Закону України «Про захист персональних даних»
Вид материала | Закон |
- Вердити Положення про обробку І захист персональних даних у базах персональних даних,, 151.66kb.
- Порядок обробки персональних даних в банківській діяльності І. Загальні положення, 257.9kb.
- У країна запорізька міська рада, 184.89kb.
- Відповідальність за порушення законодавства у сфері захисту персональних даних, 26.54kb.
- «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності, 332.54kb.
- Рефера т, 90.13kb.
- Список інформації документів з обмеженим доступом, що знаходяться у системі діловодства, 40.97kb.
- Ради Європейського Союзу от 24 жовтня 1995 року, Конституції України, закон, 298.89kb.
- Закону України "Про захист персональних даних", 133.62kb.
- Начальникам уіаз (віаз) гумвс, умвс україни в Автономній Республіці Крим, областях,, 8.53kb.
Пояснювальна записка до проекту Закону України
«По внесення змін до Закону України «Про захист персональних даних»
- Щодо визначення терміну «персональні дані».
Наведене в чинній редакції Закону визначення терміну «персональні дані» є незрозумілим та неконкретним: «персональні дані – відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована (?)». З даного формулювання залишається незрозумілим, за яким принципом інформація про особу може бути віднесена до персональних даних. Необхідно сформулювати термін так, що з визначення «персональні дані» був зрозумілий принцип, за якою саме ознакою інформацію слід відносити до персональних даних. Пропонується віднести до таких саме ті відомості, які є достатніми для встановлення факту, що вони належать конкретній особі: «персональні дані – відомості про фізичну особу, які дають можливість ідентифікувати таку особу» (стаття 1 проекту Закону). Так, наприклад, прізвище ім’я, по-батькові особи та її номер мобільного телефону окремо не можуть вважатись персональними даними, оскільки окремо взяті вони не дають можливості ідентифікувати будь-яку особу (адже таке ж ПІБ може мати багато інших осіб в країні; і номер мобільного телефону без зазначення імені його власника, очевидно не є ПД). Проте в сукупності, ці відомості є ПД, оскільки за допомогою них може чітко бути встановлено, якої саме особи вони стосуються.
- Щодо отримання згоди у особи на обробку її персональних даних.
Відповідно до Закону вимагається отримання згоди у особи на використання її персональних даних. Норми закону у прийнятій редакції сформульовані таким чином, що отримувати згоду в особи на використання її даних потрібно фактично у всіх ситуаціях (навіть при передачі візитки, при написанні особі e-mail та ін.). До того ж, Законом вимагається зберігати документальне підтвердження кожного випадку отримання згоди особи на використання її ПД (а всі компанії зобов’язані вести архів таких документальних підтверджень).
Очевидно, що вимогу про отримання згоди в більшості випадків неможливо виконати. Така вимога Закону зовсім не сприяє посиленню захисту персональних даних особи, а лише створює додаткові перешкоди для ведення бізнесу.
З метою врегулювання даної проблеми проектом змін до Закону пропонується встановити перелік випадків, коли отримування згоди особи на обробку її ПД не є необхідною. Адже в реаліях сьогодення використання персональних даних особи в тій чи іншій формі відбувається постійно, і в більшості випадків таке використання не становить жодної загрози праву особи на приватність. Очевидно, в таких «формальних» випадках не має необхідності отримувати згоду в особи. В Закон вводиться стаття 6-1 проекту Закону (в чинній редакції дана стаття відсутня).
3. Щодо обов’язкового письмового повідомлення суб’єкта персональних даних про включення його даних в базу ПД.
Законом встановлено обов’язок володільця персональних даних повідомляти виключно в письмовому вигляді суб’єкта персональних даних про включення його даних в базу персональних даних протягом 10 робочих днів від дати такого розміщення. Варто зазначити, що така вимога Закону не є доцільною. Адже будь-яка обробка персональних даних і так є можливою після отримання попередньої документованої згоди суб’єкта персональних даних. Тому є незрозумілим, для чого додатково повідомляти суб’єкта персональних даних про включення його даних в базу, якщо від нього попередньо отримана згода використання його даних (та ще й в письмовій формі).
Виконання такої вимоги є недоцільною та змусить суб’єктів господарювання нести значні витрати на відправлення письмових повідомлень кожному суб’єкту персональних даних.
В зв’язку з цим, пропонуємо виключити дане положення з Закону (частина 2 статті 12 Закону).
4. Щодо реєстру баз персональних даних та необхідності реєстрації баз персональних даних.
Наведені у Законі визначення понять «персональні дані», «база персональних даних» означають, що всі компанії в тому чи іншому вигляді ведуть бази персональних даних (адже базою ПД може бути будь-який масив інформації, який містить хоча б ПІБ особи разом з її номером телефону), а в деяких з них кількість баз персональних даних може вимірюватись сотнями. Таким чином, відповідно до вимог статті 9 Закону всі вони зобов’язані будуть зареєструватись як володілець бази ПД, та реєструвати кожну базу ПД в державному реєстрі баз даних, а також щоразу вносити зміни до реєстру у випадку зміни її місцезнаходження, розпорядника, мети обробки, назви та ін.
Необхідно наголосити, що ідея створення такого реєстру є абсолютно невиправданою. Адже в ньому повинні будуть зареєструватись майже всі суб’єкти господарювання (яких в Україні налічується більше одного мільйона), і відомості такого реєстру майже повністю будуть дублювати інформацію, яка міститься у інших державних реєстрах (н-д: ЄДРПОУ). При цьому Держава буде змушена задіяти значні фінансові та організаційні ресурси для створення та обслуговування реєстру. Додаткових витрат зазнають і компанії, які будуть змушені реєструвати кожну наявну в неї базу персональних даних.
Вже зараз є очевидним, що державний реєстр не буде (і в принципі не може бути) ефективним інструментом захисту права особи на її приватне життя, а лише буде створювати додаткові перешкоди для ведення бізнесу. Тому ми що пропонуємо виключити з Закону положення про державний реєстр баз персональних даних (ст. 9 Закону).
Альтернативний варіант врегулювання даного питання міститься в аналогічному Законі Російської Федерації, відповідно до якого існує реєстр не баз персональних даних, а реєстр суб’єктів, що здійснюють обробку персональних даних. Таким суб’єктам потрібно лише зареєструватись в якості особи, що займається діяльністю з обробки персональних даних, а не реєструвати кожну наявну базу персональних даних. Разом з тим, необхідно зазначити, що і така конструкція навряд чи буде доцільною. Адже як зазначено вище, в такому разі майже всі підприємства та фізичні – особи підприємці будуть змушені зареєструватись у даному реєстрі. За таких обставин існування реєстру втратить будь-який сенс. Тому ми і пропонуємо повністю ліквідувати інститут реєстрації баз персональних даних.
5. Щодо визначення «публічних осіб», персональні дані яких не є інформацією з обмеженим доступом.
Законом наведено перелік осіб, чиї персональні дані не є конфіденційною інформацією, і використання яких не потребує згоди даної особи. Проте в прийнятій редакції суттєво звужено коло даних осіб. До них належить лише державні службовці 1-ї категорії та особи, які претендують на зайняття та займають виборні посади. В такій ситуації не зрозуміло, як бути з використанням персональних даних інших так званих «публічних осіб», які є об’єктом особливої уваги з боку суспільства (які не належать до перелічених категорій), а також даних будь-яких посадових осіб підприємств, що стосуються їх службової діяльності.
В зв’язку з наведеним пропонується розширити коло «публічних» осіб», персональні дані яких не є конфіденційною інформацією та використання яких, відповідно, не потребує отримання їх згоди, а також передбачити, що інформація про особу, що стосується її службової діяльності – не є конфіденційною інформацією - (частини 4 та 5 ст. 5, п.9 ч.2 ст.6-1 проекту Закону).
6. Щодо необхідності введення термінів «Загальнодоступні персональні дані», «Загальнодоступні джерела персональних даних».
Вказані поняття відсутні у прийнятій редакції Закону. Доцільність їх введення потрібно розуміти в контексті п. 1 ч.2 ст.6-1 проекту Закону, відповідно до якого загальнодоступні персональні дані не потребують отримання згоди особи на їх обробку. До загальнодоступних джерел ПД можуть належати довідники, каталоги, адресні книги, до яких поміщені дані про особу за згодою цієї особи. Варто звернути увагу, що до загальнодоступних джерел не можуть належати соціальні мережі та інтернет-ресурси, які хоч і є за своєю природою відкритими джерелами, проте якщо особа залишає там свої дані, то робить це з іншою метою, ніж та, з якою може здійснюватись обробка цих даних володільцем персональних даних. Терміни введені у статтю 2 проекту Закону.
7. Щодо повноважень уповноваженого органу.
Законом передбачено право уповноваженого органу, зокрема, мати вільний доступ до будь-яких приміщень, де здійснюється обробка персональних даних. Надання уповноваженому органу таких повноважень є недоцільним. Адже навіть якщо особа, яка здійснює обробку ПД, не виконує якихось приписів закону про захист ПД, це не може бути підставою для притягнення її до відповідальності доти, поки сам суб’єкт персональних даних не вважатиме, що цим його права порушені, і не поскаржиться на порушення. Наділення уповноваженого органу такими повноваженням лише створить умови для корупції та зловживань з боку представників цього органу, які під приводом перевірки законності обробки персональних даних зможуть безперешкодно входити та обшукувати будь-які приміщення підприємств.
Зважаючи на наведене, пропонується скасувати право представників уповноваженого органу мати доступ до приміщень підприємств. Пропонується надати уповноваженому органу право здійснювати перевірки суб’єктів лише тоді, коли надійде скарга від суб’єкта персональних даних про неправомірне використання його даних. При чому предметом перевірки повинні бути не обстеження та обшук приміщень, де знаходиться сервер, а лише дослідження питання, чи на законних підставах і у законний спосіб володілець бази ПД використав персональні дані особи у конкретно визначеній ситуації (пункт 4 частини 7 статті 27 Закону).
8. Щодо відповідальності за порушення законодавства про захист персональних даних.
Оскільки Закон спрямований на захист права особи на таємницю приватного життя, то видається доцільним притягати до відповідальності порушників Закону лише у випадку спричинення реальної шкоди особі внаслідок неправомірного використання її персональних даних (при чому, якщо сама особа вважає, що її права порушені). Діюча редакція не містить такої умови, внаслідок чого до відповідальності може бути притягнута особа, яка формально не виконала якийсь припис закону, проте не заподіяла цим жодної шкоди кому-небудь. Така конструкція суперечить здоровому глузду (зміни – ст. 28 проекту Закону).
9. Щодо дати набрання чинності Законом.
Відповідно до прикінцевих положень Закон набирає чинності 01.01.2011 року. Слід зазначити, що реальне функціонування даного закону можливе лише після затвердження відповідних нормативно-правових актів, та налагодження роботи уповноваженого органу. До вказаної дати зробити це не вбачається можливим. Тому пропонується відтермінувати дату набрання чинності Законом до 01.07.2011 року. Що стосується функціонування реєстру баз персональних даних, то введення в дію даного механізму потребує ще більше часу, тому вступу в дію закону в цій частині пропонується перенести на 01.01.2012 року (частини 1, 2 Прикінцевих положень).
10. Інше
В Законі міститься ряд інших суперечностей, невизначених положень, технічних недоліків, які потребують доопрацювання. Багато з них потребують виправлення, оскільки вони є похідними нормами від тих, що описані у даній Пояснювальній записці.
З повагою,
Дмитро Йовдій