Чем грозит защита персональных данных

В 2010 году темой года как для юристов, так и для предпринимателей, безусловно, стал Налоговый кодекс. На его фоне такие документы, как "Закон о защите персональных данных", вступивший в силу одновременно с кодексом, 1 января 2011 года, неоправданно "выпали" из поля зрения. А зря.

Ведь Закон, в частности, вводит в правовое поле понятие "персональных данных" (ПД), обязывает все компании и организации регистрировать базы ПД в госреестре и дает полномочия контроля специальному госоргану.

Нормы этого Закона касаются буквально любого бизнеса, независимо от масштаба или географии, который работает с клиентами, собирает и обрабатывает клиентские данные. В первую очередь – банкиров, страховщиков, телеком-компаний, таких как операторы фиксированной и мобильной связи, Интернет-провайдеры, а также компаний, занимающихся рекламой и маркетингом, издателей... Представителей этих бизнесов очень беспокоит, что в действующем Законе достаточно спорных моментов и "дыр", при этом уже создан госорган, который будет следить за выполнением требований Закона, а отдельным законопроектом прописаны санкции для нарушителей.

Что не нравится бизнесу

Представители отраслевых ассоциаций говорят о том, что хотя принять сам Закон было необходимо – в рамках обязательств Украины перед ЕС, нормы Закона все же нужно дорабатывать*, и кроме того, принимать целый пакет нормативно-правовых документов, которые будут указывать, как именно следует выполнять данный Закон. И только после этого применять к нарушителям какие-либо санкции.

"Создание независимого законодательного и институционального механизма в сфере защиты персональных данных является одним из ключевых требований к Украине в рамках определенного курса к евроинтеграции. Но я обращаю ваше внимание на то, что Закон Украины "О защите персональных данных" является рамочным, и для его реализации крайне необходимо разработать серию нормативных документов, которые должны четко определять, каким образом он будет применяться", – говорит глава правления Интернет Ассоциации Украины (ИнАУ) Татьяна Попова.

*Инициативу, направленную на доработку Закона, поддерживает более 20 отраслевых ассоциаций, среди которых Украинский союз промышленников и предпринимателей (УСПП), Украинская ассоциация директ маркетинга (УАДМ), Интернет Ассоциация Украины (ИнАУ), Лига страховых организаций Украины (ЛСОУ), Ассоциация украинских банков (АУБ) и другие

Что же касается санкций, сейчас в парламенте зарегистрирован законопроект 11.11.2010 г. N7355 "О внесении изменений в некоторые законодательные акты Украины по нарушению законодательства о защите персональных данных". Его нормы предусматривают административную и уголовную ответственность за нарушение Закона, в частности – штрафы от 300 до 1000 не облагаемых налогом минимумов доходов граждан, а в некоторых "особо тяжких" случаях – лишение свободы сроком до 2 лет.

Среди самых существенных недоработок уже действующего Закона указывается размытый понятийный аппарат, широкие функции контролирующего органа, особенности ведения госреестра баз данных.

Война понятий

Определение информации, которая может считаться персональными данными (ПД) и, соответственно, попадать под регулирование обсуждаемого Закона, по мнению представителей украинского бизнеса, подана крайне "непонятно". Собственно, само определение ПД** – "ведомости или совокупность ведомостей о физическом лице, которое идентифицировано либо может быть конкретно идентифицировано" списано со страсбургской Конвенции о защите лиц в связи с автоматизированной обработкой персональных данных. Но, как корреспонденту ЛІГАБізнесІнформ пояснил юридический советник Украинской ассоциации директ маркетинга (УАДМ) Дмитрий Йовдий, в европейской законодательной практике защите подлежат только те данные о лице, с помощью которых можно определить конкретного человека: так называемые "чувствительные" персональные данные".

"Например, во Франции существует единый федеральный реестр, куда данные вносятся по желанию субъектов ПД, в Великобритании регистрации подлежат только базы упомянутых "чувствительных" данных, таких как состояние здоровья пациентов, реестры судимостей и т.д.", – заметил юрист. Возможно, при переводе определения из конвенции, предполагает Д.Йовдий, могла быть допущена ошибка, которая и привела к "размыванию" термина. В текущей редакции Закона под определение ПД попадает практически любая информация о клиентах – вплоть до содержимого визитницы, адресной книги электронной почты или списка контактов в мобильном телефоне.

**Сравнение определения ПД:

В украинском Законе "О защите персональных данных":

Персональные данные — ведомости или совокупность ведомостей про физическое лицо, которое идентифицировано либо может быть конкретно идентифицировано.

В российском Законе "О персональных данных" от 27.06.2007 года:

Персональные данные — это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

В европейской Конвенции о защите лиц в связи с автоматизированной обработкой персональных данных от 28.01.1981 года:

Персональные данные — любая информация, касающаяся конкретно определенного лица, или лица, которое может быть конкретно определено

Право приватности, как одно из фундаментальных прав человека, конечно же, требует законодательной защиты, уверена главный юрисконсульт Ассоциации украинских банков (АУБ) Александра Матвийчук. Но вместе с тем, понятие "персональных данных" однозначно необходимо дорабатывать, уверена юрисконсульт. "Во всем ЕС персональные данные делятся на общие и чувствительные, и защите подлежит именно последний тип данных", – говорит она.

Чтобы получить официальное разъяснение по терминологии, ИнАУ 19 января 2011 года направила в Министерство юстиции письмо, в котором просила дать разъяснение: какая минимальная совокупность ведомостей дает возможность идентифицировать лицо и составляет собой суть определения "персональные данные". Юристы отраслевых ассоциаций выработали предложения: проект изменений к Закону, где термин ПД предлагается заменить следующим, более конкретным, по мнению украинского бизнеса, определением:

ПД – ведомости о физическом лице, которые в своей совокупности дают возможность идентифицировать такое лицо. Минимальной совокупностью ведомостей, которые дают возможность идентифицировать лицо (идентифицирующими данными) являются: фамилия, имя и отчество лица вместе с датой рождения, или домашним, почтовым или электронным адресом, или номером телефона, или регистрационным номером учетной карты плательщика налогов.

Пока не будет конкретизировано понятие ПД, а также пока не вступят в силу нормативно-правовые акты, уточняющие Закон, он будет слишком "взяткоемким", считают представители отраслевых ассоциаций. В нынешней редакции он может привести к росту коррупции и усилению давления госорганов на бизнес. Как отмечает заместитель главы юридического департамента Лиги страховых организаций Украины Василий Телицкий, правительство и Президент своей программой говорят о необходимости дерегуляции рынков. И когда на этом фоне создается уполномоченный госорган, который будет проверять выполнение Закона, бизнесу необходима уверенность в том, что эти проверки будут максимально прозрачны.

"Дырки" и "заплатки"

Кроме понятийного аппарата, нарекания предпринимателей вызывают также нормы по созданию единого государственного реестра баз персональных данных. По мнению президента УАДМ Валентина Калашника, если регистрация баз данных будет проходить в соответствии с действующим определением ПД, то есть – охватывать самый широкий круг баз данных, масштаб реестра будет сравним с ЕГРПОУ и будет включать в себя 3-4 млн. записей. Это, как отмечают отраслевые ассоциации, достаточно "неподъемное" задание для Государственной службы по защите персональных данных, созданной Указом Президента об админреформе (именно на эту службу возлагается функция контроля за соблюдением Закона). Это задание является очень затратным, и для бюджета Госслужбы - сложно выполнимым. Кроме того, по Закону есть возможность возложить эти траты на самих предпринимателей.

Вместо этого предлагается регистрировать и контролировать владельцев баз персональных данных. По Закону, владельцем баз ПД является физическое или юридическое лицо, которому законом или по соглашению субъекта персональных данных предоставлено право на обработку этих данных, которое утверждает цель обработки ПД в базе данных, устанавливает состав данных и процедуру их обработки.

Неоднозначность кроется и в той информации, которую необходимо будет указывать в заявке на регистрацию базы. Так, по словам В.Калашника, затруднительно будет указывать фактическое местонахождение базы на хостинге "где-нибудь в США", что в украинском Интернете является довольно распространенным явлением. А место расположения физического оборудования, которое используется для хранения базы, часто знает только дата-центр, но никак не владелец или распорядитель базы (компания или подразделение компании, которой база отдана в обработку, например, колл-центр).

В том, что касается полномочий Госслужбы по защите персональных данных, чьи инспекторы по Закону могут приходить с проверкой в любое помещение, где осуществляется обработка баз ПД, бизнес предлагает госоргану ограничиться реагированием на заявления о нарушениях Закона. Проверка такого нарушения в деятельности компании или организации, по мнению юристов ассоциаций, должна осуществляться только с санкции руководителя Госслужбы.

Кроме того, пока что в Законе прописано право субъекта ПД требовать удаления его данных из базы по формальным причинам (ошибка в данных). По мнению инициаторов изменений в Закон, этой нормой как уловкой могут воспользоваться граждане, чтобы избежать ответственности по гражданско-правовым договорам. Например, отказаться на этом основании от выплаты кредита банку.

Сейчас отраслевые объединения обратились к Президенту с просьбой внести изменения в Закон "О защите персональных данных" и отсрочить санкции по нарушениям его норм до разработки подзаконных актов, разъясняющих механизмы его работы.