Захист персональних даних в Україні. Закони та відповідальність

Починаючи з 01.01.2011 р. на території України почав діяти закон № 2297-VI «Про захист персональних даних». Певно деякі чули цю новину, і все ж більшість людей не знають, що в липні 2011-го року запущена процедура реєстрації баз персональних даних (ПД). Лише одиниці з тих, кого безпосередньо стосується даний нормативно-правовий акт, поквапилися здійснити певні реальні кроки. Паралельно з цим, починаючи з 01.01.2012 р. в силу вступили прийняті зміни в українському кримінальному та адміністративному кодексах, що встановили норми відповідальності у разі недотримання приписів даного документа. У нашій статті ми представимо розгорнуті відповіді щодо таких проблем:

• Кого саме це може торкнутися?
• Що варто зробити?
• Що трапиться, якщо залишити все як є?

Кому в обов'язковому порядку необхідно брати до уваги закон про захист ПД?

Будь-яка фізична або юридична особа України, яка володіє певними персональними даними фізичних осіб. При цьому закон дає досить широке трактування терміну «персональні дані». Державна служба захисту персональних даних (ЗПД) у своїх роз'ясненнях спирається на Конвенцію Ради Європи і визначає персональні дані як відомості чи набір відомостей про фізичну особу, використовуючи які можна ідентифікувати конкретну фізичну особу. Отже, в якості персональних даних може виступати майже будь-яка інформація: ПІБ, телефон, адреса проживання, дата народження, GPS локація людини, призначена для користувача IP-адреса, адреса електронної пошти та інше. База персональних даних – це іменована кількість згрупованої персональної інформації в електронному форматі або у вигляді архіву персональних даних.

Стає зрозумілим, що відповідно до норм закону, фіксувати, реєструвати особисті системи зобов'язані саме власники майже всіх типів веб-ресурсів, які мають зареєстрованих користувачів. До цієї ж категорії відносяться й інтернет-магазини разом зі своїми клієнтськими базами. Однак найважливіше те, що персональними даними в тому числі прийнято вважати й дані про співробітників. А тому, виконувати реєстрацію своєї бази робочого персоналу має кожне українське підприємство.

Закінчивши зі вступною частиною, приступимо до практичних кроків.

Яким чином забезпечується виконання нормативно-правового акту про захист ПД?

Для виключення претензій з боку служби ЗПД необхідно гарантувати реалізацію наступних концептуальних підходів:

1. Своєчасно отримати дозвіл у кожного клієнта або співробітника фірми на використання та обробку його ПД. При цьому необхідно його проінформувати про мету отримання даної інформації та її обробки. Також потрібно повідомити суб'єкта про його права, через включення відомостей про нього в загальну базу персональних даних, а також про тих осіб, для яких ця інформація призначається;
2. Провести процедуру реєстрації бази ПД у відповідному держреєстрі;
3. Гарантувати захист бази ПД.

Згадуючи про конкретні практичні дії, вони можуть трохи різнитися для різних баз ПД. Варто проаналізувати для прикладу два випадки: web-сайт, а також організація, яка володіє базою даних про персонал.

Web-сайт

Щоб виконати перший пункт, необхідно підготувати і розмістити для вільного ознайомлення угоду користувача про використання ПД. Варто включити відомості про права користувача, ймовірно потрібно надати посилання або ж надати цитату на 8-му статтю Закону про захист ПД, вказати свої цілі обробки інформації, а ще додати такий пункт як «я надаю дозвіл адміністрації сайту проводити збір та обробку моїх персональних даних. Ознайомлений(а) з правами, які з'являються через обробку моїх ПД, а також з цілями обробки, застосування моїх ПД».

Для гарантії захисту, в момент передачі користувачем своїх даних, власник web-сайту повинен використовувати безпечний протокол передачі інформації для виключення можливості перехоплення даних третіми особами. При такому способі передачі даних інформація шифрується, чим і забезпечується захист. Особливо критичною є безпека передачі платежів. Наприклад, при будь-яких розрахунках через інтернет, при оформленні онлайн кредиту слід переконатися, що сайт, на якому здійснюються такі дії, працює з використанням безпечного протоколу https. Сайт компанії Глобал Кредит в обов'язковому порядку використовує найсучасніший спосіб захисту даних, що передаються, тому наші клієнти, які оформляють онлайн кредити на банківську карту можуть бути впевнені в тому, що їх конфіденційні дані надійно захищені від перехоплення зловмисниками.

Організація

Необхідно прийняти правила, які інформують працівників про їхні права, що виникають унаслідок обробки їх ПД, крім того проінформувати про цілі обробки ПД. Обов'язково необхідно оформити дозвіл від кожного працівника на обробку його ПД в письмовій формі.

Що стосується процедури реєстрації баз ПД, вона буде типовою для будь-яких випадків, а також не повинна забирати дуже багато часу.

Більш того, згідно з нормами закону власник бази ПД повинен забезпечувати надійний захист. І все ж, що стосується вибору певних заходів, методів захисту, такі питання цілком лягають на плечі власника баз ПД.

Яка відповідальність передбачена у разі невиконання закону про захист ПД?

Відповідальність за невиконання закону про захист ПД встановлюється як адміністративна, так і кримінальна. Згідно cтатті 188-39 Кодексу про адміністративні правопорушення штраф може досягати 1000 (17.000 гривень) неоподатковуваних мінімумів доходів громадян (НМДГ). При цьому, нагадуємо, неоподатковувана мінімальна сума доходів українських громадян становить 17 грн.

Крім того, передбачена і кримінальна відповідальність у разі несанкціонованого збору, зберігання, використання, знищення, поширення конфіденційної інформації (відповідно до статті 182 Кримінального Кодексу України).

Оформлення протоколів про порушення в сфері захисту ПД покладено на спеціальний уповноважений орган, а саме Державну службу з питань захисту ПД. Однак, тільки місцеві суди мають право залучати до відповідальності, а також виносити рішення щодо сплати штрафних санкцій.

Особливі випадки

Дія закону не поширюється на такі ситуації:

• коли таку базу застосовує працівник творчої сфери з метою реалізації своєї творчої роботи;
• коли базу застосовують журналісти з метою реалізації своїх посадових обов'язків;
• коли базу застосовує фізична особа для особистих побутових потреб;
• у випадку, коли базу застосовує фізична особа для персональних непрофесійних потреб.

З вищевикладеного випливає, якщо у вас є свій блог і ви маєте базу даних передплатників, то реєструвати її не потрібно.

Підсумки

Важливо вказати, що метою закону про захист ПД не є захопити всі особисті дані користувача до єдиної бази, так як при цьому призначені для користувача відомості реєстрацію не проходять. Реєструється виключно факт наявності бази ПД, і це забезпечує наявність відповідальної особи, саме він відповідає за збереження отриманих призначених для користувача даних. Спочатку це надає якусь гарантію для самих користувачів в тому питанні, що інформація про них нікуди не дінеться, не застосовуватиметься для протиправних діянь.