С 1 июля этого года в Украине вступают в силу санкции за нарушения закона о защите персональных данных. О том, как будут проводиться проверки компаний, как правильно выполнять его нормы интернет-бизнесу и как регистрировать свои базы персональных данных, в интервью AIN.UA рассказала первая заместитель главы Государственной службы по защите персональных данных Лилия Олексюк.
В Украине вводятся санкции за нарушения закона о защите персональных данных. Проводите ли уже проверки компаний?
Данные о проверках размещаются у нас на сайте, в разделе «Контрольні заходи», в этом же разделе находится план проверок на II квартал года. Например, компания «Воля»уже проверяется – проверка началась 10 мая и завершится 23 числа. Но даже если результаты проверки будут плачевными и будут выявлены нарушения, пока что мы не можем применять никаких санкций.
Будут ли проводиться общие проверки, например, с налоговой?
Нет. Это не предусмотрено законом и поэтому невозможно. Мы можем дополнительно привлекать необходимых специалистов, не более. Но я не представляю себе, чем нам может помочь налоговая в вопросе защиты персональных данных.
Как будет формироваться план проверок — по жалобам граждан или же вы используете какие-то другие критерии? Пользователи часто жалуются на интернет-компании?
Нет, на интернет-компании жалоб пока не поступало. Но по данным ИнАУ, в Украине около 40% населения имеют доступ в интернет (около 30% домохозяйств) и в основном — это продвинутые пользователи, знающие правила безопасности, правила раскрытия своих персональных данных в интернете. Правда, есть еще часть пользователей, которым предстоит «обжечься», чтобы понять, какие данные нельзя публиковать о себе: детям, например, нежелательно указывать в соцсетях данные о родителях, адрес проживания, номер школы.
План проверок мы составляем по аргументированным жалобам граждан. Если получаем жалобу, смотрим, достаточно ли она обоснована. Если да, то обращаемся в компанию с просьбой предоставить встречную позицию. Если компания не отвечает, мы ее включаем в план проверок. Изучаем материалы, и если они подтверждают сказанное в жалобе, можем провести безвыездную проверку, если материалов недостаточно – то приходится выезжать и проводить проверку на территории компании. По итогам проверки составляется акт и/или предписание, а если достаточно оснований для штрафа — и админпротокол.
Что нужно делать интернет-компании, чтобы идеально выполнить требования законодательства по защите персональных данных?
Если это — юрлицо, которое обрабатывает персональные данные физлиц, то компания должна:
- утвердить цель обработки и состав персональных данных в базе, а также ее местоположение;
- утвердить процедуру обработки персональных данных (порядок внесения данных в базу, изменения, обновления данных, использования, распространения, уничтожения и т.п.);
- назначить ответственное лицо или структурное подразделения;
- определить порядок защиты персональных данных, в том числе — от незаконного к ним доступа.
К обработке данных в базе информационной (автоматизованной) системы должны допускаться только те сотрудники, которые прошли авторизацию в этой системе. В ней должны храниться данные о том, кто и когда получал доступ к персональным данным. Также, компания, которой принадлежит база персональных данных,
должна обеспечить ее антивирусную защиту. Мы не будем проверять, какой там стоит антивирус – платный или бесплатный, важен сам факт наличия работающей системы антивирусной защиты, действующая лицензия на нее.
Как интернет-компании правильно собирать согласие своих пользователей на обработку их персональных данных?
В пример можно поставить ресурсы таких компаний, как eBay и Google. То есть, прежде чем зарегистрироваться на ресурсе компании, пользователь попадает на страницу, где указано, кто, как и с какой целью будет обрабатывать его персональные данные. И пока он не поставит галочку в графе «Согласен» или «Я согласен с политикой конфиденциальности и даю согласие на обработку своих персональных данных», его данные к компании не поступят. Эта процедура похожа на то, как пользователь принимает лицензионное соглашение на пользование программой.
Любой интернет-ресурс — это, в первую очередь, программный продукт, соответственно, на него распространяются все нормы по защите информации при автоматизированной обработке и нормы типового порядка. В случае жалоб пользователей компания должна будет предоставить нам как контролеру всю информацию о том, где хранится база персональных данных, где хранятся данные о согласии пользователей и далее все, что указано в перечне вопросов, которые проверяются нашей службой (размещены в
разделе «Контрольні заходи» на нашем сайте)
То есть, чтобы правильно зарегистрироваться, к примеру, на сайте интернет-магазина, нужно будет просто поставить галочку?
С интернет-магазинами есть другой риск. Такие магазины в Украине часто не являются отдельными юрлицами, поэтому согласие на обработку персональных данных, данное интернет-магазину, не будет распространяться на то юрлицо или ЧП, которому этот магазин принадлежит, если это явно не указано в согласии на обработку. «Галочки» будет достаточно только для обработки информации на указанном ресурсе. Если же компания хочет передавать данные своих пользователей третьему лицу, например для целей маркетинга, это должно отображаться в форме согласия. Например, «Даю согласие на передачу данных такому-то лицу с такой-то целью». Либо же это может быть обычное письменное согласие данное юрлицу-владельцу интернет-магазина, т.е. владельцу базы персональных данных с точки зрения закона.
Нужно ли получать согласие на обработку персональных данных ресурсу, который, к примеру, дает пользователям площадку для ведения блога, форум. То есть, собранные данные не используются в коммерческих целях?
Если ресурс зарабатывает, к примеру, на рекламе, и размещает у себя блоги пользователей, то это очень спорный вопрос: что именно используется в коммерческих целях – блоги для рекламы или реклама для них. Ведь этот функционал предлагается как бесплатный «бонус» к основному продукту, который продает ресурс. Здесь нельзя разделить, что компания предлагает с целью коммерческой выгоды, а что – нет. Да и в любом случае такие данные тоже попадают под сферу действия закона о защите персональных данных.
Если украинские пользователи будут жаловаться на крупные международные интернет-компании, те же социальные сети, будете проверять их?
Я уже не раз говорила, те же «Одноклассники» или «ВКонтакте» попадают под действие российского закона о персональных данных, который налагает на компании намного более жесткие требования и санкции, чем наш закон, поэтому к ним вряд ли будут претензии. Но если будут обоснованные жалобы пользователей, конечно, проверим в рамках своего закона.
Последний вопрос: стоит ли ждать ажиотажа регистраций баз персональных данных перед июлем, будут ли очереди, успеют ли все зарегистрироваться до того, как в силу вступят штрафы?
Замечу, что уже есть несколько проектов изменений к основному закону, которыми предлагается освободить от регистрации базы работников компаний. Это уменьшит поток документов, который к нам поступает. Сейчас уже в службу подано около 2 млн. заявок, а общее количество компаний, которые, по нашим прогнозам, будут регистрировать свои базы, составляет около 4,5 млн. Если будут внесены изменения в закон, заявок будет меньше.
Сейчас мы еще обрабатываем декабрьские заявки, ведь все они были поданы накануне Нового года, почта привозила заявления несколько раз в день по 70-150 мешков. Кроме того, нас засыпают письмами с вопросами о судьбе этих заявлений а также не дождавшись своей регистрацииподают изменения в уже зарегистрированные базы не по установленной форме. Это не ускоряет нашу работу. Чтобы не создавать самим себе неудобства и очереди в июне, лучше и быстрее подавать заявления в электронном виде. Регистраторы могут обработать около 60 бумажных или 200 электронных заявлений в день.