Защита персональные данных по-украински или дежавю

июля 14

Персональные данные Добавить комментарий

Со мной регулярно связываются представители российских коллекторских агентств с просьбой дать разъяснение по тому или иному вопросу, связанному с персональными данными. Недавно обратились представители международного агентства. Особенно был интересен, тот факт, что большая доля бизнеса этой компании находится в Украине, где буквально 2 недели назад президент Янукович подписал украинскую версию закона о персональных данных (в своем твиттере в тот момент я написал, что сочувствую Украине ). В разговоре мне было интересно не только отвечать на вопросы, но и задавать их.

В результате получилось довольно интересное интервью, которое мы решили оформить и опубликовать.

Обратите внимание, что большинство коллизий, на которые указывает Людмила существуют и в нашей нормативной базе, более того даже противодействие новым нормам схожи с «российской версией». Воистину братские народы.

Итак…

Общаемся мы с Людмилой Бец, представителем международной коллекторской компании.

Людмила добрый день. Для начала расскажите в общем о законе. О том, какие проблемы? Что настораживает? Как относятся к персональным данным в Украине простые граждане? Были ли уже какие суды? и т.д.

Закон о защите персональных данных в Украине уже подписан главой государства. Надеюсь, до введения в силу его все-таки доработают, с целью исключения неприменимых мер. Украинская ассоциация банков подавала прошение о ветировании закона с целью его доработки.

В России, на мой взгляд, поступили более разумно – и регистрируют не базы персональных данных, а их операторов. А это значительно облегчает исполнение норм закона.

У нас же в Украине, регистрации подлежат сами базы данных. Т.е. грубо говоря, если у тебя есть телефон со списком контактов и нет письменного подтверждения с разрешением на коммуникацию – ты нарушитель закона. И любая коммерческая организация, имеющая портфель клиентов, автоматически становится обладателем базы, которую нужно регистрировать.

Еще пример: оператор по работе с базами данных, по закону будет обязан уведомлять субъектов о любых изменениях в их персональных данных, просить разрешение на их использование для той или иной цели. Можете себе представить должника, который даст разрешение коллекторам писать ему письма с требованием суммы долга? А еще по закону мы обязаны исключить субъекта из нашей базы данных по его просьбе, а затем уведомить его об этом. Т.е. удаляем строку в базе данных, и сразу высылаем письмо по только что удаленному адресу. Как это исполнить физически? В применении к нашему полю деятельности – с введением закона в силу мы получим массовые запросы от должников с просьбой удалить данные из нашей базы.

Своя рубашка, конечно ближе к телу, но кому у нас не позавидуешь при введении закона – так это электронной коммерции

Есть откровенно анекдотические определения, к примеру: “…Действие закона не распространяется на … журналистов и профессиональных творческих работников“. А почему, собственно?

В отношении граждан – на моей памяти был один случай (еще до появления этого закона), когда гражданка подала в суд на ДМ-оператора, который ей прислал письмо от имени одного из предвыборных кандидатов. Но прецедент создать не удалось, она проиграла.

А после принятия Закона о персональных данных, Украинский Хельсинский союз по правам человека также обратился к президенту с просьбой ветировать закон, как несоответствующий европейским стандартам и несущий серьезную угрозу свободе слова в Украине.

У нас регистрация происходит подачей уведомления в Роскомнадзор. Как должна происходить регистрация баз данных в Украине?

Регистрация базы данных существует пока в теории, а она такова (цитирую закон):

“1. База ПД обязательно подлежит регистрации путем внесения соответствующей записи уполномоченным государственным органом по вопросам защиты ПД в Государственный реестр баз персональных данных.
2. Регистрация базы данных осуществляется по заявочному принципу путем уведомления.
3. Заявление о регистрации базы ПД подается владельцем базы ПД в уполномоченный государственный орган по вопросам защиты ПД.
Заявление должно содержать:
- заявление о внесении базы ПД в Государственный реестр
- информацию про владельца базы ПД
- информацию о названии и местонахождении базы ПД
- информацию о цели обработки ПД в базе ПД, сформулированную в соответствии со ст. 6 и 7 данного Закона*
- информацию о других распорядителях базы ПД
- подтверждение обязательства об исполнении требований защиты ПД, установленных законодательством о защите ПД
4. Уполномоченный государственный орган по вопросам защиты ПД в порядке, утвержденном Кабинетом Министров Украины:
- уведомляет заявителя по позднее следующего рабочего дня со дня получения заявления о его получении
- принимает решение о регистрации базы ПД в течение 10 рабочих дней со дня поступления заявления
- владельцу базы ПД выдается документ установленного образца о регистрации базы данных в Государственном реестре.
5. Уполномоченный государственный орган по вопросам защиты ПД отказывает в регистрации базы ПД, если заявление о регистрации не соответствует требованием части 3 этой статьи.
6. Владелец базы ПД обязан уведомлять уполномоченный государственный орган по вопросам защиты ПД о каждом изменении данных, необходимых для регистрации соответствующей базы ПД, не позднее, чем в течение 10 дней со дня наступления такого изменения.
7. Уполномоченный государственный орган по вопросам защиты ПД в течение 10 дней со дня получения уведомления об изменении данных, необходимых для регистрации соответствующей базы ПД, должен принять решение относительно указанного изменения и уведомить об этом владельца базы ПД.
____________________________________
*Статья 7 закона о защите ПД – “Особенные требования к обработке ПД”
Статья 8 – “Права субъекта ПД”

Вы сказали что “если у тебя есть телефон со списком контактов и нет письменного подтверждения с разрешением на коммуникацию – ты нарушитель закона” Распространяется ли действие закона на случаи, если обработка ведется для личных и семейных нужд?

Нет, только в случае использования данных для рабочих нужд. Но признайте, сколько в Вашем телефоне контактов друзей/родных, а сколько рабочих? У меня получилось соотношение 1:50, приблизительно.

У нас регуляторами являются ФСТЭК, ФСБ и Роскомнадзор. Как будет регулироваться исполнение закона в Украине?

Для контроля за исполнением Закона о защите ПД будет создан специальный гос. орган по защите ПД (очередная кормушка, полагаю).

Вы сказали, что электронной коммерции не позавидуешь? Какие именно нормы на ваш взгляд наиболее опасны для них? Может быть, есть информация от представителей этой отрасли?

В законе прописано обязательное письменное уведомление (в электронном виде – не считается) субъектов базы ПД о любых манипуляциях с ПД – при объемах, которыми оперирует ЭК, затраты на исполнение норм закона серьезно перекосят их бюджеты.

Как вы оцениваете шансы доработки закона, и что на ваш взгляд желательно доработать в первую очередь?

Надежда на доработку закона есть. Украинская ассоциация директ-маркетинга уже готовила свои замечания по его усовершенствованию.

С точки зрения здравого смысла Закон страшно читать. Недаром на семинаре, посвященном его принятию в ВР, не явился ни один представитель власти. По информации, полученной от моих коллег, также интересующихся данным вопросом, за основу его был принят проект закона о защите ПД для Евросоюза, разработанный годах так в 90-х. Отсюда и откровенно устаревшие процедуры и методы применения. Необходимо привести Закон в соответствие с сегодняшними тенденциями в бизнесе и технологиями по защите ПД. Скорость, с которой был состряпан закон, объясняет ускоренная подготовка Украины к ЕВРО-2012 и необходимость привести законодательство в соответствии с нормами ЕС.

______________________________________________

Спасибо Людмиле, лично мне информация показалась очень интересной. Ситуация напоминает 2008-й год у нас.

Если у вас есть что добавить прошу писать в комментариях, по возможности Людмила ответит на вопросы.

6194 . 2185

Другие записи

Автор Царев Евгений | Метки: За рубежом, закон о персональных данных, защита персональных данных, Коллеги, Консультация, Новость, Роскомнадзор, Уведомление, ФСТЭК

8 Responses to “Защита персональные данных по-украински или дежавю”

1. Майя Ольшанская Says:
июля 15, 2010 at 9:07
Мне, например, понравилось введение определений. У них есть как “володілець бази персональних даних”, так и “розпорядник бази персональних даних”, т.е. нормально узаконена ситуация, когда “оператор” арендует сервера для обработки ПДн у другой фирмы. Само понятие ПДн тоже немного интереснее, чем у нас (если конечно законно определят порядок “идентификации” особы – субъекта ПДн).

PS Я не очень хорошо знаю украинский язык, поэтому читать достаточно сложно

[Ответить]
Алексей Волков Reply:
июля 15, 2010 at 14:22
Державну мову не разумiетэ, Майя На самом деле было бы интересно узнать про подробности процесса принятия этого закона: кто автор инициативы, как проходили слушания, отзывы профильных комитетов итд. Однако учитывая особенности работы Рады – вряд ли это вожможно

[Ответить]
toparenko Reply:
июля 19, 2010 at 11:43
Не совсем так. Здесь скорее закрепление понятия “оператора” (то, что есть в 152-ФЗ) и понятия “обработчика” (то, чего нет в 152-ФЗ).

Вариант определения обработчика я давал на сайте Общественных слушаний по ЗоПД – http://fz-152.org/forum/viewtopic.php?p=2#p2

В ситуации аренды серверов есть много вариантов:
- владелец серверов предоставляет исключительно обрабатывающие мощности и абсолютно не вмешивается в обрабатываемую информацию (в этом случае он даже не обработчик, а лишь владелец “железа”)
- владелец серверов осуществляет обработку, но не определяет цели и состав обрабатываемых данных (аутсорсинг обработки – соответственно обрабочик)
- владелец серверов осуществляет все функции и выступает как представитель оператора (договор представительства)

[Ответить]
2. Дмитрий Йовдий Says:
июля 15, 2010 at 16:59
Добрый день!

Поскольку мне по роду своей деятельности довелось углубиться в изучение проблематики защиты персональных данных, считаю нужным сделать некоторые комментарии/уточнения/возражения относительно понимания автором интервью некоторых положений данного Закона, а также высказать свои рассуждения по этому поводу:

1. По поводу обязательного письменного уведомления.

Согласно Закону Украины «О защите персональных данных» обязательное письменное уведомление субъектов базы ПД осуществляется владельцем ПД не при любых манипуляциях с ПД (как указано в интервью), а только при включении его ПД в базу ПД (ч. 2 ст. 12 Закона). При этом такое уведомление не нужно осуществлять в случае, если ПД получены из общедоступных источников (хотя здесь нужно отметить, что понятие «общедоступный источник» является оценочным и весьма субъективным, а Закон не дает ему определения, что может привести к неоднозначной практике применения данной нормы Закона). В остальных случаях использования ПД (а именно передачи ПД третьему лицу, изменения, уничтожения данных – и не более) требования к письменной форме уведомления Закон не содержит.
Вместе с тем, нельзя не согласиться, что требование об уведомлении лица о включении его ПД в базу (тем более исключительно в письменной форме) является затратным и, к тому же, не нелогичным. Ведь согласно Закону любая обработка (в т. ч. сбор, распространение, изменение ПД) и так становится возможной только после получения согласия субъекта ПД (которое, к слову, осуществляется в любой удобной документальной форме (помимо письменной)). Непонятно, зачем после получения согласия лица на сбор данных его ПД повторно уведомлять его о том, что его данные включены в базу ПД.

2. Относительно обязанности исключить ПД из базы по просьбе субъекта ПД.

Важно подчеркнуть, что такое требование (именно требование, а не просьба) подлежит обязательному выполнению владельцем либо распорядителем БД исключительно в случае, если данные обрабатываются незаконно либо содержат недостоверную информацию. При этом такое требование субъекта ПД должно быть мотивированным (п.6 ч.2 ст. 8 Закона). Это, в частности, означает и то, что на основании данной нормы недобросовестный должник вряд ли сможет добиться уничтожения данных о своей задолженности.
К тому же, во избежание возможных нарушений Закона Банкам в кредитных договорах целесообразно прописывать пункт о том, что подписывая кредитный договор, заёмщик даёт своё согласие. Такой пункт даст возможность банкам без нарушения закона передавать ПД должником коллекторским компаниям. Кстати, многие банки применяли данную практику и до принятия данного Закона.

3. По поводу регистрации Базы ПД.

Необходимо уточнить, что регистрации подлежит не сама база ПД (и тем более не её содержание), а скорее факт наличия у владельца базы ПД (путём внесения записи в Государственный реестр баз персональных данных – ч.1 ст.9 Закона). Также стоит отметить, что пункт 2 статьи 9 Закона закрепляет заявительно-уведомителый принцип регистрации, согласно которого владелец базы ПД лишь должен уведомить уполномоченный орган о существовании Базы. Хотя частью 5 указанной статьи установлено, что уполномоченный орган может отказать в регистрации базы, что, по сути, превращает данный заявительный принцип в разрешительный.
Стоит добавить, что исходя из приведённого в Законе определения понятия «персональные данные» (ст. 2 Закона), можно утверждать, что практически все предприятия и предприниматели ведут в каком-то виде базы персональных данных. На сегодняшний день в Украине насчитывается почти миллион субъектов хозяйствования. У некоторых компаний (рекламный бизнес, колл-центры, датацентры) количество баз ПД измеряется сотнями. Это означает, что все они должны будут зарегистрироваться в качестве владельцев баз ПД и регистрировать имеющиеся у них базы. При таких обстоятельствах сложно даже представить объем работы Уполномоченного органа, а также финансовые и организационные ресурсы государства на обслуживание данного реестра.
Можно согласиться с тем, что в России этот вопрос урегулирован более последовательно. Там должен зарегистрироваться сам оператор, и не нужно регистрировать каждую базу. Но, с другой стороны, согласно Закону РФ о защите персональных данных подлежат сертификации системы защиты данных (насколько мне известно, до сих пор никто конкретно не разобрался, что подразумевается под данным понятием, и как это должно происходить). Так что, еще неизвестно, кто кому должен посочувствовать: Россия Украине, или наоборот .

Также необходимо остановиться на следующих ключевых тезисах, без понимания которых, по моему мнению, невозможно давать целостностную оценку данному Закону.

1. Согласно законодательству большинства европейских государств персональные данные данные о лице разделяются на две основные категории: «идентифицирующие» и «уязвимые» (а в некоторых странах эти категории и вовсе делятся на подкатегории). К «уязвимым» данным относится информация о здоровье, расовой и иной принадлежности человека, политические убеждения и т.д.. Именно эта информация подлежит контролю над ее использованием и распространением со стороны физического лица, в отношении которого она собрана. Идентифицирующая информация имеет более свободный порядок обращения (при этом контроль над целью цель ее сбора и право доступа к ней также осуществляется). Таким образом, «уязвимые данные» являются основной прерогативой защиты, что дает возможность субъектам профессиональной деятельности, связанной с накоплением персональных данных, более свободно, не усложняя технологический процесс обработки, пользоваться персональными данными.
К сожалению, в принятом Законе такая классификация отсутствует. В результате этого установленные Законом требования относительно использования ПД касается обработки не только уязвимых, а всех ПД (в том числе фамилии, имени лица, его телефона, адреса). Как следствие, используя визитки, записные книжки, контакты электронной почты, в которых содержатся эти данные (что мы делаем чуть ли не каждую минуту), мы также должны выполнять требования принятого Закона. И такое использование может осуществляться только по предварительному согласию данного лица.
Считаю, это и есть основным недостатком Закона, устранение которого даст возможность избежать многих формально-бюрократических процедур при ведении бизнеса.

2. Законом подтверждается ранее существовавшие нормы Конституции Украины, Закона Украины «Об информации» об использовании персональных данных о лице только с его согласия. Очень важным и, безусловно, положительным является положение Закона о возможности получения согласия субъекта ПД любым другим удобным способом, кроме письменного (абзац 5 ст. 2 Закона). Указанная норма имеет большое значение для Компаний, так как даёт последним возможность «легализировать» базы ПД, составленные, например, путём телемаркетинга. Кроме того, при такой формулировке указанные Компании смогут применять наиболее простые и эффективные по их мнению способы получения согласия физического лица (например: путём подтверждения согласия отправкой SMS, прочее подтверждение, зафиксированное на каком-либо материальном носителе; или, к примеру, фактом регистрации лица на каком-либо мероприятии, в правилах участия которого публично указывалось о праве организаторов в дальнейшем использовать персональные данные участников и т.д.).

3. В Законе очень ограничен круг «публичных лиц», использование информации о которых можно осуществлять без получения согласия данного лица. К этой категории относятся только лица, занимающие либо претендующие на занятие выборной должности, а также государственные служащие первой категории (ч. 4 ст. 5 Закона), при этом данный перечень носит исчерпывающий характер. В связи с этим возникает вопрос, как быть с персональными данными других публичных лиц, не входящих в данный перечень (например, лидеров политических партий, гражданских организаций, руководителей предприятий, профессиональных объединений, а также сотрудников компаний, имеющих и раздающих свои визитки либо оставляющих информацию о себе в соответствующих государственных реестрах в связи с выполнением своих служебных обязанностей). Являются ли информацией с ограниченным доступом ПД таких лиц? Ведь, по сути, степень публичности данных лиц ни чем не отличается от приведённого в Законе перечня. Данная проблема также нуждается в урегулировании.

4. Отдельного комментария заслуживает тот факт, что в противоречие требованиям Директивы ЕС от 24 октября 1995 года N 95/46/ЭС Законом не установлено конкретной ответственности за нарушения законодательства о защите ПД. Более того, Законом определено, что ответственность за нарушение законодательства о защите ПД устанавливается именно Законом (ст. 28 Закона), что исключает возможность установления штрафных санкций нормативно-правовым актом уполномоченного органа либо других органов исполнительной власти. Необходимо подчеркнуть, что вопрос об ответственности требует безотлагательного законодательного урегулирования, поскольку в противном случае теряется смысл существования всего Закона. Ведь при таких обстоятельствах субъекты данных правоотношений будут попросту игнорировать его.

5. Еще одним положительным моментом является предоставленное профессиональным объединениям права создавать корпоративные кодексы поведения с целью обеспечения эффективной защиты прав субъектов ПД (ч.2 ст. 27 Закона). В связи с этим отраслевые компании (например, рекламный и маркетинговый бизнес, медицина, транспорт и т.д.) смогут вырабатывать стандарты, обязательные для компаний данных отраслей. Такие кодексы смогут стать примером при разработке Кабмином нормативных актов, регулирующих правоотношение в сфере защиты ПД.
6. Есть еще ряд других несогласованностей (их можно будет обсуждать, если возникнет интерес в обсуждении).
Подытоживая вышеприведённые рассуждения, стоить отметить, что принятие Закона о защите персональных данных, несомненно, является положительным моментом для Украины. Наконец вводятся правила там, где раньше общество должно было двигаться окольными путями, что уже является значительным позитивным сдвигом. Поэтому я бы не стал делать таких категоричных заявлений как «закон страшно читать», и более системно подходил бы к его оценке и значении.
Вместе с тем, Закон действительно содержит ряд непродуманных и недоработанных положений, которые требуют безотлагательного усовершенствования (еще до вступления Закона в действие).

С уважением,
Дмитрий Йовдий,
Управляющий партнёр ЮК «Лигал Асистанс Групп»

[Ответить]
Людмила Бец Reply:
июля 16, 2010 at 11:36
Дмитрий,
Благодарю Вас за исчерпывающее освещение вопроса с юридической стороны.

[Ответить]
Алексей Волков Reply:
июля 16, 2010 at 15:02
“согласно Закону РФ о защите персональных данных подлежат сертификации системы защиты данных (насколько мне известно, до сих пор никто конкретно не разобрался, что подразумевается под данным понятием, и как это должно происходить). Так что, еще неизвестно, кто кому должен посочувствовать: Россия Украине, или наоборот”

В этом, конечно, нам можно посочуствовать… А в украине аналог ФСТЭКа имеется? Как же он просмотрел такой лакомый кусок?

[Ответить]
Дмитрий Йовдий Reply:
июля 16, 2010 at 17:04
Пока нет. Создание уполномоченного органа предусмотрено создание уполномоченного органа в этой сфере. Пока неизвестно, кто это может быть. По неофиуиальной информации данный полномочия могут быть возложены на Министерство юстиции либо на СБУ (полный бред). В прочем, Кабмин только еще должен разработать положение о данном уполномоченном органе, а также нормативные акты, регулирующие процедуру обработки ПД…
поэтому, очевидно, стоит ждать сюрпризов…..

[Ответить]
toparenko Reply:
июля 19, 2010 at 11:59
>Но, с другой стороны, согласно Закону РФ о защите персональных данных подлежат сертификации системы защиты данных (насколько мне известно, до сих пор никто конкретно не разобрался, что подразумевается под данным понятием, и как это должно происходить).

Разаобраться то разобрались – но от этого не легче

>Отдельного комментария заслуживает тот факт, что в противоречие требованиям Директивы ЕС от 24 октября 1995 года N 95/46/ЭС Законом не установлено конкретной ответственности за нарушения законодательства о защите ПД

Ну Евродиректива не ратифицирована ни РФ, ни Украиной (и оба государства не входят в Евросоюз т.ч. для них она не обязательна) – т.ч. данная формулировка противоречия некорректна

>Поэтому я бы не стал делать таких категоричных заявлений как «закон страшно читать», и более системно подходил бы к его оценке и значении.

Поддержу.
Действительно Закон Украины ближе к Европраву по ПДн, чем российский ЗоПД. Но все-таки не все “грабли” на которые уже наступили в России в украинском варианте устранены, плюс своих добавили (особенно с регистрацией баз – Уполномоченный точно “утонет” в массиве ).

[Ответить]