Європейський рівень: реєстрація баз персональних даних

11–12 жовтня 2011 р. у конгрес-холі «Президент готелю» Києва відбулася міжнародна конференція «Перші кроки з впровадження Закону України «Про захист персональних даних» у світлі досвіду країн — членів Європейського Союзу», організаторами якої виступили Technical Assistance and Information Exchange instrument of the European Commission (TAIEX ) та Державна служба України з питань захисту персональних даних (ДСЗПД). Для участі в цьому заході зібралися представники державних та приватних підприємств  практично з усіх регіонів України.

Проведення такого заходу набуває особливої актуальності після прийняття Закону України «Про захист персональних даних». Нагадаємо, що 21 червня 2011 р. набула чинності постанова Кабінету Міністрів України від 25.05.2011 р. № 616 «Про затвердження Положення про Державний реєстр баз персональних даних та порядок його ведення». Ця постанова була прийнята на виконання ст. 9 Закону України «Про захист персональних даних», якою передбачено створення Державного реєстру баз персональних даних (ДРБПД). З 1 липня 2011 р. було розпочато процес реєстрації баз персональних даних. При цьому слід зазначити, що з 1 січня 2012 р. набуває чинності Закон України «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства з захисту персональних даних», який визначає адміністративну або кримінальну відповідальність за правопорушення у сфері захисту персональних даних.

Європейський рівень: реєстрація баз персональних данихВступною промовою відкрив конференцію голова ДСЗПД, кандидат технічних наук Олексій Мервінський, акцентувавши увагу присутніх на важливості запровадження механізму щодо захисту персональних даних та підвищення ефективності імплементації законодавства у цій сфері. З початку функціо­нування ДСЗПД проводилася активна робота щодо інформування суспільства через засоби масової інформації про необхідність реєстрації баз персональних даних. У найближчій перспективі ДСЗПД планується проведення низки регіональних семінарів з цього питання. З привітальним словом також виступили заступник комісара з питань інформації Великобританії Девід Сміт та представник уповноваженого Верховної Ради України з прав людини Володимир Яценко. У своїх промовах експерти зазначили важливість відстоювання прав громадян на захист своїх персональних даних.

Роботу конференції продовжив О. Мервінський з доповіддю «Поточні результати та проблеми імплементації Закону «Про захист персональних даних». Використовуючи досвід і допомогу відповідних повноважних органів Європейського Співтовариства, сьогодні українське законодавство у сфері захисту персональних даних повністю відповідає діючому аналогічному законодавству європейських країн. Відповідно, в своїй діяльності ДСЗПД базується на загальноєвропейських принципах та рекомендаціях повноважних органів європейських країн щодо обробки персональних даних. Такий підхід передбачає повне дотримання прав громадян на захист своїх персональних даних згідно з європейськими стандартами.

На сьогодні ДСЗПД функціонує в повному обсязі та виконує всі покладені на неї завдання, при цьому штат співробітників служби сформований на 80%. У ДСЗПД зареєстровано більше ніж 500 баз персональних даних фізичних та юридичних осіб.

Досвідом впровадження та функціонування повноважного органу з захисту персональних даних у Великобританії поділився заступник комісара з питань інформації Великобританії Девід Сміт. На етапі впровадження системи захисту персональних даних важливу роль відіграє правильна концепція такого захисту, яка допомагає визначити випадки, коли необхідне отримання дозволу на обробку персональних даних та коли в ньому немає необхідності. На думку доповідача, під поняттям «персональні дані» слід розуміти дані, які впливають на приватне життя особи. За своєю структурою персональні дані поділяються на дані загального характеру і вразливі (чутливі). До чутливих належить інформація щодо стану здоров’я особи, її релігійних поглядів та ін. Для обробки даних, що належать до вразливих, необхідне обов’язкове отримання дозволу особи, дані якої обробляють.

У 2009 р. повноваження діючих в Європі комісій з захисту персональних даних були розширені. Це рішення було прийнято у зв’язку з неналежним рівнем контролю підприємств за захистом персональних даних своїх працівників та випадками втрати державними структурами баз персональних даних. Накладання штрафних санкцій застосовується повноважним органом з захисту персональних даних Великобританії при серйозних порушеннях законодавства у цій сфері.

У рамках обговорення доповідача попросили висловити свою думку щодо отримання права ДСЗПД України з 1 січня 2012 р. подавати протоколи до суду для вирішення справи про вірогідне порушення законодавства у сфері захисту персональних даних. Д. Сміт вважає, що ризик накладання штрафних санкцій стимулює осіб, відповідальних за збереження і обробку баз персональних даних, до більш серйозного ставлення до своїх обов’язків.

Європейський рівень: реєстрація баз персональних даних

Головний спеціаліст відділу розгляду скарг та звернень фізичних та юридичних осіб ДСЗПД Андрій Ніколаєв в рамках свого докладу визначив, за якими критеріями можна ідентифікувати персональні дані:

1. За природою свого походження. За цим критерієм відомості містять об’єктивну або суб’єктивну інформацію про фізичну особу. Інформація, яка залишається незалежною від думки особи, що збирає або обробляє її, є об’єктивною. Суб’єктивна інформація містить судження або характеристики особи, яка збирає дані, про іншу фізичну особу (наприклад визначення кредитоспроможності). При цьому обидва види інформації є персональними даними фізичної особи.

2. За змістом відомостей. У цій категорії відомості містять інформацію про приватне або сімейне життя фізичної особи, про її заняття (трудові відносини, соціальна поведінка), або інформацію, яку можна віднести до чутливої.

3. Формат відомостей. Цей критерій визначає середовище отримання інформації, спосіб її обробки, зберігання та ін.

Заступник директора Бюро генерального інспектора з питань захисту персональних даних Республіки Польща Пьотр Дробек визначив роль, яку відіграють повноважні органи з питань захисту персональних даних. Сьогодні в Раді Європи Європейського Союзу триває дискусія щодо майбутньої форми захисту персональних даних та обговорення актів про їх захист. У листопаді 2010 р. Європейською комісією було прийнято конвенцію, згідно з якою вирішено дослідити шляхи підсилення, гармонізації та належного роз’яснення статусу та повноважень органів захисту персональних даних у країнах ЄС. Бюро генерального інспектора з питань захисту персональних даних Польщі виконує функції консультанта і радника щодо формування політики законодавчої бази країни. Також цей повноважний орган проводить аудит підприємств з метою перевірки правильності проведення процедури захисту персональних даних та обмінюється інформацією з аналогічними державними установами інших країн.

Практичним заходам щодо реєстрації баз персональних даних була присвячена доповідь Начальника управління реєстрації баз персональних даних ДСЗПД Світлани Кривди.

Згідно зі ст. 2 Закону України «Про захист персональних даних» під обробкою персональних даних розуміють будь-яку дію або сукупність дій, вчинених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов’язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу. Всі створені бази персональних даних, в яких обробляється інформація, підлягають обов’язковій реєстрації в ДРБПД. При цьому кількість баз персональних даних, що підлягають реєстрації в ДРБПД, залежить від мети обробки інформації. Якщо обробка бази персональних даних проводиться з іншою метою, ніж прописано при її реєстраці­ї, така база даних підлягає окремій новій реєстрації. При цьому необхідність в проведенні окремої реєстрації виникає навіть при повній ідентичності наявних в ній персональних даних.

Заступник голови Державної служби Украї­ни з питань захисту персональних даних, кандидат військових наук Володимир Козак розповів про практичне застосування законодавства у сфері захисту персональних даних та їх захист в контексті системи управління організацією.

Зважаючи на відсутність на більшості підприємств осіб, відповідальних за обробку баз персональних даних, та досвіду у виконанні ними цієї функції, В. Козак презентував присутнім в залі проект Типового порядку обробки персональних даних. Сьогодні цей порядок знаходиться на етапі обговорення. Даним документом рекомендується проведення первинної оцінки стану обробки персональних даних; планування та впровадження системи управління персональними даними; забезпечення поточного функціонування цієї системи; періодична та поточна оцінка її ефективності та вдосконалення.

У країнах Європи діяльності повноважного органу із захисту персональних даних приділяють особливу увагу. Це зумовлено залежністю рівня розвитку повноважного органу з захисту персональних даних від реалізації на високому рівні прав громадян на захист своїх персональних даних.

Цього року Україна також долучилася до переліку країн, що контролюють використання персональних даних своїх громадян. З метою виконання Закону України «Про захист персональних даних» було створено ДСЗПД. Основним орієнтиром при створенні цього повноважного органу є реалізація прав громадян на захист своїх персональних даних з урахуванням досвіду європейських країн щодо впровадження захисту персональних даних. Сьогодні повноважні органи продовжують вдосконалювати заходи для поліпшення функціонування ДСЗПД. Дана конференція, яка була організована за підтримки Європейської комісії, є підтвердженням налагодженого співробітництва української служби із захисту персональних даних з аналогічними повноважними органами європейських країн.

У рамках конференції присутні отримали можливість ознайомитися з практичним досвідом фахівців повноважних органів з захисту персональних даних країн Європи, особливостями обробки персональних даних в Україні та всіма тонкощами законодавства у сфері захисту персональних даних, а також отримали вичерпні відповіді на свої запитання від фахівців повноважних органів європейських країн та ДСЗПД.

Антон Фірсов,
фото автора та надані ДСЗПД

Коментарі

Коментарі до цього матеріалу відсутні. Прокоментуйте першим

Добавить свой

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

*

Інші статті розділу


Останні новини та статті