Депутаты успели позаботиться о персональных данных
Вчера депутаты приняли изменения в закон «О защите персональных данных» с учетом предложений Виктора Януковича. Таким образом, президентское вето было преодолено в срочном порядке усилиями еще действующего состава парламента. Соответствующий законопроект (№10472-1) поддержали 252 народных депутата из 353 зарегистрировавшихся.
Под давлением общественных организаций из документа исключены были нормы, наделяющие Госслужбу по вопросам защиты персональных данных (ГСЗПД) полномочиями технического регулирования и стандартизации в сфере защиты персональных данных (ПД).
Кроме того, из закона исключена норма, наделяющая ГСЗПД полномочиями по разработке порядка и требований по защите ПД в государственных информационных ресурсах в информационных, телекоммуникационных и информационно-телекоммуникационных системах. Как отмечал президент, эти функции отнесены к полномочиям Государственной службы специальной связи и защиты информации.
Новое в законе
Концепция защиты персональных данных базируется на том, что обработка персональных данных осуществляется на основании согласия субъекта на обработку его данных, разрешения на обработку, предоставленного владельцу персональных данных в соответствии с законом, исключительно для осуществления его полномочий, защиты жизненно важных интересов субъекта персональных данных и др.
Новые законодательные новшества в сфере защиты персональных данных, должны будут сдвинуть процесс реализации действующего закона с мертвой точки. Парламентарии считают, что эти изменения должны быть такими:
1. Владелец ПД освобождается от обязанности регистрации баз ПД своих работников.
2. Субъекты отношений, связанных с ПД, обязаны обеспечить их защиту не только от незаконной обработки, но и от потери, незаконного или случайного уничтожения.
3. Новое содержание понятия «согласие субъекта ПД»: добровольное волеизъявление физлица о предоставлении разрешения на обработку его ПД согласно цели их обработки, выраженное в письменной форме или в форме, которая позволяет сделать вывод о его предоставлении.
4. Распорядитель ПД осуществляет их обработку по поручению владельца на основании письменного договора, где устанавливаются цели и объем обработки.
5. Получать согласие у субъекта ПД в случае изменения цели обработки ПД следует лишь в случае, если новая цель обработки несовместима с предыдущей.
6. Новые права субъектов ПД-физлиц: предъявлять мотивированное требование владельцу ПД возражением против обработки своих ПД; обращаться с жалобами на обработку в суд; вносить оговорки относительно ограничения права на обработку ПД при предоставлении согласия; отозвать согласие на обработку ПД и др.
Но, не смотря на уверенность инициаторов документа, общественные эксперты считают, что в поправках, которых в последнем законе более 30-ти, невозможно учесть все нюансы работы с данными. «Часть моментов не могут найти отражения в законе. Они могут находить отражение либо в подзаконных актах в последующем развитии, либо с точки зрения общественной инициативы - путем принятия или разработки таких документов, то есть саморегулирующимися общественными органами», - объясняет Валерий Ржечицкий, руководитель проектов ВГО Украинской ассоциации защиты персональных данных (УАЗПД).
Некоторые эксперты, напротив, уверены в том, что сам курс на защиту персональных данных изначально был выбран не правильно. «Принятые поправки к Закону о защите персональных данных неоднозначны. Можно было бы говорить, что изменения приводят к ухудшению, если бы не был плох сам базовый Закон, создающий сегодня препятствия в осуществлении предпринимательской деятельности. И поправки, к сожалению, не приведут к существенным улучшениям. Пожалуй, именно в этом проявляется их негативное влияние», - считает Ксения Ляпина, заместитель председателя Комитета ВР по вопросам промышленной и регуляторной политики и предпринимательства.
Также эксперты отмечают, что внесенные изменения не позволят согласовать Закон «О защите персональных данных» с Законом «О доступе к публичной информации». Без изменений остаеться ч. 2 статьи 5 Закона, которая предусматривает, что «персональные данные, кроме обезличенных персональных данных, по режиму доступа являются информацией с ограниченным доступом». То есть любые персональные данные автоматически признаются конфиденциальными. Это не дает возможность установить надлежащий баланс между правом на доступ к информации и право на защиту приватности.