Уанет и закон о защите персональных данных

2057
30

С 1 января 2012 года в стране начнут действовать изменения в Кодексе Украины об административных правонарушениях, что позволит государству штрафовать нарушителей закона «О защите персональных данных». Согласно этому закону, компании, имеющие базы данных (по клиентам/пользователям и сотрудникам), обязаны регистрировать их в Госслужбе по защите персональных данных (ГСЗПД). Также, закон обязывает компанию получить согласие субъекта, прежде чем внести его данные в базу. Несоблюдение закона предполагает штрафные санкции от 3,4 до 17 тыс. грн, а в некоторых случаях и уголовную ответственность. Впрочем, эксперты считают, что проблемы могут появиться только у обладателей самых больших баз данных, мелким и средним компаниям пока беспокоиться не о чем.

Сбор персональных данных

Юрист Интернет ассоциации Украины Олеся Гудзь говорит, что под действие закона попадают интернет-провайдеры, интернет-магазины, и все остальные интернет-компании, которые зарегистрированы как субъекты предпринимательской деятельности и собирают данные о пользователях (Ф.И.О, телефон, адрес проживания, IP-адрес). «Владельцы сайтов знакомств, которые накапливают у себя информацию о физических лицах — тоже могут квалифицироваться как владельцы баз персональных данных», — говорит она.

Одним из ключевых требований закона является получение от каждого пользователя согласия, на внесение его данных в базу или на их обработку каким-либо другим способом. По закону, согласие необоходимо получить в течении 10 дней с момента обработки данных. Госслужба предлагает это делать тремя способами: бумажным письмом, электронным документом, заверенным электронной подписью пользователя, или с помощью отметки в информационной системе, которая будет вести протокол согласий или отказов пользователей и не позволит обработку данных до получения согласия.

Очевидно, что самым подходящим для интернет-компаний, является третий способ. Однако, никаких конкретных разъяснений, о том, какой должна быть эта система, ГСЗПД не дает. Отраслевые специалисты считают, что на сайте достаточно будет добавить в пользовательское соглашение информацию о том, что обработка персональных данных осуществляется в соответствии с законом и указать цели обработки этих данных. «С начала года у нас появится пункт о конфиденциальности, который будет на всех страницах сайтов. При регистрации, новому пользователю будет предложено ознакомиться с этим пунктом и поставить галочку рядом со словами «Я принимаю соглашение». Кроме того, мы будем предупреждать пользователя, что указанный мобильный телефон в объявлениях, является общедоступным. Емейл, пароль и IP-адрес будут храниться в защищенном виде, а соответствующий орган будет знать о том, что у нас хранится такая информация. Сделать все это технически не сложно. Это нормальная политика конфиденциальности и зарубежные сайты давно ее практикуют»,  — рассказал директор RIA Сергей Лужецкий.

Впрочем, пока закон не отработан на практике, нельзя сказать однозначно, какой набор информации может считаться персональными данными. «Вряд ли один емейл, без указания Ф.И.О. и других сведений о пользователе можно назвать персональными данными», — считает Гудзь. В любом случае, тем сайтам, которые уже накопили базы данных, эксперты советуют подстраховаться и получить согласие пользователей на дальнейшее использование их персональных данных. «Сделать это можно при помощи емейл-рассылки. Форму подтверждения можно построить в двух проекциях: попросить пользователя дать свое согласие или предложить ему оставить письмо без ответа, что также может означать, что он не против использования его данных», — объяснила представитель общественного совета при ГСЗПД Юлия Павленко.

Регистрация баз

Еще одним обязательным требованием закона, является регистрация баз данных в Госслужбе. Регистрировать базы данных можно как в письменном виде, так и в электронном виде. Образец бумажного заявления для юридических лиц можно посмотреть здесь.

Чтобы зарегистрировать базу данных в электронном виде, необходимо иметь ключ электронной цифровой подписи (ЭЦП), выданный одним из аккредитованных центров сертификации ключей. Список центров можно увидеть по этой ссылке.

Подробная инструкция для подачи заявки в элекронном виде есть на сайте taxer.com.ua. Там же предлагается воспользоваться готовой формой заявки про регистрацию базы и специальной страницей, при помощи которой можно наложить ЭЦП на документ (сервис поддерживает ключи только от IVK и MasterKey).

В помощь украинским предприятиям, общественный совет при ГСЗПД подготовил ряд рекоммендаций по обработке персональных данных. «Над составлением этих рекомендаций работало множество известных экспертов из разных отраслей и этот документ может служить руководством для предприятий, которые обрабатывают персональные данные, эти рекомендации могут обезопасить компанию от возможных проблем», — рассказала Павленко. Сейчас рекомендации на утверждении в Госслужбе и будут представлены публично в начале следующей недели.

Кому стоит беспокоиться

Теоретически, начиная с нового года, у компаний, которые не успели зарегистрировать свои базы данных и привести их в соответствие с законом, могут начатся проблемы. Госслужба сможет проводить проверки и в случае выявления нарушений применять штрафные санкции. Например, за несвоевременное предупреждение субъекта о его правах, в связи с включением его персональных данных в базу, предполагается штраф в размере от 3,4 тыс. грн до 6,8 тыс. грн. Штраф за уклонение от государственной регистрации базы данных составит от 5,1 тыс. грн до 8,5 тыс. грн.

Кроме того, с 1 января следующего года, вступит в силу ст. 182 Уголовного кодекса Украины, которая, в частности, за незаконный сбор, хранение, использование и уничтожение конфиденциальной информации, предусматривает штраф в размере 8,5-17 тыс. грн. Наказанием могут стать и исправительные работы сроком до двух лет, арест сроком до шести месяцев, или ограничение свободы на срок до трех лет.

Однако, эксперты считают, что прежде всего, в группе риска находятся те компании, которые являются носителями огромных баз данных. «В Госслужбе работает 51 человек на всю Украину и сейчас ведомство сильно загружено из-за того, что большое количество украинских компании бросились регистрировать свои базы, и хотят сделать это до 1 января. Сейчас служба регистрирует 10-15 тыс. баз персональных данных в день. Поэтому первое время она вряд ли будет проверять всех подряд. У них есть регламинтированный план проверок для всех отраслей, как и у любой службы в Украине. Внеплановые проверки, скорее всего, будут проводиться только по факту нарушения», — рассказал AIN.UA один из участников рынка, знакомый с ситуацией.

Более того, управляющий партнер и президент корпорации «Первая Консалтинговая Группа» Сергей Ткач считает, что наличие у предприятия не систематизированных, не упорядоченных персональных данных, еще не дает основания делать вывод о том, что эта информация представляет собой базу персональных данных. «Следует основательно подумать, прежде чем «на всякий случай» подавать заявления о регистрации персональных данных, — пишет Ткач в своей статье «Пугало персональных данных». — Зарегистрировав мнимую базу в государственном реестре, предприниматель добровольно становиться объектом для проверок и применения финансовых санкций». При этом он отмечает, что законом не предусмотрена ответственность за недопущение контролирующего органа к проведению проверки субъекта предпринимательской деятельности.

Оставить комментарий

Комментарии | 30

  • мы вот домены регистрируем — в международном домене владелец сам решает светить ли ему данные в открытом доступе или нет —  у нас до этого не додумались. Базы зарегистрировать  —  данные скрыть — у клиентов согласие взять. И главное независимо нужно это клиенту или нет. А ведь есть ситуации когда это именно нужно — светить свои данные.

    Вот теперь сидим и думаем как у 10 000 клиентов взять согласие на обробку ПД.

    • Здравый смысл говорит, что компанию надо перенести в другую страну.

    • читал на проф.форуме (если найду ссылку — опубликую) мнение других экспертов — они сообщали что с текущих «участников » базы данных согласие брать необязательно … соблюдение этой нормы касается только новых лиц, чья инфа будет добавлятся в базу

    • читал на проф.форуме (если найду ссылку — опубликую) мнение других экспертов — они сообщали что с текущих «участников » базы данных согласие брать необязательно … соблюдение этой нормы касается только новых лиц, чья инфа будет добавлятся в базу

    • Разве одно и предложенных решений (рассылка) вас не устраивает?

      • собственно рассылка единственный вариант —  но у многих клиентов письмо попадет в спам, некоторые почту не проверяют, некоторые проигнорируют, некоторые регистрировали по поручению других людей и т.п. Будут и такие которые откажутся из своих личных соображений.

    • Разве одно и предложенных решений (рассылка) вас не устраивает?

  • мы вот домены регистрируем — в международном домене владелец сам решает светить ли ему данные в открытом доступе или нет —  у нас до этого не додумались. Базы зарегистрировать  —  данные скрыть — у клиентов согласие взять. И главное независимо нужно это клиенту или нет. А ведь есть ситуации когда это именно нужно — светить свои данные.

    Вот теперь сидим и думаем как у 10 000 клиентов взять согласие на обробку ПД.

  • Интересно, что писать, если мои базы данных находятся на ноутбуке?
    Фиксированного местонахождения не имеют.
    Что писать в соответствующем поле — непонятно.

  • интересно какая процедура «выхода» из реестра держателей баз.данных ?…

    например  если что с базой данных случится — сгорит сервер, сломается жесткий диск и т.д

  • О, на Украине появилось новое направление в бизнесе, новая услуга — юридическое место хранения БД персональных данных. Есть же услуги аренды юридического адреса для организаций? Теперь будет и для БД…

  • О, на Украине появилось новое направление в бизнесе, новая услуга — юридическое место хранения БД персональных данных. Есть же услуги аренды юридического адреса для организаций? Теперь будет и для БД…

  • а если БД физически располоается в Зимбабуэ ? какая отвественность может быть ?

  • а если БД физически располоается в Зимбабуэ ? какая отвественность может быть ?

  • А вот если у меня есть сайт. Пользователи там регистрируются, как бы оставляют свои данные. Но, оставляют они имя, фамилию, ник, email — по этим данным человека нельзя четко идентифицировать (т.е. написать все это можно от фонаря). Надо ли регистрировать сие как базу данных? И вообще, надо ли регистрировать базу данных пользователей какого-либо сайта, блога, электронной подписки и т.д. Если сервер находится в Германии — что писать в место расположения базы данных?
    Обзвонил штук 5 юридических компаний — все говорят разную информацию.

    • В конце лета-начало осени ходил на семинар 1С Битрикса. Там в качестве доп. выступления «проходил» юрист(не помню с какой компании). Доходчиво так разъяснил, что практически любая информация от пользователя — персональные данные. Так же он говорил, что это коснется не только крупных компаний по началу, а напротив — крупные компании могут себе позволить адаптироваться быстро, а средние и мелкие — большинство нет. Правительство давно ведёт игру по уничтожению «неугодного» слабо контролируемого среднего и малого бизнеса.

      • Если у меня штук так 20 сайтов, где могут регистрироваться пользователи — надо все 20 баз регистрировать? Если владелец домена — физлицо (не ЧП, а просто физлицо) — как и что в этом случае регистрировать? Если вообще надо что-то регистрировать…

        • вопрос остается открытым 🙁 
          как я понял никто (включая саму власть)   смысл, порядок выполнения и контроля этого закона не понимает…
          ощущение, что принят он, как всегда в последнее время, с целью иметь дополнительный «кнут» на всякий случай

        • и с каждого посетителя брать письменное разрешение на обработку его ИПшника, который кстати тоже есть — персональными данными

  • Из форума Лиги:
    «16.12.2011 15:16  Alex
    Вам не кажется, что под все определения Закона попадает телефонная книжка в мобильном телефоне!!!???Не штрафанут ли нас всех после 1 января 2012 г.?Возможно, что проверки мобильников будут проводить на улицах?Не надо ли получить на всякий случай госуларственный СЕРТИФИКАТ на телефонную книгу мобильника?И придется ли теперь брать ПИЬСМЕННОЕ согласие на занесение данных абонента в мой мобильник?»

    =)))

    • Регистрация БПД касается только владельцев — юридических лиц (в т.ч. СПД). Физ. лиц трогать не будут. А телефонная книга в мобильнике сотрудника больше принадлежит самому сотруднику, нежели его работодателю. Тут можно фантазировать как угодно, конечно, но врядли юр.лицу можно «припаять» незарегистрированную телефонную книгу сотрудника.

  • хороший сайт по регистрации баз перснональных данны ZPD.KIEV.UA

Поиск