«Закон Украины о Защите персональных данных: как вести бизнес дальше?»

22 июня в уютном киевском ресторане «LaLe» состоялось 5-е заседание Клуба руководителей компаний электронной и каталожной коммерции «Mail Order & E-Commerce Leader’s Club». Темой заседания был «Закон Украины о Защите персональных данных: как вести бизнес дальше?» Поскольку тема актуальна практически для любой сферы бизнеса, людей, как и вопросов, собралось много.

 Принятие Верховной Радой Украины 1 июня 2010 года Закона Украины «О защите персональных данных» вызвало целую волну негодования и вопросов у специалистов разных отраслей украинского бизнеса. Главный – как жить дальше?

Безусловно, принятие Закона необходимо. Во-первых, это является одним из обязательств Украины перед Советом Европы и Европейским Союзом, во-вторых, это позволит ввести безвизовый режим со странами ЕС, в-третьих, облегчит подготовку к Евро-2012 в вопросе обмена персональными данными. Но редакция Закона оставляет желать лучшего. Свидетельством этого могут служить письма Ассоциации банков Украины и Украинской Хельсинской группы по правам человека Президенту Украины Виктору Януковичу с просьбой воспользоваться правом вето. Присоединиться ли Украинская Ассоциация Директ Маркетинга к этим организациям, и чем принятие Закона обернется для отраслей директ-маркетинга, каталожной и электронной коммерции в Украине и обсуждалось на заседании Клуба.

Анализировали Закон юристы и специалисты отраслей, которых коснулся Закон:

  • Калашник Валентин, президент, Украинская Ассоциация Директ Маркетинга, директор маркетинг-группы OS-Direct
  • Яворский Владимир, исполнительный директор Хельсинского союза по правам человека в Украине
  • Йовдий Дмитрий, управляющий партнер, юридическая фирма «Лигал Асистанс Групп»
  • Давиденко Олег, управляющий партнер, юридическая фирма «Ариес»
  • Уткин Вадим, региональный менеджер, Hansaworld

    Согласно принятому Закону практически все предприятия и предприниматели ведут базу персональных данных (БПД). Это следует из определения, которое дано в статье 2 Закона, причем к БПД относятся даже картотеки. Т.е. визитка, адресная книга в Вашей почте или мобильном телефоне – это тоже БПД, и вестись впредь они должны будут в соответствии с Законом. Согласно статье 2 Закона, каждый владелец/распорядитель БПД должен будет зарегистрировать базу в Государственном реестре баз ПД. Причем в отличие от российского законодательства в этой сфере (Закон РФ «О персональных данных» от 27.07.2006), где регистрируется только обработчик БПД, украинцы должны будут регистрировать КАЖДУЮ базу. В статье 9 Закона указано, что регистрация проходит по заявительному принципу. Заявление должно содержать:

  • обращение о внесении БПД в Государственный реестр (будет создан)
  • информацию о владельце БПД
  • информацию о названии и местонахождении БПД (этот пункт вызывает много вопросов, в связи с тем, что о местонахождении базы зачастую знает только дата-центр, но никак не владелец или распорядитель. А если база является частью Интернет-сайта, то надо будет указывать место хостинга, что практически невыполнимо)
  • информацию о целях обработки персональных данных в соответствии со статьями 6 и 7 Закона (при этом в статье 6 сказано, что эти цели должны быть прописаны в уставных документах компаний, что влечет за собой необходимость внесения изменений в эти документы в связи с принятием Закона, а статья 7 запрещает запрос данных о расовом, этническом происхождении, политических, религиозных и мировоззренческих убеждениях, членстве в политических партиях и профессиональных сообществах, а также данных, касающихся здоровья и половой жизни в маркетинговых целях)
  • информацию о других распорядителях БПД
  • подтверждение обязательства о выполнении требований по защите ПД

Каждый раз, когда у базы будет меняться распорядитель, цель обработки, месторасположение или владелец, необходимо будет оповещать об этом уполномоченный государственный орган, который будет создан. Согласно статье 23 Закона это будет орган исполнительной власти, на который будут возложены две противоречащие друг другу функции: контролирующая и разрешительная (статья 9). Представители данного органа будут иметь право входить в любое помещение, где обрабатываются или находятся БПД. Колл-центры, дата центры и любые предприятия и организации получают еще одну категорию проверяющих.

Как и прежде для того, чтобы внести персональные данные в базу необходимо будет получить согласие владельца этих данных. На сегодняшний день такое требование прописано в Законе Украины «Об информации» (Раздел 3, Статья 23 http://zakon.rada.gov.ua/cgi-bin/laws/main.cgi?nreg=2657-12). В Законе «О защите персональных данных» наши законодатели пошли дальше. В процессе работы с БПД ее владельцу или распорядителю необходимо будет 5 раз получать письменное соглашение владельца персональных данных об их использовании:

  1. при получении данных (статья 11 Закона. Следует отметить, что в законе прописано «согласие можно получить любым документированным способом, а не только письменным», что достаточно удобно)
  2. при внесении его данных в базу (статья 12. В данном случае, владельца ПД необходимо уведомить в десятидневный срок в письменной форме о целях сбора его данных. Эта норма Закона наиболее затратная и практически невыполнимая)
  3. при распространении, передаче данных третьим лицам (статья 14)
  4. при уничтожении базы данных (статья 15)
  5. при изменении целей обработки БПД

Интересно и то, что оповещать владельца ПД о внесении его данных в базу не надо, если эти данных взяты из открытых источников, при этом, какие источники можно классифицировать как открытые Закон не говорит (статья 12).

Естественно, для обеспечения защиты данных в каждом офисе должен быть сотрудник, на которого будут возложены такие обязательства (статья 24). В случае несоблюдения норм Закона, нарушитель будет нести ответственность, но какую – остается только догадываться, в Законе это не прописано (статья 28).

Отдельного внимания заслуживает статья 1, где указано, что действие Закона не распространяется на журналистов и творческих работников при выполнении ними служебных профессиональных обязанностей и творческой деятельности. Кстати, в украинском законодательстве исчерпывающего списка тех самых работников не существует. Поэтому, какие профессии относятся к этой неконтролируемой категории - неизвестно.

Немного парадоксальных моментов Закона:

  1. статья 15 гласит, что после уничтожения БПД владелец ПД должен быть об этом оповещен в письменной форме. Как это возможно с технической точки зрения, если все данные были удалены?
  2. В пункте 9 статьи 6 говорится, что использование данных в исторических, статистических или научных целях может осуществляться только в обезличенном виде. Но в таком случае все учебники по истории придется переписывать (чтобы имена не упоминались) или же получать согласие владельцев данных.
  3. Поскольку закон принят сейчас, в век социальных сетей, непонятно каким образом будет регулироваться вопрос с базами данных в этой отрасли. Открытый это источник или закрытый? Как получить согласия владельца ПД на их использование? И легально ли, в конце концов, будет существование социальных сетей как таковых?

Безусловно, в разных сферах украинского бизнеса Закон будет иметь разное влияние, и соответственно, последствия будут разными. На заседании Клуба присутствовали представители нескольких отраслей, которые выяснили, что грозит именно им.

Для директ-маркетинга и колл-центров в частности в Законе есть не только негативные моменты, но и положительная сторона. К примеру, согласно статье 2 можно будет легализовать базу ПД, составленную путем телемаркетинга.

Не все плохо и для IT сферы. С одной стороны, количество работы для них существенно прибавится в связи с вступлением в силу Закона, с другой – при хранении БПД на хостингах, максимум, что сможет конфисковать уполномоченный государственный орган – компьютер, железо, а в данном случае, это не такая уж и большая проблема. К тому же для отслеживания легальности действий ITшников, государство должно будет содержать штат хороших специалистов в этой отрасли, а это достаточно затратно.

Для FMCG отрасли принятие Закона хоть и будет иметь последствия, но, пожалуй, не слишком потрясет игроков рынка. Причина – большой опыт проведения акций и розыгрышей, условия и правила проведения которых, достаточно жесткие и требуют четкого контроля получения и обработки персональных данных. Поэтому можно полагать, что эта отрасль наиболее подготовлена.

Хуже обстоят дела с банковской сферой. Во-первых, непонятно, что произойдет с данными, которые считаются «банковской тайной» и не могут быть разглашены, но, в то же время, попадают под действие этого закона. Кроме того, БПД в банках обновляются практически ежеминутно. Согласно Закону при каждом изменении необходимо получить массу разрешений, как от владельца ПД, так и от уполномоченного государственного органа. Что делать в этом случае, остается только догадываться.

Не легче придется и государственным структурам. К примеру, для УГППС «Укрпочта» с одной стороны добавится работы в связи с увеличением количества отправок письменных уведомлений, а с другой – они сами должны будут получать множество разрешений от частных лиц, пользующихся услугами почты. Любопытным будет и влияние Закона на украинские налоговые службы. Согласно статье 8 владелец персональных данных может потребовать удалить его данных из базы, аргументировав свою позицию. Отказать ему – не имеют права…

Компании каталожной и электронной коммерции, деятельность которых основана на БПД, «попадут» с вступлением Закона в силу достаточно серьезно. Причем это касается как финансовой, так и моральной стороны. Во-первых, они должны будут получать разрешения физических лиц на использование их данных, регистрировать базы, отчитываться перед уполномоченным государственным органом, а во-вторых, самое страшное, что им придется объяснять их потребителю, для чего это все происходит. Поскольку доверие украинцев к компаниям каталожной и электронной коммерции и без того иногда под вопросом, это может привести к значительному снижению оборотов этой отрасли.

На заседании Клуба были озвучены основные моменты, нуждающиеся в корректировке:

  1. Необходимо дать четкое и исчерпывающие определение персональных данных. Причем, ПД необходимо разделить на идентифицирующие и уязвимые, как это сделано в Европе. При таком делении идентифицирующие данные (ФИО, телефон, почтовый адрес, e-mail) являются общедоступными и могут свободно использоваться, а уязвимые данные (все, что может касаться жизни человека) подлежат строгому контролю по использованию.
  2. Необходимо дать разъяснение, кто является собственником и распорядителем БПД. Согласно статье 1 таковым может быть только юридическое лицо, но уже статья 4 говорит о том, что как юридическое, так и физическое лицо попадают под эту категорию.
  3. Выяснить, что же является открытым источником
  4. Согласно статье 14  распространять ПД можно без согласия субъекта, если этого требует «экономическое благополучие», но чье – вопрос.
  5. Откорректировать пункт по месторасположению БПД. Пожалуй, удобнее всего будет указывать адрес владельца или распорядителя, а не самой базы.
  6. Отменить необходимость внесения изменений в уставные документы организаций

Это далеко не полный перечень параметров, нуждающихся в корректировке. В такой редакции технически закон выполнять невозможно. Многие пункты нуждаются в разъяснении. До вступления его в силу осталось полгода (Закон вступает в силу с 1.01.2011). Успеют ли наши законодатели доработать его, и будет ли он подписан Президентом - неизвестно. Но уже сейчас не только Украинская Ассоциация Директ Маркетинга, но и другие профильные объединения работают над улучшением Закона. По итогам заседания Клуба УАДМ приняла решение присоединиться к «протесту» против Закона и направить Обращение Президенту Украины с просьбой воспользоваться правом вето. Будут ли услышаны просьбы специалистов – покажет время…

По материалам:
http://www.dmdays.com.ua