Европейский уровень: регистрация баз персональных данных

11-12 октября 2011 в конгресс-холле «Президент отеля» Киева состоялась международная конференция «Первые шаги по внедрению Закона Украины« О защите персональных данных »в свете опыта стран - членов Европейского Союза», организаторами которой выступили Technical Assistance and Information Exchange instrument of the European Commission (TAIEX) и Государственная служба Украины по вопросам защиты персональных данных (ГСЗПД). Для участия в этом мероприятии собрались представители государственных и частных предприятий практически из всех регионов Украины.

Проведение такого мероприятия приобретает особую актуальность после принятия Закона Украины «О защите персональных данных». Напомним, что 21 июня 2011 вступил в силу постановление Кабинета Министров Украины от 25.05.2011 г.. № 616 «Об утверждении Положения о Государственном реестре баз персональных данных и порядке его ведения» . Это постановление было принято во исполнение ст. 9 Закона Украины «О защите персональных данных» , Которой предусмотрено создание Государственного реестра баз персональных данных (ДРБПД). С 1 июля 2011 был начат процесс регистрации баз персональных данных. При этом следует отметить, что с 1 января 2012 вступает в силу Закон Украины «О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства по защите персональных данных» , Который определяет административную или уголовную ответственность за правонарушения в сфере защиты персональных данных.

Вступительной речью открыл конференцию председатель ДСЗПД, кандидат технических наук Алексей Мервинский, акцентировав внимание присутствующих на важность внедрения механизма по защите персональных данных и повышения эффективности имплементации законодательства в этой сфере Вступительной речью открыл конференцию председатель ДСЗПД, кандидат технических наук Алексей Мервинский, акцентировав внимание присутствующих на важность внедрения механизма по защите персональных данных и повышения эффективности имплементации законодательства в этой сфере. С начала функционирования ДСЗПД проводилась активная работа по информированию общества через средства массовой информации о необходимости регистрации баз персональных данных. В ближайшей перспективе ДСЗПД планируется проведение ряда региональных семинаров по этому вопросу. С приветственным словом также выступили заместитель комиссара по вопросам информации Великобритании Дэвид Смит и представитель уполномоченного Верховной Рады Украины по правам человека Владимир Яценко. В своих речах эксперты отметили важность отстаивания прав граждан на защиту своих персональных данных.

Работу конференции продолжил А. Мервинский с докладом «Текущие результаты и проблемы имплементации Закона« О защите персональных данных ». Используя опыт и помощь соответствующих полномочных органов Европейского Сообщества, сегодня украинское законодательство в сфере защиты персональных данных полностью соответствует действующему аналогичном законодательству европейских стран. Соответственно, в своей деятельности ДСЗПД базируется на общеевропейских принципах и рекомендациях полномочных органов европейских стран по обработке персональных данных. Такой подход предполагает соблюдение прав граждан на защиту своих персональных данных в соответствии с европейскими стандартами.

На сегодня ДСЗПД функционирует в полном объеме и выполняет все возложенные на нее задачи, при этом штат сотрудников службы сформирован на 80%. В ДСЗПД зарегистрировано более 500 баз персональных данных физических и юридических лиц.

Опытом внедрения и функционирования полномочного органа по защите персональных данных в Великобритании поделился заместитель комиссара по вопросам информации Великобритании Дэвид Смит. На этапе внедрения системы защиты персональных данных важную роль играет правильная концепция такой защиты, которая помогает определить случаи, когда необходимо получение разрешения на обработку персональных данных и когда в нем нет необходимости. По мнению докладчика, под понятием «персональные данные» следует понимать данные, которые влияют на частную жизнь человека. По своей структуре персональные данные делятся на данные общего и уязвимые (чувствительные). К чувствительным относится информация о состоянии здоровья лица, его религиозных взглядов и др. Для обработки данных, принадлежащих к уязвимым, необходимо обязательное получение разрешения лица, данные которой обрабатывают.

В 2009 г.. Полномочия действующих в Европе комиссий по защите персональных данных были расширены. Это решение было принято в связи с ненадлежащим уровнем контроля предприятий защиты персональных данных своих работников и случаями потери государственными структурами баз персональных данных. Наложение штрафных санкций применяется полномочным органом по защите персональных данных Великобритании при серьезных нарушениях законодательства в этой сфере.

В рамках обсуждения докладчика попросили высказать свое мнение относительно получения права ДСЗПД Украины с 1 января 2012 подавать протоколы в суд для решения дела о вероятном нарушении законодательства в сфере защиты персональных данных. Д. Смит считает, что риск наложения штрафных санкций стимулирует лиц, ответственных за хранение и обработку баз персональных данных, к более серьезного отношения к своим обязанностям.

Главный специалист отдела рассмотрения жалоб и обращений физических и юридических лиц ДСЗПД Андрей Николаев в рамках своего доклада определил, по каким критериям можно идентифицировать персональные данные:

1. По природе своего происхождения. По этому критерию сведения содержат объективную или субъективную информацию о физическом лице. Информация, которая остается независимой от мнения лица, собирает или обрабатывает ее, является объективной. Субъективная информация содержит суждения или характеристики личности, которая собирает данные о другое физическое лицо (например определения кредитоспособности). При этом оба вида информации являются персональными данными физического лица.

2. По содержанию сведений. В этой категории сведения содержат информацию о частной или семейной жизни физического лица, о ее занятия (трудовые отношения, социальное поведение), или информацию, которую можно отнести к чувствительной.

3. Формат сведений. Этот критерий определяет среду получения информации, способ ее обработки, хранения и др.

Заместитель директора Бюро генерального инспектора по вопросам защиты персональных данных Республики Польша Петр Дробек определил роль, которую играют полномочные органы по вопросам защиты персональных данных. Сегодня в Совете Европы Европейского Союза продолжается дискуссия относительно будущей формы защиты персональных данных и обсуждения актов об их защите. В ноябре 2010 г.. Европейской комиссией была принята конвенция, согласно которой решено исследовать пути усиления, гармонизации и надлежащего разъяснения статуса и полномочий органов защиты персональных данных в странах ЕС. Бюро генерального инспектора по вопросам защиты персональных данных Польши выполняет функции консультанта и советника по формированию политики законодательной базы страны. Также этот полномочный орган проводит аудит предприятий с целью проверки правильности проведения процедуры защиты персональных данных и обменивается информацией с аналогичными государственными учреждениями других стран.

Практическим мерам по регистрации баз персональных данных был посвящен доклад начальника управления регистрации баз персональных данных ДСЗПД Светланы Лжи.

Согласно ст. 2 Закона Украины «О защите персональных данных» под обработкой персональных данных понимают любое действие или совокупность действий, совершенных полностью или частично в информационной (автоматизированной) системе и / или в картотеках персональных данных, связанные со сбором, регистрацией, накоплением, хранением, адаптацией, изменением, обновлением, использованием и распространением (распространением, реализацией, передачей), обезличением, уничтожением сведений о физическом лице. Все базы персональных данных, в которых обрабатывается информация, подлежат обязательной регистрации в ДРБПД. При этом количество баз персональных данных, подлежащих регистрации в ДРБПД, зависит от цели обработки информации. Если обработка базы персональных данных проводится для других целей, чем прописано при ее регистрации, такая база данных подлежит отдельной новой регистрации. При этом необходимость в проведении отдельной регистрации возникает даже при полной идентичности имеющихся в ней персональных данных.

Заместитель председателя Государственной службы Украины по вопросам защиты персональных данных, кандидат военных наук Владимир Козак рассказал о практическом применении законодательства в сфере защиты персональных данных и их защиту в контексте системы управления организацией.

Ввиду отсутствия на большинстве предприятий лиц, ответственных за обработку баз персональных данных, и опыта в выполнении ими этой функции, В. Козак презентовал присутствующим в зале проект Типового порядка обработки персональных данных. Сегодня этот порядок находится на этапе обсуждения. Данным документом рекомендуется проведение первичной оценки состояния обработки персональных данных; планирование и внедрение системы управления персональными данными; обеспечение текущего функционирования этой системы; периодическая и текущая оценка ее эффективности и совершенствования.

В странах Европы деятельности полномочного органа по защите персональных данных уделяют особое внимание. Это обусловлено зависимостью уровня развития полномочного органа по защите персональных данных от реализации на высоком уровне прав граждан на защиту своих персональных данных.

В этом году Украина также присоединилась к списку стран, контролирующих использование персональных данных своих граждан. Во исполнение Закона Украины «О защите персональных данных» было создано ДСЗПД. Основным ориентиром при создании этого полномочного органа является реализация прав граждан на защиту своих персональных данных с учетом опыта европейских стран по внедрению защиты персональных данных. Сегодня полномочные органы продолжают совершенствовать меры по улучшению функционирования ДСЗПД. Данная конференция, организованная при поддержке Европейской комиссии, является подтверждением налаженного сотрудничества украинской службы по защите персональных данных с аналогичными полномочными органами европейских стран.

В рамках конференции присутствующие получили возможность ознакомиться с практическим опытом специалистов полномочных органов по защите персональных данных стран, особенностями обработки персональных данных в Украине и всеми тонкостями законодательства в сфере защиты персональных данных, а также получили исчерпывающие ответы на свои вопросы от специалистов полномочных органов европейских стран и ДСЗПД.

Антон Фирсов,
фото автора и предоставлены ДСЗПД

Интересная информация для Вас: