Проект видавничого дому «МЕДІА-ПРО»
Функционирование Закона «О защите персональных данных» | director.com.ua

Функционирование Закона «О защите персональных данных»

Автор статьи: 

Николай ХАХУЛА,
адвокат компании «Юстикон»

Принятие Закона Украины «О защите персональных данных» № 2297-VI от 1 июня 2010 года (далее — Закона) вызвано, в первую очередь, необходимостью урегулировать деятельность по использованию и обработке данных о физических лицах в соответствии со стандартами, которые сложились в мировом сообществе. Комплексный анализ Закона позволяет сделать вывод, что он достаточно обобщенно регулирует указанные правоотношения. Как показывает практика, отсутствие четкого урегулирования порождает ряд вопросов, начиная от понятия персональных данных и заканчивая особенностями их защиты в отдельных отраслях

Понятие о персональных данных

Статья 2 Закона определяет, что персональные данные — это сведения или совокупность сведений о физическом лице, идентифицированном или которое может быть конкретно идентифицировано.

Из указанной трактовки персональных данных однозначно нельзя определить, какая информация относится к персональным данным. Современная жизнь очень многогранна, что фактически не позволяет определить четкий перечень данных, которые принято считать персональными данными.

Из Закона можно выделить два критерия определения персональных данных: первый — информация всегда относится к физическому лицу, второй — возможность по указанной информации в каждом конкретном случае идентифицировать такое лицо. В случае если данных недостаточно для того, чтобы идентифицировать лицо, они не являются персональными. Таким образом, любая по содержанию и виду информация может быть персональной, если она любым способом «привязана» к конкретному лицу.

База персональных данных

Понятие баз данных неразрывно связано с поисковым механизмом, позволяющим этой базой пользоваться. Но Закон практически позволил все данные, которые хоть как-то упорядочены, считать базой данных.

Согласно ст. 2 Закона, база персональных данных — именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных. То есть Закон не отличает базы данных от других форм упорядочивания данных.

Очевидно, что без соответствующих ведомственных разъяснений трудно определить, по каким критериям квалифицировать совокупность данных.

Большинство компаний действительно обрабатывают персональные данные, например, о своих сотрудниках при кадровых, управленческих и социальных вопросах, а также при оплате труда и налогообложении. Зачастую компании, предоставляющие услуги частным лицам, нередко используют их персональные данные. Таким образом, удостоверившись, что компания нуждается в обработке персональных данных, следует четко обозначить, с какой целью они обрабатываются (требование Закона). Лицо, персональные данные которого будут обрабатываться, согласно Закону, должно дать свое согласие на их обработку в соответствии с конкретной целью, и если цель обработки данных изменится в будущем — необходимо получить согласие лица в новом случае. Кроме того, из Закона следует, что у лица для доступа третьих лиц к его персональным данным необходимо взять также письменное согласие.

Закон устанавливает гарантии для лица, персональные данные которого обрабатываются, а именно:
а) знать, кто имеет доступ к его персональным данным;
б) какая именно информация о нем хранится в базе;
в) где хранится база данных, каково местонахождение ее владельца;
г) лицо вправе получить доступ к своим персональным данным или просто получить информацию об их составе.

Как вывод, определившись с категориями обработки персональных данных, компания должна документально утвердить цель обработки и получить согласие лица, персональные данные которого будут обрабатываться. Также существует очень важное ограничение: нельзя собирать те персональные данные, которые не удовлетворяют заявленной цели. Исходя из формулировки Закона, можно сделать вывод, что его положения коснутся в первую очередь тех, чья профессиональная деятельность основана на оперировании базами данных.

Регистрация баз данных

В силу действия ст. 9 Закона требуется провести регистрацию базы персональных данных. Фактически порядок регистрации баз данных не был определен. На данный момент регистрация проводится в соответствии с Постановлением Кабинета Министров Украины от 25.05.2011 № 616, которым утверждено Положение о Государственном реестре баз персональных данных и порядке его ведения, и приказом Министерства юстиции Украины от 08.07.2011 № 1824/5, которым утверждены формы заявлений о регистрации базы персональных данных, утвержден порядок их подачи.

Согласно части 5 ст. 24 Закона в органах государственной власти и органах местного самоуправления, организациях, учреждениях и на предприятиях всех форм собственности определяется структурное подразделение или ответственное лицо, которое организует работу, связанную с защитой персональных данных при их обработке, в соответствии с Законом. Назначить конкретного работника или уполномочить специальный отдел заниматься вопросами защиты персональных данных на предприятии можно путем принятия приказа.

Но напрашивается вопрос: что делать с данными, которые получены без письменного согласия лица, до
момента вступления в силу Закона? В самом Законе нет ответа на данный вопрос. Кроме того, нет соответствующего разъяснения компетентного органа. Конечно, можно руководствоваться общим принципом: «Закон обратной силы не имеет». Но для «проверяющих» это не всегда является аргументом. Поэтому рекомендуем лицо, персональные данные которого обрабатываются и обрабатывались до 01.01.2011, уведомить о вступлении в силу Закона и взять у него документальное согласие на обработку.

Согласно части 2 ст. 12 Закона владелец базы персональных данных должен уведомить субъекта персональных данных в течение 10 рабочих дней со дня включения его персональных данных в базу персональных данных о правах субъекта, определенных настоящим Законом, цели сбора данных и лицах, которым передаются его персональные данные, исключительно в письменной форме.

Как указывалось выше, предлагается разработать и направлять субъектам персональных данных памятку стандартного образца.

С момента вступления в силу Закона вопрос ответственности оставался нерешенным. Но не прошло и полгода, как законодатель принял Закон «Об усилении ответственности за нарушение законодательства о защите персональных данных» № 3454-17. Правда, он вступает в силу с 01.01.2012. Данным нормативным актом предусмотрена административная и уголовная ответственность должностных лиц за нарушение законодательства о защите персональных данных.
Стоит помнить, что наказания за нарушения в сфере защиты персональных данных весьма серьезные.

 

 

 

© 2017 ООО «МЕДИА-ПРО». Все права защищены. Украина, 02660, г. Киев, ул. М.Расковой 11, корпус А, 6 этаж