До вступления в силу Закона Укра­ины «О защите персональных данных» (Закон) правоотношения в сфере сбора, хранения, использования и защиты информации регулировались Кон­ституцией Украины, Гражданским кодексом Украины, законами Украины «Об информации», «О защите информации в информационно-телекоммуникационных системах» и другими нормативными актами. При этом целостная система регулирования этой сферы как таковая отсутствовала, существовавший набор норм был фрагментарным и несистематизированным. В частности, указанные правовые акты для определения персональных данных использовали такие понятия как «информация о лице», «конфиденциальная информация о лице», «информация о гражданине» и т.д. Соответственно, за исключением общих норм, детальных требований непосредственно к различным процессам обработки персональных данных, методикам их защиты и передачи, ответственности и т.д. на тот момент не существовало.

Именно необходимость в систематизации и структурировании существующих норм в области персональных данных и была одной из причин принятия Закона как комплексного акта, направленного на урегулирование всех аспектов обращения с персональными данными, начиная от проработки терминологии и общих принципов и заканчивая ответственностью и функциями уполномоченного государственного органа. При разработке Закона также были учтены требования об обеспечении защиты прав человека, предусмотренные статьями 3, 32, 34 Конституции Украины и положением Европейского законодательства о защите персональных данных.

Заручиться согласием

Соответственно, после вступления в силу Закона перед украинскими и иностранными компаниями, ведущими бизнес на Украине, возникла необходимость привести свою деятельность в соответствие с новыми требованиями. В ходе этого процесса могут возникать сложности, связанные с некоторыми особенностями Закона. Также следует учитывать ряд практических моментов, с которыми может столкнуться предприятие, совершающее шаги на пути соблюдения требований Закона.

По нашему мнению, работу над приведением деятельности в соответствие с Законом следует начать с проведения внутреннего информационного аудита, направленного на определение объема персональных данных, обрабатываемых компанией, установление закономерностей процессов обработки и передачи персональных данных третьим лицам, структурирования существующих баз данных для удобства их регистрации. Следует определиться с реальным месторасположением баз данных, определить способы защиты данных, выявить всех их распорядителей.

Зачастую на этом этапе выясняется, что предприятие имеет большое количество баз, содержащих в себе персональные данные. У компаний с иностранным капиталом, являющихся дочерними предприятиями крупных интернациональных корпораций, кроме этого, могут возникать специфические задачи (локализация баз, определение централизованного администратора, распорядителя, документирование трансграничного движения информации и т.д.). Нередко возникают проблемы с идентификацией и структурированием баз данных, например, в случаях, когда персональные данные обрабатываются обособленным подразделением и передаются материнской компании за границу, либо сами базы данных имеют специфическую природу ввиду деятельности компании (например, включают в себя несколько целей обработки и т.д.).

На этапе разработки внутренней документации по работе с персональными данными — должностных инструкций, внутренних положений об обработке персональных данных, регламентов, правил защиты персональных данных и т.д. — настоятельно рекомендуем учитывать положения Типового порядка обработки персональных данных в базах персональных данных, утвержденного приказом Министерства юстиции Укра­ины № 3659/5 от 30 декабря 2011 года. Как правило, основной сложностью этого этапа является отсутствие на предприятии или недоработанность существующих алгоритмов работы с персональными данными, что становится особенно очевидным при попытке их структурирования и фиксации на бумаге.

Далее ряд сложностей может возникать на этапе сбора согласий физических лиц — собственников персональных данных, а также при рассылке уведомлений о действиях с их персональными данными. Зачастую выясняется, что эти действия могут потребовать выполнения значительного объема работы, особенно в случаях, когда специфика бизнеса связана с большими объемами ежедневно обрабатываемых компанией персональных данных. При этом настоятельно советуем не забывать о том, что, согласно разъяснениям Государственной службы по защите персональных данных, кроме «классической» бумажной формы оформления согласия, допускается также получение согласия в электронной форме, например, путем проставления отметок на веб-странице или оформления электронного документа, при условии соблюдения соответствующих технических требований.

Согласно разъяснению Министерства юстиции от 21 декабря 2011 года, согласие лица должно содержать информацию о целях обработки, объеме персональных данных, порядке использования данных, включая использование уполномоченными работниками, информацию о действиях по защите персональных данных и порядок предоставления частичного или полного доступа третьих лиц к ним. Кроме того, должен быть указан порядок распространения и доступа к персональным данным в контексте статей 14 и 16 Закона. На практике при полном соблюдении этих требований такое количество информации может превратить формальное согласие в объемный документ, частично дублирующий нормы положения об обработке персональных данных. По нашему мнению, при разработке формы согласия следует занимать взвешенную позицию. С другой стороны, как вариант можно рассмотреть возможность включения в текст согласия также элементов формы уведомления лица, дополнив его перечнем прав лица и местонахождением базы данных.

Особенности законодательства в сфере персональных данных таковы, что может существовать множество факторов, которые необходимо учитывать при выполнении требований Закона, например, наличие и количество филиалов, существующие процессы передачи персональных данных третьим лицам (в том числе и за границу), большое количество администраторов баз персональных данных и т.д. Все это исключает возможность работы «по шаблону» и требует индивидуального подхода в каждом конкретном случае. Кроме того, новизна законодательства приводит к тому, что без дополнительной помощи не может обходиться и сам ответственный персонал — нередко возникают «нестандартные» вопросы и необходимость в дополнительных разъяснениях.

Госслужба завалена работой

Как известно, процесс регистрации баз персональных данных в настоящий момент осложнен большим количеством заявлений, поданных в Государственную службу. Получение свидетельства о регистрации базы персональных данных может занимать неопределенное количество времени. Поскольку Государственная служба не осуществляет регистрацию поданных заявлений, рекомендуем направлять материалы почтой с уведомлением о вручении для сохранения доказательств такой подачи. Для компаний, имеющих действующие электронные подписи, этот процесс может быть еще проще, так как допускается подача и заявлений в электронной форме.

Также рекомендуем задокументировать существующие отношения с распорядителями персональных данных, заключив с ними письменные соглашения. При этом на практике не всегда можно однозначно определиться, в каком случае передача данных третьему лицу приводит к тому, что оно становится распорядителем, и требует наличия соответствующего договора. Такие вопросы следует рассматривать в каждом конкретном случае исходя из фактических обстоятельств.

Отдельно следует сказать о возможных последствиях невыполнения норм Закона. Нарушение законодательства о защите персональных данных может быть основанием для подачи гражданами исков в связи с выявленными ими нарушениями порядка использования их персональных данных. С этим может столкнуться, по сути, любая компания, ведущая хозяйственную деятельность, поскольку формулировки Закона позволяют во многих случаях утверждать, что работа с персональными данными требует соблюдения ряда формальных процедур.

С другой стороны, несоблюдение норм Закона также чревато и административными санкциями. Соответствующие изменения в Уголовный кодекс Украины и Кодекс Украины об административных правонарушениях, устанавливающие ответственность за нарушения законодательства в сфере персональных данных (неуведомление физического лица о его правах, уклонение от регистрации баз данных, неуведомление регулятора об изменении сведений, поданных при регистрации баз, незаконный сбор и использование конфиденциальной информации), предусматривают ответственность в виде штрафов до 17 000 грн и ограничение свободы. При этом срок вступления в силу таких санкций в настоящее время перенесен на шесть месяцев, то есть на июнь 2012 года.

По нашему мнению, шестимесячная отсрочка должна позитивно сказаться как на текущей работе регулятора, так и в части разрешения некоторых других спорных или до конца не урегулированных вопросов (например, в отношении компетенции Государственной службы при проведении проверок, специфики работы с персональными данными в транснациональных корпорациях, альтернативных способов получения согласия лиц на обработку персональных данных и т.д.). При этом, однако, риски, связанные с потенциальными претензиями со стороны граждан — собственников персональных данных, по-прежнему останутся.

ОНИЩЕНКО Илья — юрист ЮФ «Астерс», г. Киев