ГлавнаяО насНовостиСтатьиРешенияКонтакты
 Украинский интегратор защиты персональных данных

Анализ ЗУ "О защите персональных данных": проблемные аспекты

Защита персональных данных

6 июля 2010 года Верховный Совет Украины ратифицировал Конвенцию Совета Европы о защите лиц в связи с автоматизированной обработкой персональных данных.

Целью ратификации данной Конвенции является обеспечение для каждого лица, независимо от его гражданства или местожительства, соблюдения его прав и основополагающих свобод, в частности его права на неприкосновенность частной жизни, использования и распространения конфиденциальной информации о лице без его согласия в связи с автоматизированной обработкой его персональных данных. На выполнение данной Конвенции был принят Закон Украины "О защите персональных данных" № 2297-VI от 1 июня 2010 года (Закон).

Но в действительности ли положения Закона выполняют те задания, ради которых он был принят?

Нормы данного Закона содержат определенные коллизии и неточности, которые приводят к проблемам во время применения их на практике.

1. Нечеткое определение на законодательном уровне базы персональных данных.

Закон под базой персональных данных определяет именуемую совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных.

Таким образом, можно выделить признаки баз персональных данных:

    совокупность персональных данных;

    упорядоченность;

    электронная форма или форма картотек;

    принадлежность данных к конкретному лицу.

К сожалению, Закон не дает четкий ответ относительно того, будет ли считаться базой персональных данных совокупность неупорядоченных персональных данных (отсутствует критерий разделения информации, отсутствует системность персональной информации и т.п.).

2. Отсутствие четкого определения понятия персональных данных.

Согласно Закону персональными данными признаются сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть идентифицировано. То есть, исходя из нормативного определения, к понятию персональных данных можно отнести достаточно широкий круг информации.

Ошибочным является утверждение относительно ограничения определения персональных данных путем их конкретизации, поскольку невозможно предусмотреть конкретный перечень случаев, когда данные будут относиться к персональным. Установление такого перечня существенно ограничит рамки применения данного Закона и сделает невозможным выполнение тех заданий, для которых он был принят.

3. Все базы персональных данных подлежат обязательной регистрации.

Данное положение подлежит корректировке. Если учесть, что персональными данными считаются почти любые данные, касающиеся физического лица, то возникает вопрос целесообразности обязательной регистрации баз персональных данных, например, посетителей библиотеки. В отличии от Директив Европейского Союза, которые предусматривают необязательную регистрацию определенных баз данных, учитывая цель, для достижения которой она была внедрена, Закон не определяет случаи необязательной регистрации баз персональных данных. Нужно ограничить регистрацию всех баз данных и выходить из реальной угрозы нанесения вреда распространением информации, которая содержится в базах данных. Данная практика существует во многих странах.

На законодательном уровне базы персональных данных делятся на несколько групп: базы персональных данных, регистрация которых является обязательной; базы персональных данных, о существовании которых нужно лишь оповещать соответствующие органы или вообще не осуществлять никаких действий.

4. Обязательное документируемое согласие субъекта персональных данных в виде письменного добровольного волеизъявления о разрешении на обработку этих данных.

Это положение Закона может привести к осложнению процедур регистрации баз персональных данных, особенно это касается юридических лиц, которые имеют большое количество работников. Закон не предусматривает возможность упрощения процедуры получения разрешений от работников в определенных случаях (например, при их большом количестве и отдаленном местонахождении). Кроме этого, Закон не конкретизирует последствия, которые могут возникнуть в случае отказа работника вносить такую информацию в базы персональных данных.

В соответствии с разъяснениями Государственной службы Украины по вопросам защиты персональных данных, при создании баз данных работников необязательно получать согласие на внесение такой информации, поскольку она обрабатывается владельцем на основании ст.24 КЗоТ исключительно для осуществления полномочий обладателя базы персональных данных в сфере трудовых правоотношений. Такой вывод основывается на п.2 ч.1 ст.11 Закона.

5. При регистрации баз данных необходимо указывать местонахождение базы персональных данных.

Например, при наличии электронной базы данных на предприятии ее местонахождением является местонахождение сервера, на котором хранится вся информация. Но не каждая компания или физическое лицо-предприниматель имеет свой собственный сервер. Как правило, услуги хранения данных на сервере предоставляются третьими лицами, а нередко такой сервер и вовсе находится за рубежом. По закону, уполномоченный орган может отказать в регистрации базы персональных данных, если заявление о регистрации не содержит исчерпывающую информацию, включительно с адресом местонахождения сервера.

6. Регистрацию баз персональных данных осуществляет специально уполномоченный государственный орган по защите персональных данных.

Проблема заключается в том, что данный орган не имеет собственных территориальных отделений, то есть провести регистрацию баз персональных данных можно лишь в центральном отделении г. Киева. Ввиду широкого круга информации, подпадающей под понятие персональных данных, и субъектов, которые ими владеют, государственный орган неспособен будет обрабатывать заявления лиц на регистрацию баз персональных данных в соответствующие сроки, что повлечет замедление процедуры регистрации и большое количество очередей. Учитывая территориальный размер страны, данное требование идет в разрез с принципом разумности. Параллели можно провести с правом доступа лица в суд – отсутствие территориально близко расположенного суда является нарушением данного права. Устанавливая обязанность регистрации и достаточно высокий уровень ответственности, государство должно обеспечить адекватные условия исполнения такого обязательства.

Создается впечатление, что данный нормативно-правовой документ вызывает множество проблем и неудобств не только для украинского бизнеса, но и для простых граждан. Возникает вопрос, каким образом нужно изменять обыденную практику сбора и распространения информации о лицах в больницах, печатных СМИ, библиотеках, учебных заведениях и т.д.

Вместе с тем, принятие данного ЗУ "О защите персональных данных" можно охарактеризовать как первый, качественно новый и необходимый шаг в регулировании и защите персональных данных и адаптации украинского законодательства к европейскому. Однако в данный законодательный акт необходимо внести ряд изменений и дополнений с целью решения рассмотренных выше проблем.

Бизнес (17.02.2012 в 12:08) | вверх страницы | к списку статей

Общие вопросы:

Что нас ждет в 2011 году и о чем необходимо задуматься сегодня?
Что такое защита персональных данных?
Для чего это необходимо?
Если не выполнять требования Закона?
Типовые нарушения
Какие риски неисполнения требований законодательства?
Сколько потребуется времени и средств?
Что необходимо делать?
Кому доверить внедрение защиты персональных данных?
ГлавнаяО насНовостиСтатьиРешенияКонтакты
 Контактная информация
© 2003-2012 ООО "Ди Эй Кей продакшн"