ГлавнаяО насНовостиСтатьиРешенияКонтакты
Украинский интегратор защиты персональных данных

Изменения к Закону "О защите персональных данных" – нужны ли?

Закон о защите персональных данных

Проект Закона Украины от 28 мая 2012 года №10472 "О внесении изменений к Закону Украины "О защите персональных данных" 9 октября с.г. Верховная Рада передала на подпись Президенту Украины, а 24 октября Президент со своими предложениями вернул его на доработку Верховной Раде. Что нового несут эти изменения для кадровиков, и как будут влиять на работу с персональными данными работников журнал "Справочник кадровика" спросил у заместителя председателя Государственной службы по вопросам защиты персональных данных Владимира Козака.

Уважаемый Владимир Федорович, расскажите, пожалуйста, как Государственная служба по вопросам защиты персональных данных оценивает изменения, внесенные к Закону "О защите персональных данных", и соответствуют ли они европейским нормам по этому вопросу?

Государственная служба по вопросам защиты персональных данных выразила свою позицию – поддержала внесенные в Закон изменения и предложила Кабинету Министров поддержать данный Закон при решении вопроса о подписании его Президентом или наложении вето.

Насколько внесенные изменения соответствуют европейским нормам по этому вопросу? Это вопрос непростой, потому что само понятие "европейские нормы" достаточно сложное.

Европейские нормы – это в первую очередь Конвенция о защите лиц в связи с автоматизированной обработкой персональных данных (ратифицированная Украиной 6 июля 2010 года, вступила в силу для Украины 1 января 2011 года) №108, которая является частью украинского законодательства. Эта Конвенция была принята в 1981 году, и, поскольку с тех пор прошло немало времени, в настоящий момент Конвенция пересматривается, готовится ее новая редакция.

С другой стороны, существует Директива 95/46/ЕС Европейского Парламента и Совета Европы "О защите физических лиц при обработке персональных данных и о свободном перемещении таких данных" от 24 октября 1995 года, которая не является нормой прямого действия в странах ЕС. Ведь в каждой стране ЕС есть свое собственное законодательство во исполнение этой Директивы. Она тоже считается несколько устаревшей. В настоящий момент принят так называемый "Генеральный регламент по защите персональных данных" Европейской комиссии и Совета Европы. Рассматривается вопрос по замене Директивы на новый нормативный документ, который будет, в отличие от Директивы, нормой прямого действия. То есть тогда одни и те же правила будут действовать во всей Европе, к тому же некоторые вопросы там упрощаются.

Таким образом, европейские нормы – это не определенный перечень константных документов, а базовые принципы, отображенные в документах, которые развиваются в соответствии с техническими и политическими реалиями. Поэтому ответить, соответствуют ли предложенные в наш Закон нормы европейским, – этого мало. Нужно анализировать каждый аспект, который есть в законодательстве.

В целом ГСЗПД положительно оценивает те изменения, которые были внесены парламентом у Закону, и считает, что они приблизят нас к европейским стандартам и к обеспечению европейского уровня защиты персональных данных.

Какие технологические изменения требуют усовершенствования положений Конвенции и Закона "О защите персональных данных"? Это в первую очередь технологии обработки и анализа данных?

Директива была принята в 1995 году, а тогда только начинался Интернет. В те времена не было Facebook и Google в том виде, в котором они есть в настоящий момент (когда собираются персональные данные со всего мира), не было электронной торговли в ее теперешнем виде. Ведь сегодня абсолютно нормально, когда можно осуществлять мероприятия по электронной торговле между разными странами. В этой сфере существуют соответствующие документы всемирной торговой организации, регламентирующие торговлю между продавцом в одной стране и покупателем в другой. Ведь можно зайти в Google, который расположен в Америке, в Facebook в Ирландии, в "Одноклассники" или "ВКонтакте" и оставить там все свои данные. Не было "облачных" технологий ("облачная" технология – технология, предоставляющая пользователям Интернета доступ к компьютерным ресурсам сервера и использования программного обеспечения как онлайнового сервиса, – И. Т.). Следовательно, даже со смартфона, имеющего подключение к Интернету, можно выполнять сложные операции, отрабатывать данные, используя мощности удаленного сервера.

Для рядового пользователя удаленный сервер, казалось бы, не очень и необходим, но небольшим фирмам, учреждениям, не имеющим возможности купить, содержать и обслуживать собственные дата-центры (хранилище данных – И.Т.), это, безусловно, выход из положения. Но при этом возникают вопросы: кто отвечает за сохранность информации, как обрабатываются персональные данные и т.д.

Таким образом, новые технологические вызовы требуют несколько новых подходов, и это, по моему мнению, абсолютно оправдано.

Владимир Федорович, какие новации для работодателей, владельцев баз персональных данных предусмотрены в проекте о внесении изменений к Закону "О защите персональных данных"?

Первая новация – это отмена необходимости регистрировать базы персональных данных, созданных с целью реализации трудовых отношений. Следует подчеркнуть, что она принципиально ничего не меняет, потому что собственно операций по сбору, обработке и защите персональных данных физических лиц изменения к упомянутому Закону не касаются.

Во-вторых, несколько изменены требования к сообщению о начале обработки персональных данных. Если изменения к Закону будут приняты, в большинстве случаев такое сообщение физического лица может осуществляться при сборе персональных данных или даже до сбора – при получении согласия.

Третье изменение касается оснований для обработки персональных данных. Оно, с одной стороны, является положительным, поскольку приближает требования Закона к европейской норме, но с другой – возникает потребность в доработке определенных вопросов со стороны тех, кто обрабатывает персональные данные. О чем идет речь?

В Законе "О защите персональных данных" прописаны два основания для обработки персональных данных:

  1. согласие субъекта на обработку персональных данных;

  2. разрешение на обработку персональных данных, предоставленное владельцу персональных данных в соответствии с Законом, исключительно для осуществления его полномочий.

Согласно изменениям к Закону основанием для обработки персональных данных станет заключение и выполнение сделки, стороной которой является субъект персональных данных или которая заключена в интересах субъекта персональных данных или для осуществления мероприятий, предшествующих заключению сделки, по требованию субъекта персональных данных.

Это значит, что сейчас необходимо провести анализ процедур обработки персональных данных на предприятии и посмотреть, какая часть обработки осуществляется в соответствии с разрешением, предоставленным законом, какая – в соответствии с согласием, а какая – в соответствии с заключенной сделкой.

Трудовой договор и контракт являются сделками, следовательно, часть данных, которые обрабатывались или с согласия, или с разрешения, предоставленного законом, становится обработкой по договору, стороной которого является субъект персональных данных.

С нашей точки зрения, такая структуризация данных способствует их лучшей защите, но, безусловно, требует весьма много работы от кадровиков, переосмысления того, как обрабатываются персональные данные.

Например, передача персональных данных в налоговую администрацию, пенсионный фонд определена законом, но есть аспекты обработки персональных данных, которые определены трудовым договором. Следовательно, необходимо разграничить – какие процессы обработки осуществляются в соответствии с договором, стороной которого является субъект персональных данных, какие в соответствии с разрешением, предоставленным законом, а какие – в соответствии с предоставленным согласием. И это является новацией для кадровиков.

В изменениях к Закону "О защите персональных данных" есть еще нормы, которые определенным образом регулируют ситуацию в сфере защиты персональных данных. Например, уполномоченный государственный орган по вопросам защиты персональных данных получит право (оно не было ранее так четко сформулировано) издавать рекомендации относительно практического применения положений законодательства о защите персональных данных, согласовывать кодексы корпоративного поведения, которые были разработаны определенными профессиональными объединениями с целью отображать конкретные процедуры обработки персональных данных в разных сферах, в частности и в сфере трудовых отношений.

Пожалуйста, расскажите подробнее о методологической помощи, которую работники кадровых служб могут получить от Государственной службы по вопросам защиты персональных данных.

В данном случае приходится считаться с двумя аспектами. Законодательство, которое используется для защиты персональных данных, – это не только Закон "О защите персональных данных", но и другие правовые акты. Ведь норма о том, что персональные данные могут обрабатываться в соответствии с разрешением, предоставленным законом, гласит о том, что законы, обусловливающие отношения в определенных сферах жизнедеятельности, уже устанавливают правила обработки персональных данных.

Собственно, Закон "О защите персональных данных" охватывает определенные общие аспекты, а более конкретные – обусловливаются профильными законами.

Сказать, что ГСЗПД может дать однозначные детальные рекомендации относительно того, как правильно работать с персональными данными в той или иной сфере, будет неправильно. Мы считаем, что вопросами определения состава персональных данных и процедур их обработки в разных сферах должны, при участии ГСЗПД, также заниматься специалисты подразделений министерств, других центральных органов государственной власти, которые организуют работу, связанную с защитой персональных данных, при их обработке в сфере ответственности этих органов государственной власти. Государственная служба по вопросам защиты персональных данных подготовила предложения об утверждении в установленном порядке типового положения о структурном подразделении органов государственной власти, предприятий, организаций, на который будут возлагаться обязанности по организации работы, связанной с обработкой персональных данных. В настоящее время подобных подразделений практически нет, а если они где-то и созданы, то не в полной мере занимаются вопросами защиты персональных данных.

Специальные подразделения, которые будут заниматься защитой персональных данных, должны быть повсеместно, в том числе и в профильных органах власти, на которые возложены обязанности осуществлять государственную политику в той или иной сфере, в частности и в сфере трудовых отношений.

Вышеназванным Генеральным регламентом по защите персональных данных в странах Европейского союза предложено в любой организации, где работает свыше 250 человек, определить должностное лицо (так называемого "офицера по защите приватных данных"), которое профессионально будет заниматься вопросами защиты персональных данных в этой организации.

Хочу обратить внимание, что в настоящее время регламентов или других документов, которые бы нормировали работу с персональными данными в разных сферах деятельности, нет. В то же время Закон Украины "О защите персональных данных" определяет, что профессиональные объединения могут разрабатывать корпоративные кодексы поведения с целью обеспечения эффективной защиты персональных данных, учитывая специфику обработки персональных данных в разных сферах. Такие кодексы поведения разрабатываются. В частности, Всеукраинской ассоциацией кадровиков разработан и утвержден на общественном совете ГСЗПД Порядок обработки персональных данных в базе персональных данных "Персонал". Поэтому мы предлагаем всем профессиональным объединением самостоятельно разрабатывать кодексы поведения – закон это допускает и допускал ранее.

Прокомментируйте, пожалуйста, новые пункты 14-16, которые вносятся в статью 23 Закона "О защите персональных данных": "14) осуществляет техническое регулирование в сфере защиты персональных данных, организует и проводит оценку соответствия, разрабатывает в установленном порядке стандарты, технические регламенты, технические условия; 15) разрабатывает порядок и требования по защите персональных данных в государственных информационных ресурсах в информационных, телекоммуникационных и информационно-телекоммуникационных системах; 16) осуществляет оценку соответствия комплексных систем защиты информации, информационных, телекоммуникационных и информационно-телекоммуникационных систем требованиям по защите персональных данных".

Мое мнение таково. Во-первых, пункты 14-16 никоим образом не касаются сферы трудовых отношений. Во-вторых, они в определенной степени способствуют сближению отечественного и европейского, в которое также вносятся изменения, законодательства в сфере защиты персональных данных. Ведь вышеупоминавшийся Генеральный регламент по защите персональных данных содержит требования о необходимости введения стандартизации, сертификации в сфере защиты персональных данных, т.е. элементов оценки соответствия, с обозначением уровней защиты. Указанным Генеральным регламентом предусматривается также необходимость разработки, специально для защиты персональных данных в тех или иных информационных системах, технических и программных средств (data protection by design) и настройки по умолчанию (by default) средств общего пользования, например интернет-обозревателей, таким образом, чтобы персональные данные пользователей были максимально защищены. При этом, конечно, будут насаждаться и процедуры оценки соответствия таких средств установленным требованиям.

В целом, по моему мнению, пункты 14-16 соответствуют тенденциям европейского законодательства. Возможно, сейчас они воспринимаются как контраверсионные и преждевременные, но со временем вопросы стандартизации и оценки соответствия организационных и технических мероприятий станут частью деятельности в сфере защиты персональных данных.

Владимир Федорович, что бы вы порекомендовали или пожелали кадровикам?

В первую очередь, хочу сказать о ситуации с регистрацией баз персональных данных, заявления на которые еще находятся в ГСЗПД. Пока еще такая регистрация продолжается, ведь порядок регистрации баз персональных данных утверждается приказом Министерства юстиции Украины. Необходимо дождаться решения относительно принятия изменений к Закону, и тогда станет понятно, что делать с поданными заявлениями, ведь их у нас очень много.

А относительно того, нужно ли владельцам баз персональных данных, которые сводили в одну базу работников и контрагентов и подавали на регистрацию одно заявление, осуществлять их перерегистрацию, то эта ситуация также будет иметь свое решение после принятия соответствующих документов.

Считаю, что сводить в одну базу персональные данные, имеющие разные цели обработки, – нецелесообразно. Рекомендую организациям, которые подали на регистрацию такие "универсальные" базы персональных данных, с учетом приобретенного опыта, пересмотреть процедуры обработки персональных данных. Считаю, что не вполне корректное определение состава персональных данных или целей обработки персональных данных в заявлениях на регистрацию не может рассматриваться как уклонение от регистрации баз персональных данных. Несомненно, что работники, которые не до конца разобрались, как подавать заявления, и сделали это неправильно, не уклонялись от регистрации. Поэтому не стоит волноваться, но обязательно необходимо внести изменения в процедуры обработки данных.

Автор статьи: Игорь Терещенко


job.ukr.net (18.11.2012 в 15:53) | вверх страницы | к списку статей

Общие вопросы:

Что нас ждет в 2011 году и о чем необходимо задуматься сегодня?
Что такое защита персональных данных?
Для чего это необходимо?
Если не выполнять требования Закона?
Типовые нарушения
Какие риски неисполнения требований законодательства?
Сколько потребуется времени и средств?
Что необходимо делать?
Кому доверить внедрение защиты персональных данных?
ГлавнаяО насНовостиСтатьиРешенияКонтакты
Контактная информация
© 2003-2012 ООО "Ди Эй Кей продакшн"