1 июня 2010 года Верховная Рада приняла Закон «О защите персональных данных», урегулировавший отношения, связанные со сбором, хранением, использованием и распространением информации о лице (персональных данных). Этот Закон направлен на обеспечение гарантированного ст. 32 Конституции права на неприкосновенность личной жизни, в частности, относительно сбора и хранения информации о лице. В то же время реализация отдельных положений этого документа создаст ряд трудностей для большинства предприятий.
Исходя из определения, под персональными данными подразумеваются сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть идентифицировано. Совокупность же этих данных в электронной форме и/или в форме карточек является базой персональных данных (БПД). Исходя из столь широких определений можно констатировать, что под действие Закона подпадут практически все предприятия и предприниматели, имеющие БПД на своих сотрудников, контрагентов, клиентов и проч.
Все они теперь обязаны будут получить согласие субъекта персональных данных на обработку данных о нем. Под таким согласием понимается любое документальное, в том числе письменное, добровольное волеизъявление лица о предоставлении разрешения на обработку его персональных данных согласно целей такой обработки. Аналогичное согласие должно быть дано и при изменении цели использования персональных данных.
Кроме того, согласно ч. 2 ст. 12 Закона после включения персональных данных в БПД собственнику БПД необходимо будет уведомить субъекта персональных данных о его правах, определенных Законом, цели сбора данных и лиц, которым передаются такие данные. Такое уведомление должно быть исключительно в письменной форме и на его отсылку отведено 10 дней со дня включения персональных данных в БПД. Не требуется уведомление только в том случае, если персональные данные собираются с общедоступных источников. Правда, при этом перечень таких источников не определен.
Не определен в Законе и механизм защиты прав лиц, данные о которых собраны с нарушением установленных правил, в том числе без их согласия. Часть 3 ст. 15 Закона определяет, что такие данные подлежат уничтожению в порядке, установленном законодательством, но такой порядок на сегодня не определен и вряд ли скоро появится. А потому единственным способом такого уничтожения является вынесение решения суда об изъятии данных о физлице из БПД.
Но самое главное – не определена ответственность за нарушения законодательства о защите персональных данных. В ст. 28 Закона предусмотрено лишь, что такая ответственность должна быть предусмотрена законом, но каким именно – непонятно.
Зато в Законе четко видна контролирующая и бюджетообразующая составляющие. Согласно ст. 9 Закона, собственники БПД обязаны будут регистрировать свои БПД в некоем Уполномоченном органе. При этом в заявлении о регистрации они обязаны будут, среди прочего, указывать владельца БПД, ее наименование и местонахождение, цель обработки персональных данных. Более того, обо всех изменениях сведений, указываемых в заявлении, также необходимо будет уведомлять уполномоченный орган.
Весьма вероятно, что такая регистрация окажется платной, и все владельцы БПД таким образом в одночасье «скинутся» на создание Государственного реестра БПД и обеспечение работы Уполномоченного органа. Ведь в бюджете пока средств на создание ни того, ни другого не предусмотрено. Зато в ст. 26 Закона сделан прозрачный намек на источник финансирования: финансирование работ и средств по обеспечению защиты персональных данных осуществляется в том числе за счет «коштів суб'єктів відносин, пов'язаних із персональними даними».
В области защиты персональных данных будет свой контролирующий орган, который также будет приходить с проверками на предприятия
Также интересными представляются полномочия Уполномоченного органа. Ответственности за нарушение законодательства о защите персональных данных еще нет, а этот орган уже имеет право как получать доступ к помещениям, где осуществляется обработка данных (да здравствует еще один вид проверок!), так и выдавать обязательные для исполнения законные предписания об устранении нарушения законодательства о защите персональных данных.
Интересно, что ни Конвенция о защите прав человека и основных свобод, ни Конвенция о защите лиц относительно автоматизированной обработки данных личного характера, на которые ссылаются авторы Закона, обосновывая его необходимость, не содержит требований о регистрации БПД, об исключительно письменном уведомлении о внесении данных в БПД. Как следует из Дополнительного протокола к Конвенции о защите лиц относительно автоматизированной обработки данных, органы госконтроля в Европе занимаются расследованием фактов незаконного сбора персональных данных, обращаться в суды за защитой таких прав, а не регистрацией БПД и контролем за правильностью их ведения.
Вообще, конечно, Закон «О защите персональных данных» Украине нужен. Уж слишком долго эта сфера правоотношений регулировалась различными законами и подзаконными актами, что усложняло реализацию ст. 32 Конституции. Но, увы, законодатель не столько защищает интересы лиц, персональные данные о которых обрабатываются, сколько усложняет правоотношения в этой сфере и пытается наполнить бюджет за счет новых поборов.