источники», то есть фактически теперь обязательно регистрировать обработку любой – даже открытой информации. Получается, что даже база на основе информации из открытых государственных реестров должна «согласовываться». Как результат - технический администратор домена .UA ООО «Хостмастер» закрыл публичный доступ к информации о физических лицах, зарегистрировавших доменное имя (так называемый сервис whois). «Сложилась уникальная ситуация: Украина – единственное в мире государство, где информация о домене является закрытой», – возмутился отключением сервиса президент ООО «Интернет Инвест» Александр Ольшанский.

Существует и явное противоречие этого закона с законодательством об архивах. Согласно Закону (ч.2 ст.15): «…персональные данные в БПД подлежат уничтожению в случае прекращения правоотношения между субъектом персональных данных и владельцем БПД, если иное не предусмотрено законом». А вот Главное архивное управление еще в 1998 году приняло «Перечень типовых документов» и обязало работодателя хранить персональные данные в течение 75 лет. Что делать? А если уничтожать данные, то об этом нужно сообщать не только органу Минюста, а и всем гражданам, информация о которых была включена в базу.

Также закон не предусматривает процедуру передачи базы персональных данных в третью страну. И как работать иностранным банкам, экспортерам, транснациональным корпорациям?

Не решен вопрос и о ведении видеонаблюдения в офисных, деловых жилых и рабочих помещениях.Где, например, найти в законодательстве запрет на видеозапись в туалетах и душевых? Разве помешала бы норма о предварительном информировании работников о видеозаписи?

Исполнительный директор Украинского Хельсинского союза по правам человека Владимир Яворский считает, что этот закон «связывает руки» в первую очередь журналистам. В Украине персональную информацию в отношении президента или другого лица теперь распространить будет невозможно. Журналистам, говорит правозащитник, позволяют собирать общедоступную информацию о лице, но не позволяют ее распространять без письменного согласия этого лица. Владимир Яворский считает, что распространение любой информации о любом лице теперь можно будет остановить, а также наказать журналиста или редакцию за разглашение персональных данных.

«ОГНЕТУШИТЕЛЬ» МИНЮСТА

Закон «О защите персональных данных» вступил в силу с 1 января 2011 года, но его никто не спешил исполнять. Фактически подтвердился старый добрый принцип: нет ответственности – нет исполнения. К середине осени 2011 года в Минюст (точнее созданную при нем Госслужбу Украины по защите персональных данных) поступило порядка 2000 обращений о регистрации баз данных. И только когда стало приближаться 1 января 2012 года, а за ним и штраф до 17 тыс. грн., все украинское общество и бизнес «встрепенулись». В ноябре-декабре 2011 года все осознали масштаб необходимой работы (которую мало кто вел раньше) и запаниковали. Минюст начали «заваливать» заявления о регистрации баз персональных данных, в СМИ появились многочисленные публикации. Всерьез был поставлен вопрос о переносе даты вступления в силу норм об ответственности: зарегистрированы законопроекты №9624 от 20.12.2011 (Гориной-Ляпиной) и №9624-1 от 21.12.2011 (Джоджика-Костенко-Зайца). Появились и громогласные заявления экспертов.

В этой ситуации, дабы не повторилась эпопея с приостановкой важного закона (как это было, например, недавно с антикоррупционным законодательством), Минюст вынужден был что-то делать. 21 декабря на сайте Минюста было размещено «Разъяснение о некоторых вопросах практического применения Закона Украины «О защите персональных данных»».

23 декабря была проведена пресс-конференция директора департамента взаимодействия с органами власти Министерства юстиции Елены Зеркаль и первого заместителя главы Государственной службы по вопросам защиты персональных данных (ГСЗПД) Лилии Олексюк. На ней было заявлено, что штат ГСЗПД насчитывает 51 человека, а контролем занимаются только 7. Елена Зеркаль подчеркнула, что в связи с увеличением потока заявлений начиная с ноября ГСЗПД не успевает выполнять требования законодательства регистрации заявлений на протяжении 10 дней. А также, что предприниматели слишком поздно начали регистрировать свои базы, размышляя целый год, нужно это делать или нет, пока не ввели с 1 января 2012 года штраф.

27 декабря 2011 представители Федерация работодателей Киева (ФРК) заявили, в ближайшее время обратятся к депутатам с просьбой наложить мораторий на штрафы за нарушение закона о защите персональных данных. Также ФРК инициирует депутатское представление в Конституционный Суд с целью определения конституционности ряда норм закона о защите персональных данных. По их мнению, нормы закона дублируются, а некоторые даже противоречат Конституции, Кодексу законов о труде, законодательству относительно сохранения коммерческой тайны.

Далее тему защиты персональных данных и штрафов стал активно комментировать Министр юстиции Украины Александр Лавринович. 29 декабря на своей министр заявил, что процесс регистрации будет продолжен и после Нового года. Александр Лавринович заверил, что вопрос применения санкций является «не просто не первоочередным, а последним». По его словам, в первое время контроль будет осуществляться только по заявлениям о нарушениях прав гражданин.

ЧЕГО ОЖИДАТЬ

Сергей Ткач, управляющий партнер и президент Корпорации «Первая Консалтинговая Группа» пишет в своем блоге, что за год действия закона «О защите персональных данных» мало кто по-настоящему вник в его содержание. И дает совет основательно подумать, прежде чем «на всякий случай» подавать заявления о регистрации персональных данных. Так как до такой регистрации, предприниматель может доказывать, что у него отсутствует база данных, а после – становится подотчетным службе защиты персональных данных.

По мнению главы Луганского облотделения «Комитета избирателей Украины» Алексея Светикова, нормы закона о защите персональных данных можно эффективно использовать в борьбе с конкурентами и общественниками на выборах – ведь общественные организации сдают статистическую отчетность, а значит – ведут учет, собирают данные обратившихся к ним в общественные приемные гражданах. «Проверять будут тех, от чьей активности надо будет избавиться перед выборами. Под весьма благовидным предлогом: никакой политики, просто ребята злоупотребляли сбором персональных данных», - говорит Светиков.

По мнению юриста Центра защиты прав заемщиков и вкладчиков Светланы Пантюхиной, новое законодательство положительно повлияет на две проблемных сферы: ЖКХ и банковских коллекторов. ЖЭКам сложнее будет продолжать практику «выжимания» денег без договоров (а значит и без согласия жильцов-«клиентов» на обработку персональных данных). Один из примеров – отказ КП «Главный информационно-вычислительный центр» в г. Киев от печати в новых бланках фамилии и инициалов потребителя. Юрист выразила надежду, что всякие «Центрожилкомы» и иные ИВЦ перестанут рассылать бумаги с заполненными данными о жилищно-коммунальных долгах с указанием адреса и ФИО. И тем более – публиковать их в газетах, на сайтах, вывешивать на подъездах и т.д. А если не перестанут – на них можно будет пожаловаться.

Что касается коллекторов, то им придется приостановить деятельность до принятия специального закона – ведь никто им разрешения на обработку персональных данных не даст. А в кредитных делах банков, как правило, содержится согласие лишь на передачу информации в бюро кредитной истории, но никак не коллекторам.

Скорее всего,  полностью отменять закон или ответственность за его нарушение власть не будет. Максимум - начнут устранять дефекты.

Изображение с сайта "Компаньон"

1

Поділитись: