Новый Закон Украины «О защите персональных данных» (далее – Закон), который вступит в силу с 1 января 2011 года, с одной стороны, устанавливает более детальные правила получения, использования и хранения персональных данных. С другой стороны, этот нормативно-правовой акт оперирует общими понятиями и многие вопросы оставляет открытыми.
Определение понятия «персональные данные», предусмотренное в целом, соответствует европейской практике. Основная идея в данном случае заключается в том, что такие данные дают возможность тем или иным образом идентифицировать физическое лицо. Если посмотреть на определение, заложенное в Федеральном законе РФ «О персональных данных», то оно также является общим, ведь персональные данные не ограничиваются перечнем данных, приведенных в определении: к ним может быть отнесена любая другая информация, относящаяся к определенному или определяемому на ее основании физическому лицу.
Но нельзя не согласиться, что трактовать такое определение можно по-разному, в том числе в зависимости от конкретной ситуации, цели сбора данных, вида таких данных и т. д. Кроме того, как правило, идентифицировать физическое лицо можно на основании совокупности данных (к примеру, имя, фамилия, отчество и год рождения). В то же время, если к этим данным добавляются какие-либо дополнительные сведения, то они, соответственно, тоже могут расцениваться как персональные данные, поскольку дают более детальную информацию о лице, и, соответственно, только упрощают его идентификацию. В общем, это положение отражено и в Законе, который относит к персональным данным сведения или совокупность сведений.
Еще один важный вопрос, который не вполне детально урегулирован новым Законом, связан с согласием физического лица. Как можно заметить из положений Закона, согласие субъекта персональных данных на их обработку (хранение, распространение) является одним из ключевых элементов взаимоотношений, возникающих в связи с персональными данными. В большинстве случаев именно такое согласие является основанием для каких-либо действий с персональными данными.
Если изменилась цель использования персональных данных, необходимо заново получать согласие
Закон предусматривает, что согласие субъекта персональных данных – это какое-либо документированное, в частности письменное, добровольное волеизъявление физического лица относительно предоставления согласия на обработку его персональных данных согласно сформулированной цели их обработки.
Как видно из указанного определения, документированным может быть признано не только письменное согласие, но и согласие, выраженное в иной форме. Тем не менее какое именно согласие может считаться документированным (кроме письменного), Закон не регламентирует. В частности, возникает вопрос получения согласия, если данные собираются в сети Интернет. Этот вопрос крайне актуален, ведь во многих правоотношениях сейчас активно используются современные технологии, а взаимодействие между сторонами происходит преимущественно в электронной форме посредством современных средств связи и коммуникаций. Будет ли признаваться документированным согласие стороны, данное в электронной форме (к примеру, при внесении персональных данных на веб-сайте контрагента или отправки их по электронной почте). Также не вполне понятно, каким образом компания при необходимости может подтверждать получение такого согласия.
Кроме того, возникают вопросы относительно положения части 1 статьи 11 Закона, согласно которому субъект персональных данных имеет право при предоставлении согласия внести оговорки относительно ограничения права на обработку своих персональных данных. Если понимать данную статью буквально, то такое право должно быть предоставлено физическому лицу, чьи данные собираются, в любом случае (за исключением случаев, которые отдельно регулируются законодательством). В то же время, исходя из практики, такое положение вряд ли может быть реализовано, поскольку это может существенно усложнить взаимодействие компаний с клиентами.
ВЫВОД:
Из указанных выше примеров видно, что Закон не содержит детальных механизмов защиты персональных данных. В то же время многие положения нормативного акта могут создать дополнительные неудобства компаниям в различных сферах деятельности.