Почему закон о защите персональных данных невозможно выполнить

Приветствую вас друзья !!! Давно я не выходил на связь, наверное соскучились ? Но ничего, это дело я поправлю, новым и полезным контентом, для действующих и будущих предпринимателей и не только .

Сегодня подготовил статью на тему закона «О защите персональных данных». Тема будет интересна для предпринимателей, которые осуществляют коммерческую деятельность на территории Украины. Эту статью я перевел с украинского на русский язык. Ссылку на оригинал статьи вы найдете в конце поста. Думаю информация будет полезна. Читайте и комментируйте, если кому есть, что добавить.

Статья о том почему закон «О защите персональных данных» невозможно выполнить  ?

Парламент проголосовал за отсрочку введения ответственности за нарушение закона «О защите персональных данных». Если президент не подпишет этот документ, все компании, бюджетные организации и частные лица могут быть сурово наказаны.

Корреспондент «Экономической правды» посетил тренинг Минюста и Госслужбы по вопросам защиты персональных данных и вместе с 50-ю HR-специалистами пришел к выводу, что соблюдать закон о защите данных невозможно.

Татьяна Лютина уже много лет работает по упрощенной системе налогообложения как частный предприниматель — физическое лицо. Наемных работников у нее нет. Чтобы сдавать в налоговую инспекцию отчетность, она наняла одну из фирм, предоставляющих такие услуги. После принятия Налогового кодекса и изменения ставок единого налога она заморозила свою деятельность — подала в налоговую информацию о том, что она остается зарегистрированным предпринимателем, но деятельность свою больше не ведет. И налоги, соответственно, уже не платит.

Неожиданно в конце 2011 года компания, которая обслуживала Лютину и сдавала ее отчеты в налоговую, прислала странное письмо. В нем сообщалось, что с  1 января 2012 года вступают в силу поправки в Кодекс об административных правонарушениях и Уголовного кодекса.

Согласно этим поправкам и на основании закона «О защите персональных данных», который вступил в силу еще 1 января 2011 года за уклонение от регистрации баз персональных данных ему грозит штраф от 5100 до 8500 гривен. В случае, если к базам данных Лютинои кто-то незаконно получит доступ штраф составит 17 тысяч гривен.
Лютиний настоятельно рекомендовали отправить по почте в Госслужбы по вопросам защиты персональных данных свои базы данных.

Татьяна никогда не знала, что такая Служба существует. Она не знала и о принятии нового закона . И  она совсем не понимала, о какой  базе данных идет речь. Что, собственно, она должна отправить в эту Службу ? Зачем?

Эти вопросы возникли не только у Лютиной, а буквально у каждого — от предпринимателя-одиночки в крупнейших компаний, от поликлиник до министерств. Все находились либо в неведении, или в расслабленном состоянии. Но так было до тех пор, пока не были обнародованы размеры штрафов. И вот тогда все бросились исполнять закон о защите данных — кто как мог.

Один из крупных автодилеров Украины во время техобслуживания автомобилей дает клиентам на подпись бумагу, в котором очень туманно написано, что клиент согласен на обработку и хранение его персональных данных. Многие клиенты подписывают это, не вникая в подробности. Наконец, что такого о владельце машины может и должен знать дилер? Имя, адрес, госномер машины, телефон ... На автосервисе вся эта информация и без всякого закона необходима, ведь никто не требует информации о сексуальной ориентации.

А известный провайдер интернета и кабельного телевидения «Воля» понял нормы закона иначе. Теперь эта компания на обороте квитанций, которые она отправляет клиентам, сообщает, что оплачивая эту квитанцию, клиент автоматически дает согласие на то, что его данные будут обрабатываться, храниться и как-то использоваться.

Этот текст довольно спорный. Во-первых, такие вещи указываются в договоре между клиентом и компанией, а не на квитанции. Во-вторых, клиента лишают права выбора — он не может оплатить счет и отказаться от использования его персональных данных (при этом, непонятно, каких именно). С другой стороны, юристы компании, наверное, не могли придумать ничего лучшего — прочтение закона о защите персональных данных вводит в заблуждение многих. Он написан таким образом, что трактовать его можно как кому угодно.

В компании «Воля» заявили, что текст на обороте квитанции законный, составлен исходя из норм действующего законодательства и закона о защите персональных данных.

«С 2011 года согласие на обработку персональных данных мы получаем от каждого нового абонента. Без идентификации абонента — физического лица вообще не возможно предоставление услуг. Идентификация происходит, в первую очередь, по его персональными данными», — сказала Алина Сигда, руководитель пресс-службы компании.

Ксения Ляпина — один из депутатов парламента, которая пытается изменить закон или, как минимум, отсрочить и уменьшить штрафные санкции, которые она иронично называет «скромненький и миленький».

Депутат объясняет, почему был принят этот закон. В 2010 году Украина ратифицировала "Конвенцию о защите лиц в связи с автоматизированной обработкой персональных данных". Без этого документа другие страны отказывались передавать в Украину базы данных. Например, если европейская компания заказывает украинскую разработку программного обеспечения для обработки информации, то она хочет, чтобы разработчик нес законную ответственность, которая должна быть прописана в украинском законодательстве — именно этого у нас и не было. Поэтому Украина и ратифицировала конвенцию. Но этого еще недостаточно.

Конвенция — это ориентир для законодателей и исполнительной власти, но это еще не тот документ, который отвечает на вопрос, что и как делать для того, чтобы защитить человека и информацию о ней. Для этого необходим закон. И такой закон — о защите персональных данных — был принят и вступил в силу 1 января 2011 года. Но оказалось, что качество этого документа не выдерживает никакой критики, закон можно трактовать по-разному и нет возможности его выполнить.

"Обратите внимание на название Конвенции -" о защите лиц «. А украинский закон -» о защите данных ". То есть мы не защищаем человека в связи с тем, что его персональные данные обрабатываются автоматизировано, — говорит Ляпина. — У нас, как всегда, защищают бумагу, причем не просто бумажка, а желательно масштабно так подойти к делу: создать государственный реестр. Ключевая идея закона вовсе не в том, чтобы защищать право человека на конфиденциальность, а в том, чтобы создать государственную базу данных баз данных, требующих контроля защиты ".

Депутат отмечает, что в законе такое понятие как «база данных» описано очень туманно. Фактически авторы документа — а это Минюст — «скопипастив» отдельные куски из Конвенции, которая, как уже было сказано, является лишь «указателем» для национального законодательства.

"Авторы украинского закона дано определение баз данных, что называется, " как хочу, так и понимаю ". В результате возникла дискуссия. Вот у тебя в телефоне список твоих друзей, там фамилии, имена и номера. И телефон, согласно закону о защите прав персональных данных, — это уже база данных, которая требует регистрации ", — объясняет Ляпина.

КАК ПОНЯТЬ ЭТУ НОРМА ЗАКОНА

Статья 2. Определение терминов

В этом законе нижеприведенные термины употребляются в таком значении:

база персональных данных — именованная совокупность упорядоченных персональных данных в электронной форме и / или в форме картотек персональных данных.

Депутат также приводит пример работу агентства по трудоустройству. Такие агентства действительно создают базу данных, в которой есть все данные для идентификации человека, эти данные обрабатывают для понятной цели — для поиска работы.  Можно сказать, что, передавая данные, человек дает свое согласие на обработку данных.Если агентству такие данные не дать, то как оно найдет работу? Зачем еще надо писать, что человек согласен на то, что его включают в базу, но именно этого требует закон?

То же самое происходит и с открытием счета в банке — в этом случае клиент передает какой-то необходимый для открытия счета объем данных. Нет данных — нет счета.

"Этот закон и то, как его выполняют, — лишь имитация деятельности. Цель подобного законодательства в Европе — защитить мое право на приватность. Ну, какое право на приватность нарушает автосервис, если ты туда ездишь обслуживаться? Это же бизнес отношения, ты не даешь им те идентификаторы, которые не считаешь нужным ", — говорит Ляпина.

Александра Матвийчук из Центра гражданских свобод добавляет, что закон не вводит независимого контроля за сбором, обработкой и использованием персональных данных, как того требует Совет Европы.

"Государственная служба Украины по вопросам защиты персональных данных создана при Министерстве юстиции Украины, т.е. находится в системе органов исполнительной власти. При таких обстоятельствах всегда есть угроза, что положения закона могут применяться в других целях, чем защита прав человека", — считает эксперт.

Матвийчук говорит, что согласно европейским стандартам, персональные данные делятся на данные общего характера (фамилия, имя и отчество, дата и место рождения, гражданство, место жительства) и уязвимые персональные данные (данные о состоянии здоровья, этническая принадлежность, отношения к религии, идентификационные коды или номера, отпечатки пальцев, налоговый статус, данные о судимости и т.д.).

"Но украинский закон такого разграничения не проводит. Как следствие, за буквальным толкованием норм закона распространение даже фамилии и имени лица может осуществляться только с письменного согласия лица. Время закон не предусматривает возможности распространять персональные данные, если она представляет общественный интерес, что существенным ограничением свободы слова. Это противоречит положению других законов, например, закона «О доступе к публичной информации», — говорит Матвийчук.

По ее мнению, закон существенно усложняет регулирование данных отношений. Например, обязывает сообщать субъекта персональных данных о включении в базу его персональных данных. В то же время согласно закону любая обработка этих данных и возможна после получения согласия субъекта на такую обработку. Остается неясным, в чем целесообразность такого двойного сообщения, осуществляется в письменной форме.

"В целом замечания практически к каждой статье данного закона", — считает Матвийчук.

Есть еще несколько технических вопросов.

Например, государственная или частная клиника ведет истории болезней своих пациентов.  Считается ли это базой данных ?  Наверное, так. Но в государственных клиниках и поликлиниках эти истории пишутся от руки — их нет в электронном виде. Нужно ли их регистрировать в Госслужбе? Наверное, так. Как? Отправить все это по почте? Но зачем передавать истории болезни еще одному госоргана, если существует Министерство здравоохранения, которое контролирует государственные медицинские учреждения и лицензирует частные? И если пойти еще дальше, то, наверное, именно Минздрав тоже должно передать свои базы данных Госслужбе.

Другое техническое вопрос заключается в том, что Госслужба по вопросам защиты персональных данных была создана лишь летом прошлого года. Сейчас в штате этой службы, если верить данным ее сайта, работает 12 человек.

Заместитель председателя этой Госслужбы ряды Лилия Олексюк говорит, что ее ведомство в июле прошлого года получило 18 заявлений о регистрации баз данных, в августе — 144, в сентябре - 248, в октябре — 452, в ноябре — 12272 и в декабре — более 400 тысяч.

«Письма с заявлениями почта сейчас доставляет мешками, и сегодня мы еще получаем те заявления, которые были составлены в декабре», — сказала Олексюк.

По данным Госслужбы, на сегодня она получила 2 миллиона заявок на регистрацию баз. Если большая их часть была отправлена по почте, то каким образом 12 человек смогут ее обработать, непонятно. Более того, эти 2 миллиона заявок должны получать (тоже по почте) о том, что их база данных зарегистрирована. 12 языков не смогут облизать наклеить столько почтовых марок. Однако документ, подтверждающий, что база зарегистрирована, необходимо, иначе штрафов не избежать. Кроме того, данные, переданные на бумаге, необходимо оцифровать. В противном случае, о которых базы данных может идти речь? Как же выполнить этот закон? Судя по данным о госзакупках, Госслужба уже готова покупать сканеры и другую технику. Времени у них много.

И еще одно. Кроме названия базы данных и цели ее создания, Госслужбе необходимо сообщить, где она находится, а именно — адрес.

Ляпина задает риторический вопрос: "Если информация находится на сервере, а сервер за семью замками в моем офисе, то все понятно. А если база данных у меня на флешке или в облачном сервисе хранения файлов Какую же адрес мне указать? ".

«Сложности с выполнением закона эксперты прогнозировали еще на этапе принятия законопроекта», — говорит Матвийчук. По ее мнению, это уникальный случай, когда и правозащитное сообщество, а именно — Украинский Хельсинский союз по правам человека, и бизнес, и Ассоциация украинских банков обратились к президенту Украины с просьбой наложить вето на этот законопроект и отправить его на доработку.

Матвийчук собственными глазами видела процесс регистрации баз данных: "С отдельными сложностями мы уже столкнулись на практике. Красноречивыми были очереди на подачу заявлений на регистрацию баз персональных данных в конце 2011 года. Они выстроились с улицы до входа в помещение, где находится Госслужба по вопросам защиты персональных данных. Так случилось, что я работаю в том же здании, и были дни, когда просто не могла попасть на работу ".

Эксперт добавляет, что окончательную картину мы увидим, когда Госслужба начнет отрабатывать уже утвержденный ими план проверок.

Собственно, все эти очереди и миллионы писем вызваны не только тем, что закон, каким бы он ни был, нужно выполнять, а тем, что санкции за его неисполнение беспрецедентно жесткие. И в законе не сказано, в каком случае нужно платить 300 необлагаемых минимумов, а в каком 700. То есть поле для коррупции — широкое.

Матвийчук предлагает такое сравнение: нарушение требований законодательства о труде и об охране труда влечет наложение штрафа от тридцати до ста необлагаемых минимумов доходов граждан, а нарушение законодательства в сфере защиты персональных данных — от трехсот до четырехсот необлагаемых минимумов доходов граждан.

"Другими словами, если вы несвоевременно направили Госслужбе по вопросам защиты персональных данных бумажку с информацией, вы платите штраф в 4 раза выше, чем за сознательную невыплату заработной платы", — говорит эксперт.

Олексюк из Госслужбы уверяет, что проверки начнутся не раньше второго квартала этого года. Но паника никак не утихнет.

Чтобы понять, как закон о защите персональных данных понимают в Минюсте, Госслужбе и в бизнес-сообществе, корреспондент «Экономической правды» отправился на заседание HR-комитета Европейской Бизнес Ассоциации и одновременно — тренинг.

Этот тренинг проводил другой заместитель главы Госслужбы по вопросам защиты персональных данных — Владимир Козак и директор департамента взаимодействия с органами власти Минюста Елена Зеркаль. Послушать этих людей пришло близко 50 специалистов, в основном, главы HR-департаментов крупнейших компаний и юристы.

Козак начал было рассказывать о законе, цитировать его статьи, но очень быстро 50 недружественно настроенных специалистов по кадрам начали задавать вопросы.

Один из таких вопросов звучал примерно так: "Я работаю в представительстве зарубежной компании в Украине. Наше представительство отправило на регистрацию в Госслужбу базы данных. Правильно ли мы сделали? "

Козак ответил, что представительству не нужно было этого делать, потому что оно не является юридическим лицом. Тот, кто задавал этот вопрос отметил, что в законе об этом ничего не сказано. На что Козак посоветовал включить логическое мышление.

А через три минуты другой представитель Госслужбы, имя которого узнать не удалось, заявил, что представительство зарубежной компании все-таки должно было регистрировать свои базы. А Зеркаль из Минюста настоятельно рекомендовала «нанять грамотного юриста». По залу пошел смех.

Потом посыпались вопросы типа "правильно ли мы поступили, отправив вам базу данных клиентов? ", " Зачем торговцу с рынка регистрировать свои базы и какие — записные книжки? ".

Стало совершенно очевидно, что даже специалисты высокого уровня действительно не понимают, как выполнять закон, ибо, по их мнению, очень сырой. Они хотели услышать трактовку этого закона от того, кто его писал, и кто намерен контролировать его соблюдение. Но Зеркаль, слыша каждый из подобных вопросов, театрально хватался за голову, закатывала глаза, демонстрируя присутствующим их некомпетентность.

Наконец, она пригласила желающих прийти к ней в Минюст и обсудить каждый случай отдельно (как связаться с Зеркаль, можно узнать здесь).

Козаку был задан вопрос, а правильно поступила компания «Воля», написав на обороте платежной квитанции, что клиент, оплачивая ее, дает согласие на обработку его данных.Заместитель председателя Госслужбы, опираясь на нормы закона о защите персональных данных, ответил так: «А вы почитайте договор с» Волей «- там все написано».

Как сообщила «Экономической правде» компания «Воля», такой пункт содержится в договорах, подписанных с клиентами после вступления закона в силу. В старых договорах, соответственно, такого пункта нет. При этом упомянутый текст присутствовал на квитанциях для абсолютно всех клиентов — и новых, и старых, пришедших в компанию в 2011 году, потому что в то время их согласие на обработку персональных данных законами не было предусмотрено.

Козак также опроверг, что проверки предприятий уже начались, хотя несколько раз в своей речи упомянул, что «в ходе проверок были выявлены классические ошибки ...»

Представитель рекрутинговой компании спросил Козака, следует считать базой данных имена и контакты, собранные с Facebook. Чиновник сказал, что лично он считает незаконным ситуацию, когда с ним связываются через Facebook, чтобы, например, предложить работу. На вопрос, а читал пользовательское соглашение с Facebook, Козак не ответил.

Во время тренинга было заметно, что Зеркаль и Козак на ходу придумывают, как выполнять нормы закона в том или ином случае. Казалось, что они импровизировали и были настроены к своим «ученикам» чрезмерно агрессивно.

Отвечая на вопрос, что делать, если при приеме на работу человек отказывается подписать бумагу об сбор, хранение и обработку его персональных данных, Зеркаль дала такую рекомендацию: «Не берите на работу». Замечание о том, что это не согласуется с другими законами, представительница министерства отвергла.

Зеркаль сделала еще одно важное заявление - закон о защите персональных данных она назвала рамочным.

Как известно, «рамочный» может означать «предварительный» или даже «приблизительный», т.е. документ рамочного характера определяет общие принципы, а механизм реализации такого документа прописывается в контрактах или в полноценном законе.

К сожалению, сотрудник Минюста Зеркаль, называя закон рамочным, не уточнила, где в законе об этом сказано. На самом деле это полноценный закон, хотя по сути, по форме и по духу он, наверное, рамочный, потому как не дает четких указаний, как его выполнять.

В итоге присутствующие специалисты поняли, что тренинг им никак не поможет и чиновники не отвечают на их вопросы, и по одному покидали мероприятие. Сложилось впечатление, что Госслужба по защите персональных данных — это подобие Нацкомиссии по вопросам морали: понятия «порнография» чиновниками трактуется так, а нормальными людьми — иначе. Но у первых в руках власть.

По информации источников «Экономической правды», правительство поручило Минюсту доработать закон о защите персональных данных. Источник сообщает, что руководители предприятий, принадлежащих некоторым вице-премьер-министрам, пожаловались на то, что закон не выдерживает никакой критики и создает проблемы в работе. Когда вице-премьеры вникли в ситуацию, как говорит источник, им стало не по себе.

На вопрос, почему парламент, состоящий из крупнейших предпринимателей и промышленников, проголосовал за этот закон, Ляпина сказала, что и депутаты не особенно вникали в то, что происходит — увидели закон с красивым названием «о защите» и проголосовали «за». В конце прошлой сессии парламента депутаты уже со знанием дела проголосовали за введение штрафов не с 1 января, а с 1 июля этого года. Однако, закон требует серьезных изменений.

А предприниматель Лютина так и не зарегистрировала свои базы данных: "Конечно, у меня есть базы данных, но пока я не пойму, из них интересуют власть и мне за это будет, я не собираюсь ничего делать. Пусть сначала докажут, что в меня эти базы есть и что я нарушила закон ".

Оригинал статьи можно увидеть по этой ссылке _http://megalife.com.ua/interest/73099-chomu-zakon-pro-zaxist-personalnix-danix-nemozhlivo-vikonati.html

Вот на такую интересную статью я наткнулся в сети интернет. На сегодня все. До следующих выпусков.
С уважением Николай Якименко автор блога «Предпринимательство как образ жизни»