Más en el tema ..... mucho texto, pero ...
Al mismo tiempo, ciertas disposiciones de esta Ley "sobre la protección de datos personales" plantean preguntas entre los representantes de los sectores empresariales relevantes: algunas de las disposiciones de la Ley no son prácticas o no son factibles. Pero lo primero es lo primero.
La Ley "sobre la protección de datos personales" prevé la creación de un organismo estatal autorizado para la protección de datos personales, en lo sucesivo denominado el organismo autorizado (artículo 23 de la Ley). Por el momento, no se sabe si esta será una nueva estructura o si los poderes especificados se asignarán adicionalmente a uno de los departamentos actuales. Cabe señalar que el organismo autorizado, entre otras cosas, estará investido de poderes de control y supervisión en el campo de la protección de datos personales. Por lo tanto, sus representantes tendrán el derecho de libre acceso a cualquier local donde se procesen datos personales o se ubiquen bases de datos personales (en adelante, PD) (Cláusula 4 de la Parte 2 del Artículo 23 de la Ley). Por lo tanto, los centros de llamadas, bancos, compañías de seguros, agencias de comercialización y casi cualquier empresa (en lo sucesivo, la Compañía) recibirán una nueva categoría de inspectores estatales con poderes casi ilimitados. Dada la práctica "agradable" de comunicación y abuso por parte de los representantes de las autoridades reguladoras, ¡es poco probable que esto complazca a los propietarios de las Empresas!
La Ley "sobre la protección de datos personales" también prevé la creación de un Registro estatal de bases de datos personales con un requisito obligatorio para los propietarios de bases de datos PD para registrar todas las bases de datos en este registro (Parte 1 del Artículo 9 de la Ley). Además, los propietarios de las bases de datos PD deberán notificar al Organismo Autorizado cada cambio sobre el administrador de la base de datos PD, los objetivos de procesamiento, la ubicación de la base (con las enmiendas correspondientes al registro estatal) (parte 6 del artículo 9 de la Ley). Ya se puede argumentar que la implementación de esta disposición de la Ley será muy difícil. Después de todo, al presentar una solicitud de registro de una base de PD, el solicitante, entre otras cosas, debe indicar información sobre el administrador de la base de PD y la ubicación de la base (es decir, la ubicación del alojamiento) (párrafos 5, 7, parte 3, artículo 9 de la Ley). Esta norma no tiene en cuenta el hecho de que el lugar de la ubicación física del equipo que se utiliza para almacenar la base PD a menudo es conocido solo por el centro de datos apropiado, pero no por el propietario o administrador de la base. Además, si la base de datos de PD es una parte integral del sitio web, cambiar el alojamiento conlleva la obligación del propietario de la base de datos de PD de notificar esto al organismo autorizado.
Vale la pena señalar que la conveniencia de introducir esta regla es muy dudosa. Es probable que esta norma se haya adoptado para cumplir los requisitos de la Directiva del Parlamento Europeo y del Consejo de la Unión Europea del 24 de octubre de 1995 N 95/46 / ES "Sobre la protección de las personas en el procesamiento de PD y la libre circulación de dichos datos", que estipula la obligación del propietario de la base de datos de PD de informar a los autorizados autoridad en operaciones relacionadas con el procesamiento de DP. Al mismo tiempo, esta Directiva no dice nada sobre la necesidad de crear un registro estatal y, además, ¡el registro obligatorio de bases de datos!
Además, según la definición del concepto de "datos personales" que figura en la Ley "sobre la protección de datos personales" (artículo 2 de la Ley), se puede argumentar que casi todas las empresas y empresarios mantienen una base de datos de datos personales de alguna forma. Hoy en Ucrania hay casi un millón de entidades comerciales. Para algunas empresas (negocios publicitarios, centros de llamadas, centros de datos), el número de bases de datos PD se mide en cientos. Esto significa que todos ellos deberán registrarse como propietarios de bases de datos PD y registrar sus bases de datos. En tales circunstancias, es difícil incluso imaginar el alcance del trabajo del organismo autorizado, así como los recursos financieros y organizativos del estado para atender este registro. Por cierto, la Ley establece que la financiación del trabajo para garantizar la protección de la EP se llevará a cabo, entre otras cosas, a expensas de los medios de las entidades comerciales relacionadas con los datos personales (artículo 26 de la Ley). Es decir, es poco probable que el estado ignore la oportunidad de pagar este procedimiento mediante la introducción de una tarifa estatal por hacer declaraciones en este registro. Vale la pena señalar que este problema se resuelve de manera más racional mediante una ley rusa similar: el operador que realiza el procesamiento solo está obligado a notificar al organismo autorizado su intención de procesar el PD, y no hay referencias al registro estatal de todas las bases de datos de PD en la ley (Artículo 22 de la Ley de la Federación de Rusia " Acerca de los datos personales "del 27 de junio de 2007).
Se puede afirmar que la Ley "sobre la protección de datos personales" cumplía los requisitos sobre la inadmisibilidad del uso de DP sin el consentimiento del sujeto (transportista) de DP, establecido por el Convenio "sobre la protección de las personas con respecto al procesamiento automático de datos personales", firmado en Estrasburgo el 28/01/1981. Por lo tanto, en apoyo de las normas legislativas previamente existentes (Constitución de Ucrania, Ley de Ucrania "sobre información"), la Ley establece que no está permitido procesar la DP de un individuo sin su consentimiento, salvo que la ley disponga lo contrario (por ejemplo, en interés de la seguridad nacional, el bienestar económico y los derechos). persona (parte 6 del artículo 6 de la Ley)).
Una de las disposiciones clave es la disposición de la Ley sobre la posibilidad de obtener el consentimiento del sujeto de DP de cualquier otra manera conveniente que la escrita (párrafo 5 del artículo 2 de la Ley). La norma indicada es de gran importancia para las empresas, ya que les da la oportunidad de "legalizar" las bases de datos de DP, elaboradas, por ejemplo, por telemercadeo. Además, con esta redacción, estas empresas podrán utilizar los métodos más simples y efectivos en su opinión para obtener el consentimiento de una persona (por ejemplo: confirmando el consentimiento enviando un SMS o, por ejemplo, registrando a una persona en cualquier evento en el que la participación rige públicamente Se indicó el derecho de los organizadores en el futuro a utilizar los datos personales de los participantes, etc.
Al mismo tiempo, la Ley establece que el procesamiento de datos personales solo puede llevarse a cabo de acuerdo con el propósito de dicho procesamiento, que se formula al recibir el consentimiento del PD sujeto al procesamiento de datos. En cada caso de cambiar el propósito de usar PD, el propietario de la base de datos de PD debe contactar repetidamente al sujeto de PD para obtener el consentimiento para usar su PD para un nuevo propósito (párrafo 2 de la Parte 2 del Artículo 6 de la Ley). Es lógico suponer que para evitar la necesidad de enviar repetidas solicitudes al sujeto de DP para obtener el consentimiento, la Compañía, al recibir el consentimiento inicial del sujeto para usar sus datos, practicará formularios de solicitud en los que el propósito del procesamiento de datos se indicará lo más extenso posible (por ejemplo, el uso de datos personales en fines de marketing).
Obviamente, los propietarios de bases de datos PD deberán almacenar evidencia del consentimiento del sujeto PD. Esto último, por supuesto, agregará un dolor de cabeza a los propietarios de las empresas, ya que será extremadamente difícil garantizar técnicamente el almacenamiento de la documentación de cada individuo cuyos datos personales pueden procesarse, especialmente si su número es decenas o cientos de miles.
Quizás lo más desagradable y difícil para las empresas será el requisito de la Ley "sobre la protección de datos personales" para notificar a un individuo sobre la inclusión de su PD en la base de datos de PD (parte 2 del artículo 12 de la Ley). Esta notificación debe realizarse exclusivamente por escrito dentro de los 10 días hábiles a partir de la fecha de inclusión de sus datos en la base de datos (por cierto, dicha obligación también se impone al propietario de la base de datos PD en caso de cambio o destrucción de la PD (parte 3 del artículo 21 de la Ley). La notificación, entre otras cosas, debe contener información sobre los derechos del sujeto, el propósito del procesamiento y las personas a quienes se transmiten estos datos. Vale la pena señalar que cumplir con este requisito es financieramente costoso para las empresas, ya que enviar cartas a cada entidad (especialmente teniendo en cuenta las tarifas cada vez mayores de Ukrposhta) es un placer costoso. Además, tal requisito es inconsistente. Como ya se señaló, cualquier procesamiento (incluida la recopilación de PD), etc., es posible solo después de obtener el consentimiento del sujeto de PD. Según la versión actual de la Ley, el propietario de la base de datos de PD, mientras procesa los datos, debe comunicarse con el sujeto de PD al menos dos veces: la primera vez, para obtener el consentimiento de la persona para usar su PD, la segunda, para notificar a la persona sobre la inclusión de sus datos en la base de datos ( escrito). En el caso de la destrucción de la EP, el requisito de notificar a una persona es completamente imposible de cumplir físicamente. Después de todo, ¿cómo puede notificar a alguien cuyos datos ya se han eliminado?
También es importante prestar atención al hecho de que esta notificación no se lleva a cabo en caso de recopilar DP de fuentes públicas (parte 3 del artículo 12 de la Ley). Al mismo tiempo, ni esta Ley, ni ningún otro acto jurídico normativo define qué fuentes están disponibles públicamente. Esta categoría es evaluativa y muy controvertida. En particular, no está claro si la información sobre el nombre del funcionario, comunicada por un empleado de la empresa por teléfono o en las redes sociales, se obtuvo de código abierto. Probablemente, para resolver este problema, se requerirá una explicación especial del organismo autorizado.
La definición del término "base de datos personales" dada en la Ley también crea un problema adicional, en función del cual puede existir la base de datos de DP, incluso en forma de archivador (párrafo 2 del artículo 2 de la Ley). En este sentido, es absolutamente razonable decir que, por ejemplo, un titular de una tarjeta de negocios que contiene tarjetas de negocios con el nombre completo y los detalles de los funcionarios (así como cualquier otra serie de información sobre los funcionarios) también es formalmente una base de PD en forma de archivador, y por lo tanto , requiere registro estatal. Para evitar ambigüedades en la comprensión y aplicación de esta regla, se requiere una aclaración legislativa sobre qué es exactamente un índice de tarjeta en la comprensión de esta Ley.
Es interesante que la Ley establezca una categoría de personas cuyas PD no son información con acceso limitado y, por lo tanto, su procesamiento está permitido sin el consentimiento de estas personas y cualquier otra restricción. La Ley incluye a las personas que ocupan o solicitan un puesto electivo en esta categoría, así como a los funcionarios de la primera categoría (parte 4 del artículo 5 de la Ley). Es importante tener en cuenta que la lista de tales personas establecida por la Ley es exhaustiva, lo que plantea la cuestión de cómo tratar los datos personales de otras personas públicas no incluidas en esta lista (por ejemplo, líderes de partidos políticos, organizaciones cívicas, líderes empresariales, asociaciones profesionales, etc. así como empleados de compañías que tienen y distribuyen sus tarjetas de visita o dejan información sobre sí mismos en los registros estatales relevantes en relación con el desempeño de sus funciones oficiales). ¿La información de acceso restringido de tales individuos? De hecho, de hecho, el grado de publicidad de estas personas no es diferente de la lista prevista en la Ley. Este problema también necesita ser resuelto.
La norma de la Ley de que el administrador de una base de PD propiedad de una autoridad estatal o un organismo del gobierno local solo puede ser una empresa de propiedad estatal o comunitaria, que está dentro del alcance de este organismo, es algo discriminatorio con respecto a las empresas de una forma de propiedad no estatal (h. 4 art. 5 de la Ley). Con esta limitación, por ejemplo, un centro de llamadas subcontratado de una forma de propiedad no estatal (donde no se puede prescindir del procesamiento de PD) no tiene derecho a prestar servicios a los organismos estatales.
La ley también establece que el propósito del procesamiento de PD debe formularse en los documentos de constitución del propietario de la base de datos de PD (parte 1 del artículo 6 de la Ley). Es muy probable que, a este respecto, las cartas de muchas compañías deban modificarse.
Un comentario aparte merece el hecho de que, contrariamente a los requisitos de la Directiva de la UE del 24 de octubre de 1995 N 95/46 / ES, la Ley no establece una responsabilidad específica por las violaciones de la legislación sobre protección de la EP. Además, la Ley determina que la responsabilidad por violación de la legislación sobre la protección de la EP está establecida por la Ley (Artículo 28 de la Ley), que excluye la posibilidad de sanciones por un acto legal regulatorio de un organismo autorizado u otros organismos ejecutivos. Debe enfatizarse que el tema de la responsabilidad requiere un arreglo legislativo inmediato, ya que de lo contrario se pierde el significado de la existencia de toda la Ley. De hecho, bajo tales circunstancias, los sujetos de estas relaciones legales simplemente lo ignorarán.
Es interesante que la Ley otorgue el derecho a las asociaciones profesionales a crear códigos de conducta corporativos para garantizar la protección efectiva de los derechos de los sujetos con EP (parte 2 del artículo 27 de la Ley). En este sentido, las empresas de la industria (por ejemplo, negocios de publicidad y marketing, medicina, transporte, etc.) podrán desarrollar estándares que son obligatorios para las empresas de estas industrias.
Otra circunstancia notable es que esta Ley entra en vigencia el 1 de enero del próximo año (parte 1 del artículo 31 de la Ley). Es decir, a las entidades comerciales dedicadas al procesamiento de PD se les ha dado solo seis meses para preparar y alinear sus actividades con los requisitos establecidos. Dado su contenido, hay muchas razones para creer que durante un período tan corto es simplemente técnicamente imposible. A modo de comparación, podemos dar un ejemplo de la Federación de Rusia, donde este período es de aproximadamente cuatro años y medio (una Ley similar de la Federación de Rusia se aprobó el 27 de julio de 2006 y entra en vigencia el 1 de enero de 2011).
Como se puede ver en lo anterior, la Ley de Ucrania "sobre la protección de datos personales" contiene muchas disposiciones y requisitos, cuya implementación complica significativamente las actividades de muchas empresas, o incluso pone en peligro su funcionamiento normal. Sin embargo, el Gabinete de Ministros aún no ha desarrollado actos jurídicos normativos que establezcan un mecanismo para implementar esta Ley. Quizás después de su aprobación, la situación se aclarará. Todo depende de la respuesta oportuna y adecuada a esta Ley por parte de representantes de los sectores empresariales interesados. Es por eso que instamos a nuestros colegas a responder rápidamente a la adopción de esta Ley.
Dmitry Yovdiy, Socio Director, Grupo de Asistencia Legal
Valentin Kalashnik, presidente de la Asociación de Marketing Directo de Ucrania
FUE ESCRITO EN 2010 ........ ¿Y cuál es el punto? ... querían e hicieron .....
Ещё в тему.....много текста, но....
Вместе с тем, отдельные положения данного Закона "О защите персональных данных" вызывают вопросы среди представителей профильных бизнес отраслей: некоторые нормы Закона нецелесообразны или вовсе невыполнимы. Но обо всём по порядку.
Законом "О защите персональных данных" предусмотрено создание уполномоченного государственного органа по вопросам защиты персональных данных, далее – Уполномоченный орган (ст. 23 Закона). На данный момент неизвестно, будет ли это новая структура, или указанные полномочия будут дополнительно возложены на одно из ныне действующих ведомств. Необходимо обратить внимание, что Уполномоченный орган, среди прочего, будет наделён контрольно-надзорными полномочиями в сфере защиты персональных данных. Так, его представителям будет предоставлено право свободного доступа к любым помещениям, где осуществляется обработка персональных данных либо находятся базы персональных данных (далее – ПД) (п. 4 ч. 2 ст. 23 Закона). Таким образом, колл-центры, банки, страховые компании, маркетинговые агентства и практически любые предприятия (далее – Компании) получат новую категорию государственных проверяющих с почти неограниченными полномочиями. Учитывая "приятную" практику общения и злоупотребления со стороны представителей контролирующих инстанций, это вряд ли порадует собственников Компаний!
Законом "О защите персональных данных" также предусмотрено создание Государственного реестра баз персональных данных с обязательным требованием к владельцам баз ПД по регистрации всех баз в данном реестре (ч.1 ст. 9 Закона). Более того, владельцы баз ПД должны будут уведомлять Уполномоченный орган о каждом факте изменения распорядителя базы ПД, целей обработки, места расположения базы (с соответствующим внесением изменений в государственный реестр) (ч. 6 ст. 9 Закона). Уже сейчас можно утверждать, что реализация данного положения Закона будет весьма затруднительной. Ведь подавая заявление о регистрации базы ПД, заявитель, среди прочего, должен указать информацию о распорядителе базы ПД и местонахождение базы (то есть, место хостинга) (абзацы 5, 7 ч. 3 ст. 9 Закона). В данной норме не учитывается тот факт, что о месте физического расположения оборудования, которое используется для хранения базы ПД, часто знает лишь соответствующий датацентр, но никак не владелец или распорядитель базы. К тому же, если база ПД является составной частью интернет-сайта – изменение хостинга влечёт за собой обязательство владельца базы ПД уведомлять об этом Уполномоченный орган.
Стоит отметить, что целесообразность введения данной нормы является весьма сомнительной. Вероятно, данная норма принята на выполнение требований Директивы Европейского Парламента и Совета Европейского Союза от 24 октября 1995 года N 95/46/ЭС "О защите физических лиц при обработке ПД и о свободном перемещении таких данных", которой предусмотрено обязательство владельца базы ПД информировать уполномоченный орган об операциях, связанных с обработкой ПД. В то же время, в данной Директиве ничего не говорится о необходимости создания государственного реестра и, тем более, об обязательной регистрации баз данных!
К тому же, исходя из приведённого в Законе "О защите персональных данных" определения понятия "персональные данные" (ст. 2 Закона), можно утверждать, что практически все предприятия и предприниматели ведут в каком-то виде базы персональных данных. На сегодняшний день в Украине насчитывается почти миллион субъектов хозяйствования. У некоторых компаний (рекламный бизнес, колл-центры, датацентры) количество баз ПД измеряется сотнями. Это означает, что все они должны будут зарегистрироваться в качестве владельцев баз ПД и регистрировать имеющиеся у них базы. При таких обстоятельствах сложно даже представить объем работы Уполномоченного органа, а также финансовые и организационные ресурсы государства на обслуживание данного реестра. К слову, Законом предусмотрено, что финансирование работ по обеспечению защиты ПД будет осуществляться, в том числе, и за счёт средств хозяйствующих субъектов, связанных с персональными данными (ст. 26 Закона). То есть государство вряд ли проигнорирует возможность сделать данную процедуру платной, введя государственную пошлину за внесение ведомостей в данный реестр. Стоит отметить, что аналогичным российским Законом данный вопрос урегулирован более рационально: оператор, осуществляющий обработку, обязан лишь уведомить уполномоченный орган о своём намерении осуществлять обработку ПД, и никаких упоминаний о государственной регистрации всех баз ПД в законе нет (ст. 22 Закона Российской Федерации "О персональных данных" от 27.06.2007 года).
Можно констатировать, что в Законе "О защите персональных данных" выполнены требования о недопустимости использования ПД без согласия самого субъекта (носителя) ПД, установленные Конвенцией "О защите лиц относительно автоматизированной обработки данных личностного характера", подписанной в Страсбурге 28.01.1981 года. Так, в подтверждение ранее действующих законодательных норм (Конституция Украины, Закон Украины "Об информации") Законом установлено, что не допускается обработка ПД физического лица без его согласия, кроме случаев, предусмотренных законом (например, в интересах национальной безопасности, экономического благосостояния и прав человека (ч. 6 ст. 6 Закона)).
Одним из ключевых является положение Закона о возможности получения согласия субъекта ПД любым другим удобным способом, кроме письменного (абзац 5 ст. 2 Закона). Указанная норма имеет большое значение для Компаний, так как даёт последним возможность "легализировать" базы ПД, составленные, например, путём телемаркетинга. Кроме того, при такой формулировке указанные Компании смогут применять наиболее простые и эффективные по их мнению способы получения согласия физического лица (например: путём подтверждения согласия отправкой SMS, или, к примеру, фактом регистрации лица на каком-либо мероприятии, в правилах участия которого публично указывалось о праве организаторов в дальнейшем использовать персональные данные участников и т.д.).
Вместе с этим, Законом установлено положение о том, что обработка персональных данных может осуществляться только в соответствии с целью такой обработки, которая формулируется при получении у субъекта ПД согласия на обработку данных. В каждом случае изменения цели использования ПД, владелец базы ПД должен повторно обратиться к субъекту ПД за получением согласия на использование его ПД уже для новой цели (абзац 2 ч. 2 ст. 6 Закона). Логично предположить, что во избежание необходимости направлять повторные запросы субъекту ПД для получения согласия, Компании при получении первичного согласия у субъекта на использование его данных, будут практиковать формы запроса, в которых цель обработки данных будет указана как можно обширней (например, использование персональных данных в маркетинговых целях).
Очевидно, владельцы баз ПД должны будут хранить доказательства получения согласия субъекта ПД. Последнее, безусловно, прибавит собственникам предприятий головной боли, поскольку крайне сложно будет технически обеспечить хранение документации о каждом физическом лице, чьи персональные данные поддавались обработке, особенно, если их количество исчисляется десятками или сотнями тысяч.
Пожалуй, самым неприятным и трудно выполнимым для Компаний станет требование Закона "О защите персональных данных" осуществлять уведомление физического лица о включении его ПД в базу ПД (ч. 2 ст. 12 Закона). Данное уведомление должно осуществляться исключительно в письменной форме на протяжении 10 рабочих дней со дня включения его данных в базу (к слову, подобное обязательство также возлагается на владельца базы ПД в случае изменения или уничтожения ПД (ч. 3 ст. 21 Закона)). В уведомлении, среди прочего, должна содержаться информация о правах данного субъекта, цели обработки и лиц, которым передаются эти данные. Стоит отметить, что выполнение данного требования является финансово затратным для Компаний, ведь направлять письма каждому субъекту (особенно учитывая постоянно растущие тарифы Укрпочты) – дорогое удовольствие. К тому же, такое требование является непоследовательным. Как уже отмечалось, любая обработка (в т. ч. и сбор ПД) и так становится возможной только после получения согласия субъекта ПД. При существующей же редакции Закона, владелец базы ПД, осуществляя обработку данных, должен вступать в коммуникацию с субъектом ПД минимум два раза: первый раз – для получения согласия лица на использование его ПД, второй – для уведомления данного лица о включении его данных в базу (в письменной форме). В случае же уничтожения ПД, требование об уведомлении лица и вовсе невозможно выполнить физически. Ведь как можно уведомить того, чьи данные уже удалены?
Важно также обратить внимание на то, что данное уведомление не осуществляется в случае сбора ПД из общедоступных источников (ч. 3 ст. 12 Закона). В то же время, ни данным Законом, ни каким либо другим нормативно-правовым актом, не дано определения, какие источники являются общедоступными. Эта категория является оценочной и крайне спорной. В частности, непонятно, является ли полученной из открытого источника информация о ФИО должностного лица, сообщенная сотрудником компании по телефону или находящаяся в социальных медиа. Вероятно, для урегулирования данного вопроса потребуется специальное разъяснение Уполномоченного органа.
Дополнительную проблему также создаёт приведённое в Законе определение термина "база персональных данных", исходя из которого база ПД может существовать, в том числе, и в форме картотеки (абзац 2 ст. 2 Закона). В связи с этим, абсолютно резонным является утверждение, что, к примеру, визитница, содержащая визитки с ФИО и реквизитами должностных лиц (равно как и любой другой массив информации о должностных лицах), также формально является базой ПД в форме картотеки, и, следовательно, требует государственной регистрации. Во избежание неопределённостей в понимании и применении данной нормы требуется законодательное разъяснение, что именно является картотекой в понимании данного Закона.
Интересно, что в Законе предусмотрена категория лиц, чьи ПД не являются информацией с ограниченным доступом, а, следовательно, их обработка допускается без получения согласия данных лиц и каких-либо других ограничений. К этой категории Закон относит лиц занимающих либо претендующих на занятие выборной должности, а также государственных служащих первой категории (ч. 4 ст. 5 Закона). Важно отметить, что установленный Законом перечень таких лиц носит исчерпывающий характер, в связи с чем возникает вопрос, как быть с персональными данными других публичных лиц, не входящих в данный перечень (например, лидеров политических партий, гражданских организаций, руководителей предприятий, профессиональных объединений, а также сотрудников компаний, имеющих и раздающих свои визитки либо оставляющих информацию о себе в соответствующих государственных реестрах в связи с выполнением своих служебных обязанностей). Являются ли информацией с ограниченным доступом ПД таких лиц? Ведь, по сути, степень публичности данных лиц ни чем не отличается от приведённого в Законе перечня. Данная проблема также нуждается в урегулировании.
Несколько дискриминационной по отношению к компаниям негосударственной формы собственности выглядит норма Закона о том, что распорядителем базы ПД, владельцем которой является орган государственной власти или орган местного самоуправления, может быть только предприятие государственной либо коммунальной формы собственности, входящий в сферу управления этого органа (ч. 4 ст. 5 Закона). При таком ограничении, к примеру, аутсорсинговый колл-центр негосударственной формы собственности (где без обработки ПД не обойтись) не имеет права обслуживать государственные органы.
Законом также установлено, что цель обработки ПД должна быть сформулирована в уставных документах владельца базы ПД (ч. 1 ст. 6 Закона). Весьма вероятно, что в связи с этим в уставы многих компаний нужно будет вносить изменения.
Отдельного комментария заслуживает тот факт, что в противоречие требованиям Директивы ЕС от 24 октября 1995 года N 95/46/ЭС Законом не установлено конкретной ответственности за нарушения законодательства о защите ПД. Более того, Законом определено, что ответственность за нарушение законодательства о защите ПД устанавливается именно Законом (ст. 28 Закона), что исключает возможность установления штрафных санкций нормативно-правовым актом уполномоченного органа либо других органов исполнительной власти. Необходимо подчеркнуть, что вопрос об ответственности требует безотлагательного законодательного урегулирования, поскольку в противном случае теряется смысл существования всего Закона. Ведь при таких обстоятельствах субъекты данных правоотношений будут попросту игнорировать его.
Интересно, что Законом дано право профессиональным объединениям создавать корпоративные кодексы поведения с целью обеспечения эффективной защиты прав субъектов ПД (ч.2 ст. 27 Закона). В связи с этим отраслевые компании (например, рекламный и маркетинговый бизнес, медицина, транспорт и т.д.) смогут вырабатывать стандарты, обязательные для компаний данных отраслей.
Еще одним заслуживающим внимания обстоятельством является то, что данный Закон вступает в силу с 1 января следующего года (ч. 1 ст. 31 Закона). То есть, субъектам хозяйствования, осуществляющим обработку ПД, предоставлено всего полгода на подготовку и приведение своей деятельности в соответствие с выставленными требованиями. Учитывая их содержание, есть все основания полагать, что на протяжении такого короткого срока это просто технически невозможным. Для сравнения можно привести пример Российской Федерации, где этот срок составляет около четырех с половиной лет (аналогичный Закон РФ принят 27.07.2006 года и вступает в силу в полном объёме 1 января 2011 года).
Как видно из описанного выше, Закон Украины "О защите персональных данных" содержит немало положений и требований, выполнение которых существенно усложняет деятельность многих компаний, или вообще ставит под угрозу их нормальное функционирование. Впрочем, Кабинету Министров еще только предстоит разработать нормативно-правовые акты, устанавливающие механизм выполнения данного Закона. Возможно, после их утверждения ситуация прояснится. Все зависит от своевременной и надлежащей реакции на данный Закон со стороны представителей заинтересованных бизнес отраслей. Именно поэтому мы и призываем коллег к оперативной реакции на принятие данного Закона.
Дмитрий Йовдий, Управляющий партнёр ЮК "Лигал Асистанс Групп"
Валентин Калашник, Президент Украинской ассоциации директ маркетинга
ЭТО БЫЛО НАПИСАНО в 2010 году........И что толку?....захотели и сделали.....
Original message
