logo-image
Personal data protection "in a new manner" – a step towards Europe or backwards?

You can read the article below in the language of the original.

Захист персональних даних "по новому" – крок в Європу чи навпаки?

Аналіз положень Закону, котрі зможуть ускладнити життя володільцям і розпорядникам баз персональних даних

Питання захисту персональних даних вже досить довгий час привертає увагу правників та широких кіл суспільства. Воно є одним із індикаторів демократизації українського законодавства та інтеграційних кроків України до європейського інформаційного простору.

Нарешті можна констатувати що багатостраждальна робота над розробкою законодавства про захист персональних даних завершена - 1 січня 2011 року набрав чинність ЗаконУкраїни "Про захист персональних даних", прийнятий після багатьох обговорень тадоопрацювань в рамках поетапного виконання Україною вимог Євросоюзу, закріплених в спільній Угоді під умовною назвою "матриця співпраці".

ФАБУЛА

Врегулювання правовідносин у сфері захисту персональної інформації в Україні є, безумовно, позитивним явищем, однак ряд положень нового Закону не витримує критики з точки зору їх практичної реалізації та доцільності і виникає питання - наскільки насправді новий Закон наближає українське законодавство про захист персональних даних до європейських вимог.

Зокрема, Законом передбачається створення уповноваженого державного органу зпитань захисту персональних даних (у складі органів виконавчої влади). На перший погляд це відповідає європейському досвіду, де існує інститут Уповноваженого з питань захисту персональних даних. Однак, на відміну від України, Уповноважений є незалежною структурою (яка хоч і може призначатися владними органами), що забезпечує баланс особистих, громадських та державних інтересів.

Згідно положень статті 28 Директиви 95/46/ЄС Європарламенту та Ради Євросоюзу від 24.10.1995 року про захист прав приватних осіб щодо обробки персональних даних і про вільний рух таких даних, відповідний державний орган обов'язково повинендіятив умовах повної незалежності та складати регулярні звіти про свою діяльність, які підлягають опублікуванню.

Натомість, у нашому Законі немає жодних положень про незалежність уповноваженого органу, що може унеможливити забезпечення захисту інтересів громадянина від можливих неправомірних дій (в тому числі і з боку держави).

Закон не містить положень щодо структури, порядку формування, складу, а також вимог до особи, яка має очолити цей орган. Можливо, в рамках розробки відповідних підзаконних актів законотворцям слід розкрити більш детально контрольно-наглядові функції та повноваження органу, що зробило б його роботу більш прозорою, підвищило б довіру суспільства і дозволило ефективно працювати за умов інтенсивного розвитку інформаційних технологій. Адже, на нашу думку, наділення уповноваженого органу можливістю доступу до інформації та приміщень, де здійснюється її обробка, без конкретизації прав та підстав такого доступу, може на практиці "розв'язати руки", дозволивши посадовим особам органу втручатися в комерційні справи банків, операторів зв'язку та багатьох інших організацій, шкодячи не тільки таким комерційним структурам але й мільйонам їх клієнтів.

Також слід додати, що наразі невідомо, чи буде створюватись окрема структура, що буде виконувати функції уповноваженого органу, чи відповідними повноваженнями буде наділений один із існуючих органів влади.

Окремо слід відмітити положення Закону щодо надання власниками баз персональнихданих повідомлень до уповноваженого органу. Не зупиняючись безпосередньо на самій вимозі про реєстрацію таких баз, слід зазначити, що Закон вимагає повідомляти уповноважений орган про кожну зміну місцезнаходження бази даних або цілі їх обробки.

Скоріш за все, така норма була прийнята з огляду на положення вищезгаданої Директиви ЄС, яка зобов'язує власника інформувати уповноважений орган про дії щодо обробки персональних даних. Наші законодавці пішли ще далі, внаслідок чого, кожен власник бази персональних даних буде змушений повідомляти уповноважений орган про кожну зміну серверного майданчика, хостера, або зміни в програмному забезпеченні, які можна кваліфікувати як зміну цілей обробки даних.

Незважаючи на прогресивність окремих положень Закону, зокрема щодо встановлення обов'язку отримання згоди суб'єкту персональних даних на їх обробку, зміну, передачу третім особам і навіть знищення, на практиці у деяких власників баз даних можуть виникнути труднощі, пов'язані із необхідністю отримання таких погоджень від кожного суб'єкта і щодо кожної операції з його персональними даними.

Відповідна норма Закону щодо форми повідомлення дозволяє використовувати не тільки письмові погодження і напевне була покликана розширити можливі варіанти оформлення згоди. В той же час, згідно Закону, будь-яка така згода повинна бути задокументована. У такому разі незрозуміло, наприклад, чи вважатимуться документуванням згоди подальші (конклюдентні) дії суб'єкта із надання своїх персональних даних на сайті.

Чи вважатимуться документуванням згоди подальші (конклюдентні) дії суб'єкта із надання своїх персональних даних на сайті?

Також виникає питання - як власник бази даних зможе зберігати документальні підтвердження всіх згод, наданих йому суб'єктами. Ймовірно також, що з метою уникнення зайвого документообігу, власники баз даних будуть змушені формулювати текст відповідної згоди максимально широко, аби дозволити собі виконувати майже будь-які операції із персональними даними.

Окремо варто відмітити, що Закон забороняє обробку так званих "вразливих" персональних даних, до складу яких, зокрема включені "світоглядні переконання". Застосування такого неконкретного і розпливчатого формулювання може дозволити суб'єкту персональних даних маніпулювати відповідними обмеженнями, що містяться в Законі. З іншого боку така недосконалість дає можливість недобросовісному власнику бази даних збирати та обробляти в тому числі і дані, що віднесені до заборонених.

ВИСНОВОК

Підсумовуючи вищевикладене, виявляється, що новий Закон може потребувати доопрацювання. Вже зараз відомо про активну кампанію щодо призупинення його дії, ініційовану правозахисними колами. З іншого боку, бізнес-кола також можуть зазнати шкоди через недоопрацьованість та недосконалість окремих положень цього Закону. У будь-якому випадку, за відсутності призначеного уповноваженого органу, врегульованої реєстраційної процедури та підзаконних актів, що деталізуватимуть спірні норми Закону, наразі не можна сказати, як на практиці відбуватиметься його реалізація.

Author: Illya Onyschenko
Source: LIGA Zakon. - http://news.ligazakon.ua/news/2011/1/17/36298.htm