Сбор персональных данных
Юрист Интернет ассоциации Украины Олеся Гудзь говорит, что под действие закона попадают интернет-провайдеры, интернет-магазины, и все остальные интернет-компании, которые зарегистрированы как субъекты предпринимательской деятельности и собирают данные о пользователях (Ф.И.О, телефон, адрес проживания, IP-адрес). «Владельцы сайтов знакомств, которые накапливают у себя информацию о физических лицах — тоже могут квалифицироваться как владельцы баз персональных данных», — говорит она.
Одним из ключевых требований закона является получение от каждого пользователя согласия, на внесение его данных в базу или на их обработку каким-либо другим способом. По закону, согласие необоходимо получить в течении 10 дней с момента обработки данных. Госслужба предлагает это делать тремя способами: бумажным письмом, электронным документом, заверенным электронной подписью пользователя, или с помощью отметки в информационной системе, которая будет вести протокол согласий или отказов пользователей и не позволит обработку данных до получения согласия.
Очевидно, что самым подходящим для интернет-компаний, является третий способ. Однако, никаких конкретных разъяснений, о том, какой должна быть эта система, ГСЗПД не дает. Отраслевые специалисты считают, что на сайте достаточно будет добавить в пользовательское соглашение информацию о том, что обработка персональных данных осуществляется в соответствии с законом и указать цели обработки этих данных. «С начала года у нас появится пункт о конфиденциальности, который будет на всех страницах сайтов. При регистрации, новому пользователю будет предложено ознакомиться с этим пунктом и поставить галочку рядом со словами «Я принимаю соглашение». Кроме того, мы будем предупреждать пользователя, что указанный мобильный телефон в объявлениях, является общедоступным. Емейл, пароль и IP-адрес будут храниться в защищенном виде, а соответствующий орган будет знать о том, что у нас хранится такая информация. Сделать все это технически не сложно. Это нормальная политика конфиденциальности и зарубежные сайты давно ее практикуют», — рассказал директор RIA Сергей Лужецкий.
Впрочем, пока закон не отработан на практике, нельзя сказать однозначно, какой набор информации может считаться персональными данными. «Вряд ли один емейл, без указания Ф.И.О. и других сведений о пользователе можно назвать персональными данными», — считает Гудзь. В любом случае, тем сайтам, которые уже накопили базы данных, эксперты советуют подстраховаться и получить согласие пользователей на дальнейшее использование их персональных данных. «Сделать это можно при помощи емейл-рассылки. Форму подтверждения можно построить в двух проекциях: попросить пользователя дать свое согласие или предложить ему оставить письмо без ответа, что также может означать, что он не против использования его данных», — объяснила представитель общественного совета при ГСЗПД Юлия Павленко.
Регистрация баз
Еще одним обязательным требованием закона, является регистрация баз данных в Госслужбе. Регистрировать базы данных можно как в письменном виде, так и в электронном виде. Образец бумажного заявления для юридических лиц можно посмотреть здесь.
Чтобы зарегистрировать базу данных в электронном виде, необходимо иметь ключ электронной цифровой подписи (ЭЦП), выданный одним из аккредитованных центров сертификации ключей. Список центров можно увидеть по этой ссылке.
Подробная инструкция для подачи заявки в элекронном виде есть на сайте taxer.com.ua. Там же предлагается воспользоваться готовой формой заявки про регистрацию базы и специальной страницей, при помощи которой можно наложить ЭЦП на документ (сервис поддерживает ключи только от IVK и MasterKey).
В помощь украинским предприятиям, общественный совет при ГСЗПД подготовил ряд рекоммендаций по обработке персональных данных. «Над составлением этих рекомендаций работало множество известных экспертов из разных отраслей и этот документ может служить руководством для предприятий, которые обрабатывают персональные данные, эти рекомендации могут обезопасить компанию от возможных проблем», — рассказала Павленко. Сейчас рекомендации на утверждении в Госслужбе и будут представлены публично в начале следующей недели.
Кому стоит беспокоиться
Теоретически, начиная с нового года, у компаний, которые не успели зарегистрировать свои базы данных и привести их в соответствие с законом, могут начатся проблемы. Госслужба сможет проводить проверки и в случае выявления нарушений применять штрафные санкции. Например, за несвоевременное предупреждение субъекта о его правах, в связи с включением его персональных данных в базу, предполагается штраф в размере от 3,4 тыс. грн до 6,8 тыс. грн. Штраф за уклонение от государственной регистрации базы данных составит от 5,1 тыс. грн до 8,5 тыс. грн.
Кроме того, с 1 января следующего года, вступит в силу ст. 182 Уголовного кодекса Украины, которая, в частности, за незаконный сбор, хранение, использование и уничтожение конфиденциальной информации, предусматривает штраф в размере 8,5-17 тыс. грн. Наказанием могут стать и исправительные работы сроком до двух лет, арест сроком до шести месяцев, или ограничение свободы на срок до трех лет.
Однако, эксперты считают, что прежде всего, в группе риска находятся те компании, которые являются носителями огромных баз данных. «В Госслужбе работает 51 человек на всю Украину и сейчас ведомство сильно загружено из-за того, что большое количество украинских компании бросились регистрировать свои базы, и хотят сделать это до 1 января. Сейчас служба регистрирует 10-15 тыс. баз персональных данных в день. Поэтому первое время она вряд ли будет проверять всех подряд. У них есть регламинтированный план проверок для всех отраслей, как и у любой службы в Украине. Внеплановые проверки, скорее всего, будут проводиться только по факту нарушения», — рассказал AIN.UA один из участников рынка, знакомый с ситуацией.
Более того, управляющий партнер и президент корпорации «Первая Консалтинговая Группа» Сергей Ткач считает, что наличие у предприятия не систематизированных, не упорядоченных персональных данных, еще не дает основания делать вывод о том, что эта информация представляет собой базу персональных данных. «Следует основательно подумать, прежде чем «на всякий случай» подавать заявления о регистрации персональных данных, — пишет Ткач в своей статье «Пугало персональных данных». — Зарегистрировав мнимую базу в государственном реестре, предприниматель добровольно становиться объектом для проверок и применения финансовых санкций». При этом он отмечает, что законом не предусмотрена ответственность за недопущение контролирующего органа к проведению проверки субъекта предпринимательской деятельности.