В начале июня Верховная Рада Украины приняла в целом Закон «О защите персональных данных».
С одной стороны, этот документ служит последовательному внедрению в украинских реалиях европейских ценностей и опыта по скрупулезной защите «приватного пространства» гражданина: информации, касающейся его непосредственно, его семьи, его здоровья, etc. Персональные данные — личное дело каждого, и на решение об аккумуляции таких данных сторонней организацией или компанией (когда и если закон вступит в силу) будет в большинстве случаев влиять человек, жизнь которого они непосредственно описывают.
С другой стороны, довольно сложно вообразить себе компанию, которой бы удалось действовать на рынке, не собирая информации, например, о покупателях или партнерах. Или абонентах. Или подписчиках. А по новому закону компании обязаны будут регистрировать свои базы персональных данных, а деятельность таких компаний, связанную с обработкой личной информации, будет мониторить специальный контролирующий орган.
В чем суть
Закон, который должен вступить в силу с 1 января 2011 года, ориентирован в значительной мере на подобные нормы европейского права (об этом позднее). Он призван защитить такие глобальные права человека, как право на приватность, но при этом может несколько усложнить жизнь украинскому бизнесу, который имеет дело с базами данных своих клиентов (то есть, изменения коснутся и деятельности телеком-компаний, и некоторых онлайн-бизнесов, и операторов связи, и продавцов товаров и услуг).
Среди этих изменений, прежде всего, предписание для всех компаний или организаций всех форм собственности проводить государственную регистрацию баз персональных данных. При этом под персональными данными понимается весьма широкая информация о субъекте.
Для сравнения: в украинском Законе «О защите персональных данных»:
Персональные данные — ведомости или совокупность ведомостей про физическое лицо, которое идентифицировано либо может быть конкретно идентифицировано.
В российском Законе «О персональных данных» от 27.06.2007 года:
Персональные данные — это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
В европейской Конвенции о защите лиц в связи с автоматизированной обработкой персональных данных, подписанной в г. Страсбурге 28.01.1981 года:
Персональные данные — это информация, касающаяся конкретного или могущего быть идентифицированным лица
Базы персональных данных надлежит регистрировать в установленном порядке: по тексту Закона, это означает подать заявку в уполномоченный государственный орган, который будет заниматься регуляцией данного вопроса, и который документом определяется, но не называется. По мнению члена консультативного совета по вопросам информатизации при ВР Александра Баранова, для телеком-отрасли, например, это может быть и Национальная комиссия по вопросам связи (НКРС), и Министерство транспорта и связи Украины. В России, например, за этим следит Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
При этом обязательная регистрация не будет обязательной для тех баз, которые создаются «физическим лицом исключительно для непрофессиональных личных или бытовых нужд», а также на журналистов или на профессиональных творческих работников.
Порядок регистрации баз данных банков будет устанавливать Национальный банк Украины.
Отдельной интересной нормой является положение о том, что компании, занимающиеся обработкой персональных данных, должны хранить документы, которыми подтверждается согласие субъекта этих данных на их обработку. А для того, чтобы включить данные в базу, потребуется письменное извещение субъекта на протяжении 10 рабочих дней. Также закон устанавливает существенные ограничения на доступ к таким данным для третьих лиц.
По тексту Закона, субъекты, чьи персональные данные занесены в базу, имеют право получать информацию об условиях доступа к персональным данным, в частности, о тех третьих лицах, которым такой доступ будет предоставлен. Субъект может также предъявлять мотивированное требование запретить обработку своих персональных данных органами власти. Доступ к базам персональных данных не может предоставляться третьим сторонам, которые не ознакомлены с данным Законом.
Плюсы и «крючки»
В целом рынок позитивно высказывается о принятом Законе. Так, его действие, может, например, существенно повлиять на неприятную, но ставшую традиционной «спамерскую» составляющую онлайн-бизнеса. «На деятельности компаний, которые проявляли уважение к персональным данным клиента, не продавая их куда-либо и не совершая с ними действий, которые с ними совершать не следовало, закон никак особо не отразится. А на деятельности компаний, которые занимались сбором данных и их продажей, например, спамерах, отразится самым непосредственным образом», — говорит заместитель председателя Интернет Ассоциации Украины Александр Ольшанский. Закон также прямо ограничивает возможности для торговли чужими данными — сегодня же купить нелегальную или полулегальную базу данных крупной компании можно на большинстве раскладок.
407
