Захист персональних даних:
прорахунки та пропозиції

З 1 січня 2012 року для підприємців настали важкі дні, адже в силу вступили норми, які передбачають штрафні санкції за несвоєчасну державну реєстрацію баз персональних даних. І це тоді, коли процедура проведення таких дій продовжує залишатися невдосконаленою. Тому від влади були озвучені пропозиції про відтермінування застосування покарання за такого роду правопорушення. Однак заходи, пов’язані із захистом персональних даних під час їх обробки, ніхто поки що не відміняв. Те, як це відбувається на практиці в Україні, і вирішила перевірити кореспондентка ЮВУ.

Персональний експеримент

Для цього їй не довелося проводити доволі складні операції із підслуховуванням, підгляданням, стеженням або переодяганням, а всього лише завітати на вечерю до першого ліпшого ресторану, в якому проводилася новорічна подарункова акція зі збором інформації про охочих взяти у ній участь. Усім бажаючим необхідно було заповнити анкету із зазначенням свого імені й прізвища, дати народження та власних контактів, тобто усього того, що містить поняття «персональні дані», наведене в абзаці восьмому статті Закону «Про захист персональних даних». Мається на увазі відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.
За звичкою, перед тим, як заповнювати цю анкету, закортіло упевнитися, чи такий збір персональних даних конкретних осіб проводиться у законний спосіб, тому довелося звернути увагу на значну кількість тексту, написаного дрібним шрифтом. Як виявилося, у ньому йшлося про те, що особа, яка заповнює цю анкету, підтверджує своїм підписом згоду на обробку відповідною компанією її персональних даних з метою участі у розіграші призів. Також зазначалося, що зібрана інформація може передаватися третім особам, зокрема, іншим компаніям із відповідними назвами в Україні та за кордоном, а також їх контрагентам, клієнтам і розпорядникові бази даних. Далі вказувалася адреса власника бази даних.
Виходячи зі змісту прочитаного, можна було дійти висновку, що збір персональних даних клієнтів ресторану проводиться із дотриманням чинного законодавства. Після чого я наважилася відповісти на зазначені у ресторанній анкеті запитання. Виграти обіцяні призи, звісно ж, мені не вдалося, проте поталанило отримати задоволення від наочного прикладу дії Закону «Про захист персональних даних» у конкретній, можна сказати, побутовій ситуації.
Щоправда, такий випадок, за свідченнями експертів, які моніторять рівень виконання зазначеного закону на території України, скоріш можна назвати винятком з правил. Адже більшість анкет, які стосуються збору інформації конкретних осіб здаля розсилки комерційних пропозицій, дослідження ринку або участі в дисконтних програмах, не містять необхідних положень. За що встановлена персональна юридична відповідальність.

Поспішні санкції

Нагадаємо, 2 червня 2011 р. Верховна Рада України ухвалила урядовий законопроект, який передбачає посилення відповідальності за порушення законодавства у сфері захисту персональних даних. За нього у другому читанні проголосувало 263 народних депутатів, адже автори закону, серед яких Міністерство юстиції, переконували, що із його ухваленням Україна адаптується до європейського законодавства, оскільки вона взяла зобов’язання ратифікувати та запровадити конвенцію про захист персональних даних.
Ухвалений акт спрямований на встановлення санкцій, зокрема в частині незаконного збирання, зберігання, використання або поширення конфіденційної інформації про особу; незаконного збирання, реєстрації, накопичення, зберігання, адаптування, зміни, поновлення, використання, знищення або поширення чи їх передачі конфіденційної інформації про особу третім особам з порушенням вимог закону; ухилення від реєстрації бази персональних даних, створення або робота з ними до проведення державної реєстрації; порушення порядку доступу до тих відомостей, які обробляються у базах персональних даних, що призвело до розголошення цих даних або їх втрати, тощо.
Зазначений закон вносить зміни до Кримінального кодексу України від 5 квітня 2001 р. № 2341-III, Кодексу України про адміністративні правопорушення від 7 грудня 1984 року № 8073-Х, Кримінально-процесуального кодексу України від 12 грудня 1960 р. та Закону України “Про інформацію” від 2 жовтня 1992 р. № 2657-XII з метою встановлення відповідальності осіб за порушення законодавства у сфері захисту персональних даних.

Виправлення помилок

Проте, як часто трапляється у нашій державі, відповідальність за порушення закону встановлена, а от процедура, за якою повинно відбуватися його правозастосування, наразі продовжує залишатися недосконалою. Не винятком із такої звичної для нас ситуації виявився і Закон «Про захист персональних даних», дія якого викликала чимало скарг підприємців, у наслідок чого уряд отримав доручення Президента України Віктора Януковича розібратися в проблемі та терміново виправити ситуацію.
За словами першого віце-прем’єр-міністра Андрія Клюєва, проблема штучно створена попередньою правлячою коаліцією. «Закон був написаний нібито відповідно до європейських норм, однак у дійсності добрий намір було повністю спотворено, і захист персональної інформації став ще одним бюрократичним тягарем для бізнесу», – заявив урядовець. За його словами, реєстрація таких даних виявилася адміністративно дуже складною процедурою, яка потребує від підприємця витратити чимало часу як на підготовку таких документів, так і на багатогодинне стояння в чергах. Тому урядом для розв’язання цієї проблеми було запропоновано проведення низки запланованих дій.
«По-перше, прийнято рішення не застосовувати штрафних санкцій за неподання інформації про бази персональних даних та проголосувати у перші дні року за законопроект про перенесення з 1 січня на 1 липня дати, з якої можуть застосовуватися такі санкції», – роз’яснив Андрій Клюєв. По-друге, за його словами, Кабінет міністрів доручив Міністерству юстиції та Державній службі з питань регуляторної політики протягом місяця переглянути Закон «Про захист персональних даних» з точки зору його відповідності реформам Президента України та європейській практиці. «Ми впевнені, що в короткі терміни виправимо ситуацію, і виконання цього закону не буде обтяжливим для українських підприємців», – заявив він.

Банківські ініціативи

Свої пропозиції щодо вирішення низки системних питань, які стосуються порядку обробки персональних даних, надали і банкіри. Так, асоціація “Український кредитно-банківський союз” (УКБС) звернулася до Національного банку України із проханням затвердити окремий нормативний акт для визначення порядку обробки фінустановами даних, які відносяться до банківської таємниці. Адже випадки довільного тлумачення положень закону про посилення відповідальності за порушення законодавства про захист персональних даних (№ 3454-VI від 02.06.2011) підвищують ризики застосування до керівництва банків санкцій (штрафів – до 17 тис. грн) та кримінальної відповідальності (від 3 до 5 років позбавлення волі). Тому УКБС пропонує законодавцю визначитися, в яких випадках фінустанова, як власник бази персональних даних, має повідомляти уповноважений держорган з питань захисту персональних даних про зміну відомостей, необхідних для реєстрації відповідної бази.
Також вказується на необхідність внесення змін до проекту постанови НБУ “Про внесення змін та доповнень до правил зберігання, використання та розкриття банківської таємниці”. Зокрема, йдеться про доповнення цього документа нормою, згідно з якою згода клієнта на роботу з його персональними даними не вимагається, якщо вона проводиться банком на виконання вимог законодавства України (у т. ч. фінмониторингу). Крім того, експерти УКБС запропонували НБУ ініціювати внесення змін до законодавства для реалізації принципу так званої мовчазної згоди у разі встановлення ділових відносин між банком та клієнтом (ст. 11 Закону), коли згода суб’єкта персональних даних передбачає надання необмежених прав на їхню подальшу обробку.
Як зазначила директор Асоціації УКБС Галина Оліфер, Закон України “Про захист персональних даних” базується на основних принципах Директиви Європейського парламенту та Ради ЄС (від 24.10.1995 р.) щодо захисту прав приватних осіб стосовно обробки персональних даних, але слід врахувати, що під час імплементації євростандартів важливо також зважувати на особливості національного правового поля, у тому числі, з дотримання умов для зберігання банківської таємниці в Україні. Сподіваємося, що ці та інші пропозиції щодо удосконалення чинного законодавства у сфері захисту персональних даних найближчим часом таки будуть враховані законодавцем.

 
Коментар

Сергій Кравченко, експерт Ради підприємців при Кабінеті Міністрів України, кандидат юридичних наук, доцент
Щодо відповідальності за порушення законодавства про захист персональних даних, то оскільки закон спрямований на захист права особи на таємницю приватного життя, то видається доцільним притягати до відповідальності порушників лише у випадку спричинення реальної шкоди особі внаслідок неправомірного використання її персональних даних (при чому, якщо сама особа вважає, що її права порушені), а не за ухилення від державної реєстрації баз персональних даних та не за неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних про його права у зв’язку із включенням його даних до відповідної бази.
Враховуючи вищевикладене, доцільно дати доручення Міністерству юстиції внести на розгляд Верховної Ради проект закону щодо призупинення норм зазначених законодавчих актів та здійснити відповідні заходи стосовно врегулювання ситуації, яка склалася у зв’язку з їх прийняттям.

Дмитро Котляр, незалежний медіаюриста

Прийнятий на виконання зобов’язань, що випливають з членства України в Раді Європи, Закон «Про захист персональних даних» насправді суперечить європейській практиці в частині обов’язкової реєстрації всіх баз таких даних. Адже в Європейському Союзі існує загальна тенденція спрощувати і взагалі відмовлятися не те що від реєстрації, а й навіть повідомлення про те, що здійснюється обробка якихось персональних даних. Український закон дуже сильно відстає від європейської практики. Вимога реєстрації баз даних є застарілою, недемократичною, обтяжливою і, головне, не переслідує ніякої корисної мети.
Реєстрація у передбаченій законом формі не відповідає положенням європейського законодавства, де взагалі не передбачено такої вимоги щодо реєстрації або нотифікації баз даних. Така вимога міститься тільки в Директиві Європейського Союзу, причому там існує низка винятків, які можуть застосувати держави при формуванні свого законодавства. Це винятки з вимоги повідомляти і реєструвати бази даних.

Ольга Кондратьєва, «ЮВУ»

Теги: