Почему закон о защите персональных данных невозможно выполнить

Парламент проголосовал за отсрочку введения ответственности за нарушение закона “О защите персональных данных“.

Если президент не подпишет этот документ, все компании, бюджетные организации и частные лица могут быть сурово наказаны. Корреспондент “Экономической правды” посетил тренинг Минюста и Госслужбы по вопросам защиты персональных данных и вместе с 50-ю HR-специалистами пришел к выводу, что не нарушать закон о защите данных невозможно.

Татьяна Лютина уже много лет работает по упрощенной системе налогообложения как частный предприниматель – физическое лицо. Наемных работников у нее нет. Чтобы сдавать в налоговую инспекцию отчетность, она наняла одну из фирм, предоставляющих такие услуги. После принятия Налогового кодекса и изменений ставок единого налога она заморозила свою деятельность – подала в налоговую информацию о том, что она остается зарегистрированным предпринимателем, но деятельность свою больше не ведет. И налоги, соответственно, уже не платит.

Неожиданно в конце 2011 года компания, обслуживавшая Лютину и сдавала ее отчеты в налоговую, прислала странное письмо. В нем сообщалось, что с 1 января 2012 года вступают в силу поправки в Кодекс об административных правонарушениях и Уголовного кодекса.

Согласно этим поправкам и на основании закона “О защите персональных данных”, вступивший в силу еще 1 января 2011 года, за уклонение от регистрации баз персональных данных ей грозит штраф от 5100 до 8500 гривен. В случае, если к базам данных Лютиной кто незаконно получает доступ, штраф составит 17 тысяч гривен.

Лютиной настойчиво рекомендовали отправить почтой до Госслужбы по вопросам защиты персональных данных свои базы данных.

Татьяна никогда не знала, что такое Служба существует. Она не знала и о принят закон. И она совсем не понимала, о которых базы данных идет. Что, собственно, она должна отправить в эту Службу? Зачем?

Эти вопросы возникли не только у Лютиной, а буквально у каждого – от предпринимателя-одиночки до крупнейших компаний, от поликлиник до министерств. Все находились либо в неведении, или в расслабленном состоянии. Но так было до тех пор, пока не были обнародованы размеры штрафов. И вот тогда уже все бросились исполнять закон о защите данных – кто как мог.

Один из крупных автодилеров Украины во время техобслуживания автомобилей дает клиентам на подпись бумагу, в которой очень туманно написано, что клиент согласен на обработку и хранение его персональных данных. Многие клиенты подписывают это, не вникая в подробности. Наконец, что такого о владельце машины может знать дилер? Имя, адрес, госномер машины, телефон … На автосервисе вся эта информация и без всякого закона необходима, ведь никто же не требует информацию о сексуальной ориентации.

А известный провайдер интернета и кабельного телевидения “Воля” понял нормы закона иначе. Теперь эта компания на обороте квитанций, которые она отправляет клиентам, сообщает, что оплачивая эту квитанцию, клиент автоматически дает согласие на то, что его данные будут обрабатываться, храниться и как-то использоваться.

Этот текст довольно спорный. Во-первых, такие вещи указываются в договоре между клиентом и компанией, а не на квитанции. Во-вторых, клиента лишают права выбора – он не может оплатить счет и отказаться от использования его персональных данных (при этом, непонятно, каких именно). Кроме того, юристы компании, наверное, не могли придумать ничего лучше – прочтение закона о защите персональных данных вводит в заблуждение многих. Он написан так, что трактовать его можно как кому угодно.

В компании “Воля” заявили, что текст на обороте квитанции законный, составлен исходя из норм действующего законодательства и закона о защите персональных данных.

“С 2011 года согласие на обработку персональных данных мы получаем от каждого нового абонента. Без идентификации абонента – физического лица вообще не возможно предоставление услуг. Идентификация происходит, в первую очередь, по его персональными данными”, – сказала Алина Сигда, руководитель пресс-лужбы компании.

Ксения Ляпина – один из депутатов парламента, которая пытается изменить закон или, как минимум, отсрочить и уменьшить штрафные санкции, которые она иронично называет “скромненький и миленьким”.

Депутат объясняет, почему был принят этот закон. В 2010 году Украина ратифицировала “Конвенцию о защите лиц в связи с автоматизированной обработкой персональных данных”. Без этого документа другие страны отказывались передавать в Украину базы данных. Например, если европейская компания заказывает украинских разработку программного обеспечения для обработки информации, то она хочет, чтобы разработчик нес законную ответственность, которая должна быть прописана в украинском законодательстве – именно этого у нас и не было. Поэтому Украина и ратифицировала конвенцию. Но этого еще недостаточно.

Конвенция – это ориентир для законодателей и исполнительной власти, но это еще не тот документ, который отвечает на вопрос, что и как делать для того, чтобы защитить человека и информацию о ней. Для этого необходим закон. И такой закон – о защите персональных данных – был принят и вступил в силу 1 января 2011 года. Но оказалось, что качество этого документа не выдерживает никакой критики, закон можно трактовать по-разному и нет возможности его выполнить.

“Обратите внимание на название Конвенции -” о защите лиц “. А украинский закон -” о защите данных “. То есть мы не защищаем человека в связи с тем, что его персональные данные обрабатываются автоматизировано, – говорит Ляпина. – У нас, как всегда, защищают бумажку, причем не просто бумажка, а желательно масштабно так подойти к делу: создать государственный реестр. Ключевая идея закона вовсе не в том, чтобы защищать право человека на приватность, а в том, чтобы создать государственную базу данных баз данных, требующих контроля по защите “.

Депутат отмечает, что в законе такое понятие как “база данных” описано очень туманно. Фактически авторы документа – а это Минюст – “скопировал” отдельные куски из Конвенции, которая, как уже было сказано, является лишь “путеводной” для национального законодательства.

“Авторы украинского закона дали определение баз данных, что называется,” как хочу, так и понимаю “. В результате возникла дискуссия. Вот у тебя в телефоне список твоих друзей, там фамилии, имена и номера. И телефон, согласно закону о защите прав персональных данных, – это уже база данных, которая требует регистрации “, – объясняет Ляпина.

КАК ПОНЯТЬ ЭТУ НОРМУ ЗАКОНА

Статья 2. Определение терминов

В этом законе нижеприведенные термины употребляются в таком значении:

база персональных данных – именованная совокупность упорядоченных персональных данных в электронной форме и / или в форме картотек персональных данных.

Депутат также приводит пример работу агентства по трудоустройству. Такие агентства действительно создают базу данных, в которой есть все сведения для идентификации человека, эти данные обрабатывают для понятной цели – для поиска работы. Можно сказать, что, передавая данные, человек дает свое согласие на обработку данных. Если агентству такие данные не дать, то как оно найдет работу? Зачем еще надо писать, что человек согласен на то, что его включают в базу, но именно это требует закон?

То же самое происходит и с открытием счета в банке – в этом случае клиент передает некий необходимый для открытия счета объем данных. Нет данных – нет счета.

“Этот закон и то, как его исполняют, – лишь имитация деятельности. Цель подобного законодательства в Европе – защитить мое право на приватность. Ну, какое право на приватность нарушает автосервис, если ты туда ездишь обслуживаться? Это же бизнес отношения, ты же не даешь им те идентификаторы, которые не считаешь нужным “, – говорит Ляпина.

Александра Матвийчук из Центра гражданских свобод добавляет, что закон не вводит независимого контроля за сбором, обработкой и использованием персональных данных, как того требует Совет Европы.

“Государственная служба Украины по вопросам защиты персональных данных создана при Министерстве юстиции Украины, то есть находится в системе органов исполнительной власти. При таких обстоятельствах всегда есть опасность, что положения закона могут применяться для других целей, чем защита прав человека”, – считает эксперт.

Матвийчук говорит, что согласно европейским стандартам, персональные данные делятся на данные общего характера (фамилия, имя и отчество, дата и место рождения, гражданство, место жительства) и уязвимые персональные данные (данные о состоянии здоровья, этническая принадлежность , отношения к религии, идентификационные коды или номера, отпечатки пальцев, налоговый статус, данные о судимости и т.п.).

“Но украинский закон такого разграничения не проводит. Как следствие, по буквальному толкованию норм закона распространение даже фамилии и имени лица может осуществляться только с письменного согласия лица. Время закон не предусматривает возможности распространять персональные данные, если она представляет общественный интерес, что является существенным ограничением свободы слова. Это противоречит положению других законов, например, закон “О доступе к публичной информации”, – говорит Матвийчук.

По ее мнению, закон существенно усложняет регулирование данных отношений. Например, обязывает уведомлять субъекта персональных данных о включении в базу его персональных данных. В то же время согласно закону любая обработка этих данных и является возможной после получения согласия субъекта на такую ​​обработку. Остается неясным, в чем целесообразность такого двойного сообщения, осуществляется исключительно в письменной форме.

“В целом замечания есть практически в каждой статье данного закона”, – считает Матвийчук.

Есть еще и несколько технических вопросов.

Например, государственная или частная клиника ведет истории болезней своих пациентов. Считается ли это базой данных? Наверное, так. Но в государственных клиниках и поликлиниках эти истории пишутся от руки – их нет в электронном виде. Нужно ли их регистрировать в Госслужбе? Наверное, так. Как? Отправить все это по почте? Но зачем передавать истории болезни еще одном госоргана, если существует Министерство здравоохранения, которое контролирует государственные медицинские учреждения и лицензирует частные? И если пойти еще дальше, то, наверное, именно Минздрав тоже должно передать свои базы данных Госслужбе.

Другое технический вопрос заключается в том, что Госслужба по вопросам защиты персональных данных была создана лишь летом прошлого года. Сейчас в штате этой службы, если верить данным ее сайта, работает 12 человек.

Заместитель председателя этой Госслужбы ряды Лилия Олексюк говорит, что ее ведомство в июле прошлого года получило 18 заявлений о регистрации баз данных, в августе – 144, в сентябре – 248, в октябре – 452, в ноябре – 12272. и в декабре – более 400 тысяч.

“Письма с заявлениями почта сейчас доставляет мешками, и на сегодня мы еще получаем те заявления, которые были составлены в декабре”, – сказала Олексюк.

По данным Госслужбы, на сегодня она получила 2 миллиона заявок на регистрацию баз. Если большая их часть была отправлена ​​по почте, то каким образом 12 человек смогут ее обработать, непонятно. Более того, эти 2 миллиона заявок должны получать (тоже по почте) о том, что их база данных зарегистрирована. 12 языков не смогут облизать столько почтовых марок. Однако документ, подтверждающий, что база зарегистрирована, нужен, иначе штрафов не избежать. Кроме того, данные, переданные на бумаге, необходимо оцифровать. В противном случае, о которых базы данных может идти речь? Как же выполнить этот закон? Судя по данным о госзакупках, Госслужба уже готова покупать сканеры и другую технику. Времени у них много.

И еще одно. Кроме названия базы данных и цели ее создания, Госслужбе необходимо сообщить, где она находится, а именно – адрес.

Ляпина задает риторический вопрос: “Если информация находится на сервере, а сервер за семью замками в моем офисе, то все понятно. А если база данных у меня на флешке или в облачном сервисе хранения файлов? Какую же адрес мне указать?”.

“Сложности с исполнением закона эксперты прогнозировали еще на этапе принятия законопроекта”, – говорит Матвийчук. По ее мнению, это уникальный случай, когда и правозащитное сообщество, а именно – Украинский Хельсинский союз по правам человека, и бизнес, и Ассоциация украинских банков обратились к президенту Украины с просьбой наложить вето на этот законопроект и отправить его на доработку.

Матвийчук собственными глазами видела процесс регистрации баз данных: “С отдельными сложностями мы уже столкнулись в практике. Красноречивыми были очереди на подачу заявлений на регистрацию баз персональных данных в конце 2011 года. Они выстроились по улице до входа в помещение, где находится Госслужба по вопросам защиты персональных данных. Так случилось, что я работаю в том же здании, и были дни, когда просто не могла попасть на работу “.

Эксперт добавляет, что окончательную картину мы увидим, когда Госслужба начнет отрабатывать уже утвержденный ими план проверок.

Собственно, все эти очереди и миллионы писем вызваны не только тем, что закон, каким бы он ни был, надо выполнять, а тем, что санкции за его невыполнение беспрецедентно жесткие. И в законе не сказано, в каком же выпада нужно платить 300 необлагаемых минимумов, а в каком 700. То есть поле для коррупции – широкое.

Матвийчук предлагает такое сравнение: нарушение требований законодательства о труде и об охране труда влечет наложение штрафа от тридцати до ста тысяч рублей, а нарушение законодательства в сфере защиты персональных данных – от трехсот до четырехсот тысяч рублей.

“Другими словами, если вы несвоевременно направили Госслужбе по вопросам защиты персональных данных бумажку с информацией, то вы платите штраф в 4 раза выше, чем за сознательную невыплату заработной платы”, – говорит эксперт.

Олексюк из Госслужбы уверяет, что проверки начнутся не раньше второго квартала этого года. Но паника никак не утихнет.

Чтобы понять, как закон о защите персональных данных понимают в Минюсте, Госслужбе и в бизнес-сообществе, корреспондент “Экономической правды” отправился на заседание HR-комитета Европейской Бизнес Ассоциации и одновременно – тренинг.

Этот тренинг проводил другой заместитель главы Госслужбы по вопросам защиты персональных данных – Владимир Козак, и директор департамента взаимодействия с органами власти Минюста Елена Зеркаль. Послушать этих людей пришло близко 50 специалистов, в основном, главы HR-департаментов крупнейших компаний и юристы.

Владимир Козак начал было рассказывать о законе, цитировать его статьи, но очень быстро 50 недружественно настроенных специалистов по кадрам начали задавать вопросы.

Один из таких вопросов звучал примерно так: “Я работаю в представительстве зарубежной компании в Украине. Наше представительство отправило на регистрацию в Госслужбу базы данных. Правильно ли мы сделали?”

Козак ответил, что представительству не нужно было этого делать, потому что оно не является юридическим лицом. Тот, кто задавал этот вопрос отметил, что в законе об этом ничего не сказано. На что Козак посоветовал включить логическое мышление.

А через три минуты другой представитель Госслужбы, имя которого узнать не удалось, заявил, что представительство зарубежной компании таки должно было регистрировать свои базы. А Зеркаль из Минюста настоятельно рекомендовала “нанять грамотного юриста”. По залу пошел хохот.

Потом посыпались вопросы типа “правильно ли мы поступили, отправив вам базу данных клиентов?”, “Зачем торговцу с рынка регистрировать свои базы и какие – записные книжки?”.

Стало совершенно очевидно, что даже специалисты высокого уровня действительно не понимают, как выполнять закон, ибо он, по их мнению, очень сырой. Они хотели услышать трактовку этого закона от того, кто его писал, и кто намерен контролировать его соблюдение. Но Зеркаль, слыша каждый из подобных вопросов, театрально хваталась за голову, закатывала глаза, демонстрируя присутствующим их некомпетентность.

Наконец, она пригласила желающих прийти к ней в Минюст и обсудить каждый случай отдельно (как связаться с Зеркаль, можно узнать здесь).

Козаку был задан вопрос, а правильно ли поступила компания “Воля”, написав на обороте платежной квитанции, что клиент, оплачивая ее, дает согласие на обработку его данных. Заместитель председателя Госслужбы, опираясь на нормы закона о защите персональных данных, ответил так: “А вы почитайте договор с” Волей “- там все написано”.

Как сообщила “Экономической правде” компания “Воля”, такой пункт содержится в договорах, подписанных с клиентами после вступления закона в силу. В старых договорах, соответственно, такого пункта нет. При этом упомянутый текст присутствует на квитанциях для абсолютно всех клиентов – и новых, и старых, пришедших в компанию в 2011 году, так как в то время их согласие на обработку персональных данных законами не было предусмотрено.

Козак также опроверг, что проверки предприятий уже начались, хотя несколько раз в своей речи упомянул, что “в ходе проверок были обнаружены классические ошибки …”

Представитель рекрутинговой компании спросил Козака, следует ли считать базой данных имена и контакты, собранные с Facebook. Чиновник сказал, что лично он считает незаконной ситуации, когда с ним связываются через Facebook, чтобы, например, предложить работу. На вопрос, а читал он пользовательское соглашение с Facebook, Козак не ответил.

Во время тренинга было заметно, что Зеркаль и Козак на ходу придумывают, как выполнять нормы закона в том или ином случае. Казалось, что они импровизировали и были настроены к своим “ученикам” чрезмерно агрессивно.

Отвечая на вопрос, что делать, если при приеме на работу человек отказывается подписать бумагу о сборе, хранении и обработке его персональных данных, Зеркаль дала такую ​​рекомендацию: “Не берите его на работу”. Замечание о том, что это не согласуется с другими законами, представительница министерства отвергла.

Зеркаль сделала еще одно важное заявление – закон о защите персональных данных она назвала рамочным.

Как известно, “рамочный” может означать “предыдущий” или даже “приблизительный”, то есть документ рамочного характера определяет общие принципы, а механизм реализации такого документа прописывается в контрактах или в полноценном законе.

К сожалению, сотрудник Минюста Зеркаль, называя закон рамочным, не уточнила, где в законе об этом сказано. В действительности же это полноценный закон, хотя по сути, по форме и по духу он, наверное, рамочный, так как не дает четких указаний, как его выполнять.

В итоге собравшиеся специалисты поняли, что тренинг им никак не поможет и что чиновники не отвечают на их вопросы, и по одному покидали мероприятие. Сложилось впечатление, что Госслужба по вопросам защиты персональных данных – это подобие Нацкомиссии по вопросам морали: понятие “порнография” чиновниками трактуется так, а нормальными людьми – иначе. Но в первых в руках власть.

По информации источников “Экономической правды”, правительство поручило Минюсту доработать закон о защите персональных данных. Источник сообщает, что руководители предприятий, принадлежащих некоторым вице-премьер-министрам, пожаловались на то, что закон не выдерживает никакой критики и создает проблемы в работе. Когда вице-премьеры вникли в ситуацию, как говорит источник, им стало не по себе.

На вопрос, почему парламент, состоящий из крупнейших предпринимателей и промышленников, проголосовал за этот закон, Ляпина сказала, что и депутаты не особенно вникали в происходящее – они увидели закон с красивым названием “о защите” и проголосовали “за”. В конце прошлой сессии парламента депутаты уже со знанием дела проголосовали за введение штрафов не с 1 января, а с 1 июля этого года. Однако, закон требует серьезных изменений.

А предприниматель Лютина так и не зарегистрировала свои базы данных: “Конечно, у меня есть базы данных, но пока я не пойму, какие из них интересуют власть и что мне за это будет, я не собираюсь ничего делать. Пусть сначала докажут, что в меня эти базы есть и что я нарушила закон “.

Источник: http://megalife.com.ua/interest/73099-chomu-zakon-pro-zaxist-personalnix-danix-nemozhlivo-vikonati.html


GD Star Rating
loading...
Почему закон о защите персональных данных невозможно выполнить, 10.0 out of 10 based on 1 rating
Поделиться:
  • Добавить ВКонтакте заметку об этой странице
  • Одноклассники
  • Twitter
  • LiveJournal
  • Мой Мир
  • Facebook
  • В закладки Google
  • Google Buzz
  • Яндекс.Закладки
  • Блог Я.ру
  • БобрДобр
  • Memori.ru
  • МоёМесто.ru
  • MySpace
  • Сто закладок
  • Blogger
  • Блог Li.ру
  • FriendFeed
  • RSS



296 комментариев к записи "Почему закон о защите персональных данных невозможно выполнить"

Оставить комментарий

Вы должны авторизироваться, чтобы прокомментировать статью.