Почему закон о защите персональных данных невозможно выполнить

Парламент проголосовал за отсрочку введения ответственности за нарушение закона "О защите персональных данных". Если президент не подпишет этот документ, все компании, бюджетные организации и частные лица могут быть строго наказаны. Корреспондент "Экономической правды" посетил тренинг Минюста и Госслужбы по вопросам защиты персональных данных и вместе с 50-ю HR-специалистами пришел к выводу, что не нарушать закон о защите данных невозможно.

Т етяна Лютин уже много лет работает по упрощенной системе налогообложения как частный предприниматель - физическое лицо. Наемных работников у нее нет. Чтобы сдавать в налоговую инспекцию отчеты, она наняла одну из фирм, предоставляющих такие услуги. После принятия Налогового кодекса и изменений ставок единого налога она заморозила свою деятельность - подала в налоговую информацию о том, что она остается зарегистрированным предпринимателем, но деятельность свою больше не ведет. И налоги, соответственно, уже не платит.

Неожиданно в конце 2011 года компания, которая обслуживала Лютин и сдавала ее отчеты в налоговую, прислала странное письмо. В нем сообщалось, что с 1 января 2012 вступают в силу поправки в Кодекс об административных правонарушениях и Уголовный кодекс.

Согласно этим поправкам и на основании закона "О защите персональных данных", который вступил в силу еще 1 января 2011 года, за уклонение от регистрации баз персональных данных ей грозит штраф от 5100 до 8500 гривен. В случае, если к базам данных Лютин кто-то незаконно получит доступ, штраф составит 17 000 гривен.

Лютин настойчиво рекомендовали отправить по почте в Госслужбы по вопросам защиты персональных данных свои базы данных.

Татьяна никогда не знала, что такое Служба существует. Она не знала и о принятом законе. И она совсем не понимала, о которых базы данных идет речь. Что, собственно, она должна отправить в эту Службу? Зачем?

Эти вопросы возникли не олько в Лютин, а буквально у каждого - от предпринимателя-одиночки в крупнейших компаний, от поликлиник до министерств. Все находились или в неведении, или в расслабленном состоянии. Но так было до тех пор, пока не были обнародованы размеры штрафов . И вот тогда уже все бросились выполнять закон о защите данных - кто как мог.

Один из крупных автодилеров Украины во время техобслуживания автомобилей дает клиентам на подпись бумагу, в которой очень туманно написано, что клиент согласен на обработку и хранение его персональных данных. Многие клиенты подписывают это, не вникая в подробности. В конце концов, что такого о владельце машины может знать дилер? Имя, адрес, госномер машины, телефон ... На автосервисе вся эта информация и без всякого закона необходима, ведь никто же не требует информацию о сексуальной ориентации.

А известный провайдер интернета и кабельного телевидения "Воля" понял нормы закона иначе. Теперь эта компания на обороте квитанций, которые она отправляет клиентам, сообщает, что оплачивая эту квитанцию, клиент автоматически дает согласие на то, что его данные будут обрабатываться, храниться и как-то использоваться.

Этот текст довольно спорный. Во-первых, такие вещи указываются в договоре между клиентом и компанией, а не на квитанции. Во-вторых, клиента лишают права выбора - он не может оплатить счет и отказаться от использования его персональных данных (при этом, непонятно, каких именно). С другой стороны, юристы компании, наверное, не могли придумать ничего лучшего - прочтение закона о защите персональных данных вводит в заблуждение многих. Он написан таким образом, что трактовать его можно как кому угодно.

В компании "Воля" заявили, что текст на обороте квитанции законный, составлен исходя из норм действующего законодательства и закона о защите персональных данных.

"С 2011 года согласие на обработку персональных данных мы получаем от каждого нового абонента. Без идентификации абонента - физического лица вообще не возможно предоставление услуг. Идентификация происходит, в первую очередь, по его персональными данными", - сказала Алина Сигда, руководитель пресс-лужба компании.

Ксения Ляпина - один из депутатов парламента, которая пытается изменить закон или, как минимум, отсрочить и уменьшить штрафные санкции, которые она иронично называет "скромненько и миленькими".

Депутат объясняет, почему был принят этот закон. В 2010 году Украина ратифицировала "Конвенцию о защите лиц в связи с автоматизированной обработкой персональных данных" . Без этого документа другие страны отказывались передавать в Украину базы данных. Например, если европейская компания заказывает украинской разработку программного обеспечения для обработки информации, то она хочет, чтобы разработчик нос законную ответственность, которая должна быть прописана в украинском законодательстве - именно этого у нас и не было. Поэтому Украина и ратифицировала конвенцию. Но этого еще недостаточно.

Конвенция - это ориентир для законодателей и исполнительной власти, но это еще не тот документ, который отвечает на вопрос, что и как делать для того, чтобы защитить человека и информацию о ней. Для этого необходим закон. И такой закон - о защите персональных данных - был принят и вступил в силу 1 января 2011 года. Но оказалось, что качество этого документа не выдерживает никакой критики, закон можно трактовать по-разному и нет возможности его выполнить.

"Обратите внимание на название Конвенции -" о защите лиц ". А украинский закон -" о защите данных ". То есть мы не защищаем человека в связи с тем, что ее персональные данные обрабатываются автоматизировано, - говорит Ляпина. - У нас, как всегда, защищают бумажку, причем не просто бумажка, а желательно масштабно так подойти к делу: создать государственный реестр. Ключевая идея закона вовсе не в том, чтобы защищать право человека на приватность, а в том, чтобы создать государственную базу данных баз данных, которые требуют контроля по защите ".

Депутат отмечает, что в законе такое понятие как "база данных" описано очень туманно. Фактически авторы документа - а это Минюст - "скопипастив" отдельные куски из Конвенции, которая, как уже было сказано, является лишь "указателем" для национального законодательства.

"Авторы украинского закона дали определение баз данных, что называется," как хочу, так и понимаю ". В результате возникла дискуссия. Вот у тебя в телефоне перечень твоих друзей, там фамилии, имена и номера. И телефон, согласно закону о защите прав персональных данных, - это уже база данных, которая требует регистрации ", - объясняет Ляпина.

КАК ПОНЯТЬ эту норму закона

Статья 2. Основные понятия

В этом законе нижеприведенные термины употребляются в таком значении:

база персональных данных - именованная совокупность упорядоченных персональных данных в электронной форме и / или в форме картотек персональных данных.

Депутат также приводит пример работу агентства по трудоустройству. Такие агентства действительно создают базу данных, в которой есть все сведения для идентификации человека, эти данные обрабатывают для понятной цели - для поиска работы. Можно сказать, что, передавая данные, человек дает свое согласие на обработку данных. Если агентству следующие данные не оказать, то как оно найдет работу? Зачем еще надо писать, что человек согласен на то, что его включают в базу, но именно это требует закон?

То же самое происходит и с открытием счета в банке - в этом случае клиент передает какой-то необходимый для открытия счета объем данных. Нет данных - нет счета.

"Этот закон и то, как его выполняют, - лишь имитация деятельности. Цель подобного законодательства в Европе - защитить мое право на приватность. Ну, какое право на приватность нарушает автосервис, если ты туда ездишь обслуживаться? Это же бизнес отношения, ты не даешь им те идентификаторы, не считаешь нужным ", - говорит Ляпина.

Александра Матвийчук из Центра гражданских свобод добавляет, что закон не вводит независимого контроля за сбором, обработкой и использованием персональных данных, как того требует Совет Европы.

"Государственная служба Украины по вопросам защиты персональных данных создана при Министерстве юстиции Украины, то есть находится в системе органов исполнительной власти. При таких обстоятельствах всегда есть угроза, что положения закона могут применяться для других целей, чем защита прав человека", - считает эксперт.

Матвийчук говорит, что в соответствии с европейскими стандартами, персональные данные делятся на данные общего характера (фамилия, имя и отчество, дата и место рождения, гражданство, место жительства) и уязвимые персональные данные (данные о состоянии здоровья, этническая принадлежность , отношения к религии, идентификационные коды или номера, отпечатки пальцев, налоговый статус, данные о судимости и т.д.).

"Но украинский закон такого разграничения не проводит. Как следствие, по буквальному толкованию норм закона распространение даже фамилии и имени лица может осуществляться только с письменного согласия лица. В то же время закон не предусматривает возможности распространять персональные данные, если она представляет общественный интерес, что является существенным ограничением свободы слова. Это противоречит положению других законов, например, закона "О доступе к публичной информации", - говорит Матвийчук.

По ее мнению, закон существенно усложняет регулирование данных отношений. Например, обязывает сообщать субъекта персональных данных о включении в базу его персональных данных. В то же время в соответствии с законом любая обработка этих данных и возможна после получения согласия субъекта на такую ​​обработку. Остается непонятным, в чем целесообразность такого двойного сообщения, осуществляется в письменной форме.

"В целом замечания практически к каждой статье данного закона", - считает Матвийчук.

Есть еще и несколько технических вопросов.

Например, государственная или частная клиника ведет истории болезней своих пациентов. Считается ли это базой данных? Наверное, да. Но в государственных клиниках и поликлиниках эти истории пишутся от руки - их нет в электронном виде. Нужно ли их регистрировать в Госслужбе? Наверное, да. Как? Отправить все это по почте? Но зачем передавать истории болезни еще одному госоргана, если существует Министерство здравоохранения, которое контролирует государственные медицинские учреждения и лицензирует частные? И если пойти еще дальше, то, наверное, самое МЗ тоже должно передать свои базы данных Госслужбе.

Другое техническое вопрос заключается в том, что Госслужба по вопросам защиты персональных данных была создана лишь летом прошлого года. Сейчас в штате этой службы, если верить данным ее сайта , Работает 12 человек.

Заместитель председателя этой Госслужбы ряды Лилия Олексюк говорит, что ее ведомство в июле прошлого года получило 18 заявлений о регистрации баз данных, в августе - 144, в сентябре - 248, в октябре - 452, в ноябре - 12272. и в декабре - более 400 тысяч.

"Письма с заявлениями почта сейчас доставляет мешками, и сегодня мы еще получаем те заявления, которые были составлены в декабре", - сказала Олексюк .

По данным Госслужбы, сегодня она получила 2000000 заявок на регистрацию баз. Если большая их часть была отправлена ​​по почте, то каким образом 12 человек смогут ее обработать, непонятно. Более того, эти 2 миллиона заявок должны получить сообщение (тоже по почте) о том, что их база данных зарегистрирована. 12 языков не смогут облизать столько почтовых марок. Однако документ, подтверждающий, что база зарегистрирована, нужен, иначе штрафов не избежать. Кроме того, данные, присланные на бумаге, необходимо оцифровать. В противном случае, о которых базы данных может идти речь? Как же выполнить этот закон? Судя по данным о госзакупках, Госслужба уже готова покупать сканеры и другую технику. Времени у них много.

И еще одно. Кроме названия базы данных и цели ее создания, Госслужбе необходимо сообщить, где она находится, а именно - адрес.

Ляпина задает риторический вопрос: "Если информация находится на сервере, а сервер за семью замками в моем офисе, то все понятно. А если база данных у меня на флешке или в облачном сервисе хранения файлов Какую же адрес мне указать?».

"Сложности с выполнением закона эксперты прогнозировали еще на этапе принятия законопроекта", - говорит Матвийчук. По ее мнению, это уникальный случай, когда и правозащитное сообщество, а именно - Украинский Хельсинский союз по правам человека, и бизнес, и Ассоциация украинских банков обратились к президенту Украины с просьбой наложить вето на этот законопроект и отправить его на доработку.

Матвийчук собственными глазами видела процесс регистрации баз данных: "С отдельными сложностями мы уже столкнулись в практике. Красноречивыми были очереди на подачу заявлений на регистрацию баз персональных данных в конце 2011 года. Они выстроились с улицы до входа в помещение, где находится Госслужба по вопросам защиты персональных данных. Так случилось, что я работаю в том же здании, и были дни, когда просто не могла попасть на работу ".

Эскперт добавляет, что окончательную картину мы увидим, когда Госслужба начнет отрабатывать уже утвержденный ими план проверок.

Собственно, все эти очереди и миллионы писем вызваны не только тем, что закон, каким бы он ни был, надо выполнять, а тем, что санкции за его неисполнение беспрецедентно жесткие. И в законе не сказано, в каком выпада нужно платить 300 необлагаемых минимумов, а в каком 700. То есть поле для коррупции - широкое.

Матвийчук предлагает такое сравнение: нарушение требований законодательства о труде и об охране труда влечет наложение штрафа от тридцати до ста необлагаемых минимумов доходов граждан, а нарушение законодательства в сфере защиты персональных данных - от трехсот до четырехсот необлагаемых минимумов доходов граждан.

"Иными словами, если вы несвоевременно направили Госслужбе по вопросам защиты персональных данных бумажку с информацией, то вы платите штраф в 4 раза выше, чем за сознательную невыплату заработной платы", - говорит эксперт.

Олексюк из Госслужбы уверяет, что проверки начнутся не ранее второго квартала этого года. Но паника никак не утихнет.

Чтобы понять, как закон о защите персональных данных понимают в Минюсте, Госслужбе и в бизнес-сообществе, корреспондент "Экономической правды" отправился на тренинг.

Этот тренинг проводил другой заместитель председателя Госслужбы по вопросам защиты персональных данных - Владимир Козак, и директор департамента взаимодействия с органами власти Минюста Елена Зеркаль. Послушать этих людей пришло близко 50 специалистов, в основном, председателя HR-департаментов крупнейших компаний и юристы.

Владимир Козак начал было рассказывать о законе, цитировать его статьи, но очень быстро 50 недружественно настроенных специалистов по кадрам начали задавать вопросы.

Один из таких вопросов звучал примерно так: "Я работаю в представительстве зарубежной компании в Украине. Наше представительство отправило на регистрацию в Госслужбу базы данных. Правильно ли мы сделали?"

Козак ответил, что представительству не нужно было этого делать, так как оно не является юридическим лицом. Тот, кто задавал этот вопрос отметил, что в законе об этом ничего не сказано. На что Козак посоветовал включить логическое мышление.

А через три минуты другой представитель Госслужбы, имя которого узнать не удалось, заявил, что представительство зарубежной компании таки должно было регистрировать свои базы. А Зеркаль из Минюста настоятельно рекомендовала "нанять грамотного юриста". По залу пошел хохот.

Затем посыпались вопросы типа "правильно ли мы поступили, отправив вам базу данных клиентов?", "Зачем торговцу с рынка регистрировать свои базы и какие - записные книжки?».

Стало совершенно очевидно, что даже специалисты высокого уровня действительно не понимают, как выполнять закон, потому что он, по их мнению, очень сырой. Они хотели услышать трактовку этого закона от того, кто его писал, и кто намерен контролировать его соблюдение. Но Зеркаль, слыша каждый из подобных вопросов, театрально хваталась за голову, закатывала глаза, демонстрируя присутствующим их некомпетентность.

В конце концов, она пригласила желающих прийти к ней в Минюст и обсудить каждый случай отдельно (как связаться с Зеркаль, можно узнать здесь ).

Казаку был задан вопрос, а правильно ли поступила компания "Воля", написав на обороте платежной квитанции, клиент, оплачивая ее, дает согласие на обработку его данных. Заместитель председателя Госслужбы, опираясь на нормы закона о защите персональных данных, ответил так: "А вы почитайте договор с" Волей "- там все написано".

Как сообщила "Экономической правде" компания "Воля", такой пункт содержится в договорах, подписанных с клиентами после вступления закона в силу. В старых договорах, соответственно, такого пункта нет. При этом упомянутый текст присутствовал на квитанциях для абсолютно всех клиентов - и новых, и старых, пришедших в компанию до 2011 года, так как в то время их согласие на обработку персональных данных законами не было предусмотрено.

Козак также опроверг, что проверки предприятий уже начались, хотя несколько раз в своей речи упомянул, что "в ходе проверок были выявлены классические ошибки ..."

Представитель рекрутинговой компании спросил Козака, следует считать базой данных имена и контакты, собранные с Facebook. Чиновник сказал, что лично он считает незаконным ситуацию, когда с ним связываются через Facebook, чтобы, например, предложить работу. На вопрос, а читал он пользовательское соглашение с Facebook, Козак не ответил.

Во время тренинга было заметно, что Зеркаль и Козак на ходу придумывают, как выполнять нормы закона в том или ином случае. Казалось, что они импровизировали и были настроены к своим "учеников" чрезмерно агрессивно.

Отвечая на вопрос, что делать, если при приеме на работу человек отказывается подписать бумагу о сбор, хранение и обработку его личных данных, Зеркаль дала такую рекомендацию: "Не берите на работу". Замечания о том, что это не согласуется с другими законами, представитель министерства отвергла.

Зеркаль сделала еще одно важное заявление - закон о защите персональных данных она назвала рамочным.

Как известно, "рамочный" может означать "предварительный" или даже "примерный", то есть документ рамочного характера определяет общие принципы, а механизм реализации такого документа прописывается в контрактах или в полноценном законе.

К сожалению, сотрудник Минюста Зеркаль, называя закон рамочным, не уточнила, где в законе об этом сказано. На самом деле это полноценный закон, хотя по сути, по форме и по духу он, наверное, рамочный, потому как не дает четких указаний, как его выполнять.

В итоге собравшиеся специалисты поняли, что тренинг им никак не поможет и чиновники не отвечают на их вопросы, и по одному покидали мероприятие. Сложилось впечатление, что Госслужба по вопросам защиты персональных данных - это подобие Нацкомиссии по вопросам морали: понятие "порнография" чиновниками трактуется так, а нормальными людьми - иначе. Но в первых в руках власть.

По информации источников "Экономической правды", правительство поручило Минюсту доработать закон о защите персональных данных. Источник сообщает, что руководители предприятий, принадлежащих некоторым вице-премьер-министрам, пожаловались на то, что закон не выдерживает никакой критики и создает проблемы в работе. Когда вице-премьера вникли в ситуацию, как говорит источник, им стало не по себе.

На вопрос, почему парламент, состоящий из крупнейших предпринимателей и промышленников, проголосовал за этот закон, Ляпина сказала, что и депутаты не особо вникали в то, что происходит - они увидели закон с красивым названием "о защите" и проголосовали "за". В конце прошлой сессии парламента депутаты уже со знанием дела проголосовали за введение штрафов не с 1 января, а с 1 июля этого года. Однако, закон требует серьезных изменений.

А предприниматель Лютин так и не зарегистрировала свои базы данных: "Конечно, у меня есть базы данных, но пока я не пойму, какие из них интересуют власть и что мне за это будет, я не собираюсь ничего делать. Пусть сначала докажут, что в меня эти базы есть и я нарушила закон ".