Владельцы баз должны помнить и о проверках, и о возможных исках
С начала года в Украине вступил в силу новый для страны закон о защите персональных данных, который был принят в рамках обязательств перед ЕС. Поначалу закон напугал рынок. Теперь страсти улеглись, а компании думают, как этот закон выполнять на практике – с Нового года предусмотрены наказания за нарушения. О том, как выполнять закон, как защищать персональные данные и как будут проводиться проверки, рассказал заместитель главы Государственной службы по защите персональных данных Владимир Козак.
- Как вы оцениваете первые месяцы работы вашей службы с бизнесом?
- По нашим наблюдениям, на сегодня вопросов о том, что такое "персональные данные" почти не осталось. Когда наша служба начинала работу, 95% всех вопросов были именно об этом . Думаю, это, в частности, и результат того, что мы пытаемся участвовать во всех семинарах, конференциях и встречах, на которые нас приглашают.
Относительно работы по процедурам обработки ПД: у нас на сайте есть проект типового порядка обработки ПД в базах ПД, но мы на данный момент не можем его утвердить своим приказом. Сейчас он проходит сложную процедуру согласования и будет утверждаться приказом Минюста. Также, на общественном обсуждении находятся рекомендации по обеспечению защиты информации в базах ПД от незаконной обработки, а также от незаконного доступа к ним, эти вопросы относятся к IT-безопасности. Мы призываем всех специалистов, в частности,– IT-специалистов, подключаться к обсуждению этих документов. До 13 сентября мы принимаем заявки на участие в общественном совете при службе, а 23 запланировано учредительное собрание совета. Ведь наш закон определяет конкретные обязательства компаний, но они разбросаны по разным статьям, а эти документы превращают их в понятный для всех алгоритм. И мы предложили инициативной группе в конце месяца провести встречу с общественным обсуждением этих документов. Учитывайте, что у нас сейчас 51 сотрудник, а работы по подготовке таких подзаконных актов – очень много.
- Если говорить об участии рынка, многие отраслевые ассоциации очень резко критиковали закон и Госслужбу. Сейчас вы перешли к сотрудничеству? С кем уже удалось найти общий язык?
- Мы работаем с УАДМ (Украинская ассоциация директ-маркетинга, именно эта ассоциация ранее критиковала закон наиболее жестко – прим.ред.), Ассоциацией украинских банков (АУБ), ассоциацией коллекторов, ассоциацией депозитариев и регистраторов, страховщиков…Мы также встречались с ассоциацией юристов в сфере медиа.
- А с Интернет-провайдерами, с ИнАУ не проводили встречи?
- Провайдеры пока занимают достаточно пассивную позицию, хотя ИнАУ уже входит в наш общественный совет. Но Интернет – это большая, очень важная часть нашей будущей работы, как в обработке контента, так и в провайдерских услугах.
- Говоря о работе с бизнесом, вы предоставляете возможность для каждой отрасли уточнять определение ПД и порядок их обработки с оглядкой на специфику?
- Не совсем так. Определение ПД по нашему закону – максимально широкое и сейчас почти ни у кого не осталось сомнений в том, что оно почти дословно повторяет европейские нормы. Согласно нормам Директивы ЕС по защите ПД (ст. 22), оно и должно быть максимально широким, охватывать всю информацию, которую только можно связать с человеком. В европейской практике есть судебные решения, когда одни и те же данные в одном случае оценивались как персональные, в другом – нет. Для каждой отрасли – в Интернете, в директ-маркетинге, в депозитных структурах – ПД будут охватывать совершенно разные вещи. И, опять же, согласно мировой практике, отраслевые объединения могут разрабатывать свои правила, кодексы поведения. Определить какие же данные следует считать персональными в зависимости от целей, рисков, технологий ведения бизнеса, профессиональные ассоциации могут конкретно. Ближе всего к этой цели УАДМ. Надо сказать, в прошлом году на уровне рабочей группы СЕ было рекомендовано всем странам использовать кодекс поведения в директ-маркетинге. Например, журнал "Кадровик" готовит рекомендации, как регистрировать базы по кадрам, и это рекомендации конкретные. Откуда мы, как госслужба, можем знать, как вам назвать свою базу, или с какой целью вы ее обрабатываете? Мы примем все отраслевые правила, которые будут соответствовать закону.
- Базы ПД: какими темпами украинские компании их регистрируют?
- Мне хотелось бы развеять устоявшийся стереотип о том, что регистрация баз ПД для компании – самая главная часть работы. Основная работа проводится "до", а регистрация – это просто подведение некоей черты. Ведь, чтобы правильно зарегистрировать свои базы данных, компании необходимо, согласно ст.2 Закона, утвердить цель обработки ПД, установить состав ПД, процедуру их обработки и уже потом регистрировать базу. За несколькими словами скрывается огромный массив работы.
Поясню на примере. Классическая организация имеет как минимум две базы данных: собственных работников и клиентов. Клиентами могут быть также юрлица, со своими базами ПД. В большой организации есть при этом несколько информационных систем, есть данные, которые обрабатываются только в бумажном виде, например, данные о сотрудниках в 1С:Бухгалтерии и 1С: Кадрах. Эти базы могут находиться на одном сервере или на разных. Но цель обработки, и значит, количество баз устанавливает сама компания. При этом, ведь можно найти ПД, которые, грубо говоря, в работе не нужны, и проще от них отказаться, чем отдельно прописывать под них процедуры обработки. Количество баз ПД зависит от особенности организации бизнес-процессов на предприятии.
Кроме того, закон определяет, чтобы за защиту ПД в компании отвечало должностное лицо или отдел. В Европе или США есть Security Director или заместитель IT-директора, отвечающий за защиту данных по всей организации. Но на практике, дополнительно, за каждую базу ПД должно отвечать отдельное должностное лицо, за базу данных бухгалтерии не может отвечать кадровик. И должно быть назначено лицо, отвечающее за защиту от незаконного доступа, уже упомянутый IT-специалист.
Организация, как минимум, должна назначить ответственных и написать документ о порядке обработки ПД, где все это будет расписано. Без состава ПД, цели и процедур их обработки регистрация имеет мало смысла. Хочу особенно отметить, что у нас на сайте есть целый раздел, посвященный европейскому законодательству, в частности, директивам ЕС, там же приводятся решения судов по правам человека, международные стандарты по защите ПД Европейского комитета стандартизации (CWA), рекомендации рабочей группы, созданной по ст. 29 директивы 95/46/ЕС. Это все – практика более чем 30-летнего европейского опыта в сфере защиты ПД.
- И, все таки, как проходит регистрация баз, которая стартовала, если не ошибаюсь, с 1 июля этого года?
-
На 2 сентября была зарегистрирована 151 база, в 11 случаях было отказано в регистрации в связи с тем, что документы были неправильно оформлены. Зарегистрированы 8 баз персональных данных МВД, база персональних данных ЦВК, , 4 базы - органами местного самоуправления – 4, 30 – медицинскими учреждениями, 6 коммунальными предприятиями, 6 - физлицами-предпринимателями, 116 – другие. По регионам, активнее всего базы персональных данных регистрируют предприятия и Киева – 90, Донецка – 17, Винницы – 13, в остальных регионах – по нескольку заявлений.
Уже на 9 сентября количество принятых заявок на регистрацию составило 222, а количество зарегистрированных баз - 206. В одну базу уже внесены изменения. Чаще всего заявки присылают по почте (127), или непосредственно у регистратора (95). На 9 число больше всего баз из госорганов зарегистрировало МВД (10).
Следует отметить активность предприятий с участием иностранного капитала.
Приятно, что так активно регистрирует МВД, ведь согласно рекомендациям Комитета Министров Совета Европы по защите ПД в правоохранительной сфере деятельности не может быть баз ПД, неизвестных общественности. Правда, процедура обеспечения прав субъектов персональных данных относительно таких баз данных, конечно, намного сложнее, надо над этим работать.
- А в каких отраслях уже сейчас можно говорить о проблемах с защитой ПД? На какие предприятия чаще всего жалуются?
- Чаще всего поступают жалобы на предприятия ЖКХ, на коллекторские фирмы. Иногда, конечно, жалобы связаны с попыткой граждан уклониться от уплаты коммунальных счетов, долгов или кредита банку. Но, с другой стороны, есть прямые нарушения при передаче ПД коллекторам. Классическая проблема: коллектор является распорядителем базы ПД, то есть, действует исключительно в интеесах того, кто эти персональные данные предоставил, и не имеет права собирать дополнительные данные. А если собирает – то он уже владелец базы и требования к нему другие. Коллекторы не считают необходимым сообщать, что обрабатывают чьи-то данные, называть, кто они такие. Но при этом им проще называться распорядителем базы, потому что тогда вся ответственность лежит на организации, по договору с которыми они обрабатывают персональные данные. В этой сфере - масса некорректностей.
Отдельно существует большая проблема с видеонаблюдением. Ведь у нас пока не зарегистрировано ни одной базы видеонаблюдения. Вы заходите в супермаркет, вас снимают на видео, с целью защитить свою собственность. Но при этом, как долго они хранят эти данные? По логике не должны хранить дольше исковой давности, но по факту… Опять же, кто имеет доступ к этим файлам, кто их просматривает, сортирует? Ведь процедура обработки для таких баз не прописана. Кроме того, по закону обрабатывать такие данные можно только после того, как вы дали документированное согласие на обработку. А как вы будете давать такое согласие, заходя в магазин? Во многих фирмах установлено видеонаблюдние за сотрудниками, которые об этом даже не знают. В школах иногда стоят видеокамеры.
- А в том, что касается обработки ПД в Интернет-сфере, что можете сказать?
- Многие сайты и блоги собирают информацию, которая дает возможность идентифицировать пользователя. Как минимум, IP-адрес, по которому при определенных условиях можно узнать, кто и когда к вам заходил. А раз можно определить – значит, это ПД. Дальше – больше, ведь пользователи оставляют свой мейл, телефон, Facebook-логин…
- Но ведь здесь ярко выраженное согласие, раз пользователь сам предоставляет данные?
- Украинский закон требует документированного согласия. Вы сможете доказать через месяц, что я дал вам согласие обрабатывать мои ПД при входе в ваш блог? А если я обращусь в суд и скажу, мол, я данные оставлял, но согласия на обработку не давал. Чтобы доказывать такие вещи, существуют различные механизмы. Как минимум, если у вас есть такой сайт, вы можете подписывать с использованием электронной цифровой подписи (ЭЦП) с указанием даты логи (записи действий, производимых на сайте - прим.ред.) или протоколы работы сайта в той части, которая касается предоставления согласия на обработку ПД. И если пользователь обратился в суд, у вас есть технические доказательства того, что такого-то числа заходил некто, назвавшийся Ивановым И.И. И он не мог чисто технически обойти процедуру согласия на обработку ПД. Об этом есть протокол, подписанный администратором и заверенный ЭЦП авторизованного центра сертификации ключей.
- Но ведь в Интернете такие механизмы будет сложно внедрить, учитывая объемы…
- Технически это элементарно, но это требует работы. Это скорее вопрос потребности, оценки рисков, но, как только по судебным искам разорится 3-4 Интернет-магазина, эта процедура сразу станет выглядеть проще.
Я профессионально занимался защитой информации, цифровой подписью, и могу сказать, что в Украине нет проблем с ЭЦП, радикально отличающих Украину от других стран. 90% проблем надуманные. Есть более десятка независимых центров сертификации. Хотите – внедряете, не хотите – не внедряете.
Опять же, есть множество Интернет-сайтов по торговле, где представлены десятки ТМ, но ни одного указания реального владельца или адреса компании. Эта же ситуация и в реальных торговых центрах: когда карточку оформляете на скидку, вы всегда знаете, кому вы передаете данные? И зачем при оформлении скидки магазину снимать ксерокопию с вашего паспорта? Зачем магазину точная дата вашего рождения, если только у него в целях не написано дарить всем клиентам цветы на День рожденья (улыбается)? Ведь по закону, компании должны обрабатывать объем данных, необходимый для цели обработки и никак не больший.
- Все нарушения, о которых вы говорили, как я понимаю, с января следующего года, будут наказываться и в административном и в уголовном порядке?
- Да. Закон о санкциях вступает в силу с 1 января 2012 года. Но, пока что устоявшейся практики нет. Владельцам баз ПД следует помнить о том, что для них рисками являются как наши проверки, так и судебные иски граждан. А граждане у нас законодательно подкованные, по крайней мере, знают, к кому обращаться, вспомните историю с системами "Визир" в ГАИ несколько лет назад. Кроме того, кто сказал, что компании не смогут использовать граждан в конкурентной борьбе? В Европейской практике были случаи, когда фирмы разорялись после выплат штрафов по судебным искам. Ведь за незаконную передачу данных за рубеж штраф в Европе может составлять и 30 тыс., и 300 тыс. евро. Для маленькой компании это более чем чувствительно.
Что же касается нашего надзора, у нас пока отдел контроля состоит всего из 7 человек. И будет ли он расширен, я пока сказать не могу. Самая жесткая мера, которую можем применять – это предписание , обязательное к выполнению. Мы также по результатам плановых и внеплановых проверок можем составлять админпротокол и передавать в суд, а суд будет устанавливать меру наказания.
Одну проверку мы уже провели, до Нового года планируем провести еще несколько. В первую очередь, будем проверять те сферы, где больше всего заявлений о нарушениях их прав от населения, и сначала, думаю, будем проводить больше внеплановых проверок.
Например, вы получаете услугу от одной организации (к примеру, ЖКХ), а платите совсем другой. Чтобы работать правильно, эти организации должны прописать свою ответственность за обработку ваших данных, потому что в случае судебных исков, компании, которые сейчас живут дружно, начнут избегать ответственности.
Кроме того, европейская практика показывает, что в таких случаях полезен независимый аудит . У нас скоро, думаю, появятся организации, которые будут помогать разобраться в защите ПД, а также те, кто будет проводить внешнюю оценку степени защиты ПД в компании. В Великобритании, например, степень ответственности за утечку данных зависит от вашего отношения. Если вы до утечки обходились одними "призывами", мол, давайте не нарушать, то ваша степень ответственности – одна, будет считаться, что вы обрабатывали ПД not fairly and lawfully. А если вы все сделали как надо, еще и провели независимый аудит, то степень ответственности – совсем другая. В некоторых странах частота проверок вводится в оценку рисков, и периодичность проверок зависит от класса рисков, который присваивается организации.
Справка редакции: Нормы закона, принятого парламентом 2 июня этого года, предусматривают штрафы от 300 до 1000 не облагаемых налогом минимумов доходов граждан, а в некоторых "особо тяжких" случаях – лишение свободы сроком до 3-5 лет. Например, уклонение от госрегистрации, согласно тексту закона, повлечет за собой штраф от 500 до 1000 не облагаемых налогом минимумов, а нарушение порядка защиты персональных данных, которые привели к незаконному доступу к ним – штраф от 300 до 1000. Незаконное хранение, использование или распространение конфиденциальной информации о лице могут повлечь либо штраф от 500 до 1000 минимумов, либо ограничение свободы – до 3 лет. А повторные действия такого характера, либо действия которые привели к существенному вреду правам пострадавшего могут привести к заключению на срок до 5 лет.
- Какие механизмы можно посоветовать компаниям, кроме независимого аудита?
Чтобы обезопасить себя, компании часто применяют Privacy Enhancing Technologies – технологии специальной улучшенной защиты ПД (в случае Интернет-проектов механизмы для упреждения сбора ПД, анонимности), сюда же относятся средства обезличивания ПД. Например, есть большая телеком-компания, у нее имеется база клиентов. Если эти данные обезличить, к примеру, с помощью криптографии, можно будет значительно сэкономить на организации процедур обработки ПД. Потому что только часть людей, работающих с базой, будет иметь возможность идентифицировать клиента по его данным.
В электронной торговле в ЕС действует директива о цифровой подписи (Директива 1999/93/ЕС – прим.ред.), которая предполагает возможность получения анонимной цифровой подписи. Подпись выдается конкретному лицу, но кто он, знают только в центре сертификации ключей. Фактически, это аналог обычных денег, вы можете совершить покупку в любом онлайн-магазине, не оставляя данных о себе. А у нас онлайн-магазины сразу начинают сбор данных, ФИО, адрес, телефон… В одной из земель Германии даже кнопку Like не рекомендуют использовать, именно в связи с необходимостью защиты песональных данных.
В Украине предстоит многое сделать. Государственная служба защиты персональных данных регистрирует базы ПД, разрабатывает предложения по совершенствованию нормативно-правовых документов, рекомендации по защите ПД, рассматривает обращения граждан и готовится осуществлять проверки выполнения законодательства в этой сфере. Но мы очень надеемся, что в работе нам помогут также общественные организации, профильные ассоциации и просто заинтересованные специалисты.