Plus dans le sujet ..... beaucoup de texte, mais ....
Dans le même temps, certaines dispositions de cette loi «sur la protection des données personnelles» soulèvent des questions parmi les représentants des secteurs d'activité concernés: certaines des dispositions de la loi sont peu pratiques ou pas du tout réalisables. Mais tout d'abord.
La loi "sur la protection des données personnelles" prévoit la création d'un organisme public autorisé pour la protection des données personnelles, ci-après dénommé "organisme autorisé" (article 23 de la loi). À l'heure actuelle, on ne sait pas s'il s'agira d'une nouvelle structure ou si les pouvoirs spécifiés seront en outre attribués à l'un des départements actuels. Il convient de noter que l'organisme autorisé, entre autres, sera investi de pouvoirs de contrôle et de surveillance dans le domaine de la protection des données personnelles. Ainsi, ses représentants auront le droit d'accéder gratuitement à tous les locaux où des données personnelles sont traitées ou des bases de données personnelles (ci-après dénommées PD) sont situées (paragraphe 4 de la partie 2 de l'article 23 de la loi). Ainsi, les centres d'appels, les banques, les compagnies d'assurance, les agences de commercialisation et presque toutes les entreprises (ci-après dénommées la Société) recevront une nouvelle catégorie d'inspecteurs d'État aux pouvoirs presque illimités. Compte tenu de la pratique "agréable" de communication et d'abus par les représentants des autorités de régulation, il est peu probable que cela plaise aux propriétaires des sociétés!
La loi sur la protection des données à caractère personnel prévoit également la création d'un registre national des bases de données à caractère personnel obligeant les propriétaires de bases de données PD à enregistrer toutes les bases de données de ce registre (partie 1 de l'article 9 de la loi). De plus, les propriétaires de bases de données PD devront informer l'Organisme Autorisé de chaque fait d'un changement de gestionnaire de la base de données PD, des objectifs de traitement, de l'emplacement de la base (avec les modifications correspondantes du registre de l'État) (partie 6 de l'article 9 de la loi). On peut déjà affirmer que la mise en œuvre de cette disposition de la loi sera très difficile. Après tout, lors de la présentation d'une demande d'enregistrement d'une base PD, le demandeur doit, entre autres, indiquer des informations sur le gestionnaire de la base PD et l'emplacement de la base (c'est-à-dire le lieu d'hébergement) (paragraphes 5, 7, partie 3, article 9 de la loi). Cette norme ne prend pas en compte le fait que le lieu de l'emplacement physique de l'équipement utilisé pour stocker la base PD n'est souvent connu que du centre de données concerné, mais pas du propriétaire ou du gestionnaire de la base. En outre, si la base de données PD fait partie intégrante du site Web - la modification de l'hébergement entraîne l'obligation du propriétaire de la base de données PD d'en informer l'organisme autorisé.
Il convient de noter que l'opportunité d'introduire cette règle est très douteuse. Il est probable que cette norme ait été adoptée pour satisfaire aux exigences de la Directive du Parlement européen et du Conseil de l'Union européenne du 24 octobre 1995 N 95/46 / ES "Sur la protection des personnes physiques dans le traitement des PD et sur la libre circulation de ces données", qui stipule l'obligation du propriétaire de la base de données de PD d'informer la personne autorisée autorité sur les opérations liées au traitement des DP. Dans le même temps, cette directive ne dit rien sur la nécessité de créer un registre national et, en outre, sur l'enregistrement obligatoire des bases de données!
En outre, sur la base de la définition du concept de «données à caractère personnel» donnée dans la loi sur la protection des données à caractère personnel (article 2 de la loi), on peut affirmer que presque toutes les entreprises et les entrepreneurs tiennent une base de données de données à caractère personnel sous une forme ou une autre. Aujourd'hui, en Ukraine, il existe près d'un million d'entités commerciales. Pour certaines entreprises (publicité, centres d'appels, centres de données), le nombre de bases de données PD est mesuré en centaines. Cela signifie que tous devront s'inscrire en tant que propriétaires de bases de données PD et enregistrer leurs bases de données. Dans de telles circonstances, il est difficile d'imaginer même l'étendue des travaux de l'organisme autorisé, ainsi que les ressources financières et organisationnelles de l'État pour entretenir ce registre. Soit dit en passant, la loi prévoit que le financement des travaux pour assurer la protection des PD sera effectué, entre autres, aux dépens des moyens des entités commerciales liés aux données personnelles (article 26 de la loi). Autrement dit, il est peu probable que l'État ignore la possibilité de faire payer cette procédure en introduisant des frais d'État pour faire des déclarations dans ce registre. Il convient de noter que cette question a été réglée de manière plus rationnelle par une loi russe similaire: l'opérateur effectuant le traitement n'est tenu de notifier à l'organisme autorisé son intention de traiter la PD, et il n'y a aucune référence à l'enregistrement public de toutes les bases de données de PD dans la loi (article 22 de la loi de la Fédération de Russie " À propos des données personnelles "du 27 juin 2007).
On peut affirmer que la loi "sur la protection des données personnelles" remplissait les conditions d'interdiction de l'utilisation de la PD sans le consentement du sujet PD (titulaire) établie par la convention "sur la protection des personnes à l'égard du traitement automatisé des données à caractère personnel", signée à Strasbourg le 28/01/1981. Ainsi, à l'appui des normes législatives existantes (Constitution de l'Ukraine, loi ukrainienne "sur l'information"), la loi établit qu'il est interdit de traiter la DP d'un individu sans son consentement, sauf dans les cas prévus par la loi (par exemple, dans l'intérêt de la sécurité nationale, du bien-être économique et des droits) personne (partie 6 de l’article 6 de la loi)).
L'une des dispositions clés est la disposition de la loi sur la possibilité d'obtenir le consentement du sujet PD d'une autre manière que celle écrite (paragraphe 5 de l'article 2 de la loi). La norme spécifiée est d'une grande importance pour les entreprises, car elle donne à ces dernières la possibilité de «légaliser» les bases de données PD compilées, par exemple, par télémarketing. En outre, avec cette formulation, ces sociétés pourront utiliser les méthodes les plus simples et les plus efficaces à leur avis pour obtenir le consentement d'un individu (par exemple: en confirmant son consentement en envoyant un SMS, ou, par exemple, en enregistrant une personne à tout événement dont les règles de participation sont publiques) le droit des organisateurs à l'avenir d'utiliser les données personnelles des participants, etc.) a été indiqué.
Parallèlement à cela, la loi établit la disposition selon laquelle le traitement des données personnelles ne peut être effectué que conformément à la finalité de ce traitement, qui est formulée après réception du consentement du PD soumis au traitement des données. Dans chaque cas de modification de l'objectif d'utilisation de PD, le propriétaire de la base de données PD doit contacter à plusieurs reprises le sujet de PD pour obtenir son consentement à utiliser son PD à une nouvelle fin (paragraphe 2 de la partie 2 de l'article 6 de la loi). Il est logique de supposer que pour éviter d'avoir à envoyer des demandes répétées au sujet PD pour le consentement, la Société, sur réception du consentement initial du sujet à utiliser ses données, pratiquera des formulaires de demande dans lesquels la finalité du traitement des données sera indiquée aussi étendue que possible (par exemple, l'utilisation de données personnelles dans fins de marketing).
De toute évidence, les propriétaires de bases de données PD devront stocker des preuves du consentement du sujet PD. Ces derniers, bien sûr, ajouteront un casse-tête aux propriétaires d'entreprises, car il sera extrêmement difficile d'assurer techniquement le stockage de la documentation pour chaque individu dont les données personnelles peuvent être traitées, surtout si leur nombre est de plusieurs dizaines ou centaines de milliers.
Le plus désagréable et le plus difficile pour les entreprises sera peut-être l'exigence de la loi "sur la protection des données personnelles" de notifier à un individu l'inclusion de son PD dans la base de données PD (partie 2 de l'article 12 de la loi). Cette notification doit être effectuée exclusivement par écrit dans les 10 jours ouvrables à compter de la date d'inclusion de ses données dans la base de données (au fait, une telle obligation est également imposée au propriétaire de la base de données PD en cas de modification ou de destruction de la PD (partie 3 de l'article 21 de la loi). La notification, entre autres, devrait contenir des informations sur les droits du sujet, la finalité du traitement et les personnes à qui ces données sont transmises. Il convient de noter que le respect de cette exigence est financièrement coûteux pour les entreprises, car l'envoi de lettres à chaque entité (en particulier compte tenu des tarifs Ukrposhta en constante augmentation) est un plaisir coûteux. De plus, une telle exigence est incohérente. Comme déjà indiqué, tout traitement (y compris la collecte de PD) et ainsi de suite ne devient possible qu'après avoir obtenu le consentement du sujet de PD. En vertu de la version actuelle de la loi, le propriétaire de la base de données PD, lors du traitement des données, doit entrer en communication avec le sujet PD au moins deux fois: la première fois - pour obtenir le consentement de la personne à utiliser sa PD, la seconde - pour informer la personne de l'inclusion de ses données dans la base de données ( en cours d'écriture). Dans le cas de la destruction de PD, l'obligation de prévenir une personne est totalement impossible à remplir physiquement. Après tout, comment pouvez-vous informer quelqu'un dont les données ont déjà été supprimées?
Il est également important de prêter attention au fait que cette notification n'est pas effectuée en cas de collecte de DP auprès de sources publiques (partie 3 de l'article 12 de la loi). Dans le même temps, ni cette loi, ni aucun autre acte juridique normatif ne définit les sources accessibles au public. Cette catégorie est évaluative et très controversée. En particulier, il n'est pas clair si les informations sur le nom du fonctionnaire, communiquées par un employé de l'entreprise par téléphone ou sur les réseaux sociaux, proviennent de l'open source. Pour résoudre ce problème, une explication spéciale de l'organisme autorisé sera probablement requise.
Un problème supplémentaire est également créé par la définition de l'expression «base de données personnelles» donnée dans la loi, sur la base de laquelle la base de données PD peut exister, y compris sous la forme d'un classeur (paragraphe 2 de l'article 2 de la loi). À cet égard, il est tout à fait raisonnable de dire que, par exemple, un titulaire de carte de visite contenant des cartes de visite avec le nom complet et les coordonnées des fonctionnaires (ainsi que tout autre tableau d'informations sur les fonctionnaires) est également formellement une base de PD sous la forme d'un classeur, et donc , nécessite un enregistrement d'État. Afin d'éviter toute ambiguïté dans la compréhension et l'application de cette norme, une clarification législative est nécessaire sur ce qu'est exactement un index de carte dans la compréhension de cette loi.
Il est intéressant de noter que la loi prévoit une catégorie de personnes dont les DP ne sont pas des informations à accès limité et, par conséquent, leur traitement est autorisé sans le consentement de ces personnes et toute autre restriction. La loi comprend les personnes occupant ou postulant à un poste électif dans cette catégorie, ainsi que les fonctionnaires de la première catégorie (partie 4 de l'article 5 de la loi). Il est important de noter que la liste de ces personnes établie par la loi est exhaustive, à propos de laquelle se pose la question de savoir comment traiter les données personnelles d'autres personnes publiques non incluses dans cette liste (par exemple, les chefs de partis politiques, les organisations civiques, les chefs d'entreprise, les associations professionnelles, ainsi que les employés des entreprises qui ont et distribuent leurs cartes de visite ou qui laissent des informations sur eux-mêmes dans les registres d'État concernés dans le cadre de l'exercice de leurs fonctions officielles). Les informations d'accès restreint de ces personnes sont-elles? En effet, le degré de publicité de ces personnes n'est en effet pas différent de la liste prévue par la loi. Ce problème doit également être résolu.
La norme de la loi selon laquelle le gestionnaire d'une base de PD appartenant à une autorité étatique ou à un organisme gouvernemental local ne peut être qu'une entreprise de propriété étatique ou communautaire, qui relève du champ d'application de cet organisme, est quelque peu discriminatoire à l'égard des entreprises non étatiques. 4 art.5 de la loi). Avec cette limitation, par exemple, un centre d'appels externalisé d'une forme de propriété non étatique (où le traitement PD ne peut pas être supprimé) n'a pas le droit de servir les organismes étatiques.
La loi a également établi que la finalité du traitement des PD devait être formulée dans les documents de charte du propriétaire de la base des PD (partie 1 de l'article 6 de la loi). Il est très probable qu'à cet égard, les chartes de nombreuses entreprises devront être modifiées.
Un commentaire séparé mérite le fait que, contrairement aux exigences de la Directive UE du 24 octobre 1995 N 95/46 / ES, la Loi n'instaure pas de responsabilité spécifique pour les violations de la législation sur la protection des PD. En outre, la loi établit que la responsabilité pour violation de la législation sur la protection des personnes morales est établie par la loi (article 28 de la loi), qui exclut la possibilité de sanctions par un acte juridique réglementaire d'un organisme autorisé ou d'autres organes exécutifs. Il faut souligner que la question de la responsabilité nécessite un règlement législatif immédiat, faute de quoi le sens de l'existence de l'ensemble de la loi est perdu. En effet, dans de telles circonstances, les sujets de ces relations juridiques l'ignoreront tout simplement.
Il est intéressant de noter que la loi donne le droit aux associations professionnelles de créer des codes de conduite des entreprises afin d'assurer la protection effective des droits des sujets PD (partie 2 de l'article 27 de la loi). À cet égard, les entreprises de l'industrie (par exemple, publicité et marketing, médecine, transport, etc.) pourront élaborer des normes obligatoires pour les entreprises de ces industries.
Une autre circonstance notable est que cette loi entre en vigueur le 1er janvier de l'année suivante (partie 1 de l'article 31 de la loi). En d'autres termes, les entités commerciales engagées dans le traitement de la PD ne disposent que de six mois pour préparer et mettre leurs activités en conformité avec les exigences fixées. Compte tenu de leur contenu, il y a tout lieu de croire que pour une si courte période, c'est tout simplement techniquement impossible. À titre de comparaison, nous pouvons donner un exemple de la Fédération de Russie, où cette période est d'environ quatre ans et demi (une loi similaire de la Fédération de Russie a été adoptée le 27 juillet 2006 et entre pleinement en vigueur le 1er janvier 2011).
Comme il ressort de ce qui précède, la loi ukrainienne sur la protection des données à caractère personnel contient de nombreuses dispositions et exigences dont la mise en œuvre complique considérablement les activités de nombreuses entreprises, voire met en péril leur fonctionnement normal. Cependant, le Cabinet des ministres n'a pas encore élaboré d'actes juridiques normatifs établissant un mécanisme de mise en œuvre de cette loi. Peut-être qu'après leur approbation, la situation deviendra plus claire. Tout dépend de la réponse opportune et appropriée à cette loi de la part des représentants des secteurs commerciaux intéressés. C'est pourquoi nous exhortons nos collègues à réagir rapidement à l'adoption de cette loi.
Dmitry Yovdiy, associé directeur, Groupe d'assistance juridique
Valentin Kalashnik, président de l'Association ukrainienne de marketing direct
C'ÉTAIT ÉCRIT EN 2010 ........ Et à quoi ça sert? .... ils voulaient et l'ont fait .....
Ещё в тему.....много текста, но....
Вместе с тем, отдельные положения данного Закона "О защите персональных данных" вызывают вопросы среди представителей профильных бизнес отраслей: некоторые нормы Закона нецелесообразны или вовсе невыполнимы. Но обо всём по порядку.
Законом "О защите персональных данных" предусмотрено создание уполномоченного государственного органа по вопросам защиты персональных данных, далее – Уполномоченный орган (ст. 23 Закона). На данный момент неизвестно, будет ли это новая структура, или указанные полномочия будут дополнительно возложены на одно из ныне действующих ведомств. Необходимо обратить внимание, что Уполномоченный орган, среди прочего, будет наделён контрольно-надзорными полномочиями в сфере защиты персональных данных. Так, его представителям будет предоставлено право свободного доступа к любым помещениям, где осуществляется обработка персональных данных либо находятся базы персональных данных (далее – ПД) (п. 4 ч. 2 ст. 23 Закона). Таким образом, колл-центры, банки, страховые компании, маркетинговые агентства и практически любые предприятия (далее – Компании) получат новую категорию государственных проверяющих с почти неограниченными полномочиями. Учитывая "приятную" практику общения и злоупотребления со стороны представителей контролирующих инстанций, это вряд ли порадует собственников Компаний!
Законом "О защите персональных данных" также предусмотрено создание Государственного реестра баз персональных данных с обязательным требованием к владельцам баз ПД по регистрации всех баз в данном реестре (ч.1 ст. 9 Закона). Более того, владельцы баз ПД должны будут уведомлять Уполномоченный орган о каждом факте изменения распорядителя базы ПД, целей обработки, места расположения базы (с соответствующим внесением изменений в государственный реестр) (ч. 6 ст. 9 Закона). Уже сейчас можно утверждать, что реализация данного положения Закона будет весьма затруднительной. Ведь подавая заявление о регистрации базы ПД, заявитель, среди прочего, должен указать информацию о распорядителе базы ПД и местонахождение базы (то есть, место хостинга) (абзацы 5, 7 ч. 3 ст. 9 Закона). В данной норме не учитывается тот факт, что о месте физического расположения оборудования, которое используется для хранения базы ПД, часто знает лишь соответствующий датацентр, но никак не владелец или распорядитель базы. К тому же, если база ПД является составной частью интернет-сайта – изменение хостинга влечёт за собой обязательство владельца базы ПД уведомлять об этом Уполномоченный орган.
Стоит отметить, что целесообразность введения данной нормы является весьма сомнительной. Вероятно, данная норма принята на выполнение требований Директивы Европейского Парламента и Совета Европейского Союза от 24 октября 1995 года N 95/46/ЭС "О защите физических лиц при обработке ПД и о свободном перемещении таких данных", которой предусмотрено обязательство владельца базы ПД информировать уполномоченный орган об операциях, связанных с обработкой ПД. В то же время, в данной Директиве ничего не говорится о необходимости создания государственного реестра и, тем более, об обязательной регистрации баз данных!
К тому же, исходя из приведённого в Законе "О защите персональных данных" определения понятия "персональные данные" (ст. 2 Закона), можно утверждать, что практически все предприятия и предприниматели ведут в каком-то виде базы персональных данных. На сегодняшний день в Украине насчитывается почти миллион субъектов хозяйствования. У некоторых компаний (рекламный бизнес, колл-центры, датацентры) количество баз ПД измеряется сотнями. Это означает, что все они должны будут зарегистрироваться в качестве владельцев баз ПД и регистрировать имеющиеся у них базы. При таких обстоятельствах сложно даже представить объем работы Уполномоченного органа, а также финансовые и организационные ресурсы государства на обслуживание данного реестра. К слову, Законом предусмотрено, что финансирование работ по обеспечению защиты ПД будет осуществляться, в том числе, и за счёт средств хозяйствующих субъектов, связанных с персональными данными (ст. 26 Закона). То есть государство вряд ли проигнорирует возможность сделать данную процедуру платной, введя государственную пошлину за внесение ведомостей в данный реестр. Стоит отметить, что аналогичным российским Законом данный вопрос урегулирован более рационально: оператор, осуществляющий обработку, обязан лишь уведомить уполномоченный орган о своём намерении осуществлять обработку ПД, и никаких упоминаний о государственной регистрации всех баз ПД в законе нет (ст. 22 Закона Российской Федерации "О персональных данных" от 27.06.2007 года).
Можно констатировать, что в Законе "О защите персональных данных" выполнены требования о недопустимости использования ПД без согласия самого субъекта (носителя) ПД, установленные Конвенцией "О защите лиц относительно автоматизированной обработки данных личностного характера", подписанной в Страсбурге 28.01.1981 года. Так, в подтверждение ранее действующих законодательных норм (Конституция Украины, Закон Украины "Об информации") Законом установлено, что не допускается обработка ПД физического лица без его согласия, кроме случаев, предусмотренных законом (например, в интересах национальной безопасности, экономического благосостояния и прав человека (ч. 6 ст. 6 Закона)).
Одним из ключевых является положение Закона о возможности получения согласия субъекта ПД любым другим удобным способом, кроме письменного (абзац 5 ст. 2 Закона). Указанная норма имеет большое значение для Компаний, так как даёт последним возможность "легализировать" базы ПД, составленные, например, путём телемаркетинга. Кроме того, при такой формулировке указанные Компании смогут применять наиболее простые и эффективные по их мнению способы получения согласия физического лица (например: путём подтверждения согласия отправкой SMS, или, к примеру, фактом регистрации лица на каком-либо мероприятии, в правилах участия которого публично указывалось о праве организаторов в дальнейшем использовать персональные данные участников и т.д.).
Вместе с этим, Законом установлено положение о том, что обработка персональных данных может осуществляться только в соответствии с целью такой обработки, которая формулируется при получении у субъекта ПД согласия на обработку данных. В каждом случае изменения цели использования ПД, владелец базы ПД должен повторно обратиться к субъекту ПД за получением согласия на использование его ПД уже для новой цели (абзац 2 ч. 2 ст. 6 Закона). Логично предположить, что во избежание необходимости направлять повторные запросы субъекту ПД для получения согласия, Компании при получении первичного согласия у субъекта на использование его данных, будут практиковать формы запроса, в которых цель обработки данных будет указана как можно обширней (например, использование персональных данных в маркетинговых целях).
Очевидно, владельцы баз ПД должны будут хранить доказательства получения согласия субъекта ПД. Последнее, безусловно, прибавит собственникам предприятий головной боли, поскольку крайне сложно будет технически обеспечить хранение документации о каждом физическом лице, чьи персональные данные поддавались обработке, особенно, если их количество исчисляется десятками или сотнями тысяч.
Пожалуй, самым неприятным и трудно выполнимым для Компаний станет требование Закона "О защите персональных данных" осуществлять уведомление физического лица о включении его ПД в базу ПД (ч. 2 ст. 12 Закона). Данное уведомление должно осуществляться исключительно в письменной форме на протяжении 10 рабочих дней со дня включения его данных в базу (к слову, подобное обязательство также возлагается на владельца базы ПД в случае изменения или уничтожения ПД (ч. 3 ст. 21 Закона)). В уведомлении, среди прочего, должна содержаться информация о правах данного субъекта, цели обработки и лиц, которым передаются эти данные. Стоит отметить, что выполнение данного требования является финансово затратным для Компаний, ведь направлять письма каждому субъекту (особенно учитывая постоянно растущие тарифы Укрпочты) – дорогое удовольствие. К тому же, такое требование является непоследовательным. Как уже отмечалось, любая обработка (в т. ч. и сбор ПД) и так становится возможной только после получения согласия субъекта ПД. При существующей же редакции Закона, владелец базы ПД, осуществляя обработку данных, должен вступать в коммуникацию с субъектом ПД минимум два раза: первый раз – для получения согласия лица на использование его ПД, второй – для уведомления данного лица о включении его данных в базу (в письменной форме). В случае же уничтожения ПД, требование об уведомлении лица и вовсе невозможно выполнить физически. Ведь как можно уведомить того, чьи данные уже удалены?
Важно также обратить внимание на то, что данное уведомление не осуществляется в случае сбора ПД из общедоступных источников (ч. 3 ст. 12 Закона). В то же время, ни данным Законом, ни каким либо другим нормативно-правовым актом, не дано определения, какие источники являются общедоступными. Эта категория является оценочной и крайне спорной. В частности, непонятно, является ли полученной из открытого источника информация о ФИО должностного лица, сообщенная сотрудником компании по телефону или находящаяся в социальных медиа. Вероятно, для урегулирования данного вопроса потребуется специальное разъяснение Уполномоченного органа.
Дополнительную проблему также создаёт приведённое в Законе определение термина "база персональных данных", исходя из которого база ПД может существовать, в том числе, и в форме картотеки (абзац 2 ст. 2 Закона). В связи с этим, абсолютно резонным является утверждение, что, к примеру, визитница, содержащая визитки с ФИО и реквизитами должностных лиц (равно как и любой другой массив информации о должностных лицах), также формально является базой ПД в форме картотеки, и, следовательно, требует государственной регистрации. Во избежание неопределённостей в понимании и применении данной нормы требуется законодательное разъяснение, что именно является картотекой в понимании данного Закона.
Интересно, что в Законе предусмотрена категория лиц, чьи ПД не являются информацией с ограниченным доступом, а, следовательно, их обработка допускается без получения согласия данных лиц и каких-либо других ограничений. К этой категории Закон относит лиц занимающих либо претендующих на занятие выборной должности, а также государственных служащих первой категории (ч. 4 ст. 5 Закона). Важно отметить, что установленный Законом перечень таких лиц носит исчерпывающий характер, в связи с чем возникает вопрос, как быть с персональными данными других публичных лиц, не входящих в данный перечень (например, лидеров политических партий, гражданских организаций, руководителей предприятий, профессиональных объединений, а также сотрудников компаний, имеющих и раздающих свои визитки либо оставляющих информацию о себе в соответствующих государственных реестрах в связи с выполнением своих служебных обязанностей). Являются ли информацией с ограниченным доступом ПД таких лиц? Ведь, по сути, степень публичности данных лиц ни чем не отличается от приведённого в Законе перечня. Данная проблема также нуждается в урегулировании.
Несколько дискриминационной по отношению к компаниям негосударственной формы собственности выглядит норма Закона о том, что распорядителем базы ПД, владельцем которой является орган государственной власти или орган местного самоуправления, может быть только предприятие государственной либо коммунальной формы собственности, входящий в сферу управления этого органа (ч. 4 ст. 5 Закона). При таком ограничении, к примеру, аутсорсинговый колл-центр негосударственной формы собственности (где без обработки ПД не обойтись) не имеет права обслуживать государственные органы.
Законом также установлено, что цель обработки ПД должна быть сформулирована в уставных документах владельца базы ПД (ч. 1 ст. 6 Закона). Весьма вероятно, что в связи с этим в уставы многих компаний нужно будет вносить изменения.
Отдельного комментария заслуживает тот факт, что в противоречие требованиям Директивы ЕС от 24 октября 1995 года N 95/46/ЭС Законом не установлено конкретной ответственности за нарушения законодательства о защите ПД. Более того, Законом определено, что ответственность за нарушение законодательства о защите ПД устанавливается именно Законом (ст. 28 Закона), что исключает возможность установления штрафных санкций нормативно-правовым актом уполномоченного органа либо других органов исполнительной власти. Необходимо подчеркнуть, что вопрос об ответственности требует безотлагательного законодательного урегулирования, поскольку в противном случае теряется смысл существования всего Закона. Ведь при таких обстоятельствах субъекты данных правоотношений будут попросту игнорировать его.
Интересно, что Законом дано право профессиональным объединениям создавать корпоративные кодексы поведения с целью обеспечения эффективной защиты прав субъектов ПД (ч.2 ст. 27 Закона). В связи с этим отраслевые компании (например, рекламный и маркетинговый бизнес, медицина, транспорт и т.д.) смогут вырабатывать стандарты, обязательные для компаний данных отраслей.
Еще одним заслуживающим внимания обстоятельством является то, что данный Закон вступает в силу с 1 января следующего года (ч. 1 ст. 31 Закона). То есть, субъектам хозяйствования, осуществляющим обработку ПД, предоставлено всего полгода на подготовку и приведение своей деятельности в соответствие с выставленными требованиями. Учитывая их содержание, есть все основания полагать, что на протяжении такого короткого срока это просто технически невозможным. Для сравнения можно привести пример Российской Федерации, где этот срок составляет около четырех с половиной лет (аналогичный Закон РФ принят 27.07.2006 года и вступает в силу в полном объёме 1 января 2011 года).
Как видно из описанного выше, Закон Украины "О защите персональных данных" содержит немало положений и требований, выполнение которых существенно усложняет деятельность многих компаний, или вообще ставит под угрозу их нормальное функционирование. Впрочем, Кабинету Министров еще только предстоит разработать нормативно-правовые акты, устанавливающие механизм выполнения данного Закона. Возможно, после их утверждения ситуация прояснится. Все зависит от своевременной и надлежащей реакции на данный Закон со стороны представителей заинтересованных бизнес отраслей. Именно поэтому мы и призываем коллег к оперативной реакции на принятие данного Закона.
Дмитрий Йовдий, Управляющий партнёр ЮК "Лигал Асистанс Групп"
Валентин Калашник, Президент Украинской ассоциации директ маркетинга
ЭТО БЫЛО НАПИСАНО в 2010 году........И что толку?....захотели и сделали.....
Original message
