Українська правда

Держслужба персональних даних: З перевіркою можемо прийти куди завгодно

Заступник голови Держслужби з питань персональних даних Володимир Козак вважає, що при всіх недоліках закону про захист персональних даних виконувати його доведеться. Як? (Рос.)

Как писала "Экономическая правда", закон о защите персональных данных коснулся почти каждого жителя Украины, но написан он таким образом, что выполнить его невозможно.

После выхода этой публикации Владимир Козак, заместитель Госслужбы по вопросам персональных данных при Минюсте, прокомментировал блог автора статьи, сказав, что тот "все напутал". В частности, Козак обратил внимание на то, что отправлять в Госслужбу базы данных закон не требует. В статье не было сказано, что это нужно делать, но было сказано, что некоторые так поступают, потому что не поняли нормы закона.

"Экономическая правда" принесла извинения Госслужбе и приносит их своим читателям, если описание случаев отправки баз в это ведомство было принято как призыв к действию. На самом деле базы присылать в Госслужбу не надо – нужна только их регистрация.

Там же, в блоге на глазах читателей, "Экономическая правда" договорилась об интервью с Козаком. К разговору позже подключился и глава Службы Алексей Мервинский – интервью с ним читайте здесь.

Цель этого разговора состояла в том, чтобы выяснить, насколько закон качественный и как же его выполнять.

Эта беседа состоялась в офисе Госслужбы. О том, как выполняется закон о защите персональных данных, вступивший в силу 1 января 2011 года, уже можно начать судить по объявлению, которое Госслужба разместила у входа в здание: это объявление гласит, что заявки на регистрацию баз можно присылать почтой или упаковать заявку в пакет и опустить в специальный ящик. На объявлении кто-то ручкой написал "могу помочь", но не оставил номер телефона.

Таких "помощников" сейчас много – от юристов до других "консультантов". Паника, которая была вызвана непониманием закона и введением больших штрафных санкций, привела к тому, что в Госслужбу пришло более 4 миллионов заявок на регистрацию баз. И "Экономическая правда" не ошиблась, когда писала, что люди присылают и сами базы – что и подтвердил Козак.

В коридоре стоит несколько десятков мешков с необработанными заявками на регистрацию. Отсортированные заявки разложены в шкафах и на полках. Показывая все это, Козак в шутку назвал это "логовом".

Он говорит, что на самом деле в Госслужбе работает не 12 человек, как писалось ранее, а 51, но даже эти люди не могут обработать все заявки в кратчайшие сроки. Сотрудники службы вносят поступившие данные в компьютер вручную. Этой работы им хватит если не на несколько лет, то на несколько месяцев. И это при том, что, по приблизительной оценке Козака, в этих мешках и шкафах находится около 50% заявок на регистрацию баз данных.

Напомним, что этот закон был принят после того, как Украина в 2010 году ратифицировала европейскую Конвенцию о защите личности в связи с автоматизированной обработкой персональных данных. Эксперты и некоторые депутаты обратили внимание на то, что закон в значительной степени содержит те же нормы, что и Конвенция, в некоторых случаях – слово в слово. Как оказалось, украинский закон соответствует этой Конвенции не полностью. И это было первой новостью, которая прозвучала во время разговора.

"Я не говорю, что закон полностью соответствует Конвенции, я говорю, что в значительной мере соответствует. Там осталось несколько моментов, которые не соответствуют, и кое-какие вещи открываются по мере реализации. То есть не все сразу можно было увидеть даже тем, кто его писал: некоторые вещи очевидны, а некоторые нет", - сказал Козак.

Правда, он уточняет, что разница присутствует на уровне формулировок, то есть, как сказал чиновник, что-то изменилось при переводе текста на украинский. "Трудности перевода", - процитировал Козак название знаменитого фильма Софии Копполы.

Одно из принципиальных отличий закона от Конвенции состоит в том, что, украинский документ распространяется практически на все сферы, включая оборону и госбезопасность. И Минобороны и СБУ уже зарегистрировали свои базы данных в Госслужбе.

Правда, в ходе разговора выяснилось и то, что закон о защите персональных данных выполнили далеко не все министерства и ведомства или их заявки на регистрацию баз данных находятся в тех самых мешках и до них еще не дошли руки.

Козак подтвердил, что Минюсту поручено внести в закон коррективы, но пока он не говорит, какие именно – это станет ясно в процессе работы. Но уже известно, что Европейский Союз, проанализировав наш закон, уже дал более 50 рекомендации по его доработке. На вопрос, какие замечания есть у ЕС, Козак ответил так: "Например, даже те, которые в вашей статье повторяются в тех или иных вариациях".

Как писала "Экономическая правда", претензии депутатов, экспертов и общественных организаций предпринимателей сводятся к тому, что в законе не прописаны четко такие понятия как "база данных" – что это такое, закон трактует очень пространно, что дает широкие возможности для фантазии как организаций, так и самой Госслужбы.

Козак также заявил, что ЕС считает штрафы за нарушение закона о персональных данных низкими. Как известно, с 1 января этого года действую штрафы, размер которых достигает 1000 необлагаемых налогов минимумом (сейчас этот минимум равен 17 гривнам) и введена уголовная ответственность. В некоторых странах Европы штрафы достигают 2% оборота компании.

А как же быть с общественными организациями, у которых нет ни оборота, ни прибыли? И не считают ли в Госслужбе, что штраф в 17 тысяч гривен – это огромные деньги? Руководство Госслужбы уверено, что штрафы должны быть еще больше.

Козак уточняет, что в разных сферах риски нарушения закона разные: "В Украине год работы закона показал сферы деятельности, где эти риски максимальны. Это отношения между коллектором и организацией, которая предоставляет им сведенья о заемщиках. Вторая сфера – директ-маркетинг. Ну, и третья, как ни странно, это жилищно-коммунальное хозяйство".

Замглавы Госслужбы, доказывая "мягкость" украинского закона, говорит, что в некоторых странах регистрация баз данных невозможна без предварительной проверки этих баз. Украинский закон предполагает проверку после регистрации. Собственно, по этой причине, а также потому, что были введены штрафы, в конце декабря прошлого года Госслужба была завалена заявками на регистрацию.

"Безусловно, ничего хорошего в этом никак не было. Хотя, если попытаться найти хорошее в любом действии, то можно сказать, что таким ужасным способом повысилось знание о существовании закона, знание о том, что что-то есть. Хотя, конечно, так не должно было быть", - признался чиновник.

- Согласитесь, что это следствие некачественного закона.

- Ну, безусловно. Это - следствие некачественного закона, плюс на этапе имплементации закона нам не удалось убедить при подготовке постановления Кабинета министров внести какие-то процедурные изменения, которые смягчили бы этот недостаток, - согласился Козак.

Он также отметил, что проблемы с имплементацией национальных законов других стран решаются годами.

- Не бывает идеальных законов, это же не особенность только нашего закона, - сказал Козак, но настаивает, что выполнять его нужно.

Он не считает, что закон надо остановить или надо приостановить его выполнение, даже если кто-то считает его дискриминационным. Одно из замечаний, с которым Госслужба соглашается, относится к норме закона, согласно которой владелец базы данных обязан письменно получить согласие человека на включение его данных в базу, а затем еще письменно подтвердить факт включения – очевидно, что уведомление о включении в базу после получения согласия уже не нужно. Эта бумажная работа рано или поздно превратится в кошмар для любого владельца базы данных.

Сейчас на подписи у президента лежит закон, который откладывает введение штрафных санкции до 1 июля этого года. Если президент его не подпишет, то, с учетом вольной трактовки закона о защите персональных данных появляются большие возможности для манипуляций и коррупции. Но Козак уверяет, что бояться штрафов не стоит.

- Почему штрафы такие высокие и что будет, если президент наложит вето на закон об их отсрочке?

- Не зависимо от того, будет этот закон ветирован или будет подписан, принципиально ничего не поменяется. Единственное что, поменяется для нас: явные нарушители, которые открыто игнорируют требования закона, будут терпеливо ждать до июля. Если закон будет ветирован, то применить закон о защите персональных данных на практике ведь не так просто, окончательное решение о штрафах принимает суд, а не мы.

- Предположим, вы проводите проверку и решаете применить санкции – например, 300 необлагаемых минимумов. Что потом?

- Мы составляем акт проверки и административный протокол, отправляем в суд, и суд принимает решение.

- Вот пример: штрафы предусмотрены за несвоевременную регистрации баз данных. Но нигде не сказано, что значит "несвоевременно".

- Ну, в принципе, очень трудно применить санкции в этом случае, ведь трудно представить, что Служба будет выдвигать требования об уклонения от регистрации, имея у себя около миллиона заявлений баз персональных данных.

- Ну это же не серьезно…

- А чего не серьезно?

- Закон принят, санкции утверждены, и вы говорите, что не будете штрафовать? Этому можно просто так верить?

- Строгость этого закона не обязательно ведет к массовому применению санкций. У нас по штату отдел контроля состоит из девяти человек. Значит, говорить о повальном контроле бессмысленно. В законе прописано, что после проверки мы пишем предписание, которое говорит о том, какие нарушения выявлены и сколько времени дается на их устранение, потом через какое-то время повторно мы проводим проверку, и если это предписание не выполнено, тогда составляем акты. На сегодняшний момент никто не оштрафован. Говорить гипотетически, что все будут оштрафованы или никто не будет оштрафован – ну, это просто слова.

- А в каком случае применяется один штраф, а в каком - другой?

- Это будет решать суд.

- На основании чего?

- На основании нашего акта, безусловно.

- В каком случае суд назначит штраф 200 минимумов, в каком – 250, в каком 258, в каком - 500, в каком – 1000? Чем это определено? Чем должен руководствоваться суд?

- Это не только нашего закона касается.

- Мы же об этом законе говорим…

- Какая разница? Это такая практика сложилась, по многим законам есть «от - до» и есть установленная практика, как это делается. Но я хочу другое сказать: уровень ажиотажа и страха штрафов не соответствует реальным проблемам. В этом моя точка зрения. Штрафы не соответствуют нашим задачам и нашей стратегии. Ведь цель – не штрафы собирать.

- Где это написано, что это не соответствует вашей стратегии?

- Секундочку, а где это должно быть написано?

- Должны быть виды нарушений.

- Будут.

- Но сейчас их нет.

- Они будут. Разрабатывается сейчас положение о контроле. Они общие, но вот пройдет время, и будет практика какая-то.

- Ну, у нас же нет прецедентного права.

- Нет.

- А о какой практике тогда может идти речь? Согласитесь, что то, что я описал – поле для коррупции широчайшее.

- Не знаю, не согласен. Поле для коррупции может быть где угодно. Важно, как на практике - приводит к коррупции или не приводит.

В ходе этой беседы выяснилась еще одна неожиданная деталь – в случае, если ведомство, организация или частная компания нарушила закон о защите персональных данных, то санкции применяются не к этим юридическим лицам, а к ответственному должностному лицу. То есть базы данных составляет компания, она же утверждает правила и нормы обработки и хранения данных, но в случае нарушений за все заплатит работник.

Козак говорит, что не согласен с этой нормой - отвечать должна компания. Однако сейчас все наоборот. Если предположить, что Министерство обороны нарушило закон, то отвечать будет не оно, а в лучшем случае – министр, в худшем – "стрелочник".

Но утешением может служить тот факт, что плана проверок на 2012 год еще нет и что еще не разработаны процедуры: что проверять, как, когда и так далее. Но документы эти в процессе подготовки. Рано или поздно они появятся. При этом сотрудники Госслужбы уже имеют право посетить любого.

- Кстати, база данных ЕДАПС у вас зарегистрирована? И можете ли вы прийти к ним с проверкой?

- С проверкой можем прийти куда угодно. У нас нигде нет ограничений, куда мы не можем пройти с проверкой. Я надеюсь, мы даже сможем приходить с проверкой в подразделение министерства внутренних дел и проверять, законно или незаконно они обрабатывают персональные данные тех или иных субъектов персональных данных. Но для этого надо процедуры прописать.

Еще одно слабое место закона состоит в том, что при регистрации баз данных нужно указать адрес, где эта база хранится. Но какой адрес указать, если база находится в облачном сервисе хранения файлов? И что делать, если база данных – на "флешке"?

Вот что говорит об этом Козак: "Носить базу персональных данных на флешке с большим количеством данных, персональных данных – это достаточно опасно.

- Ну, это мое дело, разве нет?

- Нет. Вот до тех пор, пока у вас есть 17 тысяч штрафа, это немного. Но в Великой Британии было несколько случаев, когда был наложен штраф 500 тысяч фунтов стерлингов. Понимаете? Это очень серьезные вещи. Теряются базы данных, собранные десятилетиями.

- Мы возвращаемся к вопросу, а что такое база данных. База данных, например, в таблице Exel. Это ведь база, верно? У меня здесь данные о работниках, клиентах.

- Хорошо, подписывайте процедуру, как вы эту базу обрабатываете, как вы ее храните, ставьте печать и храните себе.

- Процедура такая: я ее храню в компьютере, распечатываю или ношу с собой на флешке. Вот такая у меня процедура. А так же на облачном сервисе. Я так хочу. Вы же сказали: пропишите процедуру. Вот я ее и прописал.

- Да, вы прописали, но вы же можете прописать процедуру в соответствии с законодательством. Если вы храните базу данных своих работников на облачном сервисе, то об этом вы должны сказать как минимум каждому, чьи персональные данные вы храните на облачном сервисе.

- Сказал: у меня все это храниться на сервисе Google.

- Отлично. И вот здесь должен быть договор с Google, потому что Google будет являться распорядителем базы персональных данных.

- Подписываясь на бесплатные сервисы Google, я принял их условия, я согласился. Что еще подписывать?

- И все согласились, что вы носите у себя на флешке?

- Да.

- Да ради бога.

- Так какой адрес вам указать при регистрации этой базы в вашей Госслужбе?

- Вот это еще один момент, который ничем в нашем законе от других законов не отличается. И точно так же, с этой же проблемой столкнулись абсолютно все страны. Когда писалась Конвенция Совета Европы в 1981 году, Google не было и не было облачных технологий. И флешек не было. Когда писались директивы Евросоюза в 1995 году, они уже были, но в таком зачаточном состоянии, что ничего там хранить никто не мог, и флешек точно не было. А сейчас 2012. Но реальные адреса баз вы указываете в своем собственном документе, где будет четко прописано, потому что это документ для нас - чтобы проверить, так ли это на самом деле в случае проверки. А при регистрации вы указываете организацию. Значит, если, если у вас сведения хранятся в Google, то это – адрес Google. Какие проблемы?

- И пароль вам дать?

- Нет, только адрес организации.

- То есть я должен указать США?

- Да ради бога. Но если вы там храните серьезные данные, то у вас возникнут серьезные проблемы, потому что вы не выполните требования законодательства. У вас должна быть гарантия, что вы удалите мои данные, после того, как я забрал свое согласие. Вот я разрешил вам обрабатывать – вы обрабатываете на Google. Так? А я говорю: я больше не согласен. У вас нет оснований обрабатывать мои персональные данные ни дома, ни на флешке.

- Хорошо. Я вам даю слово – удалю ваши данные.

- Вы пишете в Google – а вам говорят, мы ничего не знаем. Я на вас в суд подаю. Посмотрим, значит, как вы выполнили мои права.

- А я даю слово, я соблюдаю ваши права.

- Ну, разберемся…

- Предположим я – частный предприниматель, физическое лицо, плачу единый налог, торгую рыбой на базаре. Все мои данные о поставщиках и клиентах хранятся в Google. Я могу так делать по нашему закону?

- Базу частных лиц, на самом деле, на Google вести надо, заключив договор с Google, лучше письменный, и лучше письменно сообщить каждому, что вы храните их данные на Google. Потому что вы будете в большой опасности, когда любой из ваших клиентов будет предъявлять к вам претензии.

- Как это на практике сделать? Как мне получить подпись с Google, тем более, что я заключил с ними пользовательское соглашение?

- Да не надо, не надо список клиентов на Google хранить.

- Это мое дело.

- Не ваше.

- Вы не имеете право мне сказать, что с этим делать.

- Да ничего подобного. Если вы как юрлицо храните персональные данные людей, которые вы взяли, то закон этого не позволяет делать, как хотите. Вы должны выполнить требования. Значит, смотрите - вот общая рекомендация: если это облачная технология, то там есть оператор, с которым вы договариваетесь. Если его даже нет – то он есть. Рекомендации специалистов Евросоюза такие: считать этого оператора «розпорядником бази персональних даних». И если он за пределами Евросоюза, то это значит, что вы передаете данные за пределами Евросоюза со всеми вытекающими отсюда последствиями. У нас нету такой практики, и до тех пор, пока мы будем говорить о первых шагах, мы не сделаем никогда второй. Появится четкое понимание каждого нюанса со временем, но они не появятся от того, что я сел подумать и вы сели подумать. Они появятся, когда все будут потихоньку работать, ведь мы же живем и работаем и так, и так.

В качестве резюме разговора с Козаком можно сказать, что понимания, как выполнять закон, больше не стало. Документ спорный, что признает даже сама Госслужба, с оговорками.

- Этот закон выполнять сложно. Да ли нет?

- Да.

- Ближе к невозможному?

- Нет.

- Какая сумма предусмотрена на вашу Службу в Госбюджете?

- Восемь миллионов.