Кто будет определять стратегию защиты персональных данных украинцев (обновлено)

На этой неделе представители двух комитетов ВР направили открытое письмо председателю представительства ЕС в Украине Яну Томбински о ситуации с защитой персональных данных в Украине. Депутаты настаивают на необходимости законодательных изменений в данной сфере.

В этом году свои поправки к законодательству о защите персональных данных уже успели предложить и власть, и оппозиция.  

Первым оказался проект закона  № 2282 от 12.02.2013 «О внесении изменений в некоторые законодательные акты Украины относительно усовершенствования институционной системы защиты персональных данных», инициированный Кабинетом Министров Украины.

Изменения, предложенные Кабмином, коснутся, в основном, перераспределения полномочий в государственном аппарате и увеличения максимального размера штрафов с 17 000 грн. до 34 000 грн. Детальнее про ответственность тут. 

В соответствии с проектом закона № 2282, правительство предлагает передать все ключевые функции в сфере защиты персональных данных Уполномоченному Верховной Рады Украины по правам человека. Регистрация баз персональных данных и ведение соответствующего государственного реестра будут возложены на Государственную регистрационную службу Украины. Министерство юстиции Украины и дальше продолжит работу по формированию и реализации государственной политики относительно защиты персональных данных.

В случае вступления в силу соответствующих изменений,  в сферу полномочий Омбудсмена войдет: проведение проверок, издание обязательных к исполнению представлений об устранении нарушений, рассмотрение предложений и  жалоб, информационное и организационное взаимодействие с участниками отношений, международное сотрудничество, мониторинг и др.

Уполномоченный Верховной Рады по правам человека Валерия Лутковская

Версия №2

Кроме этого, 21 февраля 2012 года в Верховную Раду Украины был внесен проект Закона Украины «О внесении изменений в некоторые законодательные акты Украины относительно совершенствования отдельных положений системы защиты персональных данных» № 2282-1. Законопроект инициировали оппозиционные депутаты А.Шевченко и Г.Немыря.

В этом, альтернативном правительственному, законопроекте оппозиционные депутаты зашли еще дальше, предложив отказаться от ведения Государственного реестра баз персональных данных. «Законопроект Шевченко-Немыри предлагает перейти к модели, по которой соответствующий распорядитель персональных данных уведомляет Уполномоченного Верховной Рады Украины по правам человека об обработке персональных данных. В случае, если органы государственной власти или органы местного самоуправления будут планировать проводить операции с персональными данными, обработка которых несет высокий риск, они будут обязаны получить заключения Уполномоченного Верховной Рады Украины по правам человека о соблюдении требований профильного законодательства», - сообщают в Институте Медиа Права.

Один из авторов законопроекта № 2282-1 Андрей Шевченко выразил уверенность в том, что правительство, прикрываясь выполнением плана по визовой либерализации с ЕС, способствует коррупции. «Существующая система государственного контроля, за которой главным соответствующим органом является Государственная служба защиты персональных данных, не соответствует европейским стандартам, поскольку Государственная служба является органом исполнительной власти, координируется и направляется одним из министерств, и, таким образом, лишена необходимого уровня автономии», - считает депутат.  

Народный депутат Андрей Шевченко (БЮТ)

Мнение юристов

Александр Плотников, советник Адвокатского объединения Arzinger

«Если говорить в целом, то, безусловно, Закон «О защите персональных данных» требует внесения изменений и довольно существенных. На сегодня многие его положения не выполняются на практике, просто потому, что это требует от владельцев баз персональных данных вовлечения слишком больших ресурсов, а эффект от их выполнения ничтожно мал.

К положительным моментам данного законопроекта, несомненно, относится, отмена регистрации баз персональных данных, которая полностью себя дискредитировала. Не секрет, что сегодня Государственная служба по вопросам защиты персональных данных перегружена заявлениями о регистрации баз персональных данных и ей потребуются годы на то, чтобы обработать уже поданные заявления. При этом смысл в регистрации баз весьма сомнительный.

Законопроектом же предлагается отменить регистрацию баз и заменить её на уведомление об обработке персональных данных. Причём такое уведомление нужно будет подавать только в отношении обработки отдельных категорий данных, определённых законом или Уполномоченным Верховной Рады Украины по правам человека. Такое нововведение сняло бы целый пласт проблемных вопросов, которые существуют на практике.

Законопроектом также предлагается передать все полномочия по контролю за соблюдением законодательства о защите персональных данных Уполномоченному Верховной Рады Украины по правам человека. Авторы законопроекта объясняют это тем, что согласно стандартам Совета Европы и Европейского Союза, необходимо создание независимого государственного органа контроля в сфере защиты персональных данных. В этой части сложно не согласится, что Уполномоченный Верховной Рады Украины по правам человека формально является более независимым от власти, нежели Государственная служба по вопросам защиты персональных данных, которая подчинена Министерству Юстиции. Поэтому, на мой взгляд, рациональное зерно в таком предложении есть.

Однако, несмотря на прогрессивные положения, законопроект требует доработки в части установления более адекватных требований к отношениям, связанным с обработкой персональных данных. Это касается, прежде всего, уведомления субъектов персональных данных, а также отчётности об обработке персональных данных».  

Александр Плотников, советник Адвокатского объединения Arzinger

В целом законопроект №2282-1 получил позитивные оценки экспертов. «Я полностью поддерживаю попытки авторов законопроекта решить проблему регистрации баз персональных данных на законодательном уровне. Фактически, законопроектом предлагается упростить идиотскую систему регистрации баз персональных данных, которая была введена в 2012 году. Это нужно приветствовать. Вместе с тем, законопроект внесен депутатами оппозиционной фракции, и это сводит к нулю шансы его принятия в стенах Верховной Рады текущего созыва», - говорит адвокат юридической фирмы D&U Partners Любомир Дроздовский.

Любомир Дроздовский, адвокат-партнер в D&U Partners

Напомним: Закон о защите персональных данных действует в Украине с 1 января 2011 года. С 1 июля 2012 года вступили в силу штрафные санкции за нарушение Закона. Ранее мы уже писали о том, как изменения в сфере защиты персональных данных повлияют на бизнес.

Персональные данные?

Несмотря на заявления оппозиционных депутатов, в правительстве утверждают, что все изменения в сфере защиты персональных данных граждан осуществляются с учетом практики европейских государств. В прошлом месяце, во время визита еврокомиссара по вопросам расширения и европейской политики соседства Штефана Фюле, Президент Украины Виктор Янукович еще раз пообещал, что правительство будет работать над приближением украинского законодательства к европейским нормам. На практике же, украинское законодательство декларирует не совсем понятные Европе ценности в сфере защиты персональных данных.

Европейское право в области защиты персональных данных является весьма прагматичным: оно дает защиту тем объектам и субъектам, которым эта защита необходима, и ровно настолько, насколько эта защита экономически оправдана. Такой подход оказался крайне эффективным - меры по защите систем обработки персональных данных не кажутся избыточными и, что самое главное, являются весьма действенными: согласно социологическим исследованиям, 80% европейских операторов и субъектов персональных данных считают себя защищенными.

В европейском законодательстве понятие персональной информации разделено на две категории по степени уязвимости и, соответственно, по степени необходимой защиты:

1. данные общего характера (фамилия, имя, отчество, дата и место рождения, гражданство и место жительства);

2. «уязвимые» персональные данные (данные о состоянии здоровья, отношения к религии, идентификационные коды и мобильные номера, отпечатки пальцев, кредитная история, данные о судимости и др.).

Так, в европейских странах согласие физического лица необходимо только на обработку и хранение «уязвимой» информации, а не на всю информацию, как это сделано в украинском законодательстве. На практике же, определить какая информация является персональными данными не так уж просто.

В украинском законодательстве фактически нет четкого определения того, какие данные будут считаться персональными, а какие нет. «На практике следует ориентироваться на то, что в случае объединения данных о лице с его именем и фамилией, они будут считаться персональными данными. Например, это адрес, дата и место рождения, образование, семейное и имущественное положение, национальность, вероисповедание, состояние здоровья», - объясняет Оксана Войнаровская, партнер практики частных клиентов ЮФ «Василь Кисиль и Партнеры».

Оксана Войнаровская, партнер практики частных клиентов в «Василь Кисиль и Партнеры»

В самом же Законе Украины «О защите персональных данных» нет определений «персональные данные», «база персональных данных», не прописано то, что отдельно взятые номер мобильного телефона, домашний адрес либо e-mail являются ПД. Эти данные не содержат информации, необходимой для идентификации конкретного лица – владельца данного номера, адреса, e-mail. Поэтому лица, злоупотребляющее этими данными, могут легко избежать той ответственности, которая грозит им в случае нарушения Закона о защите персональных данных.

Ведь, фактически, обработка баз данных, состоящая из e-mail адресов, мобильных номеров, домашних адресов, для рассылок рекламных предложений (без получения согласия их владельцев) не будет являться нарушением профильного законодательства.

Таким образом, очевидно, что ситуация с несанкционированными e-mail-рассылками, массовыми рассылками рекламы через sms и др. останется прежней.

Во всем мире мобильные номера, как и IP-адреса, не привязанные к имени и фамилии пользователя, считаются персональными данными. Для Украины это спорный вопрос, который Госслужба, в случае необходимости, рекомендует оставить на усмотрение судов.

В суде же, доказать, что факт несанкционированного использования данных действительно имел место, не так просто. «Для этого нужны доказательства того, что конкретный сотрудник конкретной компании, имевший доступ к персональным данным клиента, предоставил эту информацию третьему лицу, что привело к нежелательным для клиента последствиям», – объясняет Михаил Можаев, управляющий партнер, адвокат компании «Можаев и партнеры».

Михаил Можаев, управляющий партнер в «Можаев и партнеры»

В такой ситуации украинцам остается только надеяться на то, что предоставленные компаниям персональные данные будут использоваться в их интересах. Оптимизма не внушает тот факт, что совершая рекламные рассылки по мобильным номерам без предварительного согласия адресата, мобильные операторы нарушают Кодекс мобильного маркетинга, утвержденный при Украинской ассоциации директ маркетинга. Этот кодекс не имеет силы закона и был подписан исключительно с целью саморегулирования рынка. Но, видимо, отсутствие цивилизованнйй бизнес-культуры делает невозможным эффективное использование норм данного соглашения.