Со мной регулярно связываются представители российских коллекторских агентств с просьбой дать разъяснение по тому или иному вопросу, связанному с персональными данными. Недавно обратились представители международного агентства. Особенно был интересен, тот факт, что большая доля бизнеса этой компании находится в Украине, где буквально 2 недели назад президент Янукович подписал украинскую версию закона о персональных данных (в своем твиттере в тот момент я написал, что сочувствую Украине 
). В разговоре мне было интересно не только отвечать на вопросы, но и задавать их.
В результате получилось довольно интересное интервью, которое мы решили оформить и опубликовать.
Обратите внимание, что большинство коллизий, на которые указывает Людмила существуют и в нашей нормативной базе, более того даже противодействие новым нормам схожи с «российской версией». Воистину братские народы.
Итак…
Общаемся мы с Людмилой Бец, представителем международной коллекторской компании.
Людмила добрый день. Для начала расскажите в общем о законе. О том, какие проблемы? Что настораживает? Как относятся к персональным данным в Украине простые граждане? Были ли уже какие суды? и т.д.
Закон о защите персональных данных в Украине уже подписан главой государства. Надеюсь, до введения в силу его все-таки доработают, с целью исключения неприменимых мер. Украинская ассоциация банков подавала прошение о ветировании закона с целью его доработки.
В России, на мой взгляд, поступили более разумно – и регистрируют не базы персональных данных, а их операторов. А это значительно облегчает исполнение норм закона.
У нас же в Украине, регистрации подлежат сами базы данных. Т.е. грубо говоря, если у тебя есть телефон со списком контактов и нет письменного подтверждения с разрешением на коммуникацию – ты нарушитель закона. И любая коммерческая организация, имеющая портфель клиентов, автоматически становится обладателем базы, которую нужно регистрировать.
Еще пример: оператор по работе с базами данных, по закону будет обязан уведомлять субъектов о любых изменениях в их персональных данных, просить разрешение на их использование для той или иной цели. Можете себе представить должника, который даст разрешение коллекторам писать ему письма с требованием суммы долга? А еще по закону мы обязаны исключить субъекта из нашей базы данных по его просьбе, а затем уведомить его об этом. Т.е. удаляем строку в базе данных, и сразу высылаем письмо по только что удаленному адресу. Как это исполнить физически? В применении к нашему полю деятельности – с введением закона в силу мы получим массовые запросы от должников с просьбой удалить данные из нашей базы.
Своя рубашка, конечно ближе к телу, но кому у нас не позавидуешь при введении закона – так это электронной коммерции
Есть откровенно анекдотические определения, к примеру: “…Действие закона не распространяется на … журналистов и профессиональных творческих работников“. А почему, собственно?
В отношении граждан – на моей памяти был один случай (еще до появления этого закона), когда гражданка подала в суд на ДМ-оператора, который ей прислал письмо от имени одного из предвыборных кандидатов. Но прецедент создать не удалось, она проиграла.
А после принятия Закона о персональных данных, Украинский Хельсинский союз по правам человека также обратился к президенту с просьбой ветировать закон, как несоответствующий европейским стандартам и несущий серьезную угрозу свободе слова в Украине.
У нас регистрация происходит подачей уведомления в Роскомнадзор. Как должна происходить регистрация баз данных в Украине?
Регистрация базы данных существует пока в теории, а она такова (цитирую закон):
“1. База ПД обязательно подлежит регистрации путем внесения соответствующей записи уполномоченным государственным органом по вопросам защиты ПД в Государственный реестр баз персональных данных.
2. Регистрация базы данных осуществляется по заявочному принципу путем уведомления.
3. Заявление о регистрации базы ПД подается владельцем базы ПД в уполномоченный государственный орган по вопросам защиты ПД.
Заявление должно содержать:
- заявление о внесении базы ПД в Государственный реестр
- информацию про владельца базы ПД
- информацию о названии и местонахождении базы ПД
- информацию о цели обработки ПД в базе ПД, сформулированную в соответствии со ст. 6 и 7 данного Закона*
- информацию о других распорядителях базы ПД
- подтверждение обязательства об исполнении требований защиты ПД, установленных законодательством о защите ПД
4. Уполномоченный государственный орган по вопросам защиты ПД в порядке, утвержденном Кабинетом Министров Украины:
- уведомляет заявителя по позднее следующего рабочего дня со дня получения заявления о его получении
- принимает решение о регистрации базы ПД в течение 10 рабочих дней со дня поступления заявления
- владельцу базы ПД выдается документ установленного образца о регистрации базы данных в Государственном реестре.
5. Уполномоченный государственный орган по вопросам защиты ПД отказывает в регистрации базы ПД, если заявление о регистрации не соответствует требованием части 3 этой статьи.
6. Владелец базы ПД обязан уведомлять уполномоченный государственный орган по вопросам защиты ПД о каждом изменении данных, необходимых для регистрации соответствующей базы ПД, не позднее, чем в течение 10 дней со дня наступления такого изменения.
7. Уполномоченный государственный орган по вопросам защиты ПД в течение 10 дней со дня получения уведомления об изменении данных, необходимых для регистрации соответствующей базы ПД, должен принять решение относительно указанного изменения и уведомить об этом владельца базы ПД.
____________________________________
*Статья 7 закона о защите ПД – “Особенные требования к обработке ПД”
Статья 8 – “Права субъекта ПД”
Вы сказали что “если у тебя есть телефон со списком контактов и нет письменного подтверждения с разрешением на коммуникацию – ты нарушитель закона” Распространяется ли действие закона на случаи, если обработка ведется для личных и семейных нужд?
Нет, только в случае использования данных для рабочих нужд. Но признайте, сколько в Вашем телефоне контактов друзей/родных, а сколько рабочих? У меня получилось соотношение 1:50, приблизительно.
У нас регуляторами являются ФСТЭК, ФСБ и Роскомнадзор. Как будет регулироваться исполнение закона в Украине?
Для контроля за исполнением Закона о защите ПД будет создан специальный гос. орган по защите ПД (очередная кормушка, полагаю).
Вы сказали, что электронной коммерции не позавидуешь? Какие именно нормы на ваш взгляд наиболее опасны для них? Может быть, есть информация от представителей этой отрасли?
В законе прописано обязательное письменное уведомление (в электронном виде – не считается) субъектов базы ПД о любых манипуляциях с ПД – при объемах, которыми оперирует ЭК, затраты на исполнение норм закона серьезно перекосят их бюджеты.
Как вы оцениваете шансы доработки закона, и что на ваш взгляд желательно доработать в первую очередь?
Надежда на доработку закона есть. Украинская ассоциация директ-маркетинга уже готовила свои замечания по его усовершенствованию.
С точки зрения здравого смысла Закон страшно читать. Недаром на семинаре, посвященном его принятию в ВР, не явился ни один представитель власти. По информации, полученной от моих коллег, также интересующихся данным вопросом, за основу его был принят проект закона о защите ПД для Евросоюза, разработанный годах так в 90-х. Отсюда и откровенно устаревшие процедуры и методы применения. Необходимо привести Закон в соответствие с сегодняшними тенденциями в бизнесе и технологиями по защите ПД. Скорость, с которой был состряпан закон, объясняет ускоренная подготовка Украины к ЕВРО-2012 и необходимость привести законодательство в соответствии с нормами ЕС.
______________________________________________
Спасибо Людмиле, лично мне информация показалась очень интересной. Ситуация напоминает 2008-й год у нас.
Если у вас есть что добавить прошу писать в комментариях, по возможности Людмила ответит на вопросы.
6072 . 2153
Другие записи
Автор: Царев Евгений
| Метки: За рубежом, закон о персональных данных, защита персональных данных, Коллеги, Консультация, Новость, Роскомнадзор, Уведомление, ФСТЭК
Последние комментарии