В канун нового, 2011, года благодаря стараниям украинского законодателя гражданам и предпринимателям придется ускоренными темпами засесть за изучением новых законов. При этом большинство нормативных актов характеризуются неоднозначными, во многом спорными положениями и достаточно жесткими требованиями. Таким законом среди прочих является и Закон Украины «О защите персональных данных». Основная угроза, исходящая от него, заключается в том, что любые компании, собирающие данные на своих клиентов, поставщиков, деловых партнеров и прочих физлиц (вплоть до собственных сотрудников), должны будут запрашивать у них разрешение на использование персональных данных. Какими трудностями это может обернуться на практике, догадаться несложно. О перспективах реализации Закона, его проблемах и возможных путях их решения активно дискутировали участники форума JuristOFF.
Позиция 1. Отныне у всех и вся необходимо брать разрешение не только на использование, но и внимание (!) на хранение персональных данных.
• Согласно ч. 6 ст. 6 Закона, не допускается обработка данных о физическом лице без его на то согласия, за исключением случаев, установленных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека.
• Обработка данных может осуществляться только для конкретных целей, с которыми ознакомлен субъект персональных данных и согласие на которые предоставлял. В случае изменения цели обработки такое согласие необходимо будет получать заново, то есть «по второму кругу».
• Субъект персональных данных может разрешить использовать лишь какую-то часть информации о себе (скажем, дату рождения), но запретить хранить информацию о месте проживания или других контактных данных. Такое право следует из анализа положений ч. 3 ст. 6 Закона.
Используя единственно возможный выход (во всяком случае, до принятия новых нормативно-правовых актов), следует уже сейчас пытаться получить письменные согласия на обработку данных у каждого субъекта, внесенного в базу. Также необходимо предусмотреть максимально широкий перечень видов обработки персональных данных и целей такой обработки.
С другой стороны, понятно, что это возможно лишь для малых предприятий, с относительно небольшими базами данных (поставщиков, клиентов, должников и т. д.). Да и получить согласие у каждого субъекта персональных данных представляется очень проблематичным.
Позиция 2. Необходимо без промедления заняться разработкой внутренней документации предприятия или внесением необходимых изменений в учредительные документы. Такая обязанность для предпринимателей косвенно прописана в ч. 1 ст. 6 Закона: цель обработки персональных данных должна быть сформулирована в законах, других нормативно-правовых актах, положениях, учредительных или иных документах, регламентирующих деятельность владельца базы персональных данных.
• Один из немногих положительных моментов: можно, но вовсе не обязательно вносить изменения в устав. Достаточно разработать и утвердить приказом руководителя внутреннее Положение (Регламент) о порядке обработки персональных данных. Итак, возможен выбор: или наличие детально расписанного раздела в уставе фирмы о механизмах и процедуре обработки персональных данных, или наличие отдельного внутреннего Положения.
• Ответственным за организацию работы, связанной с защитой персональных данных при их обработке, может быть системный администратор или руководитель службы персонала. Такую функциональную обязанность указанных лиц рекомендуется прописать в отдельном приказе и должностной инструкции.
Позиция 3. Исходя из анализа Закона, можно сделать вывод, что он распространяется и на трудовые правоотношения (в любой фирме персональные данные сотрудников подлежат обработке; наконец, такие сведения проходят обработку в бухгалтерской программе 1С).
• Поэтому рекомендуется прописать в трудовом договоре пункт, согласно которому нанимаемый работник предоставляет работодателю право использовать, хранить, обрабатывать и распространять информацию о нем. Подпись такого лица, безусловно, будет считаться согласием субъекта персональных данных на обработку сведений относительно него.
• Также необходимо уточнять, что согласие субъекта персональных данных предоставляется сроком на 75 лет (максимальный срок хранения кадровой документации согласно приказу Главного архивного управления при Кабмине от 20.07.98 № 41).
Мнение «Ю&З»: Рассматривая жизнеспособность любого нормативного акта, необходимо сразу обращать внимание на конкретные санкции, предусмотренные за невыполнение его требований. Закон Украины «О защите персональных данных» таких санкций не содержит. Более того, по тексту Закона нет ни одной отсылочной нормы, которая бы указывала на возможные меры ответственности за невыполнение его требований. Хотя, надо признать, есть общая норма, закрепленная в ст. 28, согласно которой «порушення законодавства про захист персональних даних тягне за собою відповідальність, встановлену законом».
Поэтому не стоит спешить воплощать на практике все требования Закона, тем более если их выполнение, по сути, сейчас наверняка невозможно. Кроме того, на сегодняшний день в реальности не существует специально уполномоченного органа, в чьи функции входит контроль за соблюдением законодательства о защите персональных данных. И хотя Указом Президента № 1085/2010 от 9 декабря 2010 года таким органом названа Государственная служба по защите персональных данных, такие намерения главы государства остаются пока что на бумаге.
В целом, как отмечается в Заключительных положениях, процедура регистрации баз персональных данных будет разработана в течение полугода с момента вступления в силу Закона Украины «О защите персональных данных». С учетом изложенного, до июня 2011 года предпринимателям остается внимательно следить за изменениями в нормативной базе, регламентирующей вопросы обработки и защиты персональных данных.
ВЫВОД:
На сегодняшний день не создан специальный орган, призванный следить за соблюдением законодательства в сфере защиты персональных данных. Также не существует ни одного принятого и вступившего в силу закона (а это должен быть именно закон, а не прочий нормативно-правовой акт), который бы устанавливал санкции за невыполнение требований Закона Украины «О защите персональных данных». Таким образом, в настоящее время предпринимателям, пусть и временно, не грозит ответственность за его игнорирование и невыполнение его требований.
Юлия Найда,
«ЮРИСТ»