Редакція «Щотижневика АПТЕКА» продовжує інформувати читачів щодо розвитку подій у сфері захисту персональних даних. Ми щиро вдячні Олексію Мервінському, а також Асоціації правників України (АПУ) за персональне запрошення на засідання Круглого столу, яке відбулося 20 квітня 2011 р.
Модератором заходу виступав Ілля Костін, член правління АПУ, заступник голови комітету АПУ з фармацевтичного права. Із самого початку слово було надано О. Мервінському, який, як завжди, зробив блискучу доповідь щодо поточного стану функціонування системи захисту персональних даних в Україні. Він максимально ретельно й доступно виклав найактуальніші моменти, відповів на запитання присутніх.
Доповідач ще раз озвучив цілком зрозумілу позицію, що держава, обираючи між захистом прав людей і інтересом бізнесу, звичайно, надає перевагу першому. Але він акцентував увагу на тому, що більшість інформації щодо захисту персональних даних, яка на цей час перебуває в інформаційному просторі, спотворюється й не відповідає дійсності.
О. Мервінський нагадав, що для прийняття Закону України «Про захист персональних даних» був ряд передумов, як внутрішніх, так і зовнішніх. Внутрішні причини — це, насамперед, чисельні факти крадіжок баз персональних даних у державних та комерційних структурах, їх подальший перепродаж та інші протиправні дії з ними. Серед основних зовнішніх чинників для прийняття Закону в першу чергу треба назвати Директиву 95/46/ЄС Євросоюзу, згідно з якою персональні дані можуть передаватися тільки в країнах, які забезпечують такий самий рівень захисту, як і в Європі. Саме це спричиняло суттєві перешкоди в процесах обміну відповідними відомостями європейських державних установ та компаній зі своїми зарубіжними партнерами. Окрім того, прийняття Закону було обумовлене необхідністю усунення певних бар’єрів у європейському спрямуванні України (безвізовий режим, рівноправні умови торгівлі з країнами Євросоюзу, повноцінне проведення ЄВРО–2012 тощо).
Голова державної служби із захисту персональних даних наголосив на тому, що представники Євросоюзу були в нас з офіційним візитом, ознайомилися з нашим Законом та підтвердили його відповідність європейським вимогам. Польські колеги взагалі відзначили ліберальність цього законодавчого акта.
Один із слайдів професіонально складеної презентації О. Мервінського мав назву «Dura lex, sed lex» — суворий закон, але це закон», у контексті якого йшлося про відповідальність за недотримання Закону. До речі, у першому читанні прийнято проект Закону України «Про внесення змін до деяких законодавчих актів України щодо порушення законодавства про захист персональних даних». Проект пропонує доповнити законодавство кількома адміністративними й кримінальним статтями. Але докладніше про це — після остаточного прийняття цього закону.
О. Мервінський наголосив на тому, що відповідальність стосується тільки тих, хто зловживає тими базами даних, які обробляє, хто не робить жодних зусиль у напрямку гармонізації своєї діяльності щодо дотримання вимог із захисту персональних даних. Гарний приклад руху в заданому напрямку не словом, а ділом навів Валентин Калашник, президент Української асоціації директ-маркетингу. За його ідеєю було створено громадську ініціативу «За гармонізацію законодавства про захист персональних даних», яка вже сьогодні обробляє запити й скарги громадян і допомагає домогтися недоторканості персональних даних.
О. Мервінський повідомив, що було видано Указ Президента України від 06.04.2001 р. № 390/201 «Про Положення про Державну службу України з питань захисту персональних даних», у якому викладено права, завдання та функції цієї служби. Серед її основних завдань слід зазначити:
1. Внесення пропозицій щодо формування державної політики у сфері захисту персональних даних:
- узагальнення практики застосування законодавства з питань захисту персональних даних;
- розробка пропозицій щодо вдосконалення законодавчих актів, указів Президента України, Кабінету Міністрів України, нормативно-правових актів міністерств та в установленому порядку подача їх міністру юстиції України;
- підготовка пропозицій щодо визначення загальної стратегії та пріоритетних напрямів діяльності.
2. Реалізація державної політики у сфері захисту персональних даних:
- розробка критеріїв ризику незаконного використання та розголошення інформації, що міститься в базах персональних даних;
- розробка методичних матеріалів і рекомендацій із питань, що входять до її компетенції;
- розробка типового порядку обробки персональних даних у відповідних базах даних;
- розробка критеріїв і порядку оцінювання стану захищеності персональних даних у базах персональних даних підприємств, установ й організацій усіх форм власності, державних органів чи органів місцевого самоврядування, фізичних осіб — підприємців, які обробляють персональні дані відповідно до закону;
- реєстрація бази персональних даних та ведення Державного реєстру баз персональних даних, надання витягів із нього;
- забезпечення створення Державного реєстру баз персональних даних;
- визначення вимог до документів, що подаються для реєстрації баз персональних даних;
- розгляд пропозицій, запитів, звернень, вимог та скарг фізичних та юридичних осіб, органів;
- видача документів встановленого зразка про реєстрацію баз персональних даних у Державному реєстрі баз персональних даних.
3. Контроль за додержанням вимог законодавства про захист персональних даних:
- здійснення державного нагляду та контроль за додержанням законодавства про захист персональних даних;
- розробка та затвердження планів перевірок володільців та (або) розпорядників баз персональних даних щодо дотримання ними вимог законодавства у сфері захисту персональних даних.
4. Проведення у межах своїх повноважень виїзних та безвиїзних перевірок володільців та (або) розпорядників баз персональних даних:
- видача власникам та (або) розпорядникам баз персональних даних обов’язкових до виконання приписів щодо усунення порушень законодавства про захист персональних даних та вимоги надання необхідної інформації, документів, що підтверджують усунення виявлених порушень;
- складення адміністративних протоколів про виявлені порушення законодавства у сфері захисту персональних даних;
- передача правоохоронним органам матеріалів про виявлені порушення у сфері захисту персональних даних;
- здійснення контролю за додержанням правил передачі персональних даних іноземним суб’єктам відносин, пов’язаних із персональними даними.
5. Здійснення міжнародно-правового співробітництва у сфері захисту персональних даних:
- участь у міжнародному співробітництві з питань захисту персональних даних, вивчення, узагальнення та поширення світового досвіду з цих питань;
- організація та забезпечення взаємодії з іноземними суб’єктами відносин, пов’язаними з персональними даними;
- участь у підготовці міжнародних договорів України з питань захисту персональних даних, підготовка пропозицій щодо укладення, денонсації договорів, забезпечення їх виконання.
Наприклад, найближчим часом голова служби візьме участь у міжнародній конференції з цієї проблеми.
О. Мервінському було задано багато питань щодо нюансів тлумачення закону та подальшого розвитку подій у сфері захисту персональних даних. З’ясувалося, що вже в серпні 2011 р. очікується прийняття положення про Державний реєстр баз персональних даних та порядок ведення такого реєстру, тобто з’явиться фізична можливість починати процес реєстрації. Звісно, до цього часу діяльність, пов’язана з обробкою персональних баз даних, повинна бути гармонізована з вимогами діючого закону.
Тобто, вже сьогодні кожній компанії, яка використовує таку інформацію, можна й треба призначити відповідального за збереження баз персональних даних, привести до ладу внутрішню документацію про доступ і збереження баз, отримати згоди від фізичних осіб, які знаходяться в базі тощо. Звичайно, є й альтернативний варіант — перекласти відповідальність щодо цього питання на спеціалізований сервіс підтримки баз даних.
Докладний виступ голови Державної служби із захисту персональних даних і серйозна дискусія, яка відбулася після доповіді, таки дали відповідь на головне питання, поставлене організаторами заходу, — закон дійсно карає тих, хто свідомо не бажає дотримуватися його норм. Але караючи, цей закон захищає права і свободи людини, право на недоторканість персональних даних кожного з нас.
Коментарі