Чому закон про захист персональних даних неможливо виконати
Парламент проголосував за відстрочення введення відповідальності за порушення закону "Про захист персональних даних". Якщо президент не підпише цей документ, всі компанії, бюджетні організації та приватні особи можуть бути суворо покарані. Кореспондент "Економічної правди" відвідав тренінг Мін'юсту і Держслужби з питань захисту персональних даних і разом з 50-ма HR-фахівцями прийшов до висновку, що не порушувати закон про захист даних неможливо.
Тетяна Лютіна вже багато років працює за спрощеною системою оподаткування як приватний підприємець - фізична особа. Найманих робітників у неї немає. Щоб здавати в податкову інспекцію звіти, вона найняла одну з фірм, які надають такі послуги. Після прийняття Податкового кодексу та змін ставок єдиного податку вона заморозила свою діяльність - подала до податкової інформацію про те, що вона залишається зареєстрованим підприємцем, але діяльність свою більше не веде. І податки, відповідно, вже не платить.
Несподівано в кінці 2011 року компанія, яка обслуговувала Лютіну і здавала її звіти в податкову, прислала дивного листа. У ньому повідомлялося, що з 1 січня 2012 року вступають в силу поправки до Кодексу про адміністративні правопорушення і Кримінального кодексу.
Згідно з цими поправками і на підставі закону "Про захист персональних даних", який набув чинності ще 1 січня 2011 року, за ухилення від реєстрації баз персональних даних їй загрожує штраф від 5100 до 8500 гривень. У разі, якщо до баз даних Лютіної хтось незаконно отримає доступ, штраф становитиме 17 тисяч гривень.
Лютіній наполегливо рекомендували відправити поштою до Держслужби з питань захисту персональних даних свої бази даних.
Тетяна ніколи не знала, що така Служба існує. Вона не знала і про прийнятий закон. І вона зовсім не розуміла, про які бази даних йдеться. Що, власне, вона повинна відправити у цю Службу? Навіщо?
Ці питання виникли не ільки у Лютіної, а буквально в кожного - від підприємця-одинака до найбільших компаній, від поліклінік до міністерств. Всі перебували або в невіданні, або в розслабленому стані. Але так було до тих пір, поки не були оприлюднені розміри штрафів. І ось тоді вже всі кинулися виконувати закон про захист даних - хто як міг.
Один з великих автодилерів України під час техобслуговування автомобілів дає клієнтам на підпис папір, в якому дуже туманно написано, що клієнт згоден на обробку та зберігання його персональних даних. Багато клієнтів підписують це, не вникаючи в подробиці. Зрештою, що такого про власника машини може знати дилер? Ім'я, адреса, держномер машини, телефон... На автосервісі вся ця інформація і без всякого закону необхідна, адже ніхто ж не вимагає інформацію про сексуальну орієнтацію.
А відомий провайдер інтернету і кабельного телебачення "Воля" зрозумів норми закону інакше. Тепер ця компанія на звороті квитанцій, які вона відправляє клієнтам, повідомляє, що оплачуючи цю квитанцію, клієнт автоматично дає згоду на те, що його дані будуть оброблятися, зберігатися і якось використовуватися.
Цей текст досить спірний. По-перше, такі речі зазначаються в договорі між клієнтом і компанією, а не на квитанції. По-друге, клієнта позбавляють права вибору - він не може оплатити рахунок і відмовитися від використання його персональних даних (при цьому, незрозуміло, яких саме). З іншого боку, юристи компанії, напевно, не могли придумати нічого кращого - прочитання закону про захист персональних даних вводить в оману багатьох. Він написаний таким чином, що трактувати його можна як кому завгодно.
У компанії "Воля" заявили, що текст на звороті квитанції законний, складений виходячи з норм чинного законодавства та закону про захист персональних даних.
"З 2011 року згоду на обробку персональних даних ми отримуємо від кожного нового абонента. Без ідентифікації абонента - фізичної особи взагалі не можливе надання послуг. Ідентифікація відбувається, в першу чергу, за його персональними даними", - сказала Аліна Сігда, керівник прес-лужби компанії.
Ксенія Ляпіна - один з депутатів парламенту, яка намагається змінити закон або, як мінімум, відстрочити і зменшити штрафні санкції, які вона іронічно називає "скромненькими и миленькими".
Депутат пояснює, чому був прийнятий цей закону. У 2010 році Україна ратифікувала "Конвенцію про захист осіб у зв'язку з автоматизованою обробкою персональних даних". Без цього документа інші країни відмовлялися передавати в Україну бази даних. Наприклад, якщо європейська компанія замовляє українській розробку програмного забезпечення для обробки інформації, то вона хоче, щоб розробник ніс законну відповідальність, яка повинна бути прописана в українському законодавстві – саме цього в нас і не було. Тому Україна і ратифікувала Конвецію. Але цього ще недостатньо.
Конвенція - це орієнтир для законодавців і виконавчої влади, але це ще не той документ, який відповідає на питання, що і як робити для того, щоб захистити людину та інформацію про неї. Для цього необхідний закон. І такий закон - про захист персональних даних - був прийнятий і набув чинності 1 січня 2011 року. Але виявилося, що якість цього документа не витримує ніякої критики, закон можна трактувати по-різному і немає можливості його виконати.
"Зверніть увагу на назву Конвенції - "про захист осіб". А український закон - "про захист даних ". Тобто ми не захищаємо людини у зв'язку з тим, що її персональні дані обробляються автоматизовано, - говорить Ляпіна. - У нас, як завжди, захищають папірець, причому не просто папірець, а бажано масштабно так підійти до справи: створити державний реєстр. Ключова ідея закону зовсім не в тому, щоб захищати право людини на приватність, а в тому, щоб створити державну базу даних баз даних, які вимагають контролю щодо захисту".
Депутат зазначає, що в законі таке поняття як "база даних" описано дуже туманно. Фактично автори документа - а це Мін'юст - "скопіпастив" окремі шматки з Конвенції, яка, як вже було сказано, є лише "дороговказом" для національного законодавства.
"Автори українського закону дали визначення баз даних, що називається,"як хочу, так і розумію ". В результаті виникла дискусія. От у тебе в телефоні перелік твоїх друзів, там прізвища, імена та номери. І телефон, відповідно до закону про захист прав персональних даних, - це вже база даних, яка потребує реєстрації", - пояснює Ляпіна.
ЯК ЗРОЗУМІТИ ЦЮ НОРМУ ЗАКОНУ
Стаття 2. Визначення термінів
У цьому законі нижче наведені терміни вживаються в такому значенні:
база персональних даних - іменована сукупність упорядкованих персональних даних в електронній формі та / або у формі картотек персональних даних.
Депутат також наводить приклад роботу агентства з працевлаштування. Такі агентства дійсно створюють базу даних, в якій є всі відомості для ідентифікації людини, ці дані обробляють для зрозумілої мети - для пошуку роботи. Можна сказати, що, передаючи дані, людина дає свою згоду на обробку даних. Якщо агентству такі дані не надати, то як воно знайде роботу? Навіщо ще треба писати, що людина згодна на те, що його включають в базу, але саме це вимагає закон?
Те ж саме відбувається і з відкриттям рахунку в банку - в цьому випадку клієнт передає якийсь необхідний для відкриття рахунку обсяг даних. Немає даних - немає рахунку.
"Цей закон і те, як його виконують, - лише імітація діяльності. Мета подібного законодавства в Європі - захистити моє право на приватність. Ну, яке право на приватність порушує автосервіс, якщо ти туди їздиш обслуговуватися? Це ж бізнесові відносини, ти ж не даєш їм ті ідентифікатори, які не вважаєш за потрібне", - говорить Ляпіна.
Олександра Матвійчук із Центру громадянських свобод додає, що закон не запроваджує незалежного контролю за збиранням, обробкою та використанням персональних даних, як цього вимагає Рада Європи.
"Державна служба України з питань захисту персональних даних створена при Міністерстві юстиції України, тобто знаходиться в системі органів виконавчої влади. За таких обставин завжди є загроза, що положення закону можуть застосовуватися з іншою метою, ніж захист прав людини", - вважає експерт.
Матвійчук говорить, що відповідно до європейських стандартів, персональні дані поділяються на дані загального характеру (прізвище, ім’я та по батькові, дата і місце народження, громадянство, місце проживання) та вразливі персональні дані (дані про стан здоров’я, етнічна належність, ставлення до релігії, ідентифікаційні коди чи номери, відбитки пальців, податковий статус, дані про судимість тощо).
"Але український закон такого розмежування не проводить. Як наслідок, за буквальним тлумаченням норм закону поширення навіть прізвища та ім’я особи може здійснюватися лише за письмової згоди особи. Водночас закон не передбачає можливості поширювати персональні дані, якщо вона становить суспільний інтерес, що є істотним обмеженням свободи слова. Це суперечить положенню інших законів, наприклад, закону "Про доступ до публічної інформації", - каже Матвійчук.
На її думку, закон суттєво ускладнює регулювання даних відносин. Наприклад, зобов’язує повідомляти суб’єкта персональних даних про включення в базу його персональних даних. У той же час відповідно до закону будь-яка обробка цих даних і так є можливою після отримання згоди суб’єкта на таку обробку. Залишається незрозумілим, в чому доцільність такого подвійного повідомлення, що здійснюється виключно в письмовій формі.
"Загалом зауваження є практично до кожної статті даного закону", - вважає Матвійчук.
Є ще й кілька технічних питань.
Наприклад, державна чи приватна клініка веде історії хвороб своїх пацієнтів. Чи вважається це базою даних? Напевно, так. Але в державних клініках і поліклініках ці історії пишуться від руки - їх немає в електронному вигляді. Чи потрібно їх реєструвати в Держслужбі? Напевно, так. Як? Надіслати все це поштою? Але навіщо передавати історії хвороби ще одному держоргану, якщо існує Міністерство охорони здоров'я, яке контролює державні медичні установи та ліцензує приватні? І якщо піти ще далі, то, напевно, саме МОЗ теж повинно передати свої бази даних Держслужбі.
Інше технічне питання полягає в тому, що Держслужба з питань захисту персональних даних була створена лише влітку минулого року. Зараз у штаті цієї служби, якщо вірити даним її сайту, працює 12 осіб.
Заступник голови цієї Держслужби лави Лілія Олексюк каже, що її відомство в липні минулого року отримало 18 заяв про реєстрацію баз даних, в серпні - 144, у вересні - 248, у жовтні - 452, в листопаді - 12272. і в грудні - понад 400 тисяч.
"Листи з заявами пошта зараз доставляє мішками, і на сьогодні ми ще отримуємо ті заяви, які були складені в грудні", - сказала Олексюк.
За даними Держслужби, на сьогодні вона отримала 2 мільйона заявок на реєстрацію баз. Якщо більша їх частина була надіслана поштою, то яким чином 12 осіб зможуть її обробити, незрозуміло. Більш того, ці 2 мільйони заявок повинні отримати повідомлення (теж поштою) про те, що їхня база даних зареєстрована. 12 язиків не зможуть облизати стільки поштових марок. Однак документ, який підтверджує, що база зареєстрована, потрібен, інакше штрафів не уникнути. Крім того, дані, надіслані на папері, необхідно оцифрувати. В іншому випадку, про які бази даних може йти мова? Як же виконати цей закон? Судячи з даних про держзакупівлі, Держслужба вже готова купувати сканери та іншу техніку. Часу в них багато.
І ще одне. Крім назви бази даних і мети її створення, Держслужбі необхідно повідомити, де вона знаходиться, а саме - адресу.
Ляпіна задає риторичне запитання: "Якщо інформація знаходиться на сервері, а сервер за сімома замками в моєму офісі, то все зрозуміло. А якщо база даних у мене на флешці або в хмарному сервісі зберігання файлів? Яку ж адресу мені вказати?".
"Складнощі із виконанням закону експерти прогнозували ще на етапі прийняття законопроекту", - каже Матвійчук. На її думку, це унікальний випадок, коли і правозахисна спільнота, а саме - Українська Гельсінська спілка з прав людини, і бізнес, і Асоціація українських банків звернулися до президента України із проханням накласти вето на цей законопроект та відправити його на доопрацювання.
Матвійчук на власні очі бачила процесс реєстрації баз даних: "З окремими складнощами ми вже зіткнулися в практиці. Красномовними були черги на подання заяв на реєстрацію баз персональних даних в кінці 2011 року. Вони вишикувалися з вулиці до входу в приміщення, де знаходиться Держслужба з питань захисту персональних даних. Так сталося, що я працюю в тій самій будівлі, і були дні, коли просто не могла потрапити на роботу".
Ескперт додає, що остаточну картину ми будемо бачити, коли Держслужба почне відпрацьовувати вже затверджений ними план перевірок.
Власне, всі ці черги і мільйони листів викликані не тільки тим, що закон, яким би він не був, треба виконувати, а тим, що санкції за його невиконання безпрецедентно жорсткі. І в законі не сказано, в якому ж випаду треба платити 300 неоподаткованих мінімумів, а в якому 700. Тобто поле для корупції – широке.
Матвійчук пропонує таке порівняння: порушення вимог законодавства про працю та про охорону праці тягне за собою накладення штрафу від тридцяти до ста неоподатковуваних мінімумів доходів громадян, а порушення законодавства у сфері захисту персональних даних - від трьохсот до чотирьохсот неоподатковуваних мінімумів доходів громадян.
"Іншими словами, якщо ви несвоєчасно надіслали Держслужбі з питань захисту персональних даних папірець із інформацією, то ви платите штраф в 4 рази вищий, ніж за свідому невиплату заробітної плати", - каже експерт.
Олексюк з Держслужби запевняє, що перевірки почнуться не раніше другого кварталу цього року. Але паніка ніяк не вщухне.
Щоб зрозуміти, як закон про захист персональних даних розуміють в Мін'юсті, Держслужбі і в бізнес-співтоваристві, кореспондент "Економічної правди" відправився на тренінг.
Цей тренінг проводив інший заступник голови Держслужби з питань захисту персональних даних - Володимир Козак, і директор департаменту взаємодії з органами влади Мін'юсту Олена Зеркаль. Послухати цих людей прийшло близко 50 фахівців, в основному, голови HR-департаментів найбільших компаній та юристи.
Володимир Козак почав було розповідати про закон, цитувати його статті, але дуже швидко 50 недружньо налаштованих фахівців з кадрів почали ставити запитання.
Одне з таких питань звучало приблизно так: "Я працюю в представництві зарубіжної компанії в Україні. Наше представництво відправило на реєстрацію в Держслужбу бази даних. Чи правильно ми зробили?"
Козак відповів, що представництву не потрібно було цього робити, тому що воно не є юридичною особою. Той, хто ставив це питання зазначив, що в законі про це нічого не сказано. На що Козак порадив включити логічне мислення.
А через три хвилини інший представник Держслужби, ім'я якого дізнатися не вдалося, заявив, що представництво зарубіжної компанії таки повинно було реєструвати свої бази. А Зеркаль з Мін'юсту настійно рекомендувала "найняти грамотного юриста". По залу пішов регіт.
Потім посипалися запитання типу "чи правильно ми вчинили, відправивши вам базу даних клієнтів?", "навіщо торговцю з ринку реєструвати свої бази і які - записні книжки?".
Стало цілком очевидно, що навіть фахівці високого рівня дійсно не розуміють, як виконувати закон, бо він, на їхню думку, дуже сирий. Вони хотіли почути трактування цього закону від того, хто його писав, і хто має намір контролювати його дотримання. Але Зеркаль, чуючи кожен з подібних питань, театрально хапалася за голову, закочувала очі, демонструючи присутнім їх некомпетентність.
Зрештою, вона запросила бажаючих прийти до неї в Мін'юст і обговорити кожен випадок окремо (як зв'язатися з Зеркаль, можна дізнатися тут).
Козаку було поставлено запитання, а чи правильно вчинила компанія "Воля", написавши на звороті платіжної квитанції, що клієнт, оплачуючи її, дає згоду на обробку його даних. Заступник голови Держслужби, спираючись на норми закону про захист персональних даних, відповів так: "А ви почитайте договір з "Волею"- там все написано".
Як повідомила "Економічній правді" компанія "Воля", такий пункт міститься в договорах, підписаних з клієнтами після вступу закону в силу. У старих договорах, відповідно, такого пункту немає. При цьому згаданий текст присутній на квитанціях для абсолютно всіх клієнтів - і нових, і старих, які прийшли в компанію до 2011 року, тому що в той час їх згода на обробку персональних даних законами не було передбачено.
Козак також заперечив, що перевірки підприємств вже почалися, хоча кілька разів у своїй промові згадав, що "в ході перевірок були виявлені класичні помилки..."
Представник рекрутингової компанії запитав Козака, чи слід вважати базою даних імена та контакти, зібрані з Facebook. Чиновник сказав, що особисто він вважає незаконною ситуацію, коли з ним зв'язуються через Facebook, щоб, наприклад, запропонувати роботу. На питання, а чи читав він угоду користувача з Facebook, Козак не відповів.
Під час тренінгу було помітно, що Зеркаль та Козак на ходу вигадують, як виконувати норми закону в тому чи іншому випадку. Здавалося, що вони імпровізували і були налаштовані до своїх "учнів" надмірно агресивно.
Відповідаючи на питання, що робити, якщо при прийомі на роботу людина відмовляється підписати папір про збір, зберігання і обробку його особистих даних, Зеркаль дала таку рекомендацію: "Не беріть його на роботу". Зауваження про те, що це не узгоджується з іншими законами, представниця міністерства відкинула.
Зеркаль зробила ще одну важливу заяву - закон про захист персональних даних вона назвала рамковим.
Як відомо, "рамковий" може означати "попередній" або навіть "приблизний", тобто документ рамкового характеру визначає загальні принципи, а механізм реалізації такого документа прописується в контрактах або у повноцінному законі.
На жаль, співробітник Мін'юсту Зеркаль, називаючи закон рамковим, не уточнила, де в законі про це сказано. Насправді ж це повноцінний закон, хоча по суті, за формою і за духом він, напевно, рамковий, тому як не дає чітких вказівок, як його виконувати.
У підсумку присутні фахівці зрозуміли, що тренінг їм ніяк не допоможе і що чиновники не відповідають на їхні запитання, і по одному покидали захід. Склалося враження, що Держслужба з питань захисту персональних даних - це подібність Нацкомісії з питань моралі: поняття "порнографія" чиновниками трактується так, а нормальними людьми - інакше. Але у перших в руках влада.
За інформацією джерел "Економічної правди", уряд доручив Мін'юсту доопрацювати закон про захист персональних даних. Джерело повідомляє, що керівники підприємств, що належать деяким віце-прем'єр-міністрам, поскаржилися на те, що закон не витримує ніякої критики і створює проблеми в роботі. Коли віце-прем'єри вникли в ситуацію, як каже джерело, їм стало не по собі.
На запитання, чому парламент, що складається з найбільших підприємців і промисловців, проголосував за цей закон, Ляпіна сказала, що і депутати не особливо вникали в те, що відбувається - вони побачили закон з гарною назвою "про захист" і проголосували "за". Наприкінці минулої сесії парламенту депутати вже зі знанням справи проголосували за введення штрафів не з 1 січня, а з 1 липня цього року. Проте, закон потребує серйозних змін.
А підприємець Лютіна так і не зареєструвала свої бази даних: "Звичайно, у мене є бази даних, але поки я не зрозумію, які з них цікавлять владу і що мені за це буде, я не збираюся нічого робити. Хай спочатку доведуть, що у мене ці бази є і що я порушила закон".