Защита персональных данных: по-европейски не вышло…

З 1 січня 2012 року практично всі організації України може захопити нова хвиля, правда, цього разу не кризи, а штрафів. Вони будуть накладатися за недотримання Закону «Про захист персональних даних». І суми чималі — від 1,7 до 17 тисяч гривень. Такий стан речей є наслідком того, що механізми впровадження згаданого закону, який повинен запровадити в Україні цивілізований, європейський стандарт користування особистими даними жителів країни, на сьогодні не відпрацьовані. Особливо «не пощастило» Державній службі з питань захисту персональних даних. Створена указом Президента ще в грудні 2010 року, діяльність якої координується Кабміном, зокрема — через міністра юстиції, не в силах гарантувати своєчасну реєстрацію цих самих баз даних. Її «пропускна» можливість не дозволяє обслужити вал підприємств і організацій, які кинулися виконувати приписи.

*** 1 січня 2011 Верховна Рада прийняла закон «Про захист персональних даних», що передбачає відповідальність за поширення будь-яких персональних даних фізичних осіб, з якими працюють підприємства, організації, установи. Отримання, зберігання, передача і навіть знищення персональних даних, до яких належать ПІБ, адреса проживання, номер ідентифікаційного коду, тепер можливе лише з письмового дозволу їх власника. У червні 2011 року парламент прийняв закон про відповідальність за порушення у сфері захисту персональних даних. Даний документ набуде чинності з 1 січня наступного року. Тобто, банки, суди, держоргани ризикують бути оштрафовані за некоректне поводження з персональними даними громадян.

Ще на початку поточного року громадськість висловлювалася за доопрацювання законодавства в даній сфері, оскільки багато учасників ринків, наприклад, банкіри, не розуміли, яким чином будуть його дотримуватися, тому що залишалося неясним, яка тепер інформація підпадає під визначення "банківська таємниця". Проблемними також називали невиправдано завищені права суб`єктів баз персональних даних, норма про знищення баз даних тощо Про необхідність доопрацювання закону заявляв і заступник голови Державної служби з питань захисту персональних даних Володимир Козак: «Щодо порядку обробки персональних даних у банківській сфері, інформації, яка містить банківську таємницю, це питання поки на серйозному рівні не розпочато».

«Сирий» закон у дії

Практика створення та використання баз персональних даних (БПД) вже давно традиційна у світі. Головна мета — захистити від поширення певну інформацію про людину. Самі ж бази даних представляють собою будь-яку інформацію, згідно з якою можна ідентифікувати конкретну людину.

В Україні з прийняттям відповідного закону ідея цього механізму трохи викривлена. Але цього «трохи» виявилося достатньо, аби виникли серйозні проблеми з ефективністю використання принципів реєстрації БПД.

Справа в тому, що в документі, що діє з початку 2011 року, немає чіткого розмежування між «чутливою» інформацією — яка вимагає захисту, і ідентифікаційною — використання якої фактично не завдає шкоди фізособам. До «чутливої» належать дані з історії хвороби, про судимість, кредитні історії і т.д. «Саме ці персональні дані повинні бути захищені на високому рівні», — відзначає керуючий партнер юридичної компанії «Лігал асистанс груп» Дмитро Йовдій.

Ідентифікаційні дані — ім`я, прізвище, по батькові, місце роботи і т.д. «Це ідентифікуючі персональні дані, розголошення яких у більшості випадків не завдає шкоди будь-якій особі», — підкреслив експерт.

С 1 января 2012 года практически все организации Украины может захлестнуть новая волна, правда, на сей раз не кризиса, а штрафов. Они будут налагаться за несоблюдение Закона «О защите персональных данных». И суммы немалые — от 1,7 до 17 тысяч гривень. Такое положение вещей является следствием того, что механизмы введения в действие упомянутого закона, который призван внедрить в Украине цивилизованный, европейский стандарт пользования личными данными жителей страны, на сегодня не отработаны. Особенно «не повезло» Государственной службе по вопросам защиты персональных данных. Созданная указом Президента еще в декабре 2010 года, деятельность которой координируется Кабмином, в частности — через министра юстиции, не в силах гарантировать своевременную регистрацию этих самых баз данных. Ее «пропускная» возможность не позволяет обслужить вал предприятий и организаций, которые кинулись выполнять предписания.

***1 января 2011 г. Верховная Рада приняла закон «О защите персональных данных», предполагающий ответственность за распространение любых персональных данных физических лиц, с которыми работают предприятия, организации, учреждения. Получение, хранение, передача и даже уничтожение персональных данных, к которым относится ФИО, адрес проживания, номер идентификационного кода, теперь возможно лишь с письменного разрешения их обладателя. В июне 2011 года парламент принял закон об ответственности за нарушение в сфере защиты персональных данных. Данный документ вступит в действие с 1 января следующего года. То есть, банки, суды, госорганы рискуют быть оштрафованы за некорректное обращение с персональными данными граждан.

Еще в начале текущего года общественность высказывалась за доработку законодательства в данной сфере, поскольку многие участники рынков, например, банкиры, не понимали, каким образом будут его соблюдать, так как оставалось неясным, какая теперь информация подпадает под определение "банковская тайна". Проблемными также назывались неоправданно завышенные права субъектов баз персональных данных, норма об уничтожении баз данных и пр. О необходимости доработки закона заявлял и заместитель председателя Государственной службы по вопросам защиты персональных данных Владимир Козак: «По порядку обработки персональных данных в банковской сфере, информации, которая содержит банковскую тайну, этот вопрос пока на серьезном уровне не начат».

«Сырой» закон в действии

Практика создания и использования баз персональных данных (БПД) уже давно традиционна в мире. Главная цель — защитить от распространения определенную информацию о человеке. Сами же базы данных представляют собой любую информацию, согласно которой можно идентифицировать конкретного человека.

В Украине с принятием соответствующего закона идея этого механизма немного искривлена. Но этого «немного» оказалось достаточно, чтобы возникли серьезные проблемы с эффективностью использования принципов регистрации БПД.

Дело в том, что в документе, действующем с начала 2011 года, нет четкого разграничения между «чувствительной» информацией — которая требует защиты, и идентификационной —  использование которой фактически не наносит ущерб физлицам. К «чувствительным» относятся данные из истории болезни, о судимости, кредитные истории и т.д. «Именно эти персональные данные должны быть защищены на высоком уровне», — отмечает управляющий партнер юридической компании «Лигал асистанс групп» Дмитрий Евдий.

Идентификационные данные — имя, фамилия, отчество, место работы и т.д. «Это идентифицирующие персональные данные, разглашение которых в большинстве случаев не наносит ущерб какому-либо лицу», — подчеркнул эксперт.

Отсутствие упомянутого разграничения в законодательстве приводит к тому, что все существующие базы данных физлиц необходимо регистрировать. Если взять в качестве примера предприятия, поясняет Д.Евдий, то получается, что на сегодня нет исключения относительно базы данных их работников, контрагентов, деловых партнеров, разглашение такой информации не несет угрозы. То есть, нет смысла регистрировать их. «Если у стандартного юрлица баз данных может быть 2-3, то фактически у предприятий, для которых профессиональная деятельность — обработка ПД, их может быть несколько сотен», — резюмирует юрист.

Подгонять спешащего — законодательный принцип 

В преддверии введения штрафов за нарушение закона о ЗПД, все владельцы баз данных вынуждены оперативно регистрировать их в Государственной службе по вопросам защиты персональных данных. И тут проявились две крайности. Первая — огромные объемы информации, поступающие в службу, с обработкой которых она не справляется. Вторая – достаточно сложно, скорее, практически невозможно, проконтролировать, нарушает ли какая-либо компания правила подачи информации.

По словам вице-президента Украинского союза промышленников и предпринимателей (УСПП), члена общественного совета при Госслужбе по вопросам защиты персональной информации Ивана Петухова, «сегодня в день приходит до 10 тысяч заявлений на регистрацию БЗ. В то же время, штат службы не превышает 50 человек. Мыслимо ли таким штатом отработать такой объем корреспонденции?!».

В пресс-службе Министерства юстиции подтвердили: «С начала функционирования реестра в Государственную службу по вопросам защиты персональных данных приходило небольшое количество заявлений на регистрацию БПД, которое начало расти, начиная с конца ноября 2011 года». Так, с 1 июля до 21 ноября т.г. было подано менее 2 тыс. заявлений. С конца ноября ситуация резко поменялась. «Количество поданных заявлений за последние три недели составляет около 100 тысяч. Они  обрабатываются в порядке очереди», — отметили в министерстве. 

Кого сделают крайним?

Между тем, проконтролировать выполнение предприятиями законодательной нормы о регистрации БПД крайне сложно, считает И.Петухов. «В Украине 6,5 млн. частных предпринимателей. В большинстве своем у них работает небольшое количество людей. Допустим, один работник. На этого человека оформлена трудовая книга — база данных, заработная плата начисляется — вторая база данных… Умножьте на 6,5 млн.», — отмечает он.

Это касается порядка 300 предприятий, у которых, как минимум, две базы данных. «У нас сколько-то тысяч общественных организаций, минимум на два надо множить. У нас есть больницы, школы, садики, библиотеки, у нас есть государственные органы… То есть, по самым скромным подсчетам, 15 млн. баз данных. Я не думаю, что кто-то кого-то сможет привлечь сейчас (к ответственности — ред.), проконтролировать…», — подчеркивает И.Петухов.

Д.Евдий уточняет, что ответственность наступает не за отсутствие факта регистрации базы персональных данных, а за уклонение от регистрации. Другими словами, если заявка предприятия на регистрацию подана в Госслужбу, но по какой-то причине в этом отказано, то данная ситуация не считается фактом уклонения от регистрации.

Эксперты почти единогласно сходятся во мнении, что учреждение Гослужбы не сопряжено с идей создать очередную коррупционную структуру.

В то же время, законодательство в сфере защиты персональных данных прописано таким образом, что можно за любую мелочь притянуть к ответственности, даже к уголовной, отмечает Д.Евдий. «Возможности в связи с этим законом для коррупции есть, но пока любые намеки на то, что он будет использоваться таким образом, отсутствуют», — подчеркнул эксперт. Но «формализм и бюрократизм этого закона фактически не столько защищают субъектов персональных данных, сколько создают дополнительные неудобства для бизнеса, для любой социальной деятельности», считает эксперт.

Выход из ситуации он видит в том, чтобы хотя бы выписать в законе, что такое «чувствительные» и идентификационные персональные данные. Это позволит сократить количество заявок, поступающих в службу.

Такого же мнения придерживается И.Петухов. «Для того чтобы эту ситуацию урегулировать, необходимо отсечь самый большой объем баз данных. Нужно признать, если таблица состоит из 30 сотрудников, 50 сотрудников, то она не является существенной и такой, которая может повлиять на ситуацию с персональными данными».

По словам И.Петухова, Госслужба обратится в правительство с просьбой урегулировать ситуацию. «Постараемся, возможно, чтобы на уровне Кабинета Министров было принято какое-то решение, допустим, чтобы для частных предпринимателей продлили срок регистрации до примерно 2016 года. Или же в срочном порядке нужно принять закон, предусматривающий, что предприятия с определенной численностью пока не будут регистрировать бухгалтерию и кадры до такого-то года», — пояснил он.

Но пока достучатся в Кабмин, юридическим лицам придется отдуваться за промахи законодателей. В принципе, как обычно…

Постоянный адрес статьи: http://economics.unian.net/rus/detail/114226

Будьте першим, додайте коментар!

Залишити відгук