uasol.com
Додати статтю | Реєстрація
Інтернет і сервіси
Авто і Мото
Бізнес і фінанси
    Автоматизація бізнесу
    Бізнес в інтернеті
    Банки і кредити
    Бухгалтерія
    Договори
    Маркетінг
    Нерухомість
    Охорона праці
    Підприємництво
    Посадові інструкції, контракти
    Про рекламу
    Різне
    Статутні документи
    Страхові послуги
    Управління
    Форекс
Будівництво та ремонт
Будинок, сім'я
Все про меблі
Дієти, ваша фігура
Діти і батьки
Закон і Право
Захоплення і хобі
Зв'язок
Комп'ютери
Краса, мода, імідж
Кулінария
Культура та мистецтво
Лекції, посібники
Люди, суспільство
Медицина і здоров'я
Наука і освіта
Політика
Промисловість
Реферати
Робота, працевлаштування
Спорт
Товари і послуги
Туризм і подорожі
Чоловік + Жінка
  Морські свинки. Утримання і догляд.  
  Створення рінгтонов 
  Ліки для лікування кандидозу (молочниці)  
  ПЕРШІ ОЗНАКИ ВАГІТНОСТІ 
  Материк Євразія 
  Черепахи: утримання та догляд 
  ПОВНА ТАБЛИЦЯ КАЛОРІЙНОСТІ ПРОДУКТІВ  
  ОРХІДЕЯ В БУДИНКУ - ДОГЛЯД 
  Що це таке вегето-судинна дистонія? 
  Як скласти бізнес-план 
Каталог україномовних статей - uasol.com
 укр
 eng
 рус
ШУКАТИ!
Запам'ятати сторінку | Зробити стартовою | Поділитися з товарищем
В Госслужбе по вопросам защиты ПД рассказали о проверках, штрафах и предстоящих изменениях Закона
В Госслужбе по вопросам защиты ПД рассказали о проверках, штрафах и предстоящих изменениях Закона
Первый заместитель главы Государственной службы по вопросам защиты персональных данных Лилия Олексюк рассказала о том, как будут проводиться проверки и почему не нужно думать о штрафах.
   



   
   Парламент на днях принял закон, который отсрочит санкции за нарушение Закона о персональных данных до 1 июля. Как служба оценивает данную инициативу?
    - Такой проект есть, но не могу сказать, что у него хорошие перспективы. Позиция службы по этому поводу такова: мы не «за» и не «против». Почему? Потому что, с одной стороны, мы «за» снять негатив в бизнес-среде, пускай даже и через перенос сроков. С другой стороны, мы «против», поскольку перенос даты уже ничего не изменит.
    Хотела бы отметить, что уголовная ответственность за нарушения в сфере персональных данных – это не новая, а видоизмененная старая статья кодекса. И та редакция, которая была в Уголовном кодексе – жестче, чем в указанном вами законе. Соответственно, если отсрочить вступление санкций в силу, старые статьи УК, которыми занимается не Госслужба, а СБУ, прокуратура, милиция, получают механизм привлечения к ответственности. А админответственности, штрафов, о которых сегодня так часто говорят, бояться не нужно. Может пройти до года, прежде чем будет определен штраф.
   
   Самый удачный аргумент – наша статистика. В июле прошлого года, с начала регистрации баз ПД, было подано 18 заявлений, в августе – 144, в сентябре – 248, в октябре – 452, в ноябре – 12,272 тыс. и в декабре – более 400 тыс. Письма с заявлениями почта сейчас доставляет мешками, и на сегодня мы еще получаем те заявления, которые были составлены в декабре. То есть, вы понимаете, если отсрочить штрафы, юрлица начнут активно регистрировать базы ровно за месяц до нового срока.
    Я не знаю, почему именно эти законы вызвали в нашей юридической среде такое возбуждение. Закон с января вступил в силу, штрафы уже действуют, скажите, кто-нибудь уже был оштрафован?
   
   Расскажите подробнее: когда и как будут проводиться проверки?
    - Буквально на днях мы обсуждали этот вопрос с юристами. На сегодня порядок контроля, который уже прошел стадию общественного обсуждения, уже передан в Минюст, министерство где-то в течение месяца будет его рассматривать, потом зарегистрирует и опубликует. Кроме этого, должен быть нормативный документ, определяющий критерии, по которым организации попадают в график проверок (в первую очередь, это будут те юрлица, на которые чаще всего подают жалобы, это, как правило, коллекторские компании, телеком-операторы и предприятия ЖКХ).
    Мы не будем выходить на проверки, пока не будет порядка контроля, ведь каждая из таких проверок может быть обжалована в суде. Поэтому проверки планировались не ранее II квартала этого года.
   
   
   Вы ранее говорили о том, что будет составляться график проверок…
    - Да. Сама процедура проверки будет определяться уже упомянутым порядком контроля. Информация обо всех проверках не позднее, чем за 30 дней будет публиковаться на нашем сайте. Анализ документов предприятия при проверке будет проводиться, начиная с устава предприятия, где должна быть обоснована законность обработки ПД, и заканчивая согласиями субъектов ПД, в которых, в том числе, должна быть обязательно отражена возможность передачи этих данных третьим лицам.
   
   По результатам проверки мы даем предписание, в котором отображается, например: 1) необходимость оформить письменные согласия граждан в соответствии с тем, как их данные использует предприятие; 2) анализ положения об обработке ПД, которое должно быть у каждого юрлица.
   
   Если на протяжении какого-то срока, - это не будет 5-10 дней, а скорее 1-3 месяца - организация не учла наших замечаний, мы это проверяем, составляем акт, заводим дело, передаем его в суд. Но очень важно подчеркнуть: задача не стоит штрафовать кого угодно и как угодно. Задача в том, чтобы реализовать нормы Закона «О защите персональных данных», рассказать, показать и объяснить, как это должно работать. По моему личному мнению, до того как это полноценно заработает, пройдет не менее года, а возможно и 2-3 года. И когда все процессы будут понятны и очевидны, можно будет применять административную и уголовную ответственность.
   
   Будут ли проверки как-то координироваться с силовыми структурами, налоговиками?
    - Нет! Я вам ответственно заявляю: никаких проверок вместе с налоговой не будет. Мы работаем отдельно, они - отдельно.
   
   Касательно определений «персональных данных» и «баз персональных данных», вопросы у предпринимателей все еще возникают. Вы не могли бы окончательно прояснить этот момент?
   
   - Дело в том, что наше юридическое сообщество очень много усилий прилагает к тому, чтобы избежать чего-либо, вместо того, чтобы попытаться выполнить нормы закона. В заявлении на регистрацию баз самое главное - кто и как собирает данные. Никто не проверяет название или количество баз данных, это определяет сама компания или организация.
   
   То, на что действительно нужно обращать внимание в этом документе, - это пункт «подтверждаю обязательства по требованиям законодательства по защите персональных данных». То есть каждый, кто подал заявление, фактически задекларировал, что все имеющиеся у него ПД хранятся и обрабатываются в соответствии с законом, постановлением Кабмина, типовым порядком обработки. И юристы, в первую очередь, должны убеждать работодателей в том, что защита ПД - это нормально, в этом есть необходимость, определить порядок обработки данных, кто и когда имеет к ним доступ и так далее.
   
   А типовой порядок обработки ПД в базах - это уже готовый документ?
    - Да, 3-го января он был зарегистрирован в Минюсте и скоро появится на сайте. По образцу этого документа различные отрасли могут создавать свои нормативы. Ведь в законе не дается классификация типов данных, минимально необходимых для понятия «персональные данные», потому что для каждой отрасли это будут свои данные. В медицине - результаты анализов, истории болезни пациентов. У интернет-провайдеров персональными данными может считаться даже IP, в школах - это ФИО ученика и имена родителей. В большинстве своем уже не вызывает сомнений то, что персональные данные - это любые данные о физлице. И на их обработку в коммерческих целях необходимо согласие.
   
   Будут ли в обозримом будущем меняться нормы закона о защите ПД и санкции за его нарушения?
    - Европейская конвенция ратифицирована 6 июля 2010 года (Конвенция Совета Европы о защите лиц в связи с автоматизированной обработкой персональных данных и Дополнительный протокол к ней по органам надзора и трансграничных потоков данных - ред.), и Европа на сегодня уже пересматривает и усиливает защиту ПД. Соответственно, будет меняться и наше законодательство. На сегодня правительство поставило перед нами задачу к марту переписать закон, привести в соответствие с действующим законодательством. Но термины «персональные данные» и «базы персональных данных» меняться не будут.
   
   Например, мы будем работать над трансграничной передачей данных, это интересный вопрос, который нашим законом пока не урегулирован. Будем определять, как наш орган будет давать согласие на трансграничную передачу, какие документы необходимо собрать, чтобы получить такое согласие и т.д.
   
   Почему был назначен такой граничный срок - потому что мы приближаемся к Евро-2012. Например, чтобы предотвратить конфликты во время чемпионата, важно будет получить информацию об агрессивных болельщиках, приезжающих в Украину. Наиболее опасным фанатам смогут отказать в получении визы на этом основании.
   
   Множество вопросов вызывает требование письменного согласия субъекта ПД на обработку его данных владельцем базы данных. Расскажите о наиболее частых нарушениях в этой сфере и о том, как правильно организовывать этот процесс. Например, интернет-компаниям сложно будет общаться со своими клиентами через почту. И как поступать, если данные собираются опосредованно, по телефону или в интернете?
   
   - Данные, найденные в интернете, - открытые, по закону вы имеете право их собирать, если потом сможете это подтвердить и указать источник. Как подтверждать согласие пользователя по телефону - над этим должны думать отраслевые организации, например, рекламисты, маркетологи. Возможно, это удорожит бизнес, но других вариантов нет, закон нужно соблюдать.
   
   Общественный совет при нашей службе недавно поделился на группы, которые для каждой отрасли подготовят документы, описывающие такие нюансы. Мы можем проверить эти документы на соответствие закону, но в любом случае, ответственность за нарушения будет нести отрасль. Пример неправильного оформления согласия пользователя подают наши телеком-провайдеры. У нас собрались жалобы на «Укртелеком», «Волю». Это, к примеру, может быть счет, на котором написано: «Оплатой данного счета вы подтверждаете свое согласие на обработку ваших ПД». Или объявление: «Если вы не придете в офис компании и не подпишете согласие, мы разорвем с вами договор». Так не годится. В данном случае нужно перезаключить с пользователем договор, где отдельным пунктом будет расписано, кто, как и зачем обрабатывает данные пользователя, передает ли их третьим лицам и т.д.
   
   Могу показать анкету на получение скидочной карты одной из наших розничных сетей. Это - образцово оформленное согласие. Эта сеть еще летом прошлого года объявила, что меняет бумажные карты на красивые пластиковые, и в анкете на обратной стороне указала: цель сбора и обработки данных, кому будет предоставлен доступ, информацию о контактном лице в сети по вопросам ПД, возможность отозвать свои ПД и т.д. Под анкетой стоит дата и подпись клиента. Причем согласие получено еще в августе прошлого года.
   
   А в случае с веб-ресурсами как получать согласие? Например, как можно оформить согласие интернет-магазину?
    - Согласно нормам Типового порядка обработки, в составе информационной системы, в которой обрабатываются персональные данные, может совершаться регистрация, в частности, факта установки признака «Подтверждение предоставления согласия на обработку персональных данных в базе персональных данных» с помощью управляющих элементов веб-ресурсов, интерфейсов пользователя программного обеспечения.
    Это значит, что на веб-странице должен быть вменяемый и читабельный текст, под которым пользователь может поставить галочку. Еще лучше - если будет предусмотрена возможность для пользователя распечатать этот документ и оставить себе. Пользователь должен четко понимать, на что он соглашается.
   
   То есть, галочки достаточно?
    - С точки зрения закона – нет, но никто не будет к этому придираться. Идеальным вариантом была бы, конечно электронная цифровая подпись (ЭЦП), поскольку письменный договор в электронной форме, по нашему законодательству, должен заверяться ЭЦП. При этом, учитывая, из 1,5 млн ЧП большинство сдают отчетность в налоговую в электронном виде, значит, подпись у них уже есть.
    Беда нашей страны в том, что у нас к интернету имеет доступ только 30% населения. Если бы проникновение было до 70%, как в странах ЕС, тогда, думаю, ЭЦП пользовались бы намного чаще.
   
   Можете описать идеальный с точки зрения закона механизм получения согласия от пользователя для веб-ресурса?
    - В интернет-магазине это может быть текст, оформленный подобно лицензионному соглашению, которое вы читаете при установке ПО. Пока вы ее не прочитали и не отметили свое согласие, вы установку продолжить не можете. В этом документе должны быть учтены все пункты, указанные в законе: какие конкретно данные нужны, для каких целей, будет ли передача третьим лицам и т.д. А так же должна быть возможность высказать свои замечания по поводу использования данных.
    Идеальным вариантом было бы хранить такие документы в электронном виде на протяжении времени между проверками. Скорее всего, проверки будут проводиться не чаще, чем раз в три года.
   
   Соцсети также попадают под действие закона?
    - Любой интернет-ресурс – это автоматизированная система, а значит, попадает под нормы закона. Самые популярные сети у нас все равно российские, и им нужно думать, как соблюдать российский закон. В Одноклассниках, например, есть возможность открыть свои данные только друзьям или сделать публичными, подобные опции есть и в других сетях. Это правильно с точки зрения законодательства.
   
   Возвратимся к основному вопросу: как определить, что данный набор сведений является базой персональных данных?
    - Компания сама определяет, база это или нет. Базой может считаться и информация об одном лице, обрабатываемая с коммерческой целью. У нее должно быть три признака: 1) коммерческая цель обработки (например, база клиентов), 2) данные собраны вместе, 3) содержат персональные данные физлиц, достаточные для идентификации – например, имена, телефоны, адреса, фотографии.
    Советы юристов по поводу того, что, мол, можно разложить папки с базой клиентов по различным кабинетам - бессмысленны. Все равно это единая база, поскольку проклассифицирована по одному признаку.
   
   Как определить, сколько баз обрабатывает предприятие? Ведь, например, одну базу может использовать несколько отделов?
    - В таком случае, это одна база. Критерии для определения - совокупность данных (данные проклассифицированы по одному признаку) и единая цель обработки.
   
   А если в заявлении была указана одна база, а в ходе проверки служба обнаруживает, что баз на самом деле несколько?
    - В первую очередь, проверяется цель обработки данных в той базе, которую вы указали в заявлении. Эта цель должна содержаться в уставе компании и в порядке обработки ПД на предприятии. Если вы в цели обработки перечислили десятки вариантов использования таких данных - это одна база. Далее, будет проверяться то, как вы используете данные: с правом передачи третьим лицам или без, имеются ли согласия субъектов ПД на обработку их данных.
   
   А если будет очевидно по профилю деятельности компании, что кроме задекларированной базы кадров у нее должна быть как минимум база клиентов, такие случаи будете проверять?
    - Да. Почему у службы есть полномочия доступа в любые помещения? Для того чтобы мы убедились, что никаких других данных, кроме указанных, компания не собирает. Допустим, они указали, что есть база сотрудников, а мы в процессе проверки увидели, что хранятся еще чьи-то персональные данные. Законность обработки данных - это первое, над чем должен был задуматься бизнес, а не о штрафах или о заявлениях на регистрацию.
   
   Есть ли приблизительные оценки того количества баз, которое будет зарегистрировано?
    - Мы проводили такие подсчеты - это будет минимум 4,5 млн. Хотелось бы также сразу подчеркнуть: у нас не будет никаких приоритетов между государственными и частными структурами. Единственный приоритет – количество поступающих обоснованных жалоб от населения.
   
   Сейчас есть очередь на регистрацию? Вы, насколько я поняла, обрабатываете сейчас еще декабрьские заявки?
    - Сейчас обрабатывается ноябрь, почта привозит нам заявления мешками. У нас сейчас пятеро регистраторов в штате, количество штатных сотрудников - регистраторов и контролеров будет расширяться. После принятия изменений в госбюджет штат вырастет втрое, то есть, будет где-то около 30 регистраторов и 25 контролеров, по количеству регионов.
   
   Какие самые распространенные ошибки при заполнении заявлений на регистрацию?
    - Гражданам часто в заполнении «помогают» юристы, причем услуга по заполнению одного заявления может стоить около 500 грн. Такие заявки заполняются одинаковым неразборчивым почерком, и мы их, конечно, возвращаем, потому что прочесть текст невозможно.
    Паника перед Новым годом вообще не способствовала правильному заполнению заявлений. В декабре предприниматели заполняли бумаги на коленях, по периметру нашего здания. Естественно, забывали указать, например, наименование владельца, адрес, по которому находится база. Так что сначала было до 30% отказов в регистрации.
   
   Если берем идеальный случай: что должно сделать предприятие с двумя основными базами (сотрудников и клиентов), чтобы полностью выполнить требования закона?
    1. Проанализировать, обрабатываются ли персональные данные, определить базы;
    2. Отказаться от обработки ненужных данных;
    3. Взять согласие субъектов ПД, сообщить о включении в базу на протяжении 10-ти дней;
    4. Привести свою документацию в соответствие с законом: посмотреть, какие данные обрабатываются на основании разрешения, данного законами Украины (например, Налоговым кодексом, КЗоТ и т.д.), а какие - нет, и в случае, если нет законных оснований, внести изменения в уставные документы. Также - написать порядок обработки ПД на предприятии;
    5. Определить ответственное лицо, проверить мероприятия по защите ПД.
    6. Написать заявление и подать его на регистрацию в Госслужбу.
    7. Периодически добирать согласия тех субъектов, ПД которых поступают в базу. Ничего страшного, если было подано заявление, а эти этапы еще не пройдены, Главное – начать работать в этом направлении и не считать, что регистрации базы хватит для выполнения закона.

Автор: uasol | Відгуки: 0 | Перегляди: 3269 | 17/01/2012 Бізнес і фінанси - Бухгалтерія

Ссылка на статью:


Коментарій

Оставить комментарий
Ваше имя:
Комментарий:
Введите текст, изображенный на картинке:
 
 укр  |  рус  |  eng 
20.11.2017 12:07

Гелетей відповів Саакашвілі: Депортація злочинців – не справа УДО

"Депортація або екстрадиція злочинців, кримінальних авторитетів або осіб, які становлять загрозу для національної безпеки України, не належить ні до меж компетенції Управління державної охорони України, ні до моїх повноважень, як його начальника", – заявив він.
20.11.2017 11:55

Троє бійців АТО загинули в неділю через пічку

За попередньою інформацією, подія сталась у результаті необережного поводження з пічним обладнанням в одній із в/ч, яка виконує бойові завдання на Донецькому напрямку.
20.11.2017 10:51

ГПУ втратила право починати розслідування

Прокуратура мала право розслідувати злочини, підслідні Державному бюро розслідувань, не довше 5 років від дня набрання чинності нового УПК (19 листопада).
20.11.2017 09:00

Хроніка 20 листопада. "Хі-хі" Тимошенко з Путіним, і очікування в ЄС провалу Угоди

Кучма заявляє про неприпустимість революції, Жванія виходить з "Нашої України", Тимошенко посміялася з жартів Путіна над Ющенком та Саакашвілі, політики ЄС очікують з боку Януковича зриву підписання Угоди про асоціацію...
20.11.2017 01:29

РФ спровокувала гуманітарну катастрофу на Донбасі - Клімкін

Через дії Росії на Донбасі виникли гуманітарна та екологічна катастрофи.
20.11.2017 00:30

Президент Зімбабве Мугабе не подав у відставку

Президент Зімбабве Роберт Мугабе не виправдав очікувань, не оголосивши про відставку в зверненні до народу.
19.11.2017 23:48

Аваков: У НФ уже готовий проект зміни Конституції

У партії "Народний фронт" є готовий проект конституційної реформи, за яким "усувається дуалізм влади".
19.11.2017 22:16

Президент Зімбабве Мугабе подає у відставку - AP

Президент Зімбабве Роберт Мугабе йде у відставку після майже чотирьох десятиліть при владі.
Усі новини