Внедрение механизмов защиты персональных данных поначалу вызывало у бизнеса множество опасений. Сомнения возникали не в необходимости гарантировать неприкосновенность личной жизни, а в совершенстве реализации норм в украинских условиях. Алексей Мервинский, председатель Государственной службы Украины по вопросам защиты персональных данных (далее — Служба), уверен, что новация лишь повысила социальную ответственность бизнеса и помогла сделать Украине шаг в сторону евроинтеграции. Подкрепив свои выводы фактами, он предоставил эксклюзивное интервью для «ЮП».

— Алексей Иванович, какие нарушения закона о защите персональных данных чаще всего допускают крупные компании? Какие санкции на них налагаются?

— Как известно, служба осуществляет государственный контроль за соблюдением требований законодательства о защите персональных данных (далее — ЗПД) путем проведения проверок владельцев или распорядителей баз персональных данных (далее — БПД). По состоянию на 24 октября с.г. Службой проведено 24 проверки владельцев и распорядителей БПД. По результатам проверок Службой выдано 19 предписаний об устранении нарушений законодательства о защите персональных данных.

В случае выявления состава административного правонарушения или признаков преступления Службой будут приниматься другие меры реагирования: составление административных протоколов о выявленных нарушениях законодательства в сфере защиты персональных данных или передача материалов правоохранительным органам.

Среди основных нарушений требований законодательства о ЗПД выделю следующие:

— отсутствие внутренних документов, регламентирующих действия, связанные со звукозаписью телефонных обращений абонентов и защитой персональных данных в связи с такой звукозаписью;

— не определена процедура осуществления регистрации результатов идентификации и/или аутентификации работников;

— отсутствие утвержденного ­порядка внесения, изменения, обновления, исполь­зования, распространения, обезличивания персональных данных в БПД и не определение порядка уничтожения персональных данных;

— взаимоотношения между владельцем и распорядителем баз персональных данных документами или урегулированы частично, или вообще не урегулированы;

— цель обработки персональных данных не соответствует заявленной.

— Среди проблем, усматриваемых представителями бизнеса, называется, в частности, отсутствие типовой формы согласия на обработку персональных данных. Насколько необходима такая форма?

— Действительно, такой формы нет. Но, исходя из анализа законодательства в сфере ЗПД, можно выделить обязательные элементы такого согласия. Документ должен содержать информацию относительно:

— цели, определяемой владельцем БПД в зависимости от вида его деятельности;

— объема персональных данных, а именно: четкого перечня персональных данных физического лица, обрабатываемых владельцем БПД;

— порядка использования персональных данных, предусматривающего действия владельца базы для обработки этих данных, действия по их защите, а также действия по предоставлению частичного или полного права обработки персональных данных другим субъектам отношений, связанных с персональными данными;

— порядка распространения персональных данных, предусматривающего действия владельца БПД о передаче сведений о физическом лице из БПД;

— порядка доступа к персональным данным третьих лиц;

— срока, на который дается согласие на обработку персональных данных.

— Некоторые компании жалуются на то, что месяцами не могут получить подтверждение о регистрации баз персональных данных из-за перегруженности сотрудников Службы. Есть ли необходимость в увеличении численности Службы?

— С конца 2011 года в Службу поступило на рассмотрение более 2,5 миллиона заявлений на государственную регистрацию баз персональных данных, требующих надлежащего хранения и обработки. Сейчас в Государственный реестр БПД внесены 293 798 заявлений, из них на сегодня службой рассмотрено 60 751 заявление. Службой зарегистрировано 25 789 баз персональных данных.

Но будет ли увеличение численности Службы считаться государственным подходом? Да, мы можем увеличить штат до 10 тысяч человек и на протяжении года зарегистрировать все базы. Но что с таким штатом делать потом? Мы минимальными силами завершим весь процесс за два-три года.

— Как Закон повлиял на отечественный бизнес? В каких сферах это наиболее ощутимо?

— Прежде всего, изменилась сфера телекоммуникации. Первым делом мы инициировали изменение Правил предоставления и получения телекоммуникационных услуг. Ключевой фразой в изменениях является необходимость согласия абонента на получение дополнительных телекоммуникационных услуг. Деятельность любых компаний в сфере рекламы очень изменилась, в частности, они отказались от навязчивой рассылки рекламы.

— Как мы знаем, злоупотребления имели место со стороны наибольших операторов мобильной связи…

— Операторы мобильной связи быстрее всех отреагировали на необходимость внед­рения саморегулирования. Самые большие операторы — МТС и «Киевстар» — разработали корпоративные кодексы поведения и согласовали их со Службой. ЗПД — это первая сфера, где отсутствует лицензирование, аттестация, сертификация. Есть случаи, когда такие кодексы использовались в судебных разбирательствах, и это наделяло компании другим статусом. Я надеюсь, что подобные кодексы будут разработаны в сфере гостиничного бизнеса. Сегодня поступает немало жалоб на то, что гостиницы используют данные клиентов без их согласия. Они трактуют согласие клиента на обработку данных в связи с поселением в номер как основание для использования этих данных в других целях. Так данные граждан попадают в базу «карточек лояльности» и т.д. Но согласие не может быть «огульным» — в каждом конкретном случае оно должно иметь свои цели.

Отмечу, что Служба сотрудничает с Американской торговой палатой, в которую входит огромное количество компаний. Есть надежда, что они разработают кодекс поведения, который будет принят всеми этими компаниями, входящими в Американскую торговую палату.

— То есть опасения насчет повсеместного привлечения к ответственности были надуманы?

— Совершенно верно! Сегодня не пре­ду­смотрена ответственность за отсутствие государственной регистрации базы. Есть санкции только за уклонение от регистрации! В ходе проверки будет достаточно доказать сам факт отправки заявки на регистрацию.

Если во время плановой или внеплановой проверки возникнет вопрос, что владелец БПД не осознал того, что ему необходимо было провести регистрацию базы, то сотрудники Службы предоставляют ему помощь касательно заполнения заявления, и это даже не указывается в предписании об устранении правонарушения.

— Таким образом, ажиотаж вокруг За­кона о ЗПД искусственно усиливался отдельными лицами?

— В моей практике были случаи, когда юристы во время публичных мероприятий не позволяли разъяснить, как выполнять процедуры Закона. Складывалось впечатление, что они не заинтересованы в информировании и специально хотят усложнить ситуацию. Ведь все технические процедуры не являются обременительными и не требуют значительных расходов.

Очень часто те общественные организации, которые громко высказывают свои мысли относительно Закона, защищают свой бизнес.

— Как планируется усовершенствовать законодательство в сфере ЗПД?

— Напомню, что 2 октября с.г. парламент принял закон, изменяющий Закон о ЗПД. Он ждет подписания Президентом Украины.

В частности, документ регулирует вопросы трансграничной передачи персональных данных, определив страны Евро­пейского экономического пространства и страны, подписавшие Конвенцию Совета Европы о защите лиц в связи с автоматизированной обработкой персональных данных, обеспечивающих надлежащий уровень ЗПД.

Для бизнеса важно, что Закон в предлагаемой редакции отменяет обязательность регистрации БПД, ведение которых связано с обеспечением и реализацией трудовых отношений.

Также мы надеемся на утверждение правительством Положения о подразделении, ответственном за обработку персональных данных. Там будут расписаны задания и функции подразделений предприятий, которые непосредственно отвечают за ЗПД. В соответствии с Законом на каждом предприятии должно быть подразделение или ответственное лицо. В реальной ситуации такие задания перекладываются на уже существующие структурные единицы, например, те, которые занимаются информационной безопасностью или кадровыми вопросами.

— Как будет выглядеть штат такого структурного подразделения?

— Если мы — сорок человек, входящих в Службу, — справляемся со всей Украиной, и каждый человек знает о Законе, то предположу, что на предприятии это может быть даже один ответственный человек. Но это лицо должно быть отделено от остальной структуры и не нагружено другими вопросами.

— Какие специалисты будут востребованы для такой работы — с юридическими или техническими знаниями?

— Эта сфера находится на пересечении более чем двух наук. Есть широко разветвленная сфера защиты информации. Есть компании, выполняющие такие работы, имея соответствующие разрешения.

Бизнес быстро сориентировался — есть немало фирм, которые занимаются подготовкой таких специалистов. К сожалению, не всегда можно быть уверенным в качестве подготовки. К примеру, встречались объявления, где людям предлагалось изучать российский закон о ЗПД.

(Беседовал Виталий ДУДИН,
«Юридическая практика»)