Чому закон про захист персональних даних неможливо виконатиПарламент проголосував за вiдстрочення введення вiдповiдальностi за порушення закону "Про захист персональних даних". Якщо президент не пiдпише цей документ, всi компанiї, бюджетнi органiзацiї та приватнi особи можуть бути суворо покаранi.
Кореспондент "Економiчної правди" вiдвiдав тренiнг Мiн`юсту i Держслужби з питань захисту персональних даних i разом з 50-ма HR-фахiвцями прийшов до висновку, що не порушувати закон про захист даних неможливо.
Тетяна Лютiна вже багато рокiв працює за спрощеною системою оподаткування як приватний пiдприємець - фiзична особа. Найманих робiтникiв у неї немає. Щоб здавати в податкову iнспекцiю звiти, вона найняла одну з фiрм, якi надають такi послуги. Пiсля прийняття Податкового кодексу та змiн ставок єдиного податку вона заморозила свою дiяльнiсть - подала до податкової iнформацiю про те, що вона залишається зареєстрованим пiдприємцем, але дiяльнiсть свою бiльше не веде. I податки, вiдповiдно, вже не платить.
Несподiвано в кiнцi 2011 року компанiя, яка обслуговувала Лютiну i здавала її звiти в податкову, прислала дивного листа. У ньому повiдомлялося, що з 1 сiчня 2012 року вступають в силу поправки до Кодексу про адмiнiстративнi правопорушення i Кримiнального кодексу.
Згiдно з цими поправками i на пiдставi закону "Про захист персональних даних", який набув чинностi ще 1 сiчня 2011 року, за ухилення вiд реєстрацiї баз персональних даних їй загрожує штраф вiд 5100 до 8500 гривень. У разi, якщо до баз даних Лютiної хтось незаконно отримає доступ, штраф становитиме 17 тисяч гривень.
Лютiнiй наполегливо рекомендували вiдправити поштою до Держслужби з питань захисту персональних даних свої бази даних.
Тетяна нiколи не знала, що така Служба iснує. Вона не знала i про прийнятий закон. I вона зовсiм не розумiла, про якi бази даних йдеться. Що, власне, вона повинна вiдправити у цю Службу? Навiщо?
Цi питання виникли не iльки у Лютiної, а буквально в кожного - вiд пiдприємця-одинака до найбiльших компанiй, вiд полiклiнiк до мiнiстерств. Всi перебували або в невiданнi, або в розслабленому станi. Але так було до тих пiр, поки не були оприлюдненi розмiри штрафiв. I ось тодi вже всi кинулися виконувати закон про захист даних - хто як мiг.
Один з великих автодилерiв України пiд час техобслуговування автомобiлiв дає клiєнтам на пiдпис папiр, в якому дуже туманно написано, що клiєнт згоден на обробку та зберiгання його персональних даних. Багато клiєнтiв пiдписують це, не вникаючи в подробицi. Зрештою, що такого про власника машини може знати дилер? Iм`я, адреса, держномер машини, телефон... На автосервiсi вся ця iнформацiя i без всякого закону необхiдна, адже нiхто ж не вимагає iнформацiю про сексуальну орiєнтацiю.
А вiдомий провайдер iнтернету i кабельного телебачення "Воля" зрозумiв норми закону iнакше. Тепер ця компанiя на зворотi квитанцiй, якi вона вiдправляє клiєнтам, повiдомляє, що оплачуючи цю квитанцiю, клiєнт автоматично дає згоду на те, що його данi будуть оброблятися, зберiгатися i якось використовуватися.
Цей текст досить спiрний. По-перше, такi речi зазначаються в договорi мiж клiєнтом i компанiєю, а не на квитанцiї. По-друге, клiєнта позбавляють права вибору - вiн не може оплатити рахунок i вiдмовитися вiд використання його персональних даних (при цьому, незрозумiло, яких саме). З iншого боку, юристи компанiї, напевно, не могли придумати нiчого кращого - прочитання закону про захист персональних даних вводить в оману багатьох. Вiн написаний таким чином, що трактувати його можна як кому завгодно.
У компанiї "Воля" заявили, що текст на зворотi квитанцiї законний, складений виходячи з норм чинного законодавства та закону про захист персональних даних.
"З 2011 року згоду на обробку персональних даних ми отримуємо вiд кожного нового абонента. Без iдентифiкацiї абонента - фiзичної особи взагалi не можливе надання послуг. Iдентифiкацiя вiдбувається, в першу чергу, за його персональними даними", - сказала Алiна Сiгда, керiвник прес-лужби компанiї.
Ксенiя Ляпiна - один з депутатiв парламенту, яка намагається змiнити закон або, як мiнiмум, вiдстрочити i зменшити штрафнi санкцiї, якi вона iронiчно називає "скромненькими и миленькими".
Депутат пояснює, чому був прийнятий цей закону. У 2010 роцi Україна ратифiкувала "Конвенцiю про захист осiб у зв`язку з автоматизованою обробкою персональних даних". Без цього документа iншi країни вiдмовлялися передавати в Україну бази даних. Наприклад, якщо європейська компанiя замовляє українськiй розробку програмного забезпечення для обробки iнформацiї, то вона хоче, щоб розробник нiс законну вiдповiдальнiсть, яка повинна бути прописана в українському законодавствi – саме цього в нас i не було. Тому Україна i ратифiкувала Конвецiю. Але цього ще недостатньо.
Конвенцiя - це орiєнтир для законодавцiв i виконавчої влади, але це ще не той документ, який вiдповiдає на питання, що i як робити для того, щоб захистити людину та iнформацiю про неї. Для цього необхiдний закон. I такий закон - про захист персональних даних - був прийнятий i набув чинностi 1 сiчня 2011 року. Але виявилося, що якiсть цього документа не витримує нiякої критики, закон можна трактувати по-рiзному i немає можливостi його виконати.
"Звернiть увагу на назву Конвенцiї - "про захист осiб". А український закон - "про захист даних ". Тобто ми не захищаємо людини у зв`язку з тим, що її персональнi данi обробляються автоматизовано, - говорить Ляпiна. - У нас, як завжди, захищають папiрець, причому не просто папiрець, а бажано масштабно так пiдiйти до справи: створити державний реєстр. Ключова iдея закону зовсiм не в тому, щоб захищати право людини на приватнiсть, а в тому, щоб створити державну базу даних баз даних, якi вимагають контролю щодо захисту".
Депутат зазначає, що в законi таке поняття як "база даних" описано дуже туманно. Фактично автори документа - а це Мiн`юст - "скопiпастив" окремi шматки з Конвенцiї, яка, як вже було сказано, є лише "дороговказом" для нацiонального законодавства.
"Автори українського закону дали визначення баз даних, що називається,"як хочу, так i розумiю ". В результатi виникла дискусiя. От у тебе в телефонi перелiк твоїх друзiв, там прiзвища, iмена та номери. I телефон, вiдповiдно до закону про захист прав персональних даних, - це вже база даних, яка потребує реєстрацiї", - пояснює Ляпiна.
ЯК ЗРОЗУМIТИ ЦЮ НОРМУ ЗАКОНУ
Стаття 2. Визначення термiнiв
У цьому законi нижче наведенi термiни вживаються в такому значеннi:
база персональних даних - iменована сукупнiсть упорядкованих персональних даних в електроннiй формi та / або у формi картотек персональних даних.
Депутат також наводить приклад роботу агентства з працевлаштування. Такi агентства дiйсно створюють базу даних, в якiй є всi вiдомостi для iдентифiкацiї людини, цi данi обробляють для зрозумiлої мети - для пошуку роботи. Можна сказати, що, передаючи данi, людина дає свою згоду на обробку даних. Якщо агентству такi данi не надати, то як воно знайде роботу? Навiщо ще треба писати, що людина згодна на те, що його включають в базу, але саме це вимагає закон?
Те ж саме вiдбувається i з вiдкриттям рахунку в банку - в цьому випадку клiєнт передає якийсь необхiдний для вiдкриття рахунку обсяг даних. Немає даних - немає рахунку.
"Цей закон i те, як його виконують, - лише iмiтацiя дiяльностi. Мета подiбного законодавства в Європi - захистити моє право на приватнiсть. Ну, яке право на приватнiсть порушує автосервiс, якщо ти туди їздиш обслуговуватися? Це ж бiзнесовi вiдносини, ти ж не даєш їм тi iдентифiкатори, якi не вважаєш за потрiбне", - говорить Ляпiна.
Олександра Матвiйчук iз Центру громадянських свобод додає, що закон не запроваджує незалежного контролю за збиранням, обробкою та використанням персональних даних, як цього вимагає Рада Європи.
"Державна служба України з питань захисту персональних даних створена при Мiнiстерствi юстицiї України, тобто знаходиться в системi органiв виконавчої влади. За таких обставин завжди є загроза, що положення закону можуть застосовуватися з iншою метою, нiж захист прав людини", - вважає експерт.
Матвiйчук говорить, що вiдповiдно до європейських стандартiв, персональнi данi подiляються на данi загального характеру (прiзвище, iм’я та по батьковi, дата i мiсце народження, громадянство, мiсце проживання) та вразливi персональнi данi (данi про стан здоров’я, етнiчна належнiсть, ставлення до релiгiї, iдентифiкацiйнi коди чи номери, вiдбитки пальцiв, податковий статус, данi про судимiсть тощо).
"Але український закон такого розмежування не проводить. Як наслiдок, за буквальним тлумаченням норм закону поширення навiть прiзвища та iм’я особи може здiйснюватися лише за письмової згоди особи. Водночас закон не передбачає можливостi поширювати персональнi данi, якщо вона становить суспiльний iнтерес, що є iстотним обмеженням свободи слова. Це суперечить положенню iнших законiв, наприклад, закону "Про доступ до публiчної iнформацiї", - каже Матвiйчук.
На її думку, закон суттєво ускладнює регулювання даних вiдносин. Наприклад, зобов’язує повiдомляти суб’єкта персональних даних про включення в базу його персональних даних. У той же час вiдповiдно до закону будь-яка обробка цих даних i так є можливою пiсля отримання згоди суб’єкта на таку обробку. Залишається незрозумiлим, в чому доцiльнiсть такого подвiйного повiдомлення, що здiйснюється виключно в письмовiй формi.
"Загалом зауваження є практично до кожної статтi даного закону", - вважає Матвiйчук.
Є ще й кiлька технiчних питань.
Наприклад, державна чи приватна клiнiка веде iсторiї хвороб своїх пацiєнтiв. Чи вважається це базою даних? Напевно, так. Але в державних клiнiках i полiклiнiках цi iсторiї пишуться вiд руки - їх немає в електронному виглядi. Чи потрiбно їх реєструвати в Держслужбi? Напевно, так. Як? Надiслати все це поштою? Але навiщо передавати iсторiї хвороби ще одному держоргану, якщо iснує Мiнiстерство охорони здоров`я, яке контролює державнi медичнi установи та лiцензує приватнi? I якщо пiти ще далi, то, напевно, саме МОЗ теж повинно передати свої бази даних Держслужбi.
Iнше технiчне питання полягає в тому, що Держслужба з питань захисту персональних даних була створена лише влiтку минулого року. Зараз у штатi цiєї служби, якщо вiрити даним її сайту, працює 12 осiб.
Заступник голови цiєї Держслужби лави Лiлiя Олексюк каже, що її вiдомство в липнi минулого року отримало 18 заяв про реєстрацiю баз даних, в серпнi - 144, у вереснi - 248, у жовтнi - 452, в листопадi - 12272. i в груднi - понад 400 тисяч.
"Листи з заявами пошта зараз доставляє мiшками, i на сьогоднi ми ще отримуємо тi заяви, якi були складенi в груднi", - сказала Олексюк.
За даними Держслужби, на сьогоднi вона отримала 2 мiльйона заявок на реєстрацiю баз. Якщо бiльша їх частина була надiслана поштою, то яким чином 12 осiб зможуть її обробити, незрозумiло. Бiльш того, цi 2 мiльйони заявок повиннi отримати повiдомлення (теж поштою) про те, що їхня база даних зареєстрована. 12 язикiв не зможуть облизати стiльки поштових марок. Однак документ, який пiдтверджує, що база зареєстрована, потрiбен, iнакше штрафiв не уникнути. Крiм того, данi, надiсланi на паперi, необхiдно оцифрувати. В iншому випадку, про якi бази даних може йти мова? Як же виконати цей закон? Судячи з даних про держзакупiвлi, Держслужба вже готова купувати сканери та iншу технiку. Часу в них багато.
I ще одне. Крiм назви бази даних i мети її створення, Держслужбi необхiдно повiдомити, де вона знаходиться, а саме - адресу.
Ляпiна задає риторичне запитання: "Якщо iнформацiя знаходиться на серверi, а сервер за сiмома замками в моєму офiсi, то все зрозумiло. А якщо база даних у мене на флешцi або в хмарному сервiсi зберiгання файлiв? Яку ж адресу менi вказати?".
"Складнощi iз виконанням закону експерти прогнозували ще на етапi прийняття законопроекту", - каже Матвiйчук. На її думку, це унiкальний випадок, коли i правозахисна спiльнота, а саме - Українська Гельсiнська спiлка з прав людини, i бiзнес, i Асоцiацiя українських банкiв звернулися до президента України iз проханням накласти вето на цей законопроект та вiдправити його на доопрацювання.
Матвiйчук на власнi очi бачила процесс реєстрацiї баз даних: "З окремими складнощами ми вже зiткнулися в практицi. Красномовними були черги на подання заяв на реєстрацiю баз персональних даних в кiнцi 2011 року. Вони вишикувалися з вулицi до входу в примiщення, де знаходиться Держслужба з питань захисту персональних даних. Так сталося, що я працюю в тiй самiй будiвлi, i були днi, коли просто не могла потрапити на роботу".
Ескперт додає, що остаточну картину ми будемо бачити, коли Держслужба почне вiдпрацьовувати вже затверджений ними план перевiрок.
Власне, всi цi черги i мiльйони листiв викликанi не тiльки тим, що закон, яким би вiн не був, треба виконувати, а тим, що санкцiї за його невиконання безпрецедентно жорсткi. I в законi не сказано, в якому ж випаду треба платити 300 неоподаткованих мiнiмумiв, а в якому 700. Тобто поле для корупцiї – широке.
Матвiйчук пропонує таке порiвняння: порушення вимог законодавства про працю та про охорону працi тягне за собою накладення штрафу вiд тридцяти до ста неоподатковуваних мiнiмумiв доходiв громадян, а порушення законодавства у сферi захисту персональних даних - вiд трьохсот до чотирьохсот неоподатковуваних мiнiмумiв доходiв громадян.
"Iншими словами, якщо ви несвоєчасно надiслали Держслужбi з питань захисту персональних даних папiрець iз iнформацiєю, то ви платите штраф в 4 рази вищий, нiж за свiдому невиплату заробiтної плати", - каже експерт.
Олексюк з Держслужби запевняє, що перевiрки почнуться не ранiше другого кварталу цього року. Але панiка нiяк не вщухне.
Щоб зрозумiти, як закон про захист персональних даних розумiють в Мiн`юстi, Держслужбi i в бiзнес-спiвтовариствi, кореспондент "Економiчної правди" вiдправився на засiдання HR-комiтету Європейської Бiзнес Асоцiацiї та одночасно - тренiнг.
Цей тренiнг проводив iнший заступник голови Держслужби з питань захисту персональних даних - Володимир Козак, i директор департаменту взаємодiї з органами влади Мiн`юсту Олена Зеркаль. Послухати цих людей прийшло близко 50 фахiвцiв, в основному, голови HR-департаментiв найбiльших компанiй та юристи.
Володимир Козак почав було розповiдати про закон, цитувати його статтi, але дуже швидко 50 недружньо налаштованих фахiвцiв з кадрiв почали ставити запитання.
Одне з таких питань звучало приблизно так: "Я працюю в представництвi зарубiжної компанiї в Українi. Наше представництво вiдправило на реєстрацiю в Держслужбу бази даних. Чи правильно ми зробили?"
Козак вiдповiв, що представництву не потрiбно було цього робити, тому що воно не є юридичною особою. Той, хто ставив це питання зазначив, що в законi про це нiчого не сказано. На що Козак порадив включити логiчне мислення.
А через три хвилини iнший представник Держслужби, iм`я якого дiзнатися не вдалося, заявив, що представництво зарубiжної компанiї таки повинно було реєструвати свої бази. А Зеркаль з Мiн`юсту настiйно рекомендувала "найняти грамотного юриста". По залу пiшов регiт.
Потiм посипалися запитання типу "чи правильно ми вчинили, вiдправивши вам базу даних клiєнтiв?", "навiщо торговцю з ринку реєструвати свої бази i якi - записнi книжки?".
Стало цiлком очевидно, що навiть фахiвцi високого рiвня дiйсно не розумiють, як виконувати закон, бо вiн, на їхню думку, дуже сирий. Вони хотiли почути трактування цього закону вiд того, хто його писав, i хто має намiр контролювати його дотримання. Але Зеркаль, чуючи кожен з подiбних питань, театрально хапалася за голову, закочувала очi, демонструючи присутнiм їх некомпетентнiсть.
Зрештою, вона запросила бажаючих прийти до неї в Мiн`юст i обговорити кожен випадок окремо (як зв`язатися з Зеркаль, можна дiзнатися тут).
Козаку було поставлено запитання, а чи правильно вчинила компанiя "Воля", написавши на зворотi платiжної квитанцiї, що клiєнт, оплачуючи її, дає згоду на обробку його даних. Заступник голови Держслужби, спираючись на норми закону про захист персональних даних, вiдповiв так: "А ви почитайте договiр з "Волею"- там все написано".
Як повiдомила "Економiчнiй правдi" компанiя "Воля", такий пункт мiститься в договорах, пiдписаних з клiєнтами пiсля вступу закону в силу. У старих договорах, вiдповiдно, такого пункту немає. При цьому згаданий текст присутнiй на квитанцiях для абсолютно всiх клiєнтiв - i нових, i старих, якi прийшли в компанiю до 2011 року, тому що в той час їх згода на обробку персональних даних законами не було передбачено.
Козак також заперечив, що перевiрки пiдприємств вже почалися, хоча кiлька разiв у своїй промовi згадав, що "в ходi перевiрок були виявленi класичнi помилки..."
Представник рекрутингової компанiї запитав Козака, чи слiд вважати базою даних iмена та контакти, зiбранi з Facebook. Чиновник сказав, що особисто вiн вважає незаконною ситуацiю, коли з ним зв`язуються через Facebook, щоб, наприклад, запропонувати роботу. На питання, а чи читав вiн угоду користувача з Facebook, Козак не вiдповiв.
Пiд час тренiнгу було помiтно, що Зеркаль та Козак на ходу вигадують, як виконувати норми закону в тому чи iншому випадку. Здавалося, що вони iмпровiзували i були налаштованi до своїх "учнiв" надмiрно агресивно.
Вiдповiдаючи на питання, що робити, якщо при прийомi на роботу людина вiдмовляється пiдписати папiр про збiр, зберiгання i обробку його особистих даних, Зеркаль дала таку рекомендацiю: "Не берiть його на роботу". Зауваження про те, що це не узгоджується з iншими законами, представниця мiнiстерства вiдкинула.
Зеркаль зробила ще одну важливу заяву - закон про захист персональних даних вона назвала рамковим.
Як вiдомо, "рамковий" може означати "попереднiй" або навiть "приблизний", тобто документ рамкового характеру визначає загальнi принципи, а механiзм реалiзацiї такого документа прописується в контрактах або у повноцiнному законi.
На жаль, спiвробiтник Мiн`юсту Зеркаль, називаючи закон рамковим, не уточнила, де в законi про це сказано. Насправдi ж це повноцiнний закон, хоча по сутi, за формою i за духом вiн, напевно, рамковий, тому як не дає чiтких вказiвок, як його виконувати.
У пiдсумку присутнi фахiвцi зрозумiли, що тренiнг їм нiяк не допоможе i що чиновники не вiдповiдають на їхнi запитання, i по одному покидали захiд. Склалося враження, що Держслужба з питань захисту персональних даних - це подiбнiсть Нацкомiсiї з питань моралi: поняття "порнографiя" чиновниками трактується так, а нормальними людьми - iнакше. Але у перших в руках влада.
За iнформацiєю джерел "Економiчної правди", уряд доручив Мiн`юсту доопрацювати закон про захист персональних даних. Джерело повiдомляє, що керiвники пiдприємств, що належать деяким вiце-прем`єр-мiнiстрам, поскаржилися на те, що закон не витримує нiякої критики i створює проблеми в роботi. Коли вiце-прем`єри вникли в ситуацiю, як каже джерело, їм стало не по собi.
На запитання, чому парламент, що складається з найбiльших пiдприємцiв i промисловцiв, проголосував за цей закон, Ляпiна сказала, що i депутати не особливо вникали в те, що вiдбувається - вони побачили закон з гарною назвою "про захист" i проголосували "за". Наприкiнцi минулої сесiї парламенту депутати вже зi знанням справи проголосували за введення штрафiв не з 1 сiчня, а з 1 липня цього року. Проте, закон потребує серйозних змiн.
А пiдприємець Лютiна так i не зареєструвала свої бази даних: "Звичайно, у мене є бази даних, але поки я не зрозумiю, якi з них цiкавлять владу i що менi за це буде, я не збираюся нiчого робити. Хай спочатку доведуть, що у мене цi бази є i що я порушила закон".
Источник: Realt.UA01.02.2012