Подготовлено: Валентин Калашник, Дмитрий Йовдий 1 23 февраля 2011, Киев Закон о защите персональных данных - прелести и неожиданности Две противоположно-мотивированные. - презентация

1 Подготовлено: Валентин Калашник, Дмитрий Йовдий 1 23 февраля 2011, Киев Закон о защите персональных данных - прелести и неожиданности Две противоположно-мотивированные организации (Хельсинский союз и Ассоциация банков) просили Президента о вето этого Закона. Не вышло...

2 Подготовлено: Валентин Калашник, Дмитрий Йовдий Баланс личных и общественных интересов. Закон создает существенный крен в сторону защиты именно личных интересов. Формальное выполнение может сделать невозможным многие общественные отношения, в частности, бизнес. 2

3 Подготовлено: Валентин Калашник, Дмитрий Йовдий Разделения на «идентификационные» и «уязвимые» нет Такого разделения в Законе нет, это одна из фактических причин, по которой Ассоциация банков, Хельсинский союз просит Президента ветировать Закон. 3

4 Подготовлено: Валентин Калашник, Дмитрий Йовдий Обязательная регистрация БПД и заявительный принцип Нас с вами будет контролировать Государственная служба защиты ПД. Будет создан реестр в котором все мы должны будем регистрировать существующие БПД. Это уведомление о владельце, распорядителях, целях обработки, месте обработки. Регистрация носит заявительный принцип, но уполномоченный гос. орган может отказать в регистрации. Оценочный масштаб 3 млн. записей За невыполнение админ. и уголовная ответственность 4

5 Подготовлено: Валентин Калашник, Дмитрий Йовдий Доступ в помещения Представители Государственной службы защиты ПД имеют право входить в любое помещение где обрабатывается или находится БПД (возможно, обрабатывается или находится, по мнению проверяющего) (ст.23, п.4) 5

6 Подготовлено: Валентин Калашник, Дмитрий Йовдий Охват и источники финансирования Из определения что такое «персональные данные» следует, что БПД есть у любого предприятия и предпринимателя. У некоторых предприятий к-во БПД (рекламный бизнес, колл- центры, датацентры) будет измеряется сотнями. Финансироваться эти работы будут, в том числе, «…за счет субъектов отношений связанных с персональными данными (ст.26)…» - т.е. нас с вами. 6

7 Подготовлено: Валентин Калашник, Дмитрий Йовдий Получение согласия субъекта ПД Закон подтверждает ранее существовавшие в законодательстве нормы (Конституция, Закон «Об информации»), о недопустимости использования ПД без согласия владельца ПД. Вместе с тем, Закон предусматривает возможность получения согласия владельца ПД другими способами кроме письменного (ст.2, определение термина «согласие субъекта ПД»), что допускает легальное существование БПД созданных в ходе телефонного маркетинга или в интернете. 7

8 Подготовлено: Валентин Калашник, Дмитрий Йовдий Право субъекта данных требовать удаления его ПД Норма, способная разрушить всю систему договорных отношений В2С. Эта основной недостаток, с точки зрения Ассоциации банков. УАДМ считает, что данные полученные законным путем не могут удаляться по требованию субъекта ПД. Такая возможность отсутствует даже технически (ст.15, п.п.2-3) поскольку любое удаление данных, как любая операция в БПД должна быть документально мотивирована, т.е. д.б. соответствующее заявление владельца ПД. А такое заявление в контексте данного Закона является элементом картотеки, т.е. базы персональных данных. Исключается возможность отраслевым объединениям создавать списки «робинзонов». 8

9 Подготовлено: Валентин Калашник, Дмитрий Йовдий Место расположения БПД Не учитывает, что фактические место расположения серверов может быть не известно ни собственнику БПД, ни обработчику. Часто используется хостинг вне Украины. 9

10 Подготовлено: Валентин Калашник, Дмитрий Йовдий Уведомление об удалении Не возможная к исполнению норма (т.е. не перед удалением, а об удалении). (ст.21, ст.15, п.п.2-3) технически это не возможно, поскольку любое удаление данных должно быть документально обосновано, т.е. д. б. соответствующее заявление владельца ПД. А такое заявление в контексте данного Закона является элементом картотеки, т.е. базы персональных данных – круг замыкается... 10

11 Подготовлено: Валентин Калашник, Дмитрий Йовдий Цели обработки Право на получение ПД и ведение БПД жестко увязывается с формализацией целей обработки. В средне/долгосрочной перспективе предусмотреть все цели обработки ПД не возможно. В европейской практике уже отказались от контроля целей обработки, т.к. цели существенно изменяются в ходе развития договорных отношений. 11

12 Подготовлено: Валентин Калашник, Дмитрий Йовдий Публичная деятельность вне Закона Закон не предусматривает свободного распространения информации о любых должностных лицах (как предприятий, так и госчиновников, кроме чиновников 1й категории и выборных лиц). Существует диспуты является ли визитница картотекой, а руководящий пост публичной деятельностью. 12

13 Подготовлено: Валентин Калашник, Дмитрий Йовдий Научные цели – только обезличено. Т.е. использование ФИО в любом виде не возможно. История, как наука теряет смысл. Обезличивание ПД или БПД? 13

14 Подготовлено: Валентин Калашник, Дмитрий Йовдий Уведомление после обработки Сложно реализуемой нормой Закона является необходимость уведомления «исключительно в письменной форме» владельца ПД о его правах, целях сбора ПД, лицах, которым его ПД будут передаваться «на протяжении десяти раб. дней с даты включения его ПД в базу ПД» (ст.12 п.2). Такое требование не логично, поскольку любая обработка ПД (в т.ч. сбор ПД) и так становится возможной только после получения согласия владельца ПД (ст.11, п.1.). 14

15 Подготовлено: Валентин Калашник, Дмитрий Йовдий Отраслевые стандарты работы с ПД и СРО Закон предусматривает, что профессиональные объединениями могут разрабатывать «корпоративные кодексы поведения» (ст.27, п.2.) учитывая специфику отдельных отраслей (например, маркетинга и коммерческой деятельности). Такая норма дает возможность вырабатывать отраслевые стандарты по работе с ПД. 15

16 Подготовлено: Валентин Калашник, Дмитрий Йовдий Санкции 1.Уклонение от регистрации – штраф до 17 тыс. 2.Нарушения порядка доступа до ПД – до 34 тыс. 3.Не уведомление ГС ЗПД об изменениях – до 6,8 тыс. 4.Не своевременное уведомление СПД – 11,9 тыс. 5.Нарушение требований з-ва о защите инф.о физлице – до 34 тыс. 6.Нарушение требований з-ва о защите инф.о физлице если привело к несанкционированному распространению и значительному ущербу лицу, или 7. умышленное распространение, если привело к значительному ущербу лица – ограничение свободы до 2х лет, арест до 6 мес, испр. работы до 2х лет. 16

17 Подготовлено: Валентин Калашник, Дмитрий Йовдий Валентин Калашник