Закон Украины «О защите персональных данных» подписан

23 июня 2010 г. в Киеве (гостиница «Президент Отель») прошел общеукраинский семинар «Защита персональных данных в работе фармрынка. Новое в практике Украины и международный опыт». В центре внимания участников семинара — новый Закон Украины «О защите персональных данных». Инициатором проведения и организатором мероприятия стала компания «Medical Data Management».

24?июня 2010?г. Виктор Янукович, Президент Украины, подписал закон от 01.06.2010?г. №?2297 «О защите персональных данных» (далее — закон; см. на CD-диске). Соответствующий законопроект был внесен в Верховную Раду Украины народными депутатами от фракций «Блок Литвина», БЮТ, Коммунистической партии Украины 25?марта 2008?г. (регистрационный №?2273). 25?июня 2009?г проект прошел первое чтение и 1?июня 2010?г. был принят Верховной Радой во втором чтении и в целом («за» проголосовали 355?народных депутатов).

Принятый закон направлен на создание надлежащих правовых и организационных условий для сбора и использования информации персонального характера.

Как сообщают разработчики этого закона, его появление обусловлено евроинтеграционными процессами в Украине, в частности необходимостью выполнения нашей страной ряда требований ЕС. Одним из них является улучшение нормативно-правового обеспечения защиты персональных данных (ПД) в Украине согласно нормам международного права — положениям Конвенции от 28.01.1981?г. № 108 «О защите физических лиц при автоматизированной обработке персональных данных», а также Директиве 95/46/ЕС Европейского Парламента и Совета «О защите физических лиц при обработке персональных данных и о свободном перемещении таких данных».

6?июля 2010?г. Верховная Рада Украины ратифицировала Конвенцию о защите лиц при автоматизированной обработке персональных данных и дополнительный протокол к ней (соответствующий проект был зарегистрирован 16.06.2010?г. №?0170). «За» проголосовали 317?депутатов из 426, зарегистрированных в зале.

Определено, что действие закона не распространяется на деятельность по созданию баз ПД и обработке ПД в этих базах:

  • физическим лицом — исключительно для непрофессиональных личных или бытовых нужд;
  • журналистом — в связи с исполнением им служебных или профессиональных обязанностей;
  • профессиональным творческим работником — для осуществления творческой деятельности.

Дано определение ПД — это сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано. При этом база ПД — именуемая совокупность упорядоченных ПД в электронной форме или в форме картотек ПД.

Законом установлено, что обработка ПД — это любые действия или их совокупность, совершенные полностью или частично в информационной системе или картотеках ПД, которые связаны со сбором, регистрацией, накоплением, хранением, адаптацией, изменением, обновлением, использованием и распространением, обезличиванием, уничтожением сведений о физическом лице.

На первый взгляд закон представляется положительным, хотя отдельные его нормы вызывают ряд вопросов.

Именно об этом говорили участники семинара «Защита персональных данных в работе фармацевтического рынка. Новшества в законо­дательстве Украины и международный опыт».

Участники семинара — а это представители профильного комитета ВР Украины, эксперты в области информационной деятельности, фармацевтического маркетинга, юриспруденции — солидарны в том, что принятие нового Закона Украины «О защите персональных данных» вносит значительные коррективы в практику использования персональных данных, в частности на фармацевтическом рынке.

Семинар состоял из 2?частей, посвященных таким темам:

1) «Основные аспекты украинского законодательства в вопросе использования персональных данных»;

2) «Практика работы с персональными данными на фармацевтическом рынке в Украине и за рубежом».

В мероприятии приняли участие Владимир Игнатов, исполнительный директор «AIPM Ukraine»; Игорь Жиляев, заместитель заведующего секретариатом Комитета по науке и образованию Верховной Рады Украины (соавтор закона); Андрей Горбатенко, старший юрист юридической компании «Правовой Альянс»; Ирина Нестерова, юрисконсульт компании «CegedimDendrite Russia», Валентин Калашник, президент Украинской ассоциации Директ-Маркетинга; Борис Лобовик, компания «Ernst&Young LLC», а также представители других компаний.

Открыла семинар Надежда Ворушило, отметив, что база данных клиентов фармацевтической компании — это фундамент ее продаж и дальнейшего развития. От качества такой базы зависят в конечном итоге не только результативность внешней службы, но и эффективность стратегических бизнес-решений, принимаемых менеджментом.

Игорь Жиляев, рассказал об основных положениях закона в контексте информационной деятельности, подчеркнув, что этот документ регулирует отношения, связанные с защитой ПД при их обработке.

Андрей Горбатенко, представил вниманию присутствующих доклад на тему «Сильные и слабые стороны законодательства в сфере защиты персональных данных», в котором отобразил наиболее значимые вопросы.

В первую очередь, докладчик обратил внимание на определение ПД. В соответствии с ним к таким данным относится буквально любая информация о физическом лице. Это достаточно широкое определение, в связи с чем у юридических лиц, которые обрабатывают ПД, могут возникнуть некоторые сложности.

Что касается определения базы ПД, оно также представлено достаточно широко — практически любые систематизированные ПД (как в электронном виде, так и в виде картотеки).

А. Горбатенко привел несколько примеров, попадающих, по его мнению, под это определение: база ПД сотрудников, база данных клиентов, база данных партнеров предприятий. «В частности, даже визитница подходит под это определение, поскольку является своего рода картотекой упорядоченных ПД», — отметил он.

Докладчик подчеркнул, что выполнить требование части 3 ст. 9 о необходимости указания информации о местонахождении базы ПД, в частности электронных, не всегда возможно. Это объясняется тем, что владелец или распорядитель часто не знает места физического расположения оборудования, которое используется для хранения базы ПД.

Также вызвала вопросы норма закона о необходимости регистрации баз ПД. Так, база ПД подлежит государственной регистрации путем внесения соответствующей записи уполномоченным органом в Государственный реестр баз персональных данных.

Важно обратить внимание, что о каждом изменении сведений, необходимых для регистрации соответствующей базы (распорядители, цель), ее владелец должен в течение 10?дней уведомить уполномоченный государственный орган.

Закон определяет, что владельцами или распорядителями базы ПД могут быть предприятия, учреждения и организации всех форм собственности, органы государственной власти или местного самоуправления, физические лица — предприниматели, которые обрабатывают ПД. При этом владелец базы данных должен сформулировать цель обработки ПД в законах, нормативно-правовых актах, положениях, учредительных или иных документах, которые регулируют его деятельность. Как было отмечено участниками семинара, не допускается обработка ПД о физическом лице без его согласия.

Важным моментом является то, что в случае изменения цели использования ПД, владелец базы данных должен повторно обратиться к субъекту за получением согласия на использование его ПД уже для новой цели. Из этого можно сделать вывод, что компании, скорее всего, будут стараться как можно шире указывать цель обработки данных.

Было отмечено, что техническая возможность хранения доказательств согласия субъектов ПД (любых задокументированных) может оказаться весьма затруднительной для компании либо требующей значительных инвестиций.

Кроме того, необходимо уведомлять в письменном виде субъектов баз ПД о том, что информация о них включена в такую базу, передана третьему лицу, а также об изменении, ограничении доступа к ней, ее уничтожении.

Подводя итог своего доклада, А. Горбатенко отметил наиболее слабые, по его мнению, стороны закона: отсутствие четкой формы согласия на обработку ПД, необходимость предоставлять большое количество уведомлений, неясность относительно формулировки цели обработки ПД.

И. Жиляев прокомментировал некоторые спорные вопросы, которые были затронуты во время презентации.

Прежде всего он отметил, что новый закон непосредственно связан с рядом законов Украины, в том числе «О защите информации в автоматизированных системах». Под его действие попадает работа как с автоматизированными системами, так и с картотеками ПД, а определение «персональные данные» соответствует нормам европейского законодательства.

Он подчеркнул, что в украинском законодательстве есть специализированные нормативные документы, регулирующие обработку ПД в разных отраслях. Это определено в ст. 3?закона: законодательство о защите ПД составляют Конституция Украины, этот закон, другие законы и подзаконные нормативно-правовые акты, между­народные договоры Украины, согласие на обязательность которых предоставлено Верховной Радой Украины.

Также И. Жиляев отметил, что Президент предварительно определил орган, который будет работать в этом направлении — регистрировать базы данных — это Министерство юстиции. Положение о Государственном реестре баз персональных данных и порядок его ведения еще предстоит разработать и утвердить Кабинету Министров Украины.

В законе сказано, что субъекты отношений, связанных с ПД, обязаны обеспечить защиту этих данных от незаконной обработки, а также незаконного доступа к ним. Обеспечение такой защиты возлагается на владельца этой базы.

В связи с этим И. Жиляев отметил, что закон разрабатывался как документ высшего уровня, поэтому в п. 1 ст. 27?было записано: положения о защите ПД, изложенные в законе, могут дополняться или уточняться другими законами при условии, что они устанавливают требования по защите ПД, не противоречащие требованиям этого закона.

Касательно ответственности за нарушение законодательства о защите ПД (ст. 28) указано, что такое нарушение тянет за собой ответственность, установленную законом. При этом конкретный вид ответственности за нарушение законодательства о защите ПД в законе не указан. Комментируя это положение закона, И. Жиляев отметил, что ответственность определяется по 2 категориям: административная и уголовная. И, не имея достаточного опыта работы в этом направлении, сложно говорить о том, какие меры наказаний будут применяться и кто за этим будет следить. Для урегулирования этого вопроса в переходных положениях закона КМУ предписано внести изменения в соответствующие нормативные акты.

Ирина Нестерова выступила с презентацией «Европейская практика защиты персональных данных», отметив, что основными нормативно-правовыми актами в этой сфере являются Конвенция 1981?г. и Директива 95/46/ЕС. В европейском праве понятие «персональные данные» означает любую информацию, которая позволяет идентифицировать человека.

В России в федеральном законе от 27.07.2006?г. №?152 «О персональных данных» это понятие расписано очень широко: ПД — любая информация, относящаяся к определенному физическому лицу, в том числе это фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. При этом обработкой ПД считают их сбор, систематизацию, накопление, хранение, уточнение, использование, распространение, обезличивание, блокирование, уничтожение.

Интересным является степень ответственности за нарушения законодательства о ПД в России и ЕС. Российский закон определяет, что лица, виновные в нарушении требований закона, несут гражданскую, уголовную, административную, дисциплинарную и иную ответственность, предусмотренную законодательством. При этом в Европе четко определено, что ответственностью за такие нарушения является денежный штраф в размере до 1,5?млн евро или лишение свободы до 5?лет.

Валентин Калашник рассказал о текущей ситуации относительно принятого закона, а также его адаптации к новым условиям и перспективам развития.

Докладчик озвучил несколько вопросов, которые могут возникать у компаний в работе, учитывая нормы нового закона. Среди них: необходимость уведомления субъекта именно при удалении его ПД из базы; необходимость указания целей, в которых будут использоваться ПД (они могут меняться); указание владельцами базы ПД ее точного местонахождения. Кроме того, В. Калашник обратил внимание на то, что ст. 30?закона определено, что он вступает в силу 1?января 2011?г. При этом еще в течение 6?мес (то есть фактически до 1?июля 2011?г.) КМУ обязуется обеспечить принятие нормативно-правовых актов, предусмотренных законом, а также привести свои документы в соответствие с ним.

Борис Лобовик дал четкие рекомендации для фармацевтических компаний, необходимые для соблюдения требований нового закона.

Докладчик заметил, что в целом закон является позитивным и соответствует нормам защиты ПД, которые действуют в ЕС, в частности Директиве о защите физических лиц в отношении обработки ПД и о свободном перемещении таких данных.

Говоря о получении согласия от субъекта, он отметил, что целесообразно учитывать все возможные варианты использования его ПД, указывая максимально полный объем таковых, а также четкое фиксирование такого согласия.

В соответствии с законом субъект ПД имеет право на защиту своих ПД от незаконной обработки и случайной утраты, уничтожения, повреждения в связи с умышленным сокрытием, непредоставлением или несвоевременным предоставлением, а также на защиту от предоставления сведений, являющихся недостоверными или порочащими честь, достоинство и деловую репутацию. Если другими нормативными актами устанавливается такая защита, то она должна быть не меньшей, чем определенная в этом законе.

Отдельно законом определено, что запрещается обработка ПД, касающихся здоровья субъекта. Однако обработка такой информации разрешена, если она необходима в целях здравоохранения, для обеспечения заботы или лечения при условии, что такие данные обрабатываются медицинским работником или другим лицом учреждения здравоохранения, на которого возложены обязанности по обеспечению защиты ПД (часть 6 ст. 7?закона).

Н. Ворушило представила доклад на тему «Прогноз и возможные решения по использованию персональных данных». Она предложила два возможных сценария компаниям, работающим на фармацевтическом рынке Украины: самостоятельное создание профессиональной базы данных либо использование сервиса синдикативной базы. И тот, и другой подход дает возможность на должном уровне обеспечить защиту ПД.

Также генеральный директор компании «Medical Data Management» рассказала о пре­имуществах использования синдикативной базы данных на примере базы данных медицинских и аптечных работников PharbaseTM компании «Medical Data Management». При этом докладчик выделила основные достоинства этой базы:

  • высокая достоверность и полнота (вследствие применения отработанных методов сбора и обработки информации);
  • комплексный подход к анализу информации (данные исследования поступают из разных источников различными методами);
  • возможность обеспечить соответствие обработки и хранения ПД требованиям закона.

Также было отмечено, что дополнительные нормативные акты, регламенты, механизмы, инфраструктура и соответствующие органы будут создаваться и окажут влияние на дальнейшую адаптацию принятого закона. Несмотря на то что закон вступает в силу с 1 января 2011 г., Н. Ворушило призвала начать подготовку к изменению бизнес-процессов компаний в соответствии с новым законодательством уже сегодня.

Олеся Киселева,
фото Сергея Бека

Комментарии

Нет комментариев к этому материалу. Прокомментируйте первым

Добавить свой

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*

Другие статьи раздела


Последние новости и статьи