Вивчати і не панікувати

Питання захисту персональних даних схвилювало українське суспільство, породило безліч чуток і навіть викликало своєрідну паніку, особливо серед підприємців. Закони «Про захист персональних даних» та «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» жваво обговорювали у професійних колах та на інтернет-форумах. Чимало громадян бачили в появі цих документів черговий підступ з боку державних органів. Чим же насправді є законодавство про захист персональних даних українців та яке його суспільне значення? По відповіді на ці запитання ми звернулися до людини, яка є фахівцем у цій галузі та учасником робочої групи, що розробляла норми законодавства у сфері персональних даних. Це Лілія Олексюк, перший заступник голови Державної служби з питань захисту персональних даних. – Лілія Віталіївно, чимало наших співгромадян не розуміють достоту визначення терміна «персональні дані», тому нерідко трактують його на різні лади. У законі ж ці дані зазначені як сукупність загальних відомостей. Які саме відомості маються на увазі? – Насправді на це запитання коротко не відповісти. Можна лише вдатися до порівняння. Європейський досвід, який ми маємо за взірець, говорить, що не може бути ніякої класифікації того, які персональні дані вважати сукупністю відомостей, а які просто набором, без системної сукупності. Системна сукупність – це прізвище, ім’я, ідентифікаційний код, дата народження, посада, прописка. Буквально вчора я читала Типовий порядок Молдови, в якому доволі детально розписано, які дані є персональними і відкритими, а які – персональними і конфіденційними. Для державних органів і установ персональні дані можуть бути доступні, але це має бути визначено законом. У Молдові, наприклад, картка пенсійного, медичного, соціального страхування – закрита, конфіденційна інформація, як і в європейських країнах. Доступ до таких даних мають державні органи, а громадяни – ні. Не можна отримати таку інформацію про третю особу без її згоди. І це реальний захист приватного життя громадянина. – А яка сукупність відомостей може називатися базою персональних даних? – Така база – сукупність даних про фізичну особу чи фізичних осіб. Але треба дещо зрозуміти. Наприклад, якщо я накопичую якісь дані про вас і використовую їх у комерційних цілях, а не у власних, особистих, то це вже сукупність персональних даних, про яку слід повідомити. Мій телефон теж містить персональні дані багатьох громадян, але я збираю їх не для того, щоб мати з цього якийсь зиск або перепродати якійсь компанії, я збираю їх, щоб користуватися цією інформацію в особистих цілях. Тому це не така база персональних даних, яку потрібно зареєструвати в державній службі. Тобто, якби я збирала ці дані з комерційною метою і задля переробки та перепродажу, я повинна була б зареєструвати ту базу, яка знаходиться у мене в телефоні. Висновок такий: якщо можна класифікувати якісь дані, зібрати їх докупи і обробити, накопичити, скопіювати і десь використати із зиском, то це вже база персональних даних. І тоді вам до нас. – Після виходу Закону «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» володільці просто завалили вашу службу заявами на реєстрацію баз персональних даних. Як ви впоралися із цією інформаційною лавиною, адже Закон передбачав дуже стислі строки для повідомлення володільця про реєстрацію. – Ситуація була дуже непростою. Після виходу Закону за перші три місяці надійшло лише двісті заяв, а вже у грудні лише за останні два тижні було подано більше півтора мільйона. Самі розумієте, наскільки це непідйомна цифра. Нашим першочерговим завданням було прийняти всі заявки. Служба, скажімо так, свідомо пішла на деякі поступки заявникам. Зокрема, заявки приймали і поштою, і телеграфом. Просто для того, аби люди заспокоїлися і подали бази. Частково в тому, що сталося, є вина і державних органів. Одна з контролюючих служб поширила інформацію про те, що кожен буде оштрафований на 17 тис. грн., якщо не подасть цю заяву. Я не знаю, яку мету вони переслідували, розповсюджуючи цю інформацію, але вони серйозно налякали всіх суб’єктів підприємницької діяльності, які взагалі-то в більшості своїй не мають баз персональних даних, бо не мають найманих працівників. Люди просто не зрозуміли норм Закону. Звідси і паніка. – Паніку серед потенційних володільців викликали також чутки про перевірки прискіпливих інспекторів, які виписуватимуть чималі штрафи за незареєстровану базу даних чи неправильне її зберігання. – Ця паніка передчасна і створена на рівному місці. По-перше, у нас сьогодні є всього сім інспекторів. Це на всю Україну. А по-друге, порядок контролю ще не вийшов з нашої служби. Він перебуває на стадії читання та коректування. Потім його має розглянути Міністерство юстиції, яке, можливо, теж внесе свої корективи. І десь із місяць піде на реєстрацію цього документа. Тільки тоді відповідно до виробленого порядку контролю, можливо, здійснюватимуть перевірки. – А чому «можливо»? – Тому що сьогодні немає критеріїв, на підставі яких може бути здійснена перевірка будь-якого підприємства. Особисто я категорично проти перевірок без нормативних документів. – Але деякі юристи завзято запевняють, що такі перевірки вже проводилися. – Це говорять люди, які абсолютно не знають ситуації. Ті перевірки, що проводилися минулого року – я неодноразово розповідала про це пресі, – проводилися за бажанням самих володільців. Так би мовити, для практики. Для того щоб розпочати з чогось розробку порядку контролю, отримати напрацювання. Були бажаючі взяти участь у цьому експерименті, і в них не було жодної негативної реакції на кшталт «Ми знаємо, чого ви прийшли нас перевіряти. Щоб навмисно відшукати недоліки». Це було лише тренування без жодних матеріальних наслідків для того, кого перевіряють. На мою думку, справжніх перевірок слід очікувати не раніше другого кварталу цього року, а то й другого півріччя. Не думаю, що це може статися раніше. Тому що треба час для розробки порядку та його опублікування. Після цього громадянам дадуть час на ознайомлення з тим, як проводитимуть перевірки, і лише після цього можна буде перейти до практики. Але до того часу потрібно розробити критерії. Їх поки немає. Є варіанти, досвід Європейського Союзу, який пояснює, які підприємства підпадають під зону ризику. Зокрема, це можуть бути колекторські та банківські установи, на яких громадяни скаржитимуться за розголошення їхніх персональних даних. Слід зрозуміти, що Закон покликаний захищати в першу чергу звичайних громадян. Він буде конфліктним для інтересів бізнесу: такий контроль і така відповідальність не можуть їм подобатися. Бо їм треба вжити певних заходів, витратити кошти, врешті-решт, просто напружитися. Бізнес, звісно, не у захваті. Ми це розуміємо, тому законодавство у сфері захисту персональних даних – це набір компромісів. Але воно має бути таким, яким є законодавство ЄС. Наші критики не розуміють, що ми вже не можемо кинути зобов’язання, які на себе взяли. Ми ж приєдналися до Конвенції, ратифікували її як держава, тому Конвенція і визначає, яким бути українському законодавству у сфері захисту персональних даних. Це нормальна цивілізована практика, коли організація, яка зібрала про вас персональні дані, офіційно реєструє їх і бере на себе зобов’язання захищати їх і здійснювати всі можливі заходи для їх нерозголошення. Реєстрація – це не самоціль. Це лише підтвердження взятих зобов’язань щодо захисту. – Зараз на часі Типовий порядок обробки персональних даних. Цей документ роз’яснюватиме володільцю, як поводитися з базою, яка в нього є? – Так, для кожного володільця це буде базовий документ, який має стати настільною книгою. Володілець повинен вивчити цей порядок і на підставі його вимог розробити свої власні документи щодо захисту персональних даних. Після цього він зможе правильно обробляти ці дані, відповідно до вимог законодавства. Це єдиний загальнодержавний стандарт, і, якщо його дотримуватися, не буде жодних підстав для якогось там незаконного контролю. Тобто виконання всіх вимог дорівнює відсутності штрафів для будь-якого підприємця. Отже, не буде того, чого зараз так бояться. – Дехто з громадських активістів вбачає у процесі реєстрації ознаки корупції. Мається на увазі процедура отримання посиленого сертифіката відкритого ключа, яка передбачає, за їх словами, щорічну купівлю спеціального електронного ключа для оформлення бази у спеціальних акредитованих центрах сертифікації, що дозволяє подавати заявку в електронному вигляді. – Інформація про електронні ключі була особливо викривлена. Деякі видання подавали дуже перекручені відомості, особливо про те, які центри акредитовані. Мовляв, ми приймаємо тільки ті ключі, які вважаємо правильними, і виключно тих центрів, які самі призначили. Це неправда. Ми приймаємо ключі тих центрів, які вжили необхідних заходів, тобто внесли у своє програмне забезпечення зміни, щоб реєстр, який ми використовуємо, приймав заяви з того програмного продукту, який вони забезпечують своїм користувачам. У людей вже є ключі. Вони вже використовують їх у своїй діяльності, зокрема в роботі з банками, для подачі звітності в податкову інспекцію. Ми приймали документи в електронному вигляді від усіх бажаючих, ці документи мають у нас статус оригіналу, і, по суті, ні для кого нічого не змінилося. Жодних додаткових вимог. Ми приймали і прийматимемо заявки як і електронному, так і в паперовому вигляді. – Днями Верховна Рада України розглядала Закон «Про відтермінування штрафів за неправильне використання баз персональних даних». Що думає про це ваша служба? Адже цей документ, якщо він буде прийнятий, безпосередньо вплине на вашу роботу. – Ми не за і не проти. Не проти, тому що втомилися від навали дезінформації та своєрідної демонізації нашої служби. Нехай все вляжеться, люди заспокояться і детальніше вивчать законодавство. Та й Закон, як я казала, ще потрібно доопрацювати, адже він дещо сирий. – Але й не за… – Не за, тому що має бути якась відповідальність. Погляньте на ситуацію, яка склалася: Закон «Про захист персональних даних» набув чинності ще у 2010 р., а Закон про відповідальність – у червні 2011-го. Якби не цей документ, українці і далі не звертали б уваги на законодавство щодо захисту персональних даних. А коли з’явилася реальна загроза у вигляді штрафу, виявилося, що це хороший стимул до виконання норм Закону «Про захист персональних даних». У нас просто менталітет такий. Тому в питанні про відтермінування штрафів ми займаємо нейтральну позицію. P.S. Під час верстки номера стало відомо, що Верховна Рада ухвалила  Закон «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних», яким передбачено відтермінування відповідальності до 1 липня 2012 року. – ред.