Кількість різних баз даних, що містять інформацію персонального характеру останніми роками збільшуються з великою швидкістю. Відомості про громадян збираються і акумулюються як державними, так і комерційними структурами, а отже, питання збору, обробки, зберігання і передачі персональних даних вимагають сьогодні дотримання відповідних загальновизнаних світових стандартів в галузі прав і свобод людини.

Врегулювання правовідносини у сфері захисту персональної інформації про особу в Україні визначено Законом «Про захист персональних даних», який чинний ось уже рік – із 1 січня 2011 р. Документ передбачає обов’язкову згоду суб’єкта персональних даних (як правило, це працівник на підприємстві, персональні дані якого містяться в картотеках підприємства, в обліковій картці, в обліковій звітності тощо) на використання таких даних. Відсутність такої згоди може трактуватися перевіряльниками як незаконне оброблення, збирання, зберігання, використання, знищення інформації про особу.

Закон встановлює обов'язок власника баз персональних даних  (БПД) здійснити їх державну реєстрацію. Органом виконавчої влади, на який законом покладено завдання щодо контролю за додержанням вимог законодавства про захист персональних даних є Державна служба України з питань захисту персональних даних (ДСЗПД).

Втім, доводиться констатувати, що особливих зрушень у цьому питанні за останній рік не відбулося, оскільки закон не встановлював відповідальності за порушення його вимог. До 1 січня 2012 року факт подачі власником бази персональних даних заяви про її реєстрацію до ДСЗПД ще не вважатиметься ухиленням від державної реєстрації БПД. Щоправда, не зважаючи на те, що до нового року залишилися буквально лічені дні, багато компаній навіть не приступили до впровадження заходів захисту персональних даних.

Тема актуалізувалася в очікуванні введення з 1 січня 2012 р адміністративної та кримінальної відповідальності за порушення у сфері захисту персональних даних. Нагадаємо, за ухилення від державної реєстрації бази персональних даних передбачений штраф в розмірі від 5100 до 17000 гривень.

За неповідомлення або несвоєчасне повідомлення суб'єкта персональних даних про його права у зв'язку із включенням відомостей про нього до бази персональних даних, мету збору цих даних та осіб, яким вони передаються, накладається штраф на громадян від 3400 грн до 5100 грн і на посадових осіб, громадян – суб'єктів підприємницької діяльності – від 5100 грн до 6800 грн.

Притягнення до кримінальної відповідальності можливе і в разі незаконного збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації, крім випадків, передбачених іншими статтями кодексу. Покарання призначатиметься у вигляді штрафу (від 500 до 1000 н.м.д.г.), виправних робіт, арешту, обмеження волі.

Практичні аспекти впровадження європейської практики захисту персональних даних  в Україні

З метою поширення практичного позитивного досвіду у сфері захисту персональних даних Міжнародна торгова палата в Україні провела  круглий стіл, присвячений питанням практичних аспектів застосування законодавства в цій сфері за участі представників міністерства юстиції України, які й надавали роз’яснення щодо Закону.

На думку президента Міжнародної торгової палати в Україні Володимира Щелкунова, для його ефективного впровадження в життя потрібно враховувати ментальні та національні особливості нашого суспільства, що наочно продемонструвала кількість питань до представників міністерства юстиції, ДСЗПД та консультантів ІТ-компаній. Під час заходу відбулася дискусія, яка довела необхідність додаткових роз’яснень як для бізнесу, так і для професійних юристів.

Перше і найголовніше питання – це критерії визначення баз, які необхідно зареєструвати. Експертами було зазначено, що необхідною є реєстрація ПД фізичних осіб. Водночас, до таких даних можна віднести будь-яку інформацію, що дозволяє ідентифікувати особу, у тому числі номер телефону чи адреса електронної пошти.

Зокрема, Закон визначає, що БПД – це іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних. Таким чином, наприклад клієнська БД підприємства, яка може бути представлена колекцією візитних карток з ПІБ та реквізитами посадових осіб, як і будь-який інший масив інформації про посадових осіб (адресна книга в електронній поштовій скриньці або мобільному телефоні), також формально є базою ПД у формі картотеки. Якщо приймати це твердження, то клієнтська база також потребує державної реєстрації. Відсутність в законі роз'яснення: що саме є картотекою, може спричинити неадекватне застосування цієї норми.

Набуття чинності нових правил актуалізує і питання розширення внутрішньої документації підприємств: це стосується і додаткових угод до трудового договору, і положень щодо створення підрозділів, які є відповідальними за створення, збереження та іншу діяльність, що стосується баз персональних даних. Тобто, підприємство має задокументувати правила обробки персональних даних та призначити відповідальну за це особу.

Закон також встановлює обов'язкове отримання документованої згоди суб'єкта персональних даних на їх обробку, зміну, передачу третім особам і навіть знищення. Не зважаючи на те, що у деяких власників баз даних можуть виникнути труднощі, пов'язані із необхідністю отримання таких погоджень від кожного суб'єкта і щодо кожної операції, зважений підхід до оновлення внутрішньої документації підприємства, створення типових угод і положень, може забезпечити адекватне вирішення спорів в разі їх виникнення.

Законом також встановлено, що мета обробки персональних даних повинна бути сформульована в статутних документах власника бази (ч. 1 ст. 6 Закону). Існує висока імовірність, що у зв'язку з цим до статутів багатьох компаній потрібно буде вносити зміни. Адже погодивши та задокументувавши всі можливі нюанси роботи з базами персональних даних і власник підприємства, і кожен співробітник отримує гарантії дотримання своїх прав.

Проте в законі є низка норм, які буде досить важко виконати. Зокрема, ч. 2 ст. 12 містить положення про те, що суб'єкт протягом 10 днів з дня включення його персональних даних до БПД має бути повідомленим про свої права, визначені Законом, мету збору даних та осіб, яким передаються його персональні дані, виключно в письмовій формі. Коментуючи цю проблему, керівник відділу директмаркетингу Talan Communications, директор з продажу Ірина Корнейко наголошує: маркетингові компанії часто проводять рекламні акції під час яких громадяни підтверджують свою участь в них шляхом відправлення смс, заповнення різних анкет, або реєструючись через мережу Інтернет. Максимальний строк проведення таких акцій складає 3 місяці, а часто і менше. Отже, за цей період формується база персональних даних і виникає питання, яким чином її «легалізувати». Якщо власник бази даних отримав документальні підтвердження всіх згод, наданих йому суб'єктами, то виникає питання: як він зможе зберігати і яким чином повідомити потім всіх учасників акції про знищення їх персональних даних після її закінчення. Питання ускладнюється тим, що дані, отримувані зазвичай під час подібних акцій, обчислюються десятками, а часом і сотнями тисяч. Відповідно, маркетингові компанії мають шукати засоби публічно вказувати в правилах участі в рекламних акціях про право організаторів надалі використовувати персональні дані учасників і т.д.

Коментуючи цю проблему, заступник голови Державної служби України з питань захисту персональних даних Володимир Козак наголосив: згідно закону, обробка персональних даних може здійснюватися тільки з метою, що була сформульована при отриманні у суб'єкта персональних даних згоди на обробку. В разі зміни мети обробки даних (ч 2. ст. 6 Закону), здійснюється повторне звернення за отриманням згоди на використання персональних даних. Щоб уникнути необхідності направляти повторні запити суб'єкту для отримання згоди, компанії, діяльність яких визначена статутом та іншими документами на законних підставах, можуть використовувати форму запиту, в яких мета обробки даних буде вказана як безпосередній та постійний напрям діяльності компанії. В даному випадку, використання персональних даних відбувається в маркетингових цілях.

Значна увага під час круглого столу була приділена і питанням транскордонної передачі персональних даних, що їх окреслила радник юридичної фірми «Саєнко Харенко» Світлана Хєда. Проблема, за її словами, зокрема стосується представництв іноземних компаній в Україні. Материнська компанія отримує БПД своїх співробітників в дочірніх підприємствах, проте порядок здійснення їх передачі, використання  та знищення в разі звільнення співробітника в законі не прописаний.

Тут також важливим є наявність відповідної внутрішньої документації на підприємстві, проте в разі виникнення спору між громадянином України та іноземним підприємством керуватися доведеться лише ст. 29. ч. 3 даної статті, яка передбачає, що передача персональних даних іноземним суб'єктам відносин, здійснюється лише за умов забезпечення належного захисту персональних даних, за наявності відповідного дозволу та у випадках, встановлених законом або міжнародним договором України.

Це положення, очевидно, потребує уточнення. Адже не зрозумілим залишається: хто саме має надати дозвіл в даному випадку – особа чи ДСЗПД? Яким саме має бути цей дозвіл? Які вимоги та порядок реєстрації БПД нерезидентами в Україні? Для уточнення даних пунктів необхідна низка підзаконних актів, які б тлумачили певні положення закону.

Темою, яку жваво обговорювала аудиторія заходу за всіма фаховими напрямами, стали можливі скарги суб'єктів ПД у відповідні компетентні органи або майбутні судові позови в сфері захисту ПД. На сьогодні відсутня судова практика з даного напряму. На підставі скарги ДСЗПД проводитиме перевірку володільців та (або) розпорядників баз персональних даних щодо дотримання ними вимог законодавства у сфері захисту персональних даних, в результаті якої буде надано припис на усунення порушень. В разі невиконання припису ДСЗПД складає адміністративний протокол, який потім передається до суду і вже в судовому порядку приймається рішення про накладення адміністративного стягнення, передбаченого Кодексом України про адміністративні правопорушення, на підставі якого володільцем бази персональних даних сплачується штраф.

Аналізуючи відповідальності за порушення в сфері захисту персональних даних, варто зауважити, що вона досить сувора, і це при тому, що закон на сьогодні має неоднозначні норми, недоопрацьованість та недосконалість окремих положень та потребує прийняття ще багатьох підзаконних нормативно-правових актів, які б деталізували і конкретизували його застосування. Тому юристи не радять недооцінювати можливі наслідки прийнятого закону: сумлінним підприємцям варто зареєструвати всі бази даних в ДСЗПД; дотримуватися порядку обробки персональних даних, в т.ч. отримання згоди суб'єкта на обробку його персональних даних.

У бізнес-колах неодноразово лунала думка про те, що введення в дію даного закону принесе підприємцям лише  додаткову звітність, а реєстрація баз персональних даних може стати простим способом збору інформації контролюючими органами та певним інструментом застосування адміністративних санкцій до всіх суб'єктів, пов'язаних з ПД. Адже немає ніякої таємниці в тому, що найбільшою БПД абсолютно всіх фізичних осіб в країні володіє держава в особі податкової служби, пенсійного фонду, фонду соціального страхування, ДАІ, ЖЕКів, пошти, медичних установ та інших структур. Можливо показовим прикладом було б публічно заявити даним структурам про те, що вони зареєстрували свої БПД і гарантують громадянам України забезпечення захисту персональних даних.

Не зважаючи на певні проблеми, які в перспективі, маємо надію, будуть вирішені,  Закон України «Про захист персональних даних» є безсумнівним кроком наближення до стандартів ЄС. Проте адекватно оцінити його ефективність стане можливим лише після розробки та впровадження нормативних документів, що встановлюватимуть чіткий механізм його виконання.