+38 (057) 781-12-60
+38 (095) 479-79-09

Защита персональных данных: совершенство не имеет границ

2 жовтня 2012 року Верховною радою прийнято зміни до Закону про ЗПД (N 2297-VI від 01.06.2010 р.) — урядовий проект N 10472-1. Закон направлено на підпис Президенту 09.10.2012 р.

Як говориться в офіційному повідомленні на сайті ДСЗПД (zpd.gov.ua), «необхідність прийняття Закону зумовлена низкою суттєвих недоліків, що містяться в чинній редакції Закону про ЗПД, які ускладнюють роботу не тільки переважної більшості підприємств, установ і організацій України, але і державних органів. Закон про ЗПД за майже два роки існування показав свою неефективність та невідповідність сучасним реаліям. Чинний Закон містить положення, які є важко виконуваними для більшості суб’єктів господарювання України, на діяльність яких розповсюджується дія Закону. Завданням цього проекту є вдосконалення існуючих норм Закону України «Про захист персональних даних» з метою усунення очевидних протиріч та послаблення непропорційно важкого тягаря на бізнес в Україні, створеного низкою норм діючої версії закону.»

Повністю підтримуємо спостереження Держслужби, але давайте розберемося, чи справді Закон з назвою «Про внесення змін до Закону України «Про захист персональних даних» (щодо удосконалення правового регулювання у цій сфері)» полегшить наше життя.

Після детального вивчення законопроектної бази з питань ЗПД (треба сказати, вона не така вже й обширна) ми виділили два законопроекти, які, на наш погляд, могли б кардинально змінити підхід до захисту персональних даних в Україні, зробивши із Закону про ЗПД не «кару небесну» для підприємств та підприємців, а дійсний інструмент захисту наших з вами прав на невтручання в наше особисте життя. Мова йде про проекти N 9790 та N 10472, авторами яких є депутати ВР.

В першому із згадуваних проектів, наприклад, пропонувалося змінити всього одну статтю –»Сфера застосування Закону» — і все б одразу стало на свої місця: Закон би стосувався лише таких сфер діяльності, де обробляються великі об’єми інформації про персональні дані (фінансова та страхова діяльність, діяльність у сфері інформації та телекомунікації тощо).

Другий проект пропонував багато поліпшень для закону, серед яких – відміна обов’язковості надання письмового повідомлення особі про включення її даних до БПД протягом 10 днів. Адже ми знаємо, що наразі основною проблемою для володільців БПД є навіть не їхня реєстрація, а саме оформлення письмових повідомлень. А також ми пам’ятаємо, що з 01.07.2012 року запрацювала норма, яка дозволяє накладати штраф на посадових осіб, громадян-СПД за неповідомлення або несвоєчасне повідомлення суб’єкта про включення його даних до БПД у розмірі 3400-6800 грн., а якщо таке порушення вчинено повторно протягом року — 6800-11900 грн. (Закон N 3454-VI від 02.06.2011 р.)*.

На превеликий жаль, проекти ці так і залишилися проектами, а прийняла Верховна Рада менш радикальні зміни – законопроект N 10472-1. Є в ньому, звичайно, й позитивні моменти, але розглянемо все по порядку.

1. Дещо підкориговано сферу застосування Закону про ЗПД. Якщо раніше він не розповсюджувався на фізичних осіб, що створювали БПД виключно для непрофесійних особистих чи побутових потреб, то тепер слово «непрофесійних» зникло. Тобто Закон не поширюється на діяльність з обробки персональних даних, яка здійснюється фізичною особою виключно для особистих чи побутових потреб (це, до речі, має зняти ряд питань щодо того, чи є базою даних список контактів у мобільному телефоні або в електронній пошті).

Занепокоєння представників ЗМІ викликало наступне нововведення: в чинній редакції Закону встановлено, що його норми не розповсюджуються на журналістів, які створюють бази даних у зв’язку з виконанням ним службових чи професійних обов’язків, та на професійних творчих працівників, які це роблять для здійснення творчої діяльності.

Змінами ж унесено дуже суттєве обмеження: положення Закону не поширюються на діяльність з обробки персональних даних, яка здійснюється творчим чи літературним працівником, у тому числі журналістом, у професійних цілях, за умови забезпечення балансу між правом на невтручання в особисте життя та правом на самовираження (хто та як буде оцінювати наявність такого балансу?)

2. Змінено тлумачення деяких термінів, а в деяких випадках — і самі терміни. Так, «володілець бази персональних даних» стане «володільцем персональних даних», а «розпорядник бази персональних даних» — «розпорядником персональних даних». Та й узагалі, що стосується саме «БАЗ персональних даних», то визначення цього поняття не змінилося (іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних), а от кількість згадувань про бази по всьому тексту Закону про ЗПД значно зменшиться. Але про це поговоримо далі.

Цікавим є поява нового терміна, необхідність в якому була відчутна із самого початку, а саме – «КАРТОТЕКА». Але сказати, що воно внесло якусь ясність, доволі важко.

Судіть самі: «картотека — це будь-які структуровані персональні дані, доступні за визначеними критеріями, незалежно від того, чи такі дані централізовані, децентралізовані або розділені за функціональними чи географічними принципами».

На нашу думку, це дуже невдале визначення. В офіційних роз’ясненнях, які свого часу давалися Закону про ЗПД, можна було бачити більш зрозумілі пояснення, наприклад:

- картотека персональних даних – систематизоване зібрання паперових носіїв інформації, що містять відомості про фізичних осіб, які є персональними даними;

- картотека персональних даних – сукупність, набір карток носіїв інформації, об’єднаних, систематизованих і розміщених у певному порядку, складові частини якої можуть бути знайдені за певним критерієм пошуку (за алфавітом, темою, строками тощо).

Будь-яке з цих визначень було б більш правильним та логічним. Адже із затвердженого значення терміна не зрозуміло, що картотека складається саме з карток, з паперових носіїв інформації. Таким чином, картотекою можна вважати й електронні бази даних, а це вже просто абсурд…

3. Повернімося до теми БАЗ ПЕРСОНАЛЬНИХ ДАНИХ (БПД).

Проектом передбачається суттєво розширити коло тих даних, які підпадають під захист Закону про ЗПД. Тепер об’єктами захисту будуть ВСІ персональні дані, а не тільки ті, які обробляються в БПД.

Ця зміна доволі неоднозначна… З одного боку, ми, як суб’єкти персональних даних, маємо радіти, що всі наші дані захищатимуться державою.

Але з іншого боку, це збільшує навантаження та ризик для нас, як володільців чиїхось даних. Адже якщо раніше ми несли відповідальність лише за ті дані, що становлять наші БПД, то тепер ми відповідальні за всі персональні дані…

Тобто якщо розуміти оновлений текст Закону буквально, ми маємо слідкувати за дотриманням підстав для обробки всіх даних, а не тільки тих, що входять до існуючих у нас БПД. Також ми маємо повідомляти абсолютно всіх суб’єктів, дані яких так чи інакше опиняються в нас, а не тільки тих, чиї дані потраплять до наших БПД… Але хіба такі зміни спроможні «вдосконалити існуючі норми Закону з метою усунення очевидних протиріч та послаблення непропорційно важкого тягаря на бізнес в Україні.»?!?! Таке враження, що наші законотворці самі ще не зовсім зрозуміли, ЩО саме вони прийняли. Варто дочекатися, коли вони самі розберуться в своїх «покращеннях» та нададуть якісь офіційні роз’яснення.

4. Тепер трохи про дійсно позитивні зміни. Володілець персональних даних ЗВІЛЬНЯЄТЬСЯ ВІД ОБОВ’ЯЗКУ РЕЄСТРАЦІЇ баз персональних даних:

- ведення яких пов’язано із забезпеченням та реалізацією трудових відносин;

- членів громадських, релігійних організацій, професійних спілок, а також політичних партій.

Це означає, що з дня набрання чинності новим Законом всі, хто ще не зареєстрував базу даних «Працівники», можуть вже це і не робити. Інше питання: що робити тим, хто цю базу вже зареєстрував (або принаймні подав заяву про реєстрацію)?

Чіткої відповіді в Законі немає (хоча як раз для таких моментів й існує розділ «Прикінцеві та перехідні положення»). Але розмірковуємо логічно: якщо база вже зареєстрована, то ми маємо виконувати правила гри (тобто в нас має бути відповідальна за базу особа, ми мусимо в 10-денний строк після зміни відомостей, що подавалися нами при реєстрації БПД, надіслати в ДСЗПД відповідну заяву, аби уникнути великих штрафів* тощо).

Простіше всього було б анулювати реєстрацію, але подібну процедуру Законом не передбачено. Наприклад, у разі ліквідації підприємства треба повідомити ДСЗПД про припинення функціонування бази персональних даних шляхом надсилання Заяви про внесення змін до відомостей Державного реєстру баз персональних даних, форма якої затверджена наказом Міністерства юстиції N 1824/5 від 08.07.2011 р. При цьому самі дані або підлягають знищенню, або передаються в архів.

Але ж у нашому випадку і підприємство продовжує існувати, і база даних «Працівники» на ньому теж існує, хоча реєстрація такої бази вже не обов’язок, а право.

Тому до офіційних роз’яснень радимо всім, хто вже зареєстрував базу «Працівники», продовжувати організовувати роботу з нею належним чином; тим, хто відправив заяву про реєстрацію, але ще не отримав ніякої відповіді, — те ж саме; а тим, хто отримав відмову в реєстрації – зітхнути з полегшенням та вже ніяких заяв не відсилати (хто б міг подумати, що неправильно заповнена заява може зіграти таку позитивну роль?..)

5. Збільшено перелік підстав для обробки персональних даних з двох (згода та закон) до п’яти:

1) згода суб’єкта персональних даних на обробку його персональних даних;

2) дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень;

3) укладення та виконання правочину (рос. – сделки), стороною якого є суб’єкт персональних даних, або який укладено на користь суб’єкта персональних даних, або для здійснення заходів, які передують укладенню правочину на вимогу суб’єкта персональних даних;

4) захист життєво важливих інтересів суб’єкта персональних даних;

5) необхідність захисту законних інтересів володільців персональних даних, третіх осіб, крім випадків, коли суб’єкт персональних даних вимагає припинити обробку його персональних даних, та потреби захисту персональних даних переважають такий інтерес.

Найбільшої уваги тут заслуговує пункт 3. Нагадаємо, що відповідно до ст. 202 ЦКУ, правочином є дія особи, спрямована на набуття, зміну або припинення цивільних прав та обов’язків. Іншими словами, цей пункт означає, що можна не брати згоду на обробку даних з КОНТРАГЕНТІВ (а це друга за популярністю база даних після «Працівників»), а також із засновників, акціонерів тощо.

До речі, дещо змінилося визначення поняття «згода суб’єкта персональних даних». Тепер це добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про її надання (наприклад, при реєстрації на сайті необхідно проставити позначку навпроти слів «Я надаю згоду на обробку моїх персональних даних», без чого подальша реєстрація неможлива).

6. Поняття ПОВІДОМЛЕННЯ суб’єкта персональних даних, на жаль, із Закону не зникає, але трохи коригується:

- повідомлення має містити інформацію про володільця персональних даних, склад та зміст зібраних персональних даних, права суб’єкта, визначені Законом, мету збору персональних даних та осіб, яким передаються персональні дані;

- робиться повідомлення у момент збору персональних даних — якщо отримується згода суб’єкта, або протягом 10 робочих днів з дня збору персональних даних — у чотирьох інших випадках (див. перелік у попередньому пункті). Нагадаємо, що раніше повідомлення мало надаватися протягом 10 робочих днів з дня включення персональних даних до БПД;

- вже немає вимоги щодо обов’язкової письмової форми повідомлення.

ЗВЕРНІТЬ УВАГУ! Ст. 18839 КпАП передбачає значні фінансові штрафи саме за неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних про його права у зв’язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються*.

Отже, хоча тепер ми формально зобов’язані повідомляти всіх суб’єктів, чиїми даними ми володіємо, а не тільки тих, чиї дані містяться в наших базах, але відповідальність прописана тільки щодо варіанта із БПД (але не виключено, що згодом зміни внесуть і в КпАП).

Але ми все одно радимо якимось чином застерегтися від можливих проблем та застосувати якісь заходи, що підтвердять факт повідомлення вами всіх осіб. Наприклад, можна завести окремий журнал для підписів або внести відповідний пункт у договори. А вже на той випадок, якщо вам не з усіма особами вдасться це зробити, майте на увазі, що відповідальність прописана не для всіх випадків.

7. Момент, який вже збентежив багатьох – розширення обсягу повноважень Державної служби України з питань захисту персональних даних, зокрема:

- здійснення технічного регулювання у сфері захисту персональних даних, організація та проведення оцінки відповідності, розробка в установленому порядку стандартів, технічних регламентів, технічних умов;

- здійснення оцінки відповідності комплексних систем захисту інформації, інформаційних, телекомунікаційних та інформаційно-телекомунікаційних систем вимогам щодо захисту персональних даних.

Такі нововведення, на думку членів Громадської ради при ДСЗПД, створюють суттєву загрозу для виникнення необґрунтованих додаткових фінансових та організаційних витрат для бізнесу. Тому вони звернулися до Президента із проханням ветувати цей закон.

8. В той же час, аби спростити роботу Державної служби України із захисту персональних даних, скасовується необхідність повідомити заявника щодо отримання заяви про реєстрацію БПД (це треба було робити не пізніше наступного робочого дня з дня надходження заяви). А також збільшується строк прийняття рішення про реєстрацію БПД з 10 до 30 робочих днів з дня надходження заяви.

Прийнятий законопроект містить ще багато нововведень, але загалом враження від змін не надто позитивне. Але, можливо, Президент його не підпише та поверне на доопрацювання. Якщо ж підпише, то всі сподівання будуть на офіційні роз’яснення, може вони додадуть трохи оптимізму.