Січ
9
Новое в защите персональных данных
Верховная Рада Законом от 20.11.2012 № 5491-VI внесла довольно
существенные изменения в достаточно противоречивый Закон Украины “О защите персональных данных”. И на эти изменения следует обратить внимание всем, для кого нормы этого закона имеют значение. А это, прежде всего юридические и физические лица, использующие разнообразные базы персональных данных. Да и иным гражданам следует знать свои права в этой сфере.
Многие граждане не понимают – для чего вообще кому-то предоставлять право на обработку своих персональных данных. При этом, следует отметить, что достаточно много людей сами не понимают – чего хотят. Например, работники паспортных столов жилищно-коммунальных учреждений жаловались, что люди отказывались давать им согласие на обработку их персональных данных. Вместе с тем, когда появляется хотя бы минимальная возможность получить что-то в материальном плане (кредиты в банках, карточки на бонусы или скидки в супермаркетах, и т.п.), то при этом, ничуть не задумываясь, раздают полный объем своих персональных данных направо и налево, раздают копии своих паспортов, идентификационных кодов и даже дают согласие на передачу таких данных любым третьим лицам (почитайте внимательно свои кредитные договора). А еще запросто сами публикуют их в социальных интернет-сетях. А вот паспортному столу – нет!?
В то же время, без такого права, те же самые учреждения ЖКХ не имеют права ни зарегистрировать ни кого, ни снять с регистрации, не имеют права даже выдать самому владельцу персональных данных какую бы то ни было справку, содержащие его персональные данные (например – о составе семьи). Однако же «право не предоставляю, а справку мне дай…»
Понятно, что вообще не смогут без этого исполнять свои функции социальные службы, правоохранительные органы, а в какой-то мере и медицинские учреждения.
Первейшее изменение в законе касается именно сферы его действия, поскольку статью 1 «Сфера действия Закона» изложено в новой – более детализированной редакции: «Этот Закон регулирует правовые отношения, связанные с защитой и обработкой персональных данных, и направлен на защиту основоположных прав и свобод человека и гражданина, в частности права на невмешательство в личную жизнь, в связи с обработкой персональных данных. Этот Закон распространяется на деятельность по обработке персональных данных, которая осуществляется полностью или частично с применением автоматизированных средств, а также на обработку персональных данных, которые содержатся в картотеке или предназначены для внесения в картотеки, с применением неавтоматизированных средств. Этот Закон не распространяется на деятельность по обработке персональных данных, которая осуществляется физическим лицом исключительно для личных или бытовых нужд. Положения этого Закона не распространяются на деятельность по обработке персональных данных, которая осуществляется творческим или литературным работником, в том числе журналистом, в профессиональных целях, при условии обеспечения баланса между правом на невмешательство в личную жизнь и правом на самовыражение”.
В абзаце 3-м статьи 2 (об определении терминов, которые употребляются в законе), исключено слова “в этой базе данных” и теперь «владелец базы персональных данных – физическое или юридическое лицо, которому законом или с согласия субъекта персональных данных предоставлено право на обработку этих данных, который утверждает цель обработки персональных данных в этой базе данных, устанавливает состав этих данных и процедуру их обработки, если иное не определено законом».
Определение срока “согласие субъекта персональных данных» тоже претерпело некоторые изменения. Теперь это – «добровольное волеизъявление физического лица (при условии его осведомленности) относительно предоставления разрешения на обработку его персональных данных, согласно сформулированной цели их обработки, высказанное в письменной форме или в форме, дающей возможность сделать вывод о его предоставлении». Т.е., теперь, не нужно иметь именно «документированное» подтверждение такого согласия. Например, можно использовать электронное согласование – такое, как например, используют разработчики компьютерных программ, когда предлагают Вам при установке программы, в подтверждение ознакомления с лицензией и согласия с ее условиями, нажать соответствующую кнопку.
Внесено изменения и в определение термина «обезличение персональных данных». Теперь это – «изъятие сведений, дающих возможность прямо или опосредованно идентифицировать лицо».
Термин «обработка персональных данных» теперь означает любое действие или совокупность действий, таких как сбор, регистрация, накопление, хранение, адаптация, изменение, восстановление, использование и распространение (распространение, реализация, передача), обезличение, уничтожение персональных данных, в том числе с использованием информационных (автоматизированных) систем». В отличие от новой редакции, ранее это были действия только «в информационной (автоматизированной) системе и/или в картотеках персональных данных». Таким образом, понятие этого термина расширено за границы информационных систем, хотя с учетом положений статьи 1, они все же не могут касаться ничего, кроме данных, которыми пользуются с помощью автоматизированных средств, или в картотеке, или предназначены для внесения в картотеку, с применением неавтоматизированных средств.
Сразу же возникает вопрос – что такое картотека? В предыдущей редакции не было определения этого термина. Возможно, что некоторые посетители сайта помнят, что в связи с такой неопределенностью, в статье на нашем сайте о законе от 20 декабря 2011 года «Защита персональных данных – украинский вариант» я рекомендовал пользоваться общепринятым определением этого слова. Но теперь, все определено в законе: “картотека – любые структурированные персональные данные, доступные по определенным критериям, независимо от того, централизованы эти данные, децентрализованы или разделены по функциональным или географическим принципам”. Хотя следует отметить, что это определение слишком широко и дает возможность контролирующим органам считать картотекой что угодно – вплоть до обычной книжной библиотеки.
Определено также и термин «получатель». Это – физическое или юридическое лицо, которому предоставляются персональные данные, в том числе третье лицо.
В статье 4 (Субъекты отношений, связанных с персональными данными) исключен абзац седьмой части первой. Т.е. теперь, почему-то не являются такими субъектами «другие органы государственной власти и органы местного самоуправления, к полномочиям которых относится осуществление защиты персональных данных».
Эту же статью дополнено частями 4 и 5, согласно которым, «владелец персональных данных может поручить обработку персональных данных распорядителю персональных данных согласно договору, заключенному в письменной форме», а «распорядитель персональных данных может обрабатывать персональные данные только с целью и в объеме, определенных в договоре». В совокупности с определением термина «согласие субъекта персональных данных», это аж ни как не означает, что наличие такого письменного договора является обязательным. Это следует знать, чтобы отбиваться от «контролеров», которые пользуясь недостаточным пониманием закона пользователями баз, будут «вышибать» из них деньги, или безосновательно «рисовать» себе показатели по протоколам.
Очень важным является то, что в статье 5 («Объекты защиты»), в части 1, исключены слова “которые обрабатываются в базах персональных данных”. Т.е. теперь, «объектами защиты являются персональные данные, которые обрабатываются в базах персональных данных. Это означает, что объектами защиты являются персональные данные, независимо от того, содержатся ли они в базах. Хотя, следует отметить, что такое положение вступает в разногласие со статьей 1 этого же закона.
Побеспокоились народные избранники и о себе – любимых. Из статьи 5 исключено положения, по которым законом могло быть запрещено отнесение персональных данных определенных категорий граждан к информации с ограниченным доступом, а также о том, что персональные данные физического лица, которое претендует на занятие или занимает выборную должность (в представительных органах) или должность государственного служащего первой категории, не относится к информации с ограниченным доступом.
В новую редакцию внесено также норму о том, что обработка персональных данных в исторических, статистических или научных целях может осуществляться только при условии обеспечения их надлежащей защиты.
Типовой порядок обработки персональных данных в базах персональных данных утверждается центральным органом исполнительной власти, который обеспечивает формирование государственной политики в сфере защиты персональных данных. Национальный банк Украины такое право утратил.
Также теперь запрещается обработка персональных данных не только о расовом или этническом происхождения, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, данных, которые касаются здоровья или половой жизни, а также и об обвинении в совершении преступления или об осуждении к уголовному наказанию. Т.е., если какой-то кандидат в депутаты, или депутат был осужден, то выяснять это нельзя.
Напоминаем, что эти положения не применяются (ч. 2 ст. 7 закона), если:
1) обработка осуществляется при условии предоставления субъектом персональных данных однозначного согласия на обработку таких данных;
2) обработка необходима для осуществления прав и выполнение обязанностей владельца в сфере трудового правоотношения согласно закону с обеспечением соответствующей защиты;
3) обработка необходима для защиты жизненно важных интересов субъекта персональных данных или иного лица в случае недееспособности или ограничения гражданской дееспособности субъекта персональных данных;
4) обработка осуществляется с обеспечением соответствующей защиты, религиозной организацией, общественной организацией мировоззренческой направленности, политической партией или профессиональным союзом, созданными согласно закону, при условии, что обработка касается исключительно персональных данных членов этих объединений или лиц, поддерживающих постоянные контакты с ними в связи с характером их деятельности, и персональные данные не передаются третьим лицам без согласия субъектов персональных данных;
5) обработка необходима для обоснования, удовлетворения или защиты правового требования (это касается, например, нотариусов, адвокатов и других юристов, которые предоставляют правовую помощь);
6) обработка необходима в целях здравоохранения, установления медицинского диагноза, для обеспечения попечения или лечения, или предоставления медицинских услуг при условии, что такие данные обрабатываются медицинским работником или другим лицом заведения здравоохранения, на которого возложены обязанности относительно обеспечения защиты персональных данных и на которого распространяется законодательство о врачебной тайне;
7) обработка касается обвинений в совершении преступлений, приговоров суда, осуществления государственным органом полномочий, определенных законом, по выполнению задач оперативно-розыскной или контрразведывательной деятельности, борьбы с терроризмом;
8) обработка касается данных, которые были обнародованы субъектом персональных данных.
Субъект персональных данных теперь также имеет право предъявлять мотивированное требование владельцу персональных данных с возражением против обработки своих персональных данных, обращаться с жалобами на обработку своих персональных данных в органы государственной власти и к должностным лицам, к полномочиям которых относится обеспечение защиты персональных данных, или в суд. Имеет право вносить предостережения относительно ограничения права на обработку своих персональных данных при даче согласия, отозвать согласие на обработку персональных данных, знать механизм автоматической обработки персональных данных, на защиту от автоматизированного решения, которое имеет для него правовые последствия”.
Важными являются изменения статьи 9 закона, которая ранее была довольно маразматической и вызвала немало волнений у владельцев баз персональных данных, причинила им немало совершенно излишних расходов. Теперь часть 2 эта статья дополнена абзацами 2 и 4 такого содержания: «Владелец персональных данных освобождается от обязанности регистрации баз персональных данных:
ведение которых связано с обеспечением и реализацией трудовых отношений;
членов общественных, религиозных организаций, профессиональных союзов, политических партий».
Однако, к сожалению, следует отметить, что значительных изменений эта статья не претерпела.
Вдобавок, теперь заявление о регистрации базы персональных данных, кроме ранее требуемых сведений, также должна содержать еще и информацию о третьих лицах, которым передаются персональные данные; информацию о трансграничной передаче персональных данных.
Изменена редакция статьи 11. Теперь она называется «Основания для обработки персональных данных» и определяет, что такими основаниями являются:
1) согласие субъекта персональных данных на обработку его персональных данных;
2) разрешение на обработку персональных данных, предоставленное владельцу персональных данных согласно закону исключительно для осуществления его полномочий;
3) заключение и выполнение сделок (правочинов), стороной которых является субъект персональных данных или которые заключены в пользу субъекта персональных данных, или для осуществления мер, которые предшествуют заключению сделки (правочина) по требованию субъекта персональных данных;
4) защита жизненно важных интересов субъекта персональных данных;
5) необходимость защиты законных интересов владельцев персональных данных, третьих лиц, кроме случаев, когда субъект персональных данных требует прекратить обработку его персональных данных и потребности защиты персональных данных превышают такой интерес.
Претерпел закон и некоторые других изменения – менее существенные для большинства граждан.
__________________________________________
Факт нажатия на кнопку ни чем не подтверждается. В этой связи, заявив, что вы, якобы, нажали на кнопку, можно, к примеру, завалить вас спамом. В зРаде сидят идиоты или сволочи. Склоняюсь к версии о сволочах.
Трижды писали жалобу в Госслужбу по защите персональных данных: наш ЖСК не брал у нас согласия на обработку данных, но счета начал выставлять исправно. Договор как балансодержатель отказывается заключать. “Война” с ними идет уже почти год. Госслужба ответила, что проводят проверку. И каково же было наше удивление, когда получили ответ: т.к. “на основании полученного от ЖСК ответа о том, что “они являются только жилым домом, то наши данные не собирались, не хранились, не обрабатывались и не передавались”. Соответственно, – НЕ ВИНОВАТЫ. Но ЖСК: счета выписывает, справки с места регистрации без нашего ведома посторонним людям раздает, передает даже в суд информацию о том, что мы и кто мы, сколько мы должны и т.д. Что же это за служба такая, что юридически грамотные люди, получив письмо от “вышивальщицы крестиком” – приняли на веру и отписались? Как бороться с ними? Кто может защитить?
Татьяна, конечно, в данном случае ЖСК обрабатывает Ваши персональные данные и нарушает закон. Госслужба просто не хочет вмешиваться в этот вопрос, поскольку это будет открытием “ящика Пандорры”. Но мне не понятен смысл этой Вашей возни с персональными данными – по другому не назовешь.
Пишу для всех: люди обрадовались, что получили новую игрушку – защиту своих персональных данных и по-детски бояться ее потерять, хотя на самом деле персональные данные всех и вся разбросаны по всему миру в сети интернет и по десяткам, если не сотням организаций, учреждений, предприятий. Они доступны каждому, кому это будет реально интересно. И этот интересующийся никогда и спрашивать Вас не будет: согласны Вы или не согласны на то, что бы он их “обработал” так, как ему лично это надо. Да и сами Вы наверняка уже столько копий своего паспорта и кода пораздавали по разным инстанциям?..
Если кто-то из народа думает, что этот закон создан для защиты их персональных данных, то это глубокая ошибка. Закон на самом деле создан исключительно для обеспечения сокрытия власть придержащими (чиновники, депутататы, члены их семей) от журналистов и народа сведений о принадлежащем им имуществе, об их предприятиях, об их воровском прошлом и настоящем, об их национальности и происхождении, наконец!
А для чего воевать с ЖСК или ЖЕКами по этому поводу? Все Ваши данные у них все-равно есть. Давать справки судам, милиции, прокуратуре они обязаны по закону, не зависимо от Вашего согласия. Если Вы получаете услуги от ЖСК, то Вам надо дать ему формальное согласие на обработку данных и оплачивать услуги. Если они не заключают договор, то заставьте их сделать это через суд. Если они не предоставляют услуги, а только счета выставляют – составляйте акты, обращайтесь в защиту прав потребителей, жилищно-коммунальную инспекцию, суд.
Впрочем, если Вам доставляет удовольствие бессмысленно попереписываться с Госслужбой по поводу персональных данных, то хозяин – барин! Можно даже в суд подать га Госслужбу по поводу признания незаконной их бездеятельности. Только это никак не решит Ваших проблем с ЖСК
В этой нашей “возне-войне”, – защита персональных данных, – это один из способов принудить их заключить договор, а с их стороны – взымать деньги бесконтрольно и сколько вздумается. А вот справки выдаются – не по запросам судов или милиции, а просто так. Во всяком случае, большое спасибо за ответ и комплексную консультацию!
Татьяна, это не правильный способ для принуждения заключить договор. Это делается путем подачи иска в суд.
В защиту прав потребителей обращалась устно. Сказали, что этим не занимаются (???). Этап с подачей оферты прошли. ЖСК последние два письменных запроса и оферту проигнорировали, – просто не получали на почте. Сами готовимся в суд. В оферте не отражали обязанностей/ответственности по вопросам защиты персональных данных. Можно ли теперь в иске каким-то образом этот вопрос отразить?
Татьяна, можно пробовать. В худшем случае, в этой части откажут