Поділитись
Днями в УСПП відбувся круглий стіл щодо обговорення загроз набуття чинності Закону України «Про захист персональних даних». Лідери 22 громадських організацій, серед яких Український союз промисловців і підприємців, асоціації «Евроюріс Україна» , «Інформаційні технології України», зовнішньої реклами, незалежних регіональних видавців, видавців періодичної преси, українських банків, Інтернет Асоціація України, виставкова федерація , Ліга страхових організацій, Національний союз журналістів, Федерація металургів України підписали листа до очільників держави з цього приводу. Подаємо його текст.
01.01.2011 вступає в дію Закон України «Про захист персональних даних». Ми вітаємо факт появи такого Закону в Україні і вважаємо, що він може стати важливим елементом системи захисту особистих прав громадян, розбудови громадянського суспільства в Україні і покращення політичних та економічних зв’язків між Україною та Європейським Союзом. Разом з тим, цей Закон у чинній редакції створює суттєві перепони для реалізації особистих та суспільних прав громадян, суттєво ускладнює ведення підприємницької діяльності та багатьох інших видів суспільної діяльності, ініціює невиправдані витрати з боку держави, підприємств та врешті всіх громадян України. При цьому права громадян — суб’єктів персональних даних в більшості ситуацій залишаються незахищеними. Ось деякі проблемні положення цього Закону:
1. Невиправдана всеохопність Закону. Закон вводить тлумачення визначення «персональні дані», відповідно до якого під дію Закону підпадає будь яка суспільна або комерційна діяльність. «Базою персональних даних» (БПД) визнається будь-який масив інформації, що містить елементи персональних даних. Зокрема, БПД визнається картотека у вигляді паперових документів – таким чином, під регулювання підпадають навіть такі повсякденні операції, як укладення та виконання будь-яких цивільно-правових договорів, які, зрозуміло, в тій чи іншій мірі містять персональні дані. Разом з тим, у більшості європейських країн законодавство про захист персональних даних стосується виключно захисту даних, що обробляються в автоматизованих системах.
За Законом всі власники БПД повинні зареєструвати всі наявні в них БПД у спеціальному державному реєстрі. Сьогодні БПД є у кожного підприємця України (а у деяких організаціях кількість БПД буде вимірюватись сотнями одиниць — поштові служби, оператори телекомунікацій, датацентри, банки, страхові компанії тощо). Це означає, що має бути створена дуже розгалужена система, з офісом у кожному місті. За розрахунками фахівців, у цьому реєстрі має бути зареєстровано більше 3 млн. записів. За обсягом цей реєстр швидко перевищить обсяг ЄДРПОУ. Фінансування проведення робіт, пов’язаних з реєстрацією та контролем, передбачається, у том числі, за рахунок підприємців, при цьому користі від існування такого реєстру не отримає ні держава, ні її громадяни.
2. Відсутність розмежування персональних даних на «ідентифікуючі» та «вразливі». Відповідно до європейських стандартів, персональні дані поділяються на дані загального характеру (прізвище, ім’я та по-батькові, дата і місце народження, громадянство, місце проживання) та вразливі персональні дані (дані про стан здоров’я – історія хвороби та діагнози, етнічна належність, ставлення до релігії; кредитна історія, ідентифікаційні коди тощо). Відповідно до європейських стандартів, саме до вразливих даних відноситься заборона збирання, зберігання, використання та поширення їх без згоди суб’єкта даних. В Законі, який набуває чинності, це відноситься до всіх без винятку персональних даних. Необхідно внести до Закону зміни, що відповідають такому визначенню і поділу персональних даних, а також встановити різний рівень захисту таких категорій персональних даних.
3. Занадто широкі повноваження контролюючого органу. За Законом, представники Міністерства юстиції як уповноваженого органу мають право безперешкодно потрапляти до будь-якого приміщення, де обробляються персональні дані (за умови сучасного поширення комп’ютерів бази персональних даних є в кожному офісі), що є рівнозначним праву на проведення обшуку, яке до сьогодні мали лише правоохоронні органи. Уповноваженому органу надано право перевіряти стан захисту персональних даних та накладати приписи та покарання на власників баз персональних даних. Можливість покарання жодним чином не пов’язується з фактом порушення прав конкретного громадянина — суб’єкта персональних даних. Це означає, що покарання може бути накладене за формального приводу, наприклад, невиконання власником БПД будь-яких технічних чи організаційних вимог, встановлених уповноваженим органом. В багатьох європейських країнах відповідний орган не має права безперешкодного доступу до приміщень, де обробляються персональні дані. В українських реаліях такі права контролюючого органу стануть живильним середовищем для корупції, але не призведуть до захисту прав громадян.
4. Подвійне отримання згоди від суб’єктів персональних даних. Марним, але надзвичайно витратним для власника БПД є вимога повідомляти громадян — суб’єктів персональних даних «виключно у письмовій формі» про його права, цілі збору ПД, осіб, яким його ПД будуть передаватися. Повідомити потрібно протягом десяти робочих днів з дня включення його персональних даних у базу. Така вимога є нелогічною, оскільки внесення в базу ПД і так стає можливим тільки після отримання документованої згоди суб’єктів персональних даних.
5. Зловживання суб’єктів ПД. Закон дає суб’єкту персональних даних право вимагати видалення його ПД з БПД з формальних причин (помилка в даних). Таким чином, громадяни можуть уникати відповідальності по укладених ними цивільно-правових договорах. Наприклад, недобросовісні позичальники можуть вимагати у кредиторів видалення їх персональних даних і, таким чином, уникати відповідальності за отриманими кредитами.
6. Неможливість виконання Закону без прийняття підзаконних нормативно-правових актів. Закон набирає чинності вже першого січня 2011 року. Очевидно, що належне функціонування Закону можливе лише після прийняття ряду нормативно-правових актів, які б роз’яснювали норми Закону та встановлювали механізм його виконання. Відсутність таких нормативних актів робить Закон незрозумілим як для учасників суспільних відносин, так і для самого контролюючого органу. До того ж, такі обставини сприятимуть корупції, адже у контролюючого органу з’явиться можливість притягати підприємців до відповідальності за невиконання вимог вже діючого Закону, які без прийняття необхідних нормативно-правових актів виконати неможливо.
Закон має інші недоліки, що будуть негативно впливати на розвиток української економіки та суспільства. Саме тому громадські та галузеві асоціації, що є учасниками громадської ініціативи за гармонізацію законодавства про захист персональних даних, закликають Вас відтермінувати застосування будь яких санкцій щодо порушення норм Закону України «Про захист персональних даних» до 01.01.2012 року та ініціювати внесення відповідних змін до Проекту Закону «Про внесення змін до деяких законодавчих актів України щодо порушення законодавства про захист персональних даних» (№ 7355 від 11.11.2010).
Просимо Вас ініціювати розробку та прийняття змін до Закону України «Про захист персональних даних» з урахуванням його впливу на соціальні та економічні аспекти розвитку країни. Пропонуємо взяти за основу законопроекту пропозиції, розроблені Робочою групою, яка створена підприємницькими та громадськими організаціями.