Защита персональных данных: на один шаг ближе к Европе или …?
Защита персональных данных:
на один шаг ближе к Европе или …?
Компания "IDM-Проект"
Онищук Владислав
С 1 января 2011 года вступил в силу Закон Украины «О защите персональных данных», основной целью, которого является – защита персональных данных, которые обрабатываются в базах персональных данных (далее БПД).
При изучении любого нового закона (особенно если он регулирует какую, то абсолютно новую сферу общественных отношений), чтобы понять его сущность необходимо уяснить какие изменения в обществе побудили законодателя к его принятию. В данном случае изучив ЗУ «О защите персональных данных» к однозначному ответу прийти нельзя. Многим непонятно, какую же опасность для них представляет разглашение их фамилии, имени, отчества, телефона, места проживания и т.п.
Для понимания данного вопроса необходимо обратится к практике Европейского союза (далее ЕС), где в конце ХХ века была разработана и принята Директива 95/46/ЕС Европейского Парламента и Совета от 24 октября 1995 г. «О защите физических лиц в отношении обработки персональных данных и о свободном движении таких данных».
Проанализировав практику ЕС в вопросе защиты персональных данных, мы пришли к выводу, что причиной принятия данной Директивы является научный прогресс, а точнее развитие мобильных систем связи и интернета.
Всякому из нас у кого есть мобильный телефон или e-mail, хотя бы раз в жизни приходило sms или письмо с рекламой. К тому же, не так давно в Украине прижилась западная привычка рассылать, рекламные каталоги по почте. Конечно, когда подобное сообщение приходит раз в неделю или того реже мы этого не замечаем. Но представьте себе, что ваш мобильный телефон, e-mail, или обычный почтовый ящик ежедневно забивается сотнями рекламных сообщений и так изо дня в день на протяжении всей вашей жизни. Именно с такими общественно опасными даяниями и решили бороться в ЕС в конце ХХ века.
Схема данной борьбы оказалась крайне простой: во-первых, такие данные как имя, фамилия, телефон, домашний адрес т.п. были объявлены персональными и взяты под защиту государства. Во-вторых, разрешать иным лицам пользоваться этими данными может только физическое лицо, которому они принадлежат, использование их без разрешения карается по всей строгости закона. В результате физические лица сами решают, кому предоставлять право пользоваться своими данными и от кого будут получать рекламные сообщения (ведь иногда они могут быть крайне полезны, к примеру, sms о скидках в любимом магазине одежды). В-третьих, для лиц осуществляющих пользование персональными данными физических лиц, с их разрешения, также установлено ответственность в случае умышленного разглашение этих данных третьим лицам (если только физическое лицо не дало разрешение на такое разглашение).
Конечно же, сказать что в Украине с принятием ЗУ «О защите персональных данных» создана такая же эффективная система их защиты как в ЕС нельзя. Основной проблемой национальной системы защиты персональных данных является то, что наши «законотворцы» попросту имплементировали содержание указанной Директивы ЕС без учета той многолетней практики ее применения, которая сложилась в ЕС. То к чему Европа шла, многие годы мы попытались осуществить за пару лет. В результате, как и большинство новых законов принимаемых в Украине ЗУ «О защите персональных данных» создает проблемы не для тех, кто его принял, а для тех кто его должен исполнять. Поэтому одним из наиболее насущных на сегодняшний день правовым вопросом является регистрация баз персональных данных, в которых содержится персональная информация физических лиц.
Мы не будем рассматривать процедуру регистрации БПД, ее в своих статьях и семинарах рассмотрело множество юристов, мы рассмотрим тот вопрос, на который никто не может дать однозначный, вразумительный ответ «Что такое «база персональных данных»?».
Да, в законе есть определение БПД, но если слепо следовать ему, то Вам придется регистрировать пачку визиток у вас в кармане. Чтобы разъяснить содержание понятия БПД необходимо снова обратится к практике ЕС. Но открыв Директиву, вы увидите там почти такое же определение БПД как и в нашем законе.
Все дело в том, что разгадка тайны БПД кроется не в Директиве, а в разъяснениях, которые давались к ней государственными органами в различных странах ЕС. Изучив данные разъяснения становиться ясно, что Директива была создана первоочередно для защиты электронных БПД обрабатывающихся на компьютерах и уже второстепенной была задача защиты «бумажных» БПД.
Причиной такой расстановки приоритетов является все тот же научно технический прогресс. Ведь опасность завладения электронной БПД путем ее взлома через сеть интернет существенно выше, чем того что кто то проникнет к вам в офис и украдет несколько картотек. Да и количество информации, содержащейся в электронной БПД, значительно больше, чем в «бумажной» (например список телефонных номеров мобильного оператора ни поместится ни в одной «бумажной» БПД).
Но вернемся к нашему главному вопросу «Что такое «база персональных данных»?».
В ЕС определили, что основной характеризующей чертой любой БПД является ее жесткая систематизация.
И, если с систематизацией электронных БПД, проблем не возникает (классическим примером электронной базы данных является 1С:Бухгалтерия, где все данные четко систематизированы и доступ к конкретной информации скажем о контрагенте осуществляется максимально оперативно), то с пониманием является ли «бумажная» БПД систематизированной могут возникнуть проблемы.
Поэтому поводу в ЕС было дано такое разъяснение, что доступ к любому запрашиваемому документу в не автоматизированной базе данных должен осуществляться, не менее оперативно, чем, если бы этот запрос был сделан через автоматизированную базу. Попытаемся разобраться с этим правилом на примере.
Предположим, что у Вас на предприятии есть определенное количество работников и по каждому из них у вас есть три бумаги, содержащие персональные данные:
- копия паспорта;
- копия идентификационного кода;
- копия диплома о высшем образовании.
Если данные документы систематизированы в картотеке по принципу: сначала идет сортировка папок работников в алфавитном порядке по их фамилии (с указанием фамилии на каждой папке), а потом каждая папка работника разбита на три подраздела под названиями: «Паспорт», «Диплом», «Идентификационный код», то такая база будет считаться систематизированной БПД и подлежать регистрации. База также будет считаться систематизированной, если она состоит из трех картотек под названиями: «Паспорт», «Диплом», «Идентификационный код», и каждая из этих картотек будет иметь подразделы, отсортированные по фамилиям работников в алфавитном порядке (и соответственно промаркированные фамилиями).
Но, если предположим, у вас на каждого работника будет папка, в которую будут просто подколоты документы в свободном порядке, то данная база не будет считаться систематизированной БПД, даже если эти папки будут храниться в алфавитном порядке.
Итак, в данной статье нами были рассмотрены первопричины принятия нормативных актов, защищающих персональные данные, и раскрыто понятие базы персональных данных. Хотелось бы также отметить, что мы никоим образом не пытаемся доказать что выполнять требований ЗУ «О защите персональных данных» не нужно. Мы лишь хотим обратить внимание законодателя и Государственной службы по защите персональных данных о необходимости официального разъяснения и уточнения норм данного закона, для их более эффективной работы.
Список нормативных актов, использованных при написании статьи:
- Закон Украины «О защите персональных данных» от 1 июня 2010г. № 2297-VI.
- Директива 95/46/ЕС Европейского Парламента и Совета «О защите физических лиц в отношении обработки персональных данных и о свободном движении таких данных» от 24 октября 1995 г.
