Госслужба по защите персональных данных: как будут проводиться проверки и почему не нужно думать о штрафах
Новини
17.01.2012
Госслужба по защите персональных данных: как будут проводиться проверки и почему не нужно думать о штрафах
С января вступил в силу закон, вводящий наказания за нарушения в сфере персональных данных (ПД). Это вызвало ажиотаж среди предпринимателей, которые еще не успели зарегистрировать свои базы. Буквально на днях парламент отсрочил его действие до июля этого года.
О том, когда начнутся проверки, стоит ли бояться штрафов и как правильно выполнять требования Закона о защите персональных данных рассказала первый заместитель главы Государственной службы по вопросам защиты персональных данных Лилия Олексюк.
Штрафов бояться не нужно
— Парламент на днях принял закон, который отсрочит санкции за нарушение Закона о персональных данных до 1 июля. Как служба оценивает данную инициативу?
— Такой проект есть, но не могу сказать, что у него хорошие перспективы. Позиция службы по этому поводу такова: мы не «за» и не «против». Почему? Потому что, с одной стороны, мы «за» снять негатив в бизнес-среде, пускай даже и через перенос сроков. С другой стороны, мы «против», поскольку перенос даты уже ничего не изменит.
Хотела бы отметить, что уголовная ответственность за нарушения в сфере персональных данных — это не новая, а видоизмененная старая статья кодекса. И та редакция, которая была в Уголовном кодексе — жестче, чем в указанном вами законе. Соответственно, если отсрочить вступление санкций в силу, старые статьи УК, которыми занимается не Госслужба, а СБУ, прокуратура, милиция, получают механизм привлечения к ответственности. А админответственности, штрафов, о которых сегодня так часто говорят, бояться не нужно. Может пройти до года, прежде чем будет определен штраф.
Самый удачный аргумент — наша статистика. В июле прошлого года, с начала регистрации баз ПД, было подано 18 заявлений, в августе — 144, в сентябре — 248, в октябре — 452, в ноябре — 12,272 тыс. и в декабре — более 400 тыс. Письма с заявлениями почта сейчас доставляет мешками, и на сегодня мы еще получаем те заявления, которые были составлены в декабре. То есть, вы понимаете, если отсрочить штрафы, юрлица начнут активно регистрировать базы ровно за месяц до нового срока.
Я не знаю, почему именно эти законы вызвали в нашей юридической среде такое возбуждение. Закон с января вступил в силу, штрафы уже действуют, скажите, кто-нибудь уже был оштрафован?
— Расскажите подробнее: когда и как будут проводиться проверки?
— Буквально на днях мы обсуждали этот вопрос с юристами. На сегодня порядок контроля, который уже прошел стадию общественного обсуждения, уже передан в Минюст, министерство где-то в течение месяца будет его рассматривать, потом зарегистрирует и опубликует. Кроме этого, должен быть нормативный документ, определяющий критерии, по которым организации попадают в график проверок (в первую очередь, это будут те юрлица, на которые чаще всего подают жалобы, это как правило, коллекторские компании, телеком-операторы и предприятия ЖКХ).
Мы не будем выходить на проверки, пока не будет порядка контроля, ведь каждая из таких проверок может быть обжалована в суде. Поэтому проверки планировались не ранее II квартала этого года.
— Вы ранее говорили о том, что будет составляться график проверок…
— Да. Сама процедура проверки будет определяться уже упомянутым порядком контроля. Информация обо всех проверках не позднее, чем за 30 дней будет публиковаться на нашем сайте. Анализ документов предприятия при проверке будет проводиться, начиная с устава предприятия, где должна быть обоснована законность обработки ПД, и заканчивая согласиями субъектов ПД, в которых, в том числе, должна быть обязательно отражена возможность передачи этих данных третьим лицам.
По результатам проверки мы даем предписание, в котором отображается, например: 1) необходимость оформить письменные согласия граждан в соответствии с тем, как их данные использует предприятие; 2) анализ положения об обработке ПД, которое должно быть у каждого юрлица.
Если на протяжении какого-то срока, — это не будет 5–10 дней, а скорее 1–3 месяца — организация не учла наших замечаний, мы это проверяем, составляем акт, заводим дело, передаем его в суд.
Но очень важно подчеркнуть: задача не стоит штрафовать кого угодно и как угодно. Задача в том, чтобы реализовать нормы Закона о защите персональных данных, рассказать, показать и объяснить, как это должно работать. По моему личному мнению, до того как это полноценно заработает, пройдет не менее года, а возможно и 2–3 года. И когда все процессы будут понятны и очевидны, можно будет применять административную и уголовную ответственность.
— Будут ли проверки как-то координироваться с силовыми структурами, налоговиками?
— Нет! Я вам ответственно заявляю: никаких проверок вместе с налоговой не будет. Мы работаем отдельно, они — отдельно.
Юристы должны убеждать, что защита ПД — это нормально
— Касательно определений «персональных данных» и «баз персональных данных», вопросы у предпринимателей все еще возникают. Вы не могли бы окончательно прояснить этот момент?
— Дело в том, что наше юридическое сообщество очень много усилий прилагает к тому, чтобы избежать чего-либо, вместо того, чтобы попытаться выполнить нормы закона. В заявлении на регистрацию баз самое главное — кто и как собирает данные. Никто не проверяет название или количество баз данных, это определяет сама компания или организация.
То, на что действительно нужно обращать внимание в этом документе, — это пункт «подтверждаю обязательства по требованиям законодательства по защите персональных данных». То есть каждый, кто подал заявление, фактически задекларировал, что все имеющиеся у него ПД хранятся и обрабатываются в соответствии с законом, постановлением Кабмина, типовым порядком обработки. И юристы, в первую очередь, должны убеждать работодателей в том, что защита ПД — это нормально, в этом есть необходимость, определить порядок обработки данных, кто и когда имеет к ним доступ и так далее.
— А типовой порядок обработки ПД в базах — это уже готовый документ?
— Да, 3-го января он был зарегистрирован в Минюсте и скоро появится на сайте. По образцу этого документа различные отрасли могут создавать свои нормативы. Ведь в законе не дается классификация типов данных, минимально необходимых для понятия «персональные данные», потому что для каждой отрасли это будут свои данные. В медицине — результаты анализов, истории болезни пациентов. У интернет-провайдеров персональными данными может считаться даже IP, в школах — это ФИО ученика и имена родителей. В большинстве своем уже не вызывает сомнений то, что персональные данные — это любые данные о физлице. И на их обработку в коммерческих целях необходимо согласие.
— Будут ли в обозримом будущем меняться нормы закона о защите ПД и санкции за его нарушения?
— Европейская конвенция ратифицирована 6 июля 2010 года (Конвенция Совета Европы о защите лиц в связи с автоматизированной обработкой персональных данных и Дополнительный протокол к ней по органам надзора и трансграничных потоков данных — ред.), и Европа на сегодня уже пересматривает и усиливает защиту ПД. Соответственно, будет меняться и наше законодательство. На сегодня правительство поставило перед нами задачу к марту переписать закон, привести в соответствие с действующим законодательством. Но термины «персональные данные» и «базы персональных данных» меняться не будут.
Например, мы будем работать над трансграничной передачей данных, это интересный вопрос, который нашим законом пока не урегулирован. Будем определять, как наш орган будет давать согласие на трансграничную передачу, какие документы необходимо собрать, чтобы получить такое согласие и т. д.
Почему был назначен такой граничный срок — потому что мы приближаемся к Евро-2012. Это, в первую очередь, толпы фанатов, которые сюда приедут. А Европа просто не передаст нам персональных данных своих граждан, если мы не подтвердим взятые на себя обязательства.
— Речь идет о так называемых «ультрас»?
— И о них тоже. Например, чтобы предотвратить конфликты во время чемпионата, важно будет получить информацию об агрессивных болельщиках, приезжающих в Украину. Наиболее опасным фанатам смогут отказать в получении визы на этом основании.
Как получить согласие
— Множество вопросов вызывает требование письменного согласия субъекта ПД на обработку его данных владельцем базы данных. Расскажите о наиболее частых нарушениях в этой сфере и о том, как правильно организовывать этот процесс. Например, интернет-компаниям сложно будет общаться со своими клиентами через почту. И как поступать, если данные собираются опосредованно, по телефону или в интернете?
— Данные, найденные в интернете — открытые, по закону вы имеете право их собирать, если потом сможете это подтвердить и указать источник. Как подтверждать согласие пользователя по телефону — над этим должны думать отраслевые организации, например, рекламисты, маркетологи. Возможно, это удорожит бизнес, но других вариантов нет, закон нужно соблюдать.
Общественный совет при нашей службе недавно поделился на группы, которые для каждой отрасли подготовят документы, описывающие такие нюансы. Мы можем проверить эти документы на соответствие закону, но в любом случае, ответственность за нарушения будет нести отрасль.
Пример неправильного оформления согласия пользователя подают наши телеком-провайдеры. У нас собрались жалобы на Укртелеком, Волю. Это, к примеру, может быть счет, на котором написано: «Оплатой данного счета вы подтверждаете свое согласие на обработку ваших ПД». Или объявление: «Если вы не придете в офис компании и не подпишете согласие, мы разорвем с вами договор». Так не годится. В данном случае нужно перезаключить с пользователем договор, где отдельным пунктом будет расписано, кто, как и зачем обрабатывает данные пользователя, передает ли их третьим лицам и т. д.
Могу показать анкету на получение скидочной карты одной из наших розничных сетей. Это — образцово оформленное согласие. Эта сеть еще летом прошлого года объявила, что меняет бумажные карты на красивые пластиковые, и в анкете на обратной стороне указала: цель сбора и обработки данных, кому будет предоставлен доступ, информацию о контактном лице в сети по вопросам ПД, возможность отозвать свои ПД и т. д. Под анкетой стоит дата и подпись клиента. Причем согласие получено еще в августе прошлого года.
— А в случае с веб-ресурсами как получать согласие? Например, как можно оформить согласие интернет-магазину?
— Согласно нормам Типового порядка обработки, в составе информационной системы, в которой обрабатываются персональные данные, может совершаться регистрация, в частности, факта установки признака «Подтверждение предоставления согласия на обработку персональных данных в базе персональных данных» с помощью управляющих элементов веб-ресурсов, интерфейсов пользователя программного обеспечения.
Это значит, что на веб-странице должен быть вменяемый и читабельный текст, под которым пользователь может поставить галочку. Еще лучше — если будет предусмотрена возможность для пользователя распечатать этот документ и оставить себе. Пользователь должен четко понимать, на что он соглашается.
— То есть, галочки достаточно?
— С точки зрения закона — нет, но никто не будет к этому придираться. Идеальным вариантом была бы, конечно электронная цифровая подпись (ЭЦП), поскольку письменный договор в электронной форме, по нашему законодательству, должен заверяться ЭЦП. При этом, учитывая, из 1,5 млн. ЧП большинство сдают отчетность в налоговую в электронном виде, значит, подпись у них уже есть.
Беда нашей страны в том, что у нас к интернету имеет доступ только 30% населения. Если бы проникновение было до 70%, как в странах ЕС, тогда, думаю, ЭЦП пользовались бы намного чаще.
— Можете описать идеальный с точки зрения закона механизм получения согласия от пользователя для веб-ресурса?
— В интернет-магазине это может быть текст, оформленный подобно лицензионному соглашению, которое вы читаете при установке ПО. Пока вы ее не прочитали и не отметили свое согласие, вы установку продолжить не можете. В этом документе должны быть учтены все пункты, указанные в законе: какие конкретно данные нужны, для каких целей, будет ли передача третьим лицам и т. д. А так же должна быть возможность высказать свои замечания по поводу использования данных.
Идеальным вариантом было бы хранить такие документы в электронном виде на протяжении времени между проверками. Скорее всего, проверки будут проводиться не чаще, чем раз в три года.
— Соцсети также попадают под действие закона?
— Любой интернет-ресурс — это автоматизированная система, а значит, попадает под нормы закона. Самые популярные сети у нас все равно российские, и им нужно думать, как соблюдать российский закон. В Одноклассниках, например, есть возможность открыть свои данные только друзьям или сделать публичными, подобные опции есть и в других сетях. Это правильно с точки зрения законодательства.
Число баз данных превысит четыре миллиона
— Возвратимся к основному вопросу: как определить, что данный набор сведений является базой персональных данных?
— Компания сама определяет, база это или нет. Базой может считаться и информация об одном лице, обрабатываемая с коммерческой целью. У нее должно быть три признака: 1) коммерческая цель обработки (например, база клиентов), 2) данные собраны вместе, 3) содержат персональные данные физлиц, достаточные для идентификации — например, имена, телефоны, адреса, фотографии.
Советы юристов по поводу того, что, мол, можно разложить папки с базой клиентов по различным кабинетам — бессмысленны. Все равно это единая база, поскольку проклассифицирована по одному признаку.
— Как определить, сколько баз обрабатывает предприятие? Ведь, например, одну базу может использовать несколько отделов?
— В таком случае, это одна база. Критерии для определения — совокупность данных (данные проклассифицированы по одному признаку) и единая цель обработки.
— А если в заявлении была указана одна база, а в ходе проверки служба обнаруживает, что баз на самом деле несколько?
— В первую очередь, проверяется цель обработки данных в той базе, которую вы указали в заявлении. Эта цель должна содержаться в уставе компании и в порядке обработки ПД на предприятии. Если вы в цели обработки перечислили десятки вариантов использования таких данных — это одна база. Далее, будет проверяться то, как вы используете данные: с правом передачи третьим лицам или без, имеются ли согласия субъектов ПД на обработку их данных.
— А если будет очевидно по профилю деятельности компании, что кроме задекларированной базы кадров у нее должна быть как минимум база клиентов, такие случаи будете проверять?
— Да. Почему у службы есть полномочия доступа в любые помещения? Для того, чтобы мы убедились, что никаких других данных, кроме указанных, компания не собирает. Допустим, они указали, что есть база сотрудников, а мы в процессе проверки увидели, что хранятся еще чьи-то персональные данные. Законность обработки данных — это первое, над чем должен был задуматься бизнес, а не о штрафах или о заявлениях на регистрацию.
— Есть ли приблизительные оценки того количества баз, которое будет зарегистрировано?
— Мы проводили такие подсчеты — это будет минимум 4,5 млн. Хотелось бы также сразу подчеркнуть: у нас не будет никаких приоритетов между государственными и частными структурами. Единственный приоритет — количество поступающих обоснованных жалоб от населения.
— Сейчас есть очередь на регистрацию? Вы, насколько я поняла, обрабатываете сейчас еще декабрьские заявки?
— Сейчас обрабатывается ноябрь, почта привозит нам заявления мешками. У нас сейчас пятеро регистраторов в штате, количество штатных сотрудников — регистраторов и контролеров будет расширяться.
После принятия изменений в госбюджет штат вырастет втрое, то есть, будет где-то около 30 регистраторов и 25 контролеров, по количеству регионов.
— Какие самые распространенные ошибки при заполнении заявлений на регистрацию?
— Гражданам часто в заполнении «помогают» юристы, причем услуга по заполнению одного заявления может стоить около 500 грн. Такие заявки заполняются одинаковым неразборчивым почерком, и мы их, конечно, возвращаем, потому что прочесть текст невозможно.
Паника перед Новым годом вообще не способствовала правильному заполнению заявлений. В декабре предприниматели заполняли бумаги на коленях, по периметру нашего здания. Естественно, забывали указать, например, наименование владельца, адрес, по которому находится база. Так что сначала было до 30% отказов в регистрации.
— Если берем идеальный случай: что должно сделать предприятие с двумя основными базами (сотрудников и клиентов), чтобы полностью выполнить требования закона?
Проанализировать, обрабатываются ли персональные данные, определить базы.
Отказаться от обработки ненужных данных.
Взять согласие субъектов ПД, сообщить о включении в базу на протяжении 10-ти дней.
Привести свою документацию в соответствие с законом: посмотреть, какие данные обрабатываются на основании разрешения, данного законами Украины (например Налоговым кодексом, КЗоТ и т. д.), а какие — нет, и в случае, если нет законных оснований, внести изменения в уставные документы. Также — написать порядок обработки ПД на предприятии.
Определить ответственное лицо, проверить мероприятия по защите ПД.
Написать заявление и подать его на регистрацию в Госслужбу.
Периодически добирать согласия тех субъектов, ПД которых поступают в базу. Ничего страшного, если было подано заявление, а эти этапы еще не пройдены, Главное — начать работать в этом направлении и не считать, что регистрации базы хватит для выполнения закона.