Mehr zum Thema ..... viel Text, aber ....
Gleichzeitig werfen bestimmte Bestimmungen dieses Gesetzes „Zum Schutz personenbezogener Daten“ Fragen bei Vertretern einschlägiger Wirtschaftszweige auf: Einige Bestimmungen des Gesetzes sind unpraktisch oder überhaupt nicht durchführbar. Aber das Wichtigste zuerst.
Das Gesetz "Zum Schutz personenbezogener Daten" sieht die Schaffung einer autorisierten staatlichen Stelle zum Schutz personenbezogener Daten vor, die im Folgenden als autorisierte Stelle bezeichnet wird (Artikel 23 des Gesetzes). Derzeit ist nicht bekannt, ob es sich um eine neue Struktur handelt oder ob die angegebenen Befugnisse zusätzlich einer der derzeitigen Abteilungen zugewiesen werden. Es ist zu beachten, dass die autorisierte Stelle unter anderem Kontroll- und Aufsichtsbefugnisse im Bereich des Schutzes personenbezogener Daten besitzt. Ihren Vertretern wird daher das Recht eingeräumt, freien Zugang zu allen Räumlichkeiten zu erhalten, in denen personenbezogene Daten verarbeitet werden oder sich personenbezogene Datenbanken (im Folgenden als PD bezeichnet) befinden (Artikel 23 Absatz 2 von Artikel 23 des Gesetzes). So erhalten Call Center, Banken, Versicherungsunternehmen, Marketingagenturen und fast jedes Unternehmen (im Folgenden als Unternehmen bezeichnet) eine neue Kategorie staatlicher Inspektoren mit nahezu unbegrenzten Befugnissen. Angesichts der "angenehmen" Praxis der Kommunikation und des Missbrauchs durch Vertreter von Regulierungsbehörden ist es unwahrscheinlich, dass dies den Eigentümern der Unternehmen gefällt!
Das Gesetz "Zum Schutz personenbezogener Daten" sieht auch die Erstellung eines staatlichen Registers personenbezogener Datenbanken vor, in dem die Inhaber von PD-Datenbanken verpflichtet sind, alle Datenbanken in diesem Register zu registrieren (Artikel 9 Teil 1 des Gesetzes). Darüber hinaus müssen Eigentümer von PD-Datenbanken die autorisierte Stelle über jede Änderung des Managers der PD-Datenbank, der Verarbeitungsziele und des Standorts der Basis (mit den entsprechenden Änderungen des staatlichen Registers) informieren (Teil 6 von Artikel 9 des Gesetzes). Es kann bereits argumentiert werden, dass die Umsetzung dieser Bestimmung des Gesetzes sehr schwierig sein wird. Schließlich muss der Antragsteller bei der Einreichung eines Antrags auf Registrierung der PD-Basis unter anderem Angaben zum Verwalter der PD-Basis und zum Standort der Basis (dh zum Standort des Hostings) machen (Absätze 5, 7, Teil 3, Artikel 9 des Gesetzes). Diese Norm berücksichtigt nicht die Tatsache, dass der Ort des physischen Standorts der zum Speichern der PD-Basis verwendeten Geräte häufig nur dem entsprechenden Rechenzentrum bekannt ist, nicht jedoch dem Eigentümer oder Manager der Basis. Wenn die PD-Datenbank ein integraler Bestandteil der Website ist, ist der Eigentümer der PD-Datenbank verpflichtet, die autorisierte Stelle darüber zu informieren, wenn das Hosting geändert wird.
Es ist anzumerken, dass die Angemessenheit der Einführung dieser Regel sehr zweifelhaft ist. Es ist wahrscheinlich, dass diese Norm verabschiedet wurde, um die Anforderungen der Richtlinie des Europäischen Parlaments und des Rates der Europäischen Union vom 24. Oktober 1995 N 95/46 / ES "Über den Schutz von Personen bei der Verarbeitung von PDs und den freien Verkehr solcher Daten" zu erfüllen, in der die Verpflichtung des Inhabers der PD-Datenbank zur Information der befugten Person festgelegt ist Behörde für Operationen im Zusammenhang mit der Verarbeitung von PD. Gleichzeitig sagt diese Richtlinie nichts über die Notwendigkeit der Einrichtung eines staatlichen Registers und darüber hinaus über die obligatorische Registrierung von Datenbanken aus!
Darüber hinaus kann auf der Grundlage der Definition des Begriffs „personenbezogene Daten“ im Gesetz „Zum Schutz personenbezogener Daten“ (Artikel 2 des Gesetzes) argumentiert werden, dass fast alle Unternehmen und Unternehmer in irgendeiner Form eine Datenbank mit personenbezogenen Daten unterhalten. Heute gibt es in der Ukraine fast eine Million Unternehmen. Bei einigen Unternehmen (Werbegeschäft, Call Center, Rechenzentren) wird die Anzahl der PD-Datenbanken in Hunderten gemessen. Dies bedeutet, dass sich alle als Eigentümer von PD-Datenbanken registrieren und ihre Datenbanken registrieren müssen. Unter solchen Umständen ist es schwierig, sich den Arbeitsumfang der autorisierten Stelle sowie die finanziellen und organisatorischen Ressourcen des Staates für die Wartung dieses Registers vorzustellen. Das Gesetz sieht übrigens vor, dass die Finanzierung von Arbeiten zur Gewährleistung des Schutzes der Parkinson-Krankheit unter anderem auf Kosten der mit personenbezogenen Daten verbundenen Mittel von Unternehmen erfolgt (Artikel 26 des Gesetzes). Das heißt, es ist unwahrscheinlich, dass der Staat die Möglichkeit ignoriert, dieses Verfahren durch Einführung einer staatlichen Gebühr für die Abgabe von Erklärungen in diesem Register zu bezahlen. Es ist anzumerken, dass dieses Problem durch ein ähnliches russisches Gesetz rationaler geregelt wird: Der Betreiber, der die Verarbeitung durchführt, ist nur verpflichtet, die autorisierte Stelle über seine Absicht zu informieren, die PD zu verarbeiten, und es gibt keine Hinweise auf die staatliche Registrierung aller PD-Datenbanken im Gesetz (Artikel 22 des Gesetzes der Russischen Föderation ". Über personenbezogene Daten "vom 27. Juni 2007).
Es kann festgestellt werden, dass das Gesetz "Über den Schutz personenbezogener Daten" die Anforderungen an die Unzulässigkeit der Verwendung von PD ohne Zustimmung des Subjekts (Beförderers) von PD erfüllt, das durch das am 28.01.1981 in Straßburg unterzeichnete Übereinkommen "Über den Schutz von Personen bei der automatischen Verarbeitung personenbezogener Daten" festgelegt wurde. Zur Unterstützung der zuvor bestehenden Rechtsnormen (Verfassung der Ukraine, Gesetz der Ukraine "Über Informationen") sieht das Gesetz vor, dass es nicht gestattet ist, die Parkinson-Krankheit eines Einzelnen ohne seine Zustimmung zu verarbeiten, es sei denn, dies ist gesetzlich vorgesehen (zum Beispiel im Interesse der nationalen Sicherheit, des wirtschaftlichen Wohlergehens und der Rechte) Person (Teil 6 von Artikel 6 des Gesetzes)).
Eine der wichtigsten Bestimmungen ist die Bestimmung des Gesetzes über die Möglichkeit, die Zustimmung des PD-Subjekts auf eine andere bequeme als schriftliche Weise einzuholen (Artikel 2 Absatz 5 des Gesetzes). Die angegebene Norm ist für Unternehmen von großer Bedeutung, da sie letzteren die Möglichkeit bietet, PD-Datenbanken zu "legalisieren", die beispielsweise durch Telemarketing erstellt wurden. Darüber hinaus können diese Unternehmen mit diesem Wortlaut die einfachsten und effektivsten Methoden anwenden, um die Einwilligung einer Person einzuholen (z. B. durch Bestätigung der Einwilligung durch Senden einer SMS oder beispielsweise durch Registrierung einer Person, deren Teilnahme öffentlich regelt Das Recht der Veranstalter, künftig die personenbezogenen Daten der Teilnehmer usw. zu verwenden, wurde angegeben.
Gleichzeitig sieht das Gesetz vor, dass die Verarbeitung personenbezogener Daten nur in Übereinstimmung mit dem Zweck dieser Verarbeitung erfolgen darf, der mit Zustimmung der datenverarbeitenden PD formuliert wird. In jedem Fall, in dem der Zweck der Verwendung von PD geändert wird, muss sich der Eigentümer der PD-Datenbank wiederholt an das Thema PD wenden, um die Zustimmung zur Verwendung seiner PD für einen neuen Zweck zu erhalten (Artikel 2 Absatz 2 von Teil 2 des Gesetzes). Es ist logisch anzunehmen, dass das Unternehmen nach Erhalt der ersten Zustimmung des Betroffenen zur Verwendung seiner Daten Anforderungsformulare praktiziert, in denen der Zweck der Datenverarbeitung so umfassend wie möglich angegeben wird (z. B. die Verwendung personenbezogener Daten in), um zu vermeiden, dass wiederholte Anfragen an die PD gesendet werden müssen, um eine Einwilligung zu erhalten Marketingzwecke).
Offensichtlich müssen Besitzer von PD-Datenbanken Beweise für die Zustimmung des PD-Subjekts speichern. Letzteres wird den Eigentümern von Unternehmen natürlich Kopfschmerzen bereiten, da es äußerst schwierig sein wird, die Speicherung von Unterlagen für jede Person, deren personenbezogene Daten verarbeitet werden können, technisch sicherzustellen, insbesondere wenn ihre Anzahl Zehntausende oder Hunderttausende beträgt.
Das vielleicht unangenehmste und schwierigste für Unternehmen ist die Anforderung des Gesetzes "Zum Schutz personenbezogener Daten", eine Person über die Aufnahme ihrer PD in die PD-Datenbank zu informieren (Teil 2 von Artikel 12 des Gesetzes). Diese Mitteilung sollte ausschließlich schriftlich innerhalb von 10 Arbeitstagen ab dem Datum der Aufnahme ihrer Daten in die Datenbank erfolgen (eine solche Verpflichtung wird übrigens auch dem Eigentümer der PD-Datenbank im Falle einer Änderung oder Zerstörung der PD auferlegt (Teil 21 von Artikel 21 des Gesetzes). Die Mitteilung sollte unter anderem Informationen über die Rechte des Subjekts, den Zweck der Verarbeitung und die Personen enthalten, an die diese Daten übermittelt werden. Es ist erwähnenswert, dass die Erfüllung dieser Anforderung für Unternehmen finanziell kostspielig ist, da das Versenden von Briefen an jedes Unternehmen (insbesondere angesichts der ständig steigenden Ukrposhta-Tarife) ein teures Vergnügen ist. Darüber hinaus ist eine solche Anforderung inkonsistent. Wie bereits erwähnt, wird eine Verarbeitung (einschließlich der Sammlung von PD) usw. erst nach Einholung der Zustimmung des PD-Subjekts möglich. Nach der aktuellen Fassung des Gesetzes muss der Eigentümer der PD-Datenbank während der Verarbeitung der Daten mindestens zweimal mit dem PD-Subjekt in Verbindung treten: das erste Mal, um die Zustimmung der Person zur Verwendung seiner PD zu erhalten, das zweite Mal, um die Person über die Aufnahme seiner Daten in die Datenbank zu informieren ( schriftlich). Im Falle der Zerstörung von PD ist es physisch völlig unmöglich, die Verpflichtung zur Benachrichtigung einer Person physisch zu erfüllen. Wie können Sie schließlich jemanden benachrichtigen, dessen Daten bereits gelöscht wurden?
Es ist auch wichtig zu beachten, dass diese Meldung nicht erfolgt, wenn PD aus öffentlichen Quellen gesammelt werden (Teil 3 von Artikel 12 des Gesetzes). Gleichzeitig definieren weder dieses Gesetz noch ein anderer normativer Rechtsakt, welche Quellen öffentlich verfügbar sind. Diese Kategorie ist bewertend und sehr kontrovers. Insbesondere ist unklar, ob die Informationen über den Namen des Beamten, die von einem Mitarbeiter des Unternehmens telefonisch oder in sozialen Medien übermittelt wurden, aus Open Source stammen. Zur Behebung dieses Problems ist wahrscheinlich eine spezielle Erläuterung der autorisierten Stelle erforderlich.
Ein weiteres Problem ergibt sich auch aus der Definition des Begriffs „personenbezogene Datenbank“ im Gesetz, auf dessen Grundlage die PD-Datenbank existieren kann, auch in Form eines Aktenschranks (Artikel 2 Absatz 2 des Gesetzes). In diesem Zusammenhang ist es absolut vernünftig zu sagen, dass beispielsweise ein Visitenkarteninhaber, der Visitenkarten mit vollständigem Namen und Angaben zu Beamten enthält (sowie alle anderen Informationen über Beamte), formal auch eine PD-Basis in Form eines Aktenschranks ist und daher erfordert eine staatliche Registrierung. Um Unklarheiten beim Verständnis und der Anwendung dieser Regel zu vermeiden, ist eine rechtliche Klärung erforderlich, was genau eine Kartei für das Verständnis dieses Gesetzes ist.
Es ist interessant, dass das Gesetz eine Kategorie von Personen vorsieht, deren PDs keine Informationen mit eingeschränktem Zugang sind, und daher ihre Verarbeitung ohne die Zustimmung dieser Personen und andere Einschränkungen gestattet ist. Das Gesetz umfasst Personen, die eine Wahlstelle in dieser Kategorie innehaben oder sich bewerben, sowie Beamte der ersten Kategorie (Teil 5 von Artikel 5 des Gesetzes). Es ist wichtig anzumerken, dass die Liste der durch das Gesetz festgelegten Personen vollständig ist, was die Frage aufwirft, wie mit den personenbezogenen Daten anderer öffentlicher Personen umzugehen ist, die nicht in dieser Liste enthalten sind (z. B. Führer politischer Parteien, Bürgerorganisationen, Wirtschaftsführer, Berufsverbände, sowie Mitarbeiter von Unternehmen, die ihre Visitenkarten besitzen und verteilen oder Informationen über sich in den entsprechenden staatlichen Registern im Zusammenhang mit der Erfüllung ihrer offiziellen Aufgaben hinterlassen). Sind die eingeschränkten Zugangsinformationen solcher Personen? Tatsächlich unterscheidet sich der Bekanntheitsgrad dieser Personen nicht von der im Gesetz vorgesehenen Liste. Dieses Problem muss ebenfalls gelöst werden.
Die Norm des Gesetzes, dass der Verwalter einer PD-Basis, die einer staatlichen Behörde oder einer lokalen Regierungsbehörde gehört, nur ein Unternehmen staatlicher oder kommunaler Eigentumsform sein kann, das in den Geltungsbereich dieser Körperschaft fällt, ist in Bezug auf Unternehmen einer nichtstaatlichen Eigentumsform etwas diskriminierend (h. 4 Art. 5 des Gesetzes). Mit dieser Einschränkung hat beispielsweise ein ausgelagertes Callcenter einer nichtstaatlichen Eigentumsform (auf das bei der Verarbeitung von PD nicht verzichtet werden kann) nicht das Recht, staatliche Stellen zu bedienen.
Das Gesetz sah auch vor, dass der Zweck der Verarbeitung von PD in den Gründungsdokumenten des Inhabers der Basis von PD formuliert werden sollte (Teil 1 von Artikel 6 des Gesetzes). Es ist sehr wahrscheinlich, dass diesbezüglich die Chartas vieler Unternehmen geändert werden müssen.
Ein gesonderter Kommentar verdient die Tatsache, dass das Gesetz entgegen den Anforderungen der EU-Richtlinie vom 24. Oktober 1995 N 95/46 / ES keine besondere Haftung für Verstöße gegen die Rechtsvorschriften zum Schutz der Parkinson-Krankheit vorsieht. Darüber hinaus bestimmt das Gesetz, dass die Haftung für Verstöße gegen die Rechtsvorschriften zum Schutz der Parkinson-Krankheit durch das Gesetz (Artikel 28 des Gesetzes) festgelegt ist, das die Möglichkeit ausschließt, dass Strafen durch einen Rechtsakt einer autorisierten Stelle oder anderer Exekutivorgane festgelegt werden. Es muss betont werden, dass die Frage der Haftung eine sofortige gesetzgeberische Regelung erfordert, da sonst die Bedeutung der Existenz des gesamten Gesetzes verloren geht. Unter solchen Umständen werden die Subjekte dieser Rechtsbeziehungen dies einfach ignorieren.
Interessanterweise gibt das Gesetz Berufsverbänden das Recht, Verhaltenskodizes für Unternehmen zu erstellen, um den wirksamen Schutz der Rechte von PD-Patienten zu gewährleisten (Artikel 27 Teil 2 des Gesetzes). In dieser Hinsicht können Industrieunternehmen (z. B. Werbe- und Marketingunternehmen, Medizin, Transportwesen usw.) Standards entwickeln, die für Unternehmen in diesen Branchen verbindlich sind.
Ein weiterer bemerkenswerter Umstand ist, dass dieses Gesetz am 1. Januar des nächsten Jahres in Kraft tritt (Teil 31 von Artikel 31 des Gesetzes). Das heißt, Unternehmen, die an der Verarbeitung von PD beteiligt sind, haben nur sechs Monate Zeit, um ihre Aktivitäten vorzubereiten und an die festgelegten Anforderungen anzupassen. Angesichts ihres Inhalts gibt es allen Grund zu der Annahme, dass dies für einen so kurzen Zeitraum technisch einfach unmöglich ist. Zum Vergleich können wir ein Beispiel für die Russische Föderation geben, in der dieser Zeitraum etwa viereinhalb Jahre beträgt (ein ähnliches Gesetz der Russischen Föderation wurde am 27. Juli 2006 verabschiedet und tritt am 1. Januar 2011 vollständig in Kraft).
Wie aus dem Vorstehenden hervorgeht, enthält das Gesetz der Ukraine "Zum Schutz personenbezogener Daten" viele Bestimmungen und Anforderungen, deren Umsetzung die Aktivitäten vieler Unternehmen erheblich erschwert oder sogar deren normale Funktionsweise gefährdet. Das Ministerkabinett muss jedoch noch normative Rechtsakte entwickeln, die einen Mechanismus zur Umsetzung dieses Gesetzes schaffen. Vielleicht wird die Situation nach ihrer Genehmigung klarer. Es hängt alles von der rechtzeitigen und angemessenen Reaktion von Vertretern interessierter Wirtschaftszweige auf dieses Gesetz ab. Aus diesem Grund fordern wir unsere Kollegen dringend auf, unverzüglich auf die Annahme dieses Gesetzes zu reagieren.
Dmitry Yovdiy, geschäftsführender Gesellschafter, Legal Assistance Group
Valentin Kalashnik, Präsident der Ukrainian Direct Marketing Association
ES WURDE 2010 GESCHRIEBEN ........ Und was ist der Sinn? .... sie wollten und taten .....
Ещё в тему.....много текста, но....
Вместе с тем, отдельные положения данного Закона "О защите персональных данных" вызывают вопросы среди представителей профильных бизнес отраслей: некоторые нормы Закона нецелесообразны или вовсе невыполнимы. Но обо всём по порядку.
Законом "О защите персональных данных" предусмотрено создание уполномоченного государственного органа по вопросам защиты персональных данных, далее – Уполномоченный орган (ст. 23 Закона). На данный момент неизвестно, будет ли это новая структура, или указанные полномочия будут дополнительно возложены на одно из ныне действующих ведомств. Необходимо обратить внимание, что Уполномоченный орган, среди прочего, будет наделён контрольно-надзорными полномочиями в сфере защиты персональных данных. Так, его представителям будет предоставлено право свободного доступа к любым помещениям, где осуществляется обработка персональных данных либо находятся базы персональных данных (далее – ПД) (п. 4 ч. 2 ст. 23 Закона). Таким образом, колл-центры, банки, страховые компании, маркетинговые агентства и практически любые предприятия (далее – Компании) получат новую категорию государственных проверяющих с почти неограниченными полномочиями. Учитывая "приятную" практику общения и злоупотребления со стороны представителей контролирующих инстанций, это вряд ли порадует собственников Компаний!
Законом "О защите персональных данных" также предусмотрено создание Государственного реестра баз персональных данных с обязательным требованием к владельцам баз ПД по регистрации всех баз в данном реестре (ч.1 ст. 9 Закона). Более того, владельцы баз ПД должны будут уведомлять Уполномоченный орган о каждом факте изменения распорядителя базы ПД, целей обработки, места расположения базы (с соответствующим внесением изменений в государственный реестр) (ч. 6 ст. 9 Закона). Уже сейчас можно утверждать, что реализация данного положения Закона будет весьма затруднительной. Ведь подавая заявление о регистрации базы ПД, заявитель, среди прочего, должен указать информацию о распорядителе базы ПД и местонахождение базы (то есть, место хостинга) (абзацы 5, 7 ч. 3 ст. 9 Закона). В данной норме не учитывается тот факт, что о месте физического расположения оборудования, которое используется для хранения базы ПД, часто знает лишь соответствующий датацентр, но никак не владелец или распорядитель базы. К тому же, если база ПД является составной частью интернет-сайта – изменение хостинга влечёт за собой обязательство владельца базы ПД уведомлять об этом Уполномоченный орган.
Стоит отметить, что целесообразность введения данной нормы является весьма сомнительной. Вероятно, данная норма принята на выполнение требований Директивы Европейского Парламента и Совета Европейского Союза от 24 октября 1995 года N 95/46/ЭС "О защите физических лиц при обработке ПД и о свободном перемещении таких данных", которой предусмотрено обязательство владельца базы ПД информировать уполномоченный орган об операциях, связанных с обработкой ПД. В то же время, в данной Директиве ничего не говорится о необходимости создания государственного реестра и, тем более, об обязательной регистрации баз данных!
К тому же, исходя из приведённого в Законе "О защите персональных данных" определения понятия "персональные данные" (ст. 2 Закона), можно утверждать, что практически все предприятия и предприниматели ведут в каком-то виде базы персональных данных. На сегодняшний день в Украине насчитывается почти миллион субъектов хозяйствования. У некоторых компаний (рекламный бизнес, колл-центры, датацентры) количество баз ПД измеряется сотнями. Это означает, что все они должны будут зарегистрироваться в качестве владельцев баз ПД и регистрировать имеющиеся у них базы. При таких обстоятельствах сложно даже представить объем работы Уполномоченного органа, а также финансовые и организационные ресурсы государства на обслуживание данного реестра. К слову, Законом предусмотрено, что финансирование работ по обеспечению защиты ПД будет осуществляться, в том числе, и за счёт средств хозяйствующих субъектов, связанных с персональными данными (ст. 26 Закона). То есть государство вряд ли проигнорирует возможность сделать данную процедуру платной, введя государственную пошлину за внесение ведомостей в данный реестр. Стоит отметить, что аналогичным российским Законом данный вопрос урегулирован более рационально: оператор, осуществляющий обработку, обязан лишь уведомить уполномоченный орган о своём намерении осуществлять обработку ПД, и никаких упоминаний о государственной регистрации всех баз ПД в законе нет (ст. 22 Закона Российской Федерации "О персональных данных" от 27.06.2007 года).
Можно констатировать, что в Законе "О защите персональных данных" выполнены требования о недопустимости использования ПД без согласия самого субъекта (носителя) ПД, установленные Конвенцией "О защите лиц относительно автоматизированной обработки данных личностного характера", подписанной в Страсбурге 28.01.1981 года. Так, в подтверждение ранее действующих законодательных норм (Конституция Украины, Закон Украины "Об информации") Законом установлено, что не допускается обработка ПД физического лица без его согласия, кроме случаев, предусмотренных законом (например, в интересах национальной безопасности, экономического благосостояния и прав человека (ч. 6 ст. 6 Закона)).
Одним из ключевых является положение Закона о возможности получения согласия субъекта ПД любым другим удобным способом, кроме письменного (абзац 5 ст. 2 Закона). Указанная норма имеет большое значение для Компаний, так как даёт последним возможность "легализировать" базы ПД, составленные, например, путём телемаркетинга. Кроме того, при такой формулировке указанные Компании смогут применять наиболее простые и эффективные по их мнению способы получения согласия физического лица (например: путём подтверждения согласия отправкой SMS, или, к примеру, фактом регистрации лица на каком-либо мероприятии, в правилах участия которого публично указывалось о праве организаторов в дальнейшем использовать персональные данные участников и т.д.).
Вместе с этим, Законом установлено положение о том, что обработка персональных данных может осуществляться только в соответствии с целью такой обработки, которая формулируется при получении у субъекта ПД согласия на обработку данных. В каждом случае изменения цели использования ПД, владелец базы ПД должен повторно обратиться к субъекту ПД за получением согласия на использование его ПД уже для новой цели (абзац 2 ч. 2 ст. 6 Закона). Логично предположить, что во избежание необходимости направлять повторные запросы субъекту ПД для получения согласия, Компании при получении первичного согласия у субъекта на использование его данных, будут практиковать формы запроса, в которых цель обработки данных будет указана как можно обширней (например, использование персональных данных в маркетинговых целях).
Очевидно, владельцы баз ПД должны будут хранить доказательства получения согласия субъекта ПД. Последнее, безусловно, прибавит собственникам предприятий головной боли, поскольку крайне сложно будет технически обеспечить хранение документации о каждом физическом лице, чьи персональные данные поддавались обработке, особенно, если их количество исчисляется десятками или сотнями тысяч.
Пожалуй, самым неприятным и трудно выполнимым для Компаний станет требование Закона "О защите персональных данных" осуществлять уведомление физического лица о включении его ПД в базу ПД (ч. 2 ст. 12 Закона). Данное уведомление должно осуществляться исключительно в письменной форме на протяжении 10 рабочих дней со дня включения его данных в базу (к слову, подобное обязательство также возлагается на владельца базы ПД в случае изменения или уничтожения ПД (ч. 3 ст. 21 Закона)). В уведомлении, среди прочего, должна содержаться информация о правах данного субъекта, цели обработки и лиц, которым передаются эти данные. Стоит отметить, что выполнение данного требования является финансово затратным для Компаний, ведь направлять письма каждому субъекту (особенно учитывая постоянно растущие тарифы Укрпочты) – дорогое удовольствие. К тому же, такое требование является непоследовательным. Как уже отмечалось, любая обработка (в т. ч. и сбор ПД) и так становится возможной только после получения согласия субъекта ПД. При существующей же редакции Закона, владелец базы ПД, осуществляя обработку данных, должен вступать в коммуникацию с субъектом ПД минимум два раза: первый раз – для получения согласия лица на использование его ПД, второй – для уведомления данного лица о включении его данных в базу (в письменной форме). В случае же уничтожения ПД, требование об уведомлении лица и вовсе невозможно выполнить физически. Ведь как можно уведомить того, чьи данные уже удалены?
Важно также обратить внимание на то, что данное уведомление не осуществляется в случае сбора ПД из общедоступных источников (ч. 3 ст. 12 Закона). В то же время, ни данным Законом, ни каким либо другим нормативно-правовым актом, не дано определения, какие источники являются общедоступными. Эта категория является оценочной и крайне спорной. В частности, непонятно, является ли полученной из открытого источника информация о ФИО должностного лица, сообщенная сотрудником компании по телефону или находящаяся в социальных медиа. Вероятно, для урегулирования данного вопроса потребуется специальное разъяснение Уполномоченного органа.
Дополнительную проблему также создаёт приведённое в Законе определение термина "база персональных данных", исходя из которого база ПД может существовать, в том числе, и в форме картотеки (абзац 2 ст. 2 Закона). В связи с этим, абсолютно резонным является утверждение, что, к примеру, визитница, содержащая визитки с ФИО и реквизитами должностных лиц (равно как и любой другой массив информации о должностных лицах), также формально является базой ПД в форме картотеки, и, следовательно, требует государственной регистрации. Во избежание неопределённостей в понимании и применении данной нормы требуется законодательное разъяснение, что именно является картотекой в понимании данного Закона.
Интересно, что в Законе предусмотрена категория лиц, чьи ПД не являются информацией с ограниченным доступом, а, следовательно, их обработка допускается без получения согласия данных лиц и каких-либо других ограничений. К этой категории Закон относит лиц занимающих либо претендующих на занятие выборной должности, а также государственных служащих первой категории (ч. 4 ст. 5 Закона). Важно отметить, что установленный Законом перечень таких лиц носит исчерпывающий характер, в связи с чем возникает вопрос, как быть с персональными данными других публичных лиц, не входящих в данный перечень (например, лидеров политических партий, гражданских организаций, руководителей предприятий, профессиональных объединений, а также сотрудников компаний, имеющих и раздающих свои визитки либо оставляющих информацию о себе в соответствующих государственных реестрах в связи с выполнением своих служебных обязанностей). Являются ли информацией с ограниченным доступом ПД таких лиц? Ведь, по сути, степень публичности данных лиц ни чем не отличается от приведённого в Законе перечня. Данная проблема также нуждается в урегулировании.
Несколько дискриминационной по отношению к компаниям негосударственной формы собственности выглядит норма Закона о том, что распорядителем базы ПД, владельцем которой является орган государственной власти или орган местного самоуправления, может быть только предприятие государственной либо коммунальной формы собственности, входящий в сферу управления этого органа (ч. 4 ст. 5 Закона). При таком ограничении, к примеру, аутсорсинговый колл-центр негосударственной формы собственности (где без обработки ПД не обойтись) не имеет права обслуживать государственные органы.
Законом также установлено, что цель обработки ПД должна быть сформулирована в уставных документах владельца базы ПД (ч. 1 ст. 6 Закона). Весьма вероятно, что в связи с этим в уставы многих компаний нужно будет вносить изменения.
Отдельного комментария заслуживает тот факт, что в противоречие требованиям Директивы ЕС от 24 октября 1995 года N 95/46/ЭС Законом не установлено конкретной ответственности за нарушения законодательства о защите ПД. Более того, Законом определено, что ответственность за нарушение законодательства о защите ПД устанавливается именно Законом (ст. 28 Закона), что исключает возможность установления штрафных санкций нормативно-правовым актом уполномоченного органа либо других органов исполнительной власти. Необходимо подчеркнуть, что вопрос об ответственности требует безотлагательного законодательного урегулирования, поскольку в противном случае теряется смысл существования всего Закона. Ведь при таких обстоятельствах субъекты данных правоотношений будут попросту игнорировать его.
Интересно, что Законом дано право профессиональным объединениям создавать корпоративные кодексы поведения с целью обеспечения эффективной защиты прав субъектов ПД (ч.2 ст. 27 Закона). В связи с этим отраслевые компании (например, рекламный и маркетинговый бизнес, медицина, транспорт и т.д.) смогут вырабатывать стандарты, обязательные для компаний данных отраслей.
Еще одним заслуживающим внимания обстоятельством является то, что данный Закон вступает в силу с 1 января следующего года (ч. 1 ст. 31 Закона). То есть, субъектам хозяйствования, осуществляющим обработку ПД, предоставлено всего полгода на подготовку и приведение своей деятельности в соответствие с выставленными требованиями. Учитывая их содержание, есть все основания полагать, что на протяжении такого короткого срока это просто технически невозможным. Для сравнения можно привести пример Российской Федерации, где этот срок составляет около четырех с половиной лет (аналогичный Закон РФ принят 27.07.2006 года и вступает в силу в полном объёме 1 января 2011 года).
Как видно из описанного выше, Закон Украины "О защите персональных данных" содержит немало положений и требований, выполнение которых существенно усложняет деятельность многих компаний, или вообще ставит под угрозу их нормальное функционирование. Впрочем, Кабинету Министров еще только предстоит разработать нормативно-правовые акты, устанавливающие механизм выполнения данного Закона. Возможно, после их утверждения ситуация прояснится. Все зависит от своевременной и надлежащей реакции на данный Закон со стороны представителей заинтересованных бизнес отраслей. Именно поэтому мы и призываем коллег к оперативной реакции на принятие данного Закона.
Дмитрий Йовдий, Управляющий партнёр ЮК "Лигал Асистанс Групп"
Валентин Калашник, Президент Украинской ассоциации директ маркетинга
ЭТО БЫЛО НАПИСАНО в 2010 году........И что толку?....захотели и сделали.....
Original message
