Заседание Клуба Mail Order and E-commerce Leaders Club на тему: «Закон о защите персональных данных» принят: как вести бизнес дальше?»
1 июня 2010 года Верховная Рада приняла в целом Закон № 2273 «О защите персональных данных». Несмотря на довольно безобидное название, этот документ может стать настоящей бомбой замедленного действия для бизнеса. В зону риска автоматически попадают любые компании, которые ведут справочники своих клиентов, поставщиков, деловых партнеров или же иным путем собирают о них информацию.
Актуальность темы и неоднозначность толкования многих норм Закона стала предметом бурного обсуждения, в рамках которого эксперты и юристы попытались разобраться во всем их многообразии.
Персональные данные: под определение попадает все
Открыл заседание Клуба Валентин Калашник, Президент Украинской Ассоциации Директ Маркетинга, директор маркетинг-группы OS-Direct, представив в качестве докладчиков-экспертов Вадима Уткина, регионального менеджера Hansaworld, Дмитрия Йовдия, управляющего партнера «Лигал Ассистанс Групп», Олега Давиденко, управляющего партнера юридической фирмы «Ариес» и Владимира Яворского, исполнительного директора Украинского Хельсинского союза по правам человека.
А начал заседание г-н Калашников с шутки, в которой, в свете нового Закона «О защите персональных данных», есть значительная доля правды: «Насколько легально к Вам обращаться по имени, без предварительного получения у Вас на то согласия в письменном виде?» Парадокс, но именно к этому ведет нас указанный выше Закон.
Итак, что же относится к определению «персональные данные» (далее – ПД), согласно документу? Да практически все. Законом дается весьма обтекаемая дефиниция понятия ПД. Под нее подходят фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Практически любые компании, собирающие данные на своих клиентов, поставщиков, деловых партнеров, должны будут запрашивать у них разрешение на использование таких персональных данных
Между строк Закона читается следующее: все персональные данные о физическом лице являются его неотъемлемой собственностью, и только он может разрешить или запретить указание где бы то ни было информации о себе. Как быть в такой ситуации бизнесу – вопрос сложный. В наше время практически любая компания собирает информацию о клиентах, поставщиках, конкурентах и т. п. И даже собранная информация о юридических лицах также может подпадать под определение ПД, – считает г-н Калашник, – ведь в любом случае указываются сведения, как минимум, о директоре, а то и главном бухгалтере.
Несмотря на то что Закон разрабатывался и принимался с учетом пожеланий западных экспертов, тем не менее, как отметил Олег Давиденко, управляющий партнер ЮФ «Ариес», во многом он остается «рыхлым». В соответствии с европейскими стандартами персональные данные разделяются на 2 категории:
1) данные общего характера (Ф. И. О., дата и место рождения, гражданство, место проживания);
2) уязвимые персональные данные (о состоянии здоровья, идентификационные коды, кредитная история, данные о размере доходов и др.).
Если данные из первой категории находятся в режиме свободного доступа, то сведения по второй группе могут использоваться исключительно по письменному согласию самого субъекта персональных данных. И это вполне логично и разумно, согласен Владимир Яворский, исполнительный директор Украинского Хельсинского союза по правам человека. Однако, по его словам, Закон «О защите персональных данных» во многих ключевых моментах не соответствует европейским стандартам и несет серьезную угрозу для свободы слова в целом.
Зона риска для бизнеса
Прежде всего отметим самый важный момент для бизнеса – необходимость обязательной регистрации в качестве владельцев базы ПД. При этом, снова-таки, исходя из толкования Закона, регистрации подлежит не обработчик базы (как в России), а сама база данных. ВЫВОД: имея несколько баз данных, созданных с различной целью обработки (одна база – по клиентам, к примеру, из Украины, другая – из ближнего зарубежья и т. д.), – регистрировать нужно каждую. Также Закон «радует» читающих его такими нормами:
1) регистрация осуществляется по заявочному принципу путем уведомления. Что хорошо, если бы не одно «но»... Регистратор может отказать заявителю. В обязательном порядке в заявке должны указываться наименование базы данных, цели ее обработки и ее месторасположение. Насчет «месторасположения» авторы законопроекта погорячились, так как не был учтен тот факт, что о месте расположения физического оборудования, используемого для хранения базы ПД, часто знает лишь data-центр, а не распорядитель или владелец базы ПД.
Регистрация баз ПД – обязательна и осуществляется по заявочному принципу путем уведомления. В то же время регистратор может отказать заявителю
2) плюс Закона: регистрируется сам факт наличия базы, а на информацию, в ней содержащуюся, – госорганы претендовать не будут.
3) вопрос оплаты: статья 26 намекает на возможность взимания платы за госрегистрацию. Вряд ли регулирующие органы проигнорируют такую возможность.
Непростая процедура сбора данных
Прежде чем приступать к регистрации уже сформированных баз данных, их нужно создать. А процедура сбора ПД обрастает многими формализованными требованиями.
Согласно ст. 6 Закона, многим компаниям, вероятно, придется вносить изменения в свои уставы, прописывая в них еще и такой вид деятельности, как обработка персональных данных, а также цель обработки. Понадобится подкорректировать многие внутренние документы: регламенты, положения.
Главнейшее правило законопроекта заключается в следующем: запрещается обработка (соответственно, и сбор) данных о физлице без его на то согласия. Конечно, где правила – там и исключения. В данном случае «неразрешенная» обработка ПД допускается в интересах национальной безопасности, прав человека и, внимание: экономического благосостояния. Думается, что в последнем случае такую формулировку будут использовать в своих интересах контролирующие органы, та же налоговая, собирая ПД о налогоплательщиках.
Процедура получения согласия у самого субъекта персональных данных – непростая. С одной стороны (и это плюс), предусмотрена возможность получения согласия владельца ПД другими способами, кроме письменного (ст. 2), что допускает легальное существование баз, созданных в ходе телефонного маркетинга или в интернете. В то же время (и это полностью «убивает» предыдущий плюс), в ст. 12 Закона содержится норма, согласно которой субъект ПД в течение 10 рабочих дней со дня включения его персональных данных в базу уведомляется о правах, цели сбора данных и лицах, которым передаются его персональные данные. Уведомление – исключительно в письменной форме. Рассылать каждому письма с целью соблюдения письменной формы – довольно дорого.
Выходить на контакт с субъектом ПД (при сборе относительно него данных) нужно дважды:
– первый раз – при получении согласия;
– второй раз – уведомление «пост-фактум» о включении его в базу данных.
Во втором случае, уведомление – исключительно в письменной форме.
Кстати, в любой момент субъект ПД имеет право предъявить обоснованное требование об изменении или уничтожении своих персональных данных, если эти данные обрабатываются а) незаконно, б) являются недостоверными. На практике это может иметь далеко идущие последствия. К примеру, клиент банка, задолжавший по кредитному договору, сможет потребовать у банка исключить все имеющиеся на него данные на основании того, что адрес проживания не соответствует действительности. Как после этого обращаться за взысканием долга – непонятно.
Проверки и санкции
С целью соблюдения законодательства в сфере защиты персональных данных было принято решение о наделении соответствующими функциями специально уполномоченного госоргана. Будет ли этот орган новым или уже существующим (есть информация о наделении такими функциями НКРС или Минтранссвязи) – еще неясно. Госорган будет заниматься регистрацией баз данных, а его представители получат право приходить на предприятия и входить в любые помещения, где, по их мнению, обрабатываются или находятся базы ПД.
Это – что касается плохой новости, с точки зрения бизнеса. Есть и хорошая. Дело в том, что, как емко подметили участники заседания, в нашей стране «строгость Закона компенсируется возможностью его невыполнения». В Законе прописана лишь одна норма, говорящая об ответственности за несоблюдение требований законодательства о защите персональных данных (ст. 28). Статья носит общий характер. Хотя не исключено, что некий сюрприз ожидается в связи с официальным обнародованием окончательной редакции Закона. Дело в том, что в имеющийся на сегодня редакции документа напрочь отсутствует статья 30. Что в ней решили предусмотреть парламентарии или это какая-то техническая ошибка – загадка.
ВЫВОД:
Несмотря на неоднозначность многих положений Закона, следует отметить, что на сегодня есть вероятность того, что Закон все же не будет подписан. Документ был передан Президенту на подпись, однако с того времени его и не ветировали, и не подписали.
В числе самых важных моментов, на которые стоит обратить внимание:
1) Закон дает очень широкое определение понятия персональных данных;
2) любые компании, собирающие данные на контрагентов и конкурентов, должны будут запрашивать у них разрешение на использование этих персональных данных;
3) регистрация баз ПД обязательна и осуществляется по заявочному принципу путем уведомления. В то же время регистратор может отказать заявителю;
4) оплата процедуры госрегистрации, скорее всего, будет за счет предпринимателей;
5) процедура сбора персональных данных – непростая. Сначала надо заручиться согласием субъекта ПД о сборе относительно него сведений, после чего этот же субъект в течение 10 рабочих дней со дня включения его персональных данных в базу еще раз уведомляется о данном факте. Уведомление – исключительно в письменной форме. В любой момент субъект ПД сможет предъявить требование об изменении или уничтожении своих ПД любым владельцем или распорядителем базы;
6) появление новой «профильной» категории проверяющих;
7) в настоящий момент не предусмотрено конкретных санкций за правонарушения в этой сфере.