Захист персональних даних: як дотриматися вимоги закону?

Юридична компанія «Правовий Альянс» продовжує цикл вечірніх курсів для представників фармацевтичних компаній. 22 лютого 2011 року відбувся міні-семінар «Персональні дані: адаптація діяльності фармвиробників до норм законодавства», який відвідали 16 представників фармацевтичних компаній і профільних ЗМІ. В ролі доповідача виступив Ілля Костін, адвокат, старший партнер юридичної компанії «Правовий Альянс».

1 січня 2011 року набрав чинності Закон України від 01.06.2010 р № 2297-VI « Про захист персональних даних »(Далі - закон), відповідно до якого під поняття« персональні дані »підпадають відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована з їх допомогою, в тому числі домашній та електронну адресу, номери телефонів (мобільного та домашнього) і т.д.

Термін «база персональних даних» також представлений досить широко. Це іменна сукупність упорядкованих персональних даних в електронній формі та / або у формі карток персональних даних. Відповідно до визначення, до неї можуть бути віднесені бази даних співробітників, клієнтів, партнерів підприємства. «Навіть візитниця і корпоративний телефон підходять під це поняття», - зазначив І. Костін. Саме тому цей закон зачіпає кожне підприємство і кожного його співробітника. Однак для того, щоб втілити його положення в життя, потрібно прийняти ще багато підзаконних нормативно-правових актів, які, на думку доповідача, будуть видані вже в другій половині 2011 р

І. Костін відзначив, що законом заборонена обробка персональних даних про расове або етнічне походження; політичних, релігійних або світоглядних переконаннях; членство в політичних партіях та професійних спілках; даних, які стосуються здоров'я чи статевого життя. Однак ці положення не застосовуються в ряді винятків, наприклад: якщо обробка персональних даних здійснюється за умови надання суб'єктом персональних даних однозначної згоди на їх обробку; необхідна в цілях охорони здоров'я, для забезпечення піклування чи лікування за умови, що такі дані обробляються медичним працівником або іншою особою закладу охорони здоров'я, на якого покладено обов'язки щодо забезпечення захисту персональних даних; якщо такі дані були оприлюднені самим суб'єктом.

Законом передбачено, що база персональних даних підлягає обов'язковій реєстрації шляхом подання відповідного повідомлення уповноваженому органу. При цьому термін її реєстрації становить 10 робочих днів. Заява про реєстрацію бази персональних даних має містити такі відомості:

• звернення про реєстрацію;
• інформація про власника;
• найменування та місцезнаходження бази персональних даних;
• мета обробки персональних даних;
• інформація про розпорядників бази персональних даних;
• підтвердження зобов'язання забезпечувати захист персональних даних.

Важливо звернути увагу на те, що в разі зміни відомостей, необхідних для реєстрації відповідної бази (інформація про розпорядників, зміна мети обробки персональних даних і т.п.), її власник повинен протягом 10 робочих днів повідомити уповноважений державний орган.

Сьогодні реєстрація бази персональних даних неможлива до того моменту, поки не будуть прийняті і наберуть чинності нормативні підзаконні акти.

Державна служба захисту персональних даних - новий центральний орган виконавчої влади, створений відповідно до Указу Президента України від 09.12.2010 р № 1085/2010 «Про оптимізацію системи центральних органів виконавчої влади», діяльність якого спрямовує і координує КМУ через міністра юстиції України.

Указом Президент України від 28.12.2010 р № 1270 Олексій Мервінскійназначен головою Державної служби захисту персональних даних, а Указами Президента України від 17.01.2011 р № 88/2011 та № 89/2011 його першим заступником призначено Олега Фролов; заступником - Володимир Козак.

Особливий інтерес для фармацевтичного бізнесу представляють положення закону, що регулюють обробку персональних даних, яка здійснюється в базах таких даних. Нормами закону передбачається обов'язкове отримання письмового документованого згоди на таку обробку від осіб, чиї дані становлять такі бази, повідомлення особи про її права, метою збору персональних даних та осіб, яким передаються ці дані протягом 10 робочих днів (крім збору з відкритих джерел), а також у зв'язку зі зміною (знищенням, обмеженням) доступу до персональних даних.

Письмова згода на використання персональних даних має містити волевиявлення щодо дозволу на обробку персональних даних; мета їх обробки; обсяг персональних даних, які можна обробляти; дозвіл на їх передачу; умови доступу (розпорядників, третіх осіб); термін обробки; права суб'єкта персональних даних (в письмовій формі).

Що ж стосується мети обробки персональних даних, доповідач зазначив, що вона визначається в згоді суб'єкта персональних даних; фіксується в заяві на реєстрацію бази персональних даних; сформульована в законах, інших нормативних актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця бази персональних даних. У разі зміни мети обробки, необхідно отримати погодження суб'єкта персональних даних.

І. Костін окремо звернув увагу присутніх на те, що використання персональних даних співробітниками суб'єктів правовідносин здійснюється виключно відповідно до їх професійними або трудовими зобов'язаннями, і вони не повинні допускати розголошення персональних даних.

Бази персональних даних, отриманих з відкритих джерел, також реєструються. Повідомлення суб'єкта про включення його персональних даних до бази не здійснюється; реалізується тільки повідомлення про передачу, зміну, знищення, обмеження доступу до персональних даних. При передачі персональних даних третім особам отримання згоди суб'єкта персональних даних також є необхідним.

Закон визначає виключно відкритий режим доступу до персональних даних, якщо це:

• знеособлені дані;
• дані категорій осіб, визначених законодавчими актами;
• дані фізичних осіб, які претендують зайняти чи займають виборні посади (в представницьких органах) або посаду державного службовця першої категорії.

Доповідач зазначив, що сьогодні законодавство України не містить спеціальних норм, які встановлюють відповідальність за недотримання закону в сфері захисту персональних даних.

Відповідальність окремих фізичних осіб щодо порушення недоторканності приватного життя встановлена Кримінальним кодексом України (ст. 182), Цивільним кодексом України (моральну шкоду).

Однак 03.02.2011 р в першому читанні прийнятий законопроект від 11.11.2010 р № 7355 «Про внесення змін до деяких законодавчих актів України щодо порушення законодавства про захист персональних даних», яким передбачено адміністративну та кримінальну відповідальність за порушення закону, а саме:

• за ухилення від реєстрації передбачається штраф від 300 до 500 неоподатковуваних мінімумів доходів громадян (від 5100 до 8500 грн.);
• за передачу персональних даних третім особам - штраф від 500 до 1000 неоподатковуваних мінімумів доходів громадян (від 8500 до 17000 грн.) або виправні роботи до 2 років, або арешт на строк до 3 місяців;
• за порушення встановлених законом вимог до захисту інформації про особу, що призвело до розголошення або спотворення цієї інформації та завдало значної шкоди особі, передбачений штраф від 800 до 2000 неоподатковуваних мінімумів доходів громадян (від 13 600 до 34 000 грн.) або виправні роботи на термін до 2 років, або арешт на строк до 6 міс, або обмеження волі на строк до 2 років.

На думку доповідача, для того щоб закон почав працювати КМУ необхідно розробити такі нормативні акти:

• типовий порядок роботи з базами персональних даних;
• порядок обробки персональних даних, які відносяться до банківської таємниці;
• положення про Державний реєстр персональних даних та порядок його ведення;
• документ, що визначає розмір оплати за послуги надання доступу до персональних даних державними органами.

І. Костін окремо розглянув слабкі сторони закону, серед яких:

• необхідність реєструвати абсолютно всі бази персональних даних;
• складність дотримання форми згоди суб'єкта персональних даних;
• необхідність надання великої кількості повідомлень щодо змін в базі персональних даних;
• неясність щодо формулювання мети обробки персональних даних в документах, що регулюють діяльність володільця бази;
• неадекватність правового регулювання обробки персональних даних, отриманих з відкритих джерел;
• необхідність отримання згоди на обробку будь-яких персональних даних.

Адвокат рекомендував власникам (розпорядникам) бази персональних даних вже починати розробляти необхідні документи, серед яких:

• положення, що регулює мета обробки персональних даних, вимоги до порядку обробки, порядку реєстрації персональних даних та відповідальних осіб, порядку направлення письмових повідомлень, і, знову ж таки, відповідальних осіб; умови зберігання і доступ до баз персональних даних і т.д. З цією метою необхідно привести внутрішні документи корпоративної політики щодо автоматизованих систем і доступу до них у відповідність до закону; провести інвентаризацію баз персональних даних і чітко встановити їх місцезнаходження в офісі (для контролюючих органів), вказавши це в документах;
• зразки згоди і повідомлень суб'єкта персональних даних, при цьому внісши зміни і доповнення до договорів з фізичними особами (в тому числі співробітниками), чиї дані обробляються (кадри, бухгалтерія, постачальники), а також передбачаючи отримання згоди на доступ до персональних даних без необхідності подальшого повідомлення про доступ (ст. 21) і т.д .;
• зразки повідомлення уповноваженого органу;
• договір з суб'єктами, які обробляють бази персональних даних;
• порядок роботи із запитами суб'єктів персональних даних, третіх осіб;
• порядок відносин з розпорядником (для власника) баз персональних даних.

Підводячи підсумки, І. Костін навів висловлювання Шарля Луї Монтеск'є, французького письменника, правознавця і філософа: «Жорстокість законів перешкоджає їх дотриманню». На жаль, положення закону не дають повного уявлення про те, як саме слід їх виконувати, чим керуватися і на що звертати увагу, а також з чого починати приведення власного бізнесу у відповідність з його нормами, особливо якщо в розпорядженні компанії знаходяться багатотисячні електронні бази даних і картотеки, що містять відомості про лікарів, пацієнтів, співробітників, підрядників, партнерів і т.д.

Адвокат також поінформував присутніх, що 8 квітня 2011 року в конференц-залі готелю «Русь» (Київ) відбудеться I Щорічний форум з фармацевтичного права, організатором якого виступив Комітет з фармацевтичного права Асоціації правників України, а генеральним інформаційним партнером - «Тижневик АПТЕКА» .

До участі в заході запрошуються юристи, практикуючі в сфері фармацевтичного права (штатні юристи фармацевтичних компаній, юристи приватної практики чи працюють в юридичних фірмах, які обслуговують галузь), а також представники компаній - виробників лікарських засобів, яких цікавлять питання правового регулювання різних сфер фармацевтичного бізнесу.

На завершення семінару вже традиційно був проведений розіграш сертифікатів на наступні заходи компанії. Нагадаємо, що 22 березня 2011 г. «Правовий Альянс» в рамках циклу вечірніх курсів для представників фармацевтичних компаній проведе міні-семінар «Захист даних реєстраційного досьє» (www.apteka.ua/article/74563)

Анна Бармина,
фото Сергія Бека

Цікава інформація для Вас: