More in the subject ..... a lot of text, but ....
At the same time, certain provisions of this Law “On the Protection of Personal Data” raise questions among representatives of relevant business sectors: some of the provisions of the Law are impractical or not at all feasible. But first things first.
The Law "On the Protection of Personal Data" provides for the creation of an authorized state body for the protection of personal data, hereinafter referred to as the Authorized Body (Article 23 of the Law). At the moment, it is not known whether this will be a new structure or whether the specified powers will be additionally assigned to one of the current departments. It should be noted that the Authorized Body, among other things, will be vested with control and oversight powers in the field of personal data protection. So, its representatives will be granted the right of free access to any premises where personal data are processed or personal data bases (hereinafter referred to as PD) are located (paragraph 4 of part 2 of article 23 of the Law). Thus, call centers, banks, insurance companies, marketing agencies and almost any enterprise (hereinafter referred to as the Company) will receive a new category of state inspectors with almost unlimited powers. Given the "pleasant" practice of communication and abuse by representatives of regulatory authorities, this is unlikely to please the owners of the Companies!
The Law "On the Protection of Personal Data" also provides for the creation of a State Register of personal data bases with a mandatory requirement for owners of PD databases to register all databases in this registry (Part 1 of Article 9 of the Law). Moreover, owners of PD databases will have to notify the Authorized Body of each fact of a change in the manager of the PD database, processing goals, location of the base (with the corresponding amendments to the state register) (part 6 of article 9 of the Law). Already, it can be argued that the implementation of this provision of the Law will be very difficult. After all, when submitting an application for registration of a PD base, the applicant, among other things, must indicate information about the manager of the PD base and the location of the base (that is, the location of the hosting) (paragraphs 5, 7, part 3, article 9 of the Law). This norm does not take into account the fact that the place of the physical location of the equipment that is used to store the PD base is often known only to the relevant data center, but not the owner or manager of the base. In addition, if the PD database is an integral part of the website - changing the hosting entails the obligation of the owner of the PD database to notify the Authorized Body about this.
It is worth noting that the appropriateness of introducing this rule is very doubtful. It is likely that this norm was adopted to fulfill the requirements of the Directive of the European Parliament and the Council of the European Union of October 24, 1995 N 95/46 / ES "On the Protection of Individuals in the Processing of PDs and the Free Movement of Such Data", which stipulates the obligation of the owner of the PD database to inform the authorized person authority on operations related to the processing of PD. At the same time, this Directive does not say anything about the need to create a state registry and, moreover, the mandatory registration of databases!
In addition, based on the definition of the concept of “personal data” given in the Law “On the Protection of Personal Data” (Article 2 of the Law), it can be argued that almost all enterprises and entrepreneurs maintain a database of personal data in some form. Today in Ukraine there are almost a million business entities. For some companies (advertising business, call centers, data centers), the number of PD databases is measured in hundreds. This means that all of them will have to register as owners of PD databases and register their databases. In such circumstances, it is difficult to even imagine the scope of work of the Authorized body, as well as the financial and organizational resources of the state to service this registry. By the way, the Law provides that financing of work to ensure the protection of PD will be carried out, among other things, at the expense of the means of business entities related to personal data (Article 26 of the Law). That is, the state is unlikely to ignore the opportunity to make this procedure paid by introducing a state fee for making statements in this register. It is worth noting that this issue is settled more rationally by a similar Russian Law: the operator performing the processing is only obliged to notify the authorized body of its intention to process the PD, and there are no references to the state registration of all PD databases in the law (Article 22 of the Law of the Russian Federation " About personal data "dated June 27, 2007).
It can be stated that the Law "On the Protection of Personal Data" fulfilled the requirements on the inadmissibility of using PD without the consent of the PD subject (holder) established by the Convention "On the Protection of Persons with regard to Automatic Processing of Personal Data", signed in Strasbourg on 01/28/1981. So, in support of the previously existing legislative norms (Constitution of Ukraine, Law of Ukraine "On Information"), the Law establishes that it is not allowed to process PD of an individual without his consent, except as provided by law (for example, in the interests of national security, economic welfare and rights person (part 6 of article 6 of the Law)).
One of the key provisions is the provision of the Law on the possibility of obtaining the consent of the PD subject in any other convenient way than written (paragraph 5 of article 2 of the Law). The indicated norm is of great importance for companies, as it gives the latter the opportunity to "legalize" PD databases, drawn up, for example, by telemarketing. In addition, with this wording, these Companies will be able to use the simplest and most effective in their opinion methods of obtaining the consent of an individual (for example: by confirming consent by sending an SMS, or, for example, by registering a person at any event in whose participation rules publicly the right of the organizers in the future to use the personal data of participants, etc.) was indicated.
At the same time, the Law establishes a provision that the processing of personal data can only be carried out in accordance with the purpose of such processing, which is formulated upon receipt of consent from the PD subject to data processing. In each case of changing the purpose of using PD, the owner of the PD database must repeatedly contact the subject of PD for obtaining consent to use his PD for a new purpose (paragraph 2 of Part 2 of Article 6 of the Law). It is logical to assume that in order to avoid the need to send repeated requests to the PD subject for consent, the Company, upon receipt of the initial consent from the subject to use its data, will practice request forms in which the purpose of the data processing will be indicated as extensive as possible (for example, the use of personal data in marketing purposes).
Obviously, owners of PD databases will have to store evidence of the consent of the PD subject. The latter, of course, will add a headache to the owners of enterprises, since it will be extremely difficult to technically ensure the storage of documentation for each individual whose personal data can be processed, especially if their number is tens or hundreds of thousands.
Perhaps the most unpleasant and difficult for companies will be the requirement of the Law "On the Protection of Personal Data" to notify an individual about the inclusion of his PD in the PD database (part 2 of article 12 of the Law). This notification should be carried out exclusively in writing within 10 working days from the date of inclusion of its data in the database (by the way, such an obligation is also imposed on the owner of the PD database in case of change or destruction of the PD (part 3 of article 21 of the Law). The notification, inter alia, should contain information on the rights of the subject, the purpose of the processing and the persons to whom this data is transmitted. It is worth noting that fulfilling this requirement is financially costly for companies, as sending letters to each entity (especially given the ever-increasing Ukrposhta tariffs) is an expensive pleasure. Moreover, such a requirement is inconsistent. As already noted, any processing (including collection of PD) and so on becomes possible only after obtaining the consent of the subject of PD. Under the current version of the Law, the owner of the PD database, while processing the data, must enter into communication with the PD subject at least twice: the first time - to obtain the consent of the person to use his PD, the second - to notify the person about the inclusion of his data in the database ( in writing). In the case of the destruction of PD, the requirement to notify a person is completely impossible to fulfill physically. After all, how can you notify someone whose data has already been deleted?
It is also important to pay attention to the fact that this notification is not carried out in case of collecting PD from public sources (part 3 of article 12 of the Law). At the same time, neither this Law, nor any other normative legal act defines what sources are publicly available. This category is evaluative and highly controversial. In particular, it is unclear whether the information on the name of the official, communicated by an employee of the company by telephone or on social media, obtained from open source. Probably, to resolve this issue, a special explanation of the Authorized Body will be required.
An additional problem is also created by the definition of the term “personal data base” given in the Law, based on which the PD database can exist, including in the form of a file cabinet (paragraph 2 of article 2 of the Law). In this regard, it is absolutely reasonable to say that, for example, a business card holder containing business cards with full name and details of officials (as well as any other array of information about officials) is also formally a PD base in the form of a file cabinet, and therefore , requires state registration. In order to avoid ambiguities in the understanding and application of this rule, legislative clarification is required, which is the card index in the understanding of this Law.
It is interesting that the Law provides for a category of persons whose PDs are not information with limited access, and, therefore, their processing is allowed without the consent of these persons and any other restrictions. The Law includes persons holding or applying for an elective position in this category, as well as civil servants of the first category (part 4 of article 5 of the Law). It is important to note that the list of such persons established by the Law is exhaustive, in connection with which the question arises of how to deal with the personal data of other public persons not included in this list (for example, leaders of political parties, civic organizations, heads of enterprises, professional associations, as well as employees of companies that have and distribute their business cards or leave information about themselves in the relevant state registers in connection with the performance of their official duties). Are the restricted access information of such individuals? Indeed, in fact, the degree of publicity of these persons is no different from the list provided in the Law. This problem also needs to be resolved.
The norm of the Law that the manager of a PD base owned by a state authority or local government body can only be an enterprise of state or communal form of ownership, which is within the scope of this body, is somewhat discriminatory with respect to companies of a non-state form of ownership (h. 4 art. 5 of the Law). With this limitation, for example, an outsourced call center of a non-state form of ownership (where processing PD can not be dispensed with) does not have the right to service state bodies.
The law also established that the purpose of processing PD should be formulated in the charter documents of the owner of the base of PD (part 1 of article 6 of the Law). It is very likely that in this regard, the charters of many companies will need to be amended.
A separate comment deserves the fact that, contrary to the requirements of the EU Directive of October 24, 1995 N 95/46 / ES, the Law does not establish specific liability for violations of the legislation on the protection of PD. Moreover, the Law determines that liability for violation of the legislation on protection of PD is established by the Law (Article 28 of the Law), which excludes the possibility of penalties being established by a regulatory legal act of an authorized body or other executive bodies. It must be emphasized that the issue of liability requires an immediate legislative settlement, since otherwise the meaning of the whole Law is lost. Indeed, in such circumstances, the subjects of these legal relations will simply ignore it.
It is interesting that the Law gives the right to professional associations to create corporate codes of conduct in order to ensure effective protection of the rights of PD subjects (part 2 of article 27 of the Law). In this regard, industry companies (for example, advertising and marketing business, medicine, transport, etc.) will be able to develop standards that are mandatory for companies in these industries.
Another noteworthy circumstance is that this Law comes into force on January 1 of the next year (part 1 of article 31 of the Law). That is, business entities engaged in processing PD have been given only six months to prepare and bring their activities in line with the requirements set. Given their content, there is every reason to believe that for such a short period it is simply technically impossible. For comparison, we can give an example of the Russian Federation, where this period is about four and a half years (a similar Law of the Russian Federation was adopted on July 27, 2006 and enters into force in full on January 1, 2011).
As can be seen from the above, the Law of Ukraine "On the protection of personal data" contains many provisions and requirements, the implementation of which significantly complicates the activities of many companies, or even jeopardizes their normal functioning. However, the Cabinet of Ministers has yet to develop normative legal acts establishing a mechanism for implementing this Law. Perhaps after their approval, the situation will become clearer. It all depends on the timely and appropriate response to this Law from representatives of interested business sectors. That is why we urge our colleagues to promptly respond to the adoption of this Law.
Dmitry Yovdiy, Managing Partner, Legal Assistance Group
Valentin Kalashnik, President of the Ukrainian Direct Marketing Association
IT WAS WRITTEN IN 2010 ........ And what's the point? .... they wanted and did .....
Ещё в тему.....много текста, но....
Вместе с тем, отдельные положения данного Закона "О защите персональных данных" вызывают вопросы среди представителей профильных бизнес отраслей: некоторые нормы Закона нецелесообразны или вовсе невыполнимы. Но обо всём по порядку.
Законом "О защите персональных данных" предусмотрено создание уполномоченного государственного органа по вопросам защиты персональных данных, далее – Уполномоченный орган (ст. 23 Закона). На данный момент неизвестно, будет ли это новая структура, или указанные полномочия будут дополнительно возложены на одно из ныне действующих ведомств. Необходимо обратить внимание, что Уполномоченный орган, среди прочего, будет наделён контрольно-надзорными полномочиями в сфере защиты персональных данных. Так, его представителям будет предоставлено право свободного доступа к любым помещениям, где осуществляется обработка персональных данных либо находятся базы персональных данных (далее – ПД) (п. 4 ч. 2 ст. 23 Закона). Таким образом, колл-центры, банки, страховые компании, маркетинговые агентства и практически любые предприятия (далее – Компании) получат новую категорию государственных проверяющих с почти неограниченными полномочиями. Учитывая "приятную" практику общения и злоупотребления со стороны представителей контролирующих инстанций, это вряд ли порадует собственников Компаний!
Законом "О защите персональных данных" также предусмотрено создание Государственного реестра баз персональных данных с обязательным требованием к владельцам баз ПД по регистрации всех баз в данном реестре (ч.1 ст. 9 Закона). Более того, владельцы баз ПД должны будут уведомлять Уполномоченный орган о каждом факте изменения распорядителя базы ПД, целей обработки, места расположения базы (с соответствующим внесением изменений в государственный реестр) (ч. 6 ст. 9 Закона). Уже сейчас можно утверждать, что реализация данного положения Закона будет весьма затруднительной. Ведь подавая заявление о регистрации базы ПД, заявитель, среди прочего, должен указать информацию о распорядителе базы ПД и местонахождение базы (то есть, место хостинга) (абзацы 5, 7 ч. 3 ст. 9 Закона). В данной норме не учитывается тот факт, что о месте физического расположения оборудования, которое используется для хранения базы ПД, часто знает лишь соответствующий датацентр, но никак не владелец или распорядитель базы. К тому же, если база ПД является составной частью интернет-сайта – изменение хостинга влечёт за собой обязательство владельца базы ПД уведомлять об этом Уполномоченный орган.
Стоит отметить, что целесообразность введения данной нормы является весьма сомнительной. Вероятно, данная норма принята на выполнение требований Директивы Европейского Парламента и Совета Европейского Союза от 24 октября 1995 года N 95/46/ЭС "О защите физических лиц при обработке ПД и о свободном перемещении таких данных", которой предусмотрено обязательство владельца базы ПД информировать уполномоченный орган об операциях, связанных с обработкой ПД. В то же время, в данной Директиве ничего не говорится о необходимости создания государственного реестра и, тем более, об обязательной регистрации баз данных!
К тому же, исходя из приведённого в Законе "О защите персональных данных" определения понятия "персональные данные" (ст. 2 Закона), можно утверждать, что практически все предприятия и предприниматели ведут в каком-то виде базы персональных данных. На сегодняшний день в Украине насчитывается почти миллион субъектов хозяйствования. У некоторых компаний (рекламный бизнес, колл-центры, датацентры) количество баз ПД измеряется сотнями. Это означает, что все они должны будут зарегистрироваться в качестве владельцев баз ПД и регистрировать имеющиеся у них базы. При таких обстоятельствах сложно даже представить объем работы Уполномоченного органа, а также финансовые и организационные ресурсы государства на обслуживание данного реестра. К слову, Законом предусмотрено, что финансирование работ по обеспечению защиты ПД будет осуществляться, в том числе, и за счёт средств хозяйствующих субъектов, связанных с персональными данными (ст. 26 Закона). То есть государство вряд ли проигнорирует возможность сделать данную процедуру платной, введя государственную пошлину за внесение ведомостей в данный реестр. Стоит отметить, что аналогичным российским Законом данный вопрос урегулирован более рационально: оператор, осуществляющий обработку, обязан лишь уведомить уполномоченный орган о своём намерении осуществлять обработку ПД, и никаких упоминаний о государственной регистрации всех баз ПД в законе нет (ст. 22 Закона Российской Федерации "О персональных данных" от 27.06.2007 года).
Можно констатировать, что в Законе "О защите персональных данных" выполнены требования о недопустимости использования ПД без согласия самого субъекта (носителя) ПД, установленные Конвенцией "О защите лиц относительно автоматизированной обработки данных личностного характера", подписанной в Страсбурге 28.01.1981 года. Так, в подтверждение ранее действующих законодательных норм (Конституция Украины, Закон Украины "Об информации") Законом установлено, что не допускается обработка ПД физического лица без его согласия, кроме случаев, предусмотренных законом (например, в интересах национальной безопасности, экономического благосостояния и прав человека (ч. 6 ст. 6 Закона)).
Одним из ключевых является положение Закона о возможности получения согласия субъекта ПД любым другим удобным способом, кроме письменного (абзац 5 ст. 2 Закона). Указанная норма имеет большое значение для Компаний, так как даёт последним возможность "легализировать" базы ПД, составленные, например, путём телемаркетинга. Кроме того, при такой формулировке указанные Компании смогут применять наиболее простые и эффективные по их мнению способы получения согласия физического лица (например: путём подтверждения согласия отправкой SMS, или, к примеру, фактом регистрации лица на каком-либо мероприятии, в правилах участия которого публично указывалось о праве организаторов в дальнейшем использовать персональные данные участников и т.д.).
Вместе с этим, Законом установлено положение о том, что обработка персональных данных может осуществляться только в соответствии с целью такой обработки, которая формулируется при получении у субъекта ПД согласия на обработку данных. В каждом случае изменения цели использования ПД, владелец базы ПД должен повторно обратиться к субъекту ПД за получением согласия на использование его ПД уже для новой цели (абзац 2 ч. 2 ст. 6 Закона). Логично предположить, что во избежание необходимости направлять повторные запросы субъекту ПД для получения согласия, Компании при получении первичного согласия у субъекта на использование его данных, будут практиковать формы запроса, в которых цель обработки данных будет указана как можно обширней (например, использование персональных данных в маркетинговых целях).
Очевидно, владельцы баз ПД должны будут хранить доказательства получения согласия субъекта ПД. Последнее, безусловно, прибавит собственникам предприятий головной боли, поскольку крайне сложно будет технически обеспечить хранение документации о каждом физическом лице, чьи персональные данные поддавались обработке, особенно, если их количество исчисляется десятками или сотнями тысяч.
Пожалуй, самым неприятным и трудно выполнимым для Компаний станет требование Закона "О защите персональных данных" осуществлять уведомление физического лица о включении его ПД в базу ПД (ч. 2 ст. 12 Закона). Данное уведомление должно осуществляться исключительно в письменной форме на протяжении 10 рабочих дней со дня включения его данных в базу (к слову, подобное обязательство также возлагается на владельца базы ПД в случае изменения или уничтожения ПД (ч. 3 ст. 21 Закона)). В уведомлении, среди прочего, должна содержаться информация о правах данного субъекта, цели обработки и лиц, которым передаются эти данные. Стоит отметить, что выполнение данного требования является финансово затратным для Компаний, ведь направлять письма каждому субъекту (особенно учитывая постоянно растущие тарифы Укрпочты) – дорогое удовольствие. К тому же, такое требование является непоследовательным. Как уже отмечалось, любая обработка (в т. ч. и сбор ПД) и так становится возможной только после получения согласия субъекта ПД. При существующей же редакции Закона, владелец базы ПД, осуществляя обработку данных, должен вступать в коммуникацию с субъектом ПД минимум два раза: первый раз – для получения согласия лица на использование его ПД, второй – для уведомления данного лица о включении его данных в базу (в письменной форме). В случае же уничтожения ПД, требование об уведомлении лица и вовсе невозможно выполнить физически. Ведь как можно уведомить того, чьи данные уже удалены?
Важно также обратить внимание на то, что данное уведомление не осуществляется в случае сбора ПД из общедоступных источников (ч. 3 ст. 12 Закона). В то же время, ни данным Законом, ни каким либо другим нормативно-правовым актом, не дано определения, какие источники являются общедоступными. Эта категория является оценочной и крайне спорной. В частности, непонятно, является ли полученной из открытого источника информация о ФИО должностного лица, сообщенная сотрудником компании по телефону или находящаяся в социальных медиа. Вероятно, для урегулирования данного вопроса потребуется специальное разъяснение Уполномоченного органа.
Дополнительную проблему также создаёт приведённое в Законе определение термина "база персональных данных", исходя из которого база ПД может существовать, в том числе, и в форме картотеки (абзац 2 ст. 2 Закона). В связи с этим, абсолютно резонным является утверждение, что, к примеру, визитница, содержащая визитки с ФИО и реквизитами должностных лиц (равно как и любой другой массив информации о должностных лицах), также формально является базой ПД в форме картотеки, и, следовательно, требует государственной регистрации. Во избежание неопределённостей в понимании и применении данной нормы требуется законодательное разъяснение, что именно является картотекой в понимании данного Закона.
Интересно, что в Законе предусмотрена категория лиц, чьи ПД не являются информацией с ограниченным доступом, а, следовательно, их обработка допускается без получения согласия данных лиц и каких-либо других ограничений. К этой категории Закон относит лиц занимающих либо претендующих на занятие выборной должности, а также государственных служащих первой категории (ч. 4 ст. 5 Закона). Важно отметить, что установленный Законом перечень таких лиц носит исчерпывающий характер, в связи с чем возникает вопрос, как быть с персональными данными других публичных лиц, не входящих в данный перечень (например, лидеров политических партий, гражданских организаций, руководителей предприятий, профессиональных объединений, а также сотрудников компаний, имеющих и раздающих свои визитки либо оставляющих информацию о себе в соответствующих государственных реестрах в связи с выполнением своих служебных обязанностей). Являются ли информацией с ограниченным доступом ПД таких лиц? Ведь, по сути, степень публичности данных лиц ни чем не отличается от приведённого в Законе перечня. Данная проблема также нуждается в урегулировании.
Несколько дискриминационной по отношению к компаниям негосударственной формы собственности выглядит норма Закона о том, что распорядителем базы ПД, владельцем которой является орган государственной власти или орган местного самоуправления, может быть только предприятие государственной либо коммунальной формы собственности, входящий в сферу управления этого органа (ч. 4 ст. 5 Закона). При таком ограничении, к примеру, аутсорсинговый колл-центр негосударственной формы собственности (где без обработки ПД не обойтись) не имеет права обслуживать государственные органы.
Законом также установлено, что цель обработки ПД должна быть сформулирована в уставных документах владельца базы ПД (ч. 1 ст. 6 Закона). Весьма вероятно, что в связи с этим в уставы многих компаний нужно будет вносить изменения.
Отдельного комментария заслуживает тот факт, что в противоречие требованиям Директивы ЕС от 24 октября 1995 года N 95/46/ЭС Законом не установлено конкретной ответственности за нарушения законодательства о защите ПД. Более того, Законом определено, что ответственность за нарушение законодательства о защите ПД устанавливается именно Законом (ст. 28 Закона), что исключает возможность установления штрафных санкций нормативно-правовым актом уполномоченного органа либо других органов исполнительной власти. Необходимо подчеркнуть, что вопрос об ответственности требует безотлагательного законодательного урегулирования, поскольку в противном случае теряется смысл существования всего Закона. Ведь при таких обстоятельствах субъекты данных правоотношений будут попросту игнорировать его.
Интересно, что Законом дано право профессиональным объединениям создавать корпоративные кодексы поведения с целью обеспечения эффективной защиты прав субъектов ПД (ч.2 ст. 27 Закона). В связи с этим отраслевые компании (например, рекламный и маркетинговый бизнес, медицина, транспорт и т.д.) смогут вырабатывать стандарты, обязательные для компаний данных отраслей.
Еще одним заслуживающим внимания обстоятельством является то, что данный Закон вступает в силу с 1 января следующего года (ч. 1 ст. 31 Закона). То есть, субъектам хозяйствования, осуществляющим обработку ПД, предоставлено всего полгода на подготовку и приведение своей деятельности в соответствие с выставленными требованиями. Учитывая их содержание, есть все основания полагать, что на протяжении такого короткого срока это просто технически невозможным. Для сравнения можно привести пример Российской Федерации, где этот срок составляет около четырех с половиной лет (аналогичный Закон РФ принят 27.07.2006 года и вступает в силу в полном объёме 1 января 2011 года).
Как видно из описанного выше, Закон Украины "О защите персональных данных" содержит немало положений и требований, выполнение которых существенно усложняет деятельность многих компаний, или вообще ставит под угрозу их нормальное функционирование. Впрочем, Кабинету Министров еще только предстоит разработать нормативно-правовые акты, устанавливающие механизм выполнения данного Закона. Возможно, после их утверждения ситуация прояснится. Все зависит от своевременной и надлежащей реакции на данный Закон со стороны представителей заинтересованных бизнес отраслей. Именно поэтому мы и призываем коллег к оперативной реакции на принятие данного Закона.
Дмитрий Йовдий, Управляющий партнёр ЮК "Лигал Асистанс Групп"
Валентин Калашник, Президент Украинской ассоциации директ маркетинга
ЭТО БЫЛО НАПИСАНО в 2010 году........И что толку?....захотели и сделали.....