Захист персональних даних: запитань більше, ніж відповідей
Закон України „Про захист персональних даних” діє упродовж року, проте навряд чи можна сказати, що його положення успішно втілюються в життя. Не всі встигли навіть зареєструвати свої бази персональних даних. Щодо посилення відповідальності за порушення законодавства про захист персональних даних, то тут непокоїть не так штраф (до 17 000 грн), як загроза позбавлення волі строком до 5 років. Можливо, введення відповідальності буде віддтерміновано (відповідний закон подано на підпис Президенту України), але підприємцям й компаніям, які мають бази персональних даних, краще подбати про виконання законодавчих вимог. Назад шляху не буде – Україна ратифікувала Конвенцію щодо захисту персональних даних.
Володимир Козак, заступник голови Державної служби України з питань захисту персональних даних (далі – Держслужба), вбачає позитив у тому, що Закон „Про захист персональних даних” діє і велике коло юридичних осіб з ним ознайомлені. У грудні минулого року лише за два з половиною тижні до Держслужби надійшло близько 2 млн заявок на реєстрацію баз персональних даних, але, за словами В. Козака, обробити усі дані у короткий строк не вийде. Водночас він заспокоїв тих, хто не встиг зареєструвати базу персональних даних.
– Кримінальної відповідальності за ухилення від реєстрації не передбачено, – зазначив заступник голови Держслужби. – Чи підпише Президент України закон про відтермінування відповідальності, невідомо. Так чи інакше, додаткові п’ять місяців нічого не змінять. Усвідомлення відповідальності стимулює багатьох вживати заходів.
Світлана Хеда, радник юридичної фірми „Саєнко Харенко”, торкнулася такої актуальної для міжнародних компаній проблеми, як передача баз персональних даних за кордон. Фактично ця діяльність не регулюється положеннями Закону „Про захист персональних даних”. Лише частина 3 статті 29 передбачає передачу даних за кордон за умови забезпечення належного захисту даних, наявності усіх дозволів та незмінної мети.
– Неясно, хто визначає критерії належного рівня захисту? – вважає С. Хеда. – Про це не йде мова ні в законі, ні в Конвенції та додатковому протоколі до неї. Крім того, нечітко визначена процедура передачі даних до країн, які не підписали або не ратифікували Конвенцію. Порядку застосування деяких положень також немає, тому слід внести відповідні зміни у законодавство.
У нашого північного сусіда, Росії, відповідний закон щодо захисту персональних даних було прийнято ще у 2006 році, проте всім зацікавленим особам було надано достатньо часу, щоб виконати його вимоги: до 2011 року. У нас же це потрібно зробити в стислі строки. Як зазначила Ганна Воєводіна, юрист HeadHunter, часто виконується лише вимога зареєструвати базу даних, але цього недостатньо.
– На практиці бачимо, що одними словами не обійтися, – переконана вона. – Потрібно визначати конкретні процедури, які забезпечують конфіденційність даних та їх захист. У Росії діє жорстка вимога вживати необхідних організаційних технічних заходів, які встановлює уряд РФ. У нас же такі заходи визначає сам власник або розпорядник. Тому захист бази даних може бути голослівним.
Про практику застосування деяких вимог Закону України „Про захист персональних даних” розповів Дмитро Богатирьов, начальник Управління правової методології й нормативного забезпечення Юридичного департаменту VAB Банку. Саме власник бази даних повинен доводити, що згода суб’єкта на обробку його персональних даних була отримана належним чином. У якій формі надаватиметься такий дозвіл? З одного боку, за Законом, вона має бути документальною, з іншого – з позиції європейського права, головне не форма дозволу, а факт його отримання.
– В Міністерстві юстиції вважають, що дозвіл – це тільки паперовий та електронний документ (останній – обов’язково з електронно-цифровим підписом), – сказав Д. Богатирьов. – На щастя, Держслужба дотримується іншої думки щодо форми дозволу. Важливо, щоб введення в базу персональних даних було неможливе без факту згоди на це. Наприклад, наш клієнт не зможе перейти на сторінку для оформлення кредиту, поки не ознайомиться з правилами та не дасть згоду на обробку своїх персональних даних.
З базою персональних даних працівників, клієнтів більш-менш зрозуміло. Складніша ситуація з електронними ресурсами. Так, якщо компанія має сайт, у неї можуть бути персональні дані користувачів, тому вона повинна зареєструвати відповідну базу даних. В. Козак вважає, що навіть на форумах, де фахівці обмінюються досвідом під вигаданим ім’ям, все ж існує можливість їх ідентифікувати.
– У користувача є логін, пароль, є ІР-адреса, які дозволяють визначити його особу, – пояснив він. – Обов’язок власника ресурсу – захистити права людини, коли є вірогідність, що у певній ситуації її можна ідентифікувати. В різних країнах суди приймають різні рішення щодо ІР-адрес: одні вважають їх персональними даними, інші – ні.
Процес захисту персональних даних в Україні важко назвати чітким та зрозумілим. Очевидно, найближчим часом відбудуться зміни у законодавстві, але поки компаніям необхідно серйозно підходити до питання реєстрації та захисту своїх баз даних. Перш за все, слід визначитися з технічними засобами захисту та розробити документацію.
