Рекомендация
Студентам
Вы можете использовать данную статью как часть или основу своего реферата или даже дипломной работы или своего сайта
Просто перейдите по ссылке ниже, редактируйте статью, все картинки тоже доступны, все бесплатно
Редактировать статью?!
Скачать статью в формате PDF
Сохраните результат в MS Word Docx или PDF, делитесь с друзьями, спасибо :)
Категории статей
Украина. Защита персональных данных
C принятием Закона Украины >
«О защите персональных данных»
от 01.06.2010 года защита персональных данных стала одной из наиболее актуальных задач для
большинства коммерческих компаний и предпринимателей. Данный Закон, в котором сформулированы чрезвычайно жёсткие требования к бизнесу относительно
использования персональных данных, вступает в силу с 1.01.2011 года. >
Основополагающим понятием, которое приведено в тексте закона, является определение персональных данных — это фактически любая информация о физическом лице
(в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес и т.д.).
Закон Украины «О защите персональных данных» предусматривает обязанность абсолютно ВСЕХ предприятий, которые ведут деятельность, в штате которых числится хотя бы
один сотрудник, регистрировать персональную базу данных в специальном уполномоченном органе.
Несоблюдение регистрации персональных баз данных влечет за собой наложение штрафа на должностных лиц, граждан - субъектов предпринимательской деятельности — от
500 до 1000 необлагаемых минимумов доходов граждан, в соответствии с Законом Украины «О внесении изменений в некоторые законодательные акты Украины относительно
усиления ответственности за нарушение законодательства о защите персональных данных» от 2 июня 2011 № 3454-VI.
Поскольку несоблюдение требований закона крайне выгодно для наполнения бюджета государства посредством штрафов — вряд ли государство упустит возможность оштрафовать
предприятие, которое всего лишь не подало очередное заявление в отведенный срок и нарушило законодательство о защите персональных данных.
Теперь все предприятия и физические лица — предприниматели обязаны:
-
получать предварительное документированное согласие лица на любое использование его персональных данных
(при этом хранить у себя доказательства получения данного согласия). То есть от КАЖДОГО сотрудника предприятия необходимо
получить согласие на использование его персональных данных — пусть даже для целей трудоустройства, от КАЖДОГО клиента,
сведения о которых будут заноситься в базу данных предприятия получать такое же письменное согласие;
-
письменно уведомлять лицо о том, что его персональные данные помещены в базу персональных данных
(в течении 10 рабочих дней с момента включения в базу данных в письменной форме);
-
регистрировать все имеющиеся у них базы персональных данных в государственном реестре баз персональных данных
(а также все изменения, осуществленные в этой базе данных);
-
внести в свои учредительные документы сведения о том, что компания занимается обработкой персональных данных и цель обработки персональных данных;
-
выполнять множество других требований данного Закона.
Хотим обратить внимание, что официальная позиция Государственной службы по вопросам защиты персональных данных четко сформулирована и предусматривает,
что владельцем базы персональных данных является КАЖДОЕ предприятие, зарегистрированное в Украине, поскольку является владельцем КАК МИНИМУМ ДВУХ БАЗ ДАННЫХ —
базы данных сотрудников для обеспечения требований трудового, налогового законодательства и бухгалтерского учета, и базы данных клиентов, персональные данные о
которых обрабатываются в процессе хозяйственной деятельности.
Контроль над выполнением всех этих требований будет осуществляться специально уполномоченным органом государственной власти по защите персональных данных.
При этом представители уполномоченного органа будут наделены широчайшими полномочиями (в т. ч. правом беспрепятственного доступа к помещениям предприятий,
где по их мнению персональные данные обрабатываются с нарушениями).
Очевидно, что во избежание рисков взыскания штрафных санкций за нарушение данного Закона, начинать готовиться к выполнению его требований по защите
персональных данных компаниям нужно уже сейчас. Уже сейчас нужно позаботиться о том, что бы сбор, использование и защита персональных данных на вашем предприятии
проводился исключительно в соответствии с требованиями Закона и без нарушений прав лиц, которым принадлежат эти данные.
По словам Министра, процесс регистрации будет продолжен и после Нового года. Александр Лавринович заверил, что вопрос применения санкций является не просто не первоочередным, а последним.
«На этом этапе нам нужно обеспечить реальный учет, а потом то, что касается контроля», - сообщил Министр. По его словам в первое время контроль будет осуществляться только по заявлениям о
нарушениях прав гражданин. Что касается плановых проверок, то этот вопрос пока что не поднимается.
По словам Александра Лавриновича, сегодня в службе защиты персональных данных работает 51 человек, включая руководителя ведомства. Министр считает, что именно недостаточный кадровый
ресурс и стал причиной сегодняшний ситуации с регистрацией баз персональных данных.
Он сообщил, что планирует обращаться к правительству с просьбой увеличения штата службы защиты персональных данных, чтобы уменьшить нагрузку на работников ведомства.
Противоречия законов о защите персональных данных
Принятие законов о защите персональных данных является достаточно неоднозначным.
При этом следует отметить, что уже в следующем году наступает административная и уголовная ответственность за нарушение их норм.
Однако сейчас уже есть информация по проверкам выполнения требований данного законодательства при полном отсутствии понимания и различного толкования положений этих законов.
Ниже рассмотрим самые противоречивые из них.
Стопка визиток — тоже база персональных данных?
Анализ норм Закона Украины "О защите персональных данных" дает основание заключить, что персональными данными может быть признана практически любая информация о человеке.
Следует отметить, что согласно законодательству большинства европейских государств персональные данные разделяются по критерию "чувствительности" на данные общего характера
(фамилия, имя, отчество, дата и место рождения, гражданство, место жительства) и "чувствительные" (уязвимые) персональные данные (данные о состоянии здоровья (история болезни, диагнозы)
этническая принадлежность, отношение к религии, идентификационные коды или номера, отпечатки пальцев, записи голоса, фотографии, кредитная история, данные о судимости и т.д.).
Для чувствительных персональных данных предусмотрена более высокая степень защиты. Так, запрещается сбор, хранение, использование и передача без согласия субъекта данных
именно чувствительных, а не всех персональных данных.
В Законе Украины "О защите персональных данных" такая классификация отсутствует. В результате этого, распространение всех без исключения персональных данных, в том числе
даже фамилии, имя, отчество лица, может осуществляться только с предварительного согласия этого лица.
Следовательно любая база клиентов, список телефонов бизнес-партнеров или просто стопка визиток подпадают под категорию базы персональных данных и требуют регистрации.
Неоправданной также является всеохватность Закона Украины "О защите персональных данных": базой персональных данных признается не только база данных в
автоматизированных компьютерных системах (как в европейской практике), но и бумажные картотеки &mdash такой картотекой, как пример, можно указать папку с договорами.
Все такие "базы персональных данных" нужно регистрировать в государственном реестре (это означает, что по объему он быстро превысит реестр ЕГРПОУ).
Нецелевое использование — незаконное
Законом установлено положение о том, что обработка персональных данных может осуществляться только в соответствии с целью обработки,
которая была сформулирована при получении у субъекта персональных данных согласия на обработку данных. В любом случае изменения цели использования персональных данных,
владелец базы персональных данных должен повторно обратиться к субъекту персональных данных за получением согласия на использование его персональных данных уже для новой цели.
Однако в Законе отсутствуют нормы, которые бы детализировали и конкретизировали его применение для отдельных категорий субъектов (страховые компании, медицинские учреждения, банки и т.п.).
Законом установлено, что обязанность владельца персональных данных состоит в том, чтобы сообщать исключительно в письменной форме субъекту персональных данных о его правах
в связи с включением его данных в базу персональных данных в течение 10 рабочих дней с даты такого размещения. Стоит отметить, что такое требование Закона не является целесообразным.
Ведь любая обработка персональных данных является возможной после получения предварительного документированной согласия субъекта персональных данных.
Поэтому непонятно, не только для чего дополнительно сообщать субъекту персональных данных о его правах в связи с включением его данных в базу, если от него предварительно
получено согласие использования его данных (да еще и в письменной форме), а еще и установление административной ответственности в виде штрафных санкций за такое не сообщение
или в случае несвоевременного уведомления.
Основаниями (согласно закону) возникновения права на использование персональных данных являются:
-
Согласие субъекта персональных данных на обработку его персональных данных. Субъект персональных данных имеет право
при согласии внести оговорку относительно ограничения права на обработку своих персональных данных;
-
Разрешение на обработку персональных данных, предоставленных владельцу базы персональных данных в соответствии с законом исключительно для осуществления его полномочий.
При этом, если субъект персональных данных отказывает предоставить согласие на обработку его персональных данных владелец базы должен уничтожить все персональные данные такого субъекта.
Вполне логичным является вопрос: как должен поступить владелец базы при приеме на работу лица, отказывающегося дать согласие на обработку данных.
Ведь, работодатель, обрабатывая персональные данные своего работника, только реализует свои права и обязанности, возложенные на него законом как на работодателя,
поэтому данный случай, исходя из принципа разумности, должен подпадать под разрешенную обработку на основании закона без согласия субъекта.
Однако законодатель не принял меры по закреплению в законе прямого и понятного толкования таких частных случаев, в частности, для трудовых правоотношений.
Аналогичная проблема возникает и в случае владения персональными данными физических лиц-предпринимателей для юридических лиц, которые вступили с этими
частными предпринимателями в договорные правоотношения, поскольку, как правило, однозначное согласие этих субъектов, в частности, в форме письменного документа, не принимается.
Как уничтожать персональные данные?
В Законе отсутствует четкая процедура уничтожения персональных данных, что очень важно, учитывая особенности компьютерных технологий обработки данных.
Закон дает право субъекту персональных данных требовать удаления его данных по формальным причинам. Как пример, интересной может быть такая ситуация:
заемщик банка требует удалить его данные из базы данных банка и, таким образом, избежать ответственности по договору займа.
Слишком широкие полномочия контролирующего органа
"Специальный уполномоченный орган по контролю за соблюдением законодательства о защите персональных данных, к полномочиям которого относится
инспектировать соблюдение требований закона, выносить предписания на устранение нарушений и регистрировать все базы персональных данных в Украине".
При этом на сегодняшний день на законодательном уровне не установлен ни порядок проведения, ни механизм проведения проверок.
По закону, представители уполномоченного органа имеют право беспрепятственно попадать в любое помещение, где обрабатываются персональные данные
(т.е. практически в каждый офис и в каждую квартиру), что равнозначно праву на проведение обыска, которое до сих имели только правоохранительные органы.
Стоит отметить, что целесообразность этого положения является сомнительной. Законом не учтены факт, что владелец или распорядитель базы персональных
данных может даже и не знать, где в тот или иной момент находится оборудование (или другой носитель базы), на котором хранятся персональные данные.
Ведь на практике для хранения баз персональных данных часто используются хостинги, которые могут находиться, в том числе, и за пределами Украины.
Уполномоченному органу предоставлено право налагать предписания и наказания на владельцев баз персональных данных
(при всеобъемлющем определении этого понятия - на любое юридическое или физическое лицо), причем возможность наказания никак не связывается с
фактом нарушения прав конкретного гражданина - субъекта персональных данных.
Ответственность за нарушение
Законодатель в п. 4 ст. 6 Закона ничего не говорит о статусе информации (персональных данных), полученной из общедоступных источников (газеты, телевидение, интернет).
Такого понятия как "общедоступные источники" Закон вообще не раскрывает и не включает его в источник получения таких персональных данных, однако именно из них получают
массу персональных данных субъекты, использующие персональные данные.
Об ответственности за нарушение законодательства о защите персональных данных. Поскольку Закон направлен на защиту права человека на тайну частной жизни,
то целесообразно привлекать к ответственности нарушителей закона только в случае причинения реального вреда лицу вследствие неправомерного использования ее персональных данных
(при чем, если же лицо считает, что его права нарушены), а не за уклонение от государственной регистрации баз персональных данных, и не за несообщение или несвоевременное сообщение
субъекта персональных данных о его правах в связи с включением его данных в соответствующую базу.
Учитывая вышеизложенное целесообразно дать поручение Министерству юстиции Украины внести на рассмотрение Верховной Рады Украины проект закона о приостановке норм указанных Законов и
осуществить соответствующие меры по урегулированию ситуации сложившейся в связи с принятием этих законов.
В переводе на русский язык Закон Украины — "О защите персональных данных" можно прочитать на сайте >
https://protection-lab.com
Для написания статьи использовались:>
- http://zakon.rada.gov.ua
- http://jurliga.ligazakon.ua
- http://www.pravoved.kiev.ua
- http://www.prostopravo.com.ua