|
|
|
Закон о персональных данных: первые итоги
Наталия Шаповалова, юрист Dentons Kazakhstan, патентный поверенный РК
Развитие производства или услуг без контакта с потребителями невозможно, но особенно в последнее время участились случаи сбора, обработки и распространения персональных данных без разрешения на то владельцев этих данных.
Практически каждый сталкивался с тем, что получал рекламу на сотовый телефон или звонок от компании, которая предлагала какие-то товары или услуги. При этом свой номер телефона данной компании мы не оставляли, либо оставляли, но совсем не для получения рекламы. Это один из типичных примеров неправомерного использования персональных данных. Закон Республики Казахстан «О персональных данных и их защите» вступил в силу 25 ноября 2013 года. Закон устанавливает механизмы, препятствующие неправомерному использованию персональной информации, а также регламентирует процедуры сбора, обработки, хранения персональных данных с разрешения граждан. Несмотря на то, что закон действует меньше года, уже можно подвести некоторые итоги. Эта статья, с одной стороны, напомнит о принципах сбора и обработки персональных данных, закрепленных законодательством, а с другой - даст представление о том, с какими сложностями столкнулись компании, применяя вышеназванный закон.
Напомним об основных принципах
До введения закона в действие регулирование правоотношений в сфере сбора и обработки персональных данных было хаотичным, отсутствовало определение основных терминов, одно и то же понятие могло иметь разное значение в различных нормативных актах. Это, естественно, усложняло применение нормативных актов в рассматриваемой деятельности. Сейчас понятие «персональные данные» единое для всех отраслей права. Персональными данными являются любые сведения о человеке, на основе которых можно определить конкретного субъекта персональных данных, зафиксированные на любом носителе. Закон восполнил ряд существенных пробелов, однако не изменил принципы сбора и обработки персональных данных. Посмотрим, как эти принципы отражаются на делопроизводстве компаний.
Согласие субъекта на передачу и обработку персональных данных. Сбор и обработка персональных данных с согласия их владельца - это принцип, который запрещает собирать персональные сведения без ведома лица, которому они принадлежат, даже если такие данные можно обнаружить в общедоступных источниках. Этот принцип [Наталия: может быть так лучше, если нет, не возражаю против того, чтобы убрать слово «этот»] тесно связан с принципом использования персональных данных исключительно для достижения целей, заявленных при их сборе. Например, персональные данные, которые можно найти в адресной книге (адрес, телефон), нельзя использовать для адресной рассылки рекламы, поскольку субъект персональных данных не давал согласие на использование их с этой целью. Владелец базы данных, которая включает персональные данные субъектов, должен иметь доказательства того, что используемая информация была передана непосредственно ее владельцем. Обычно этот факт подтверждается согласием, которое дает субъект персональных данных. Нужно отметить, что закон о персональных данных не указывает, что должно содержать письмо-согласие. Однако, исходя из принципов сбора и обработки персональных данных, для включения в письмо-согласие можно рекомендовать следующую информацию: 1) перечень персональных данных, на обработку которых дается согласие субъекта (это может быть также определение круга данных, которые собираются); 2) цели обработки персональных данных; 3) перечень действий с персональными данными, на совершение которых дается согласие, или описание способов обработки персональных данных, например, передача персональных данных третьим лицам и другие способы использования; 4) срок, в течение которого действует согласие субъекта персональных данных. Письмо-согласие, конечно, должно идентифицировать субъекта персональных данных, т.е. содержать графы для указания имени, фамилии, контактных данных субъекта. Что касается формы письма-согласия, то здесь закон о персональных данных, с одной стороны, дает определенную свободу предпринимателям, с другой стороны, не дает полной ясности, приемлемо ли, например, собирать согласие на сбор и обработку персональных данных посредством сети интернет, где субъект выполняет определенные действия, потом нажимает кнопку «согласен» или «принять условия».
Цели обработки персональных данных. Письмо-согласие должно содержать указание на цели использования персональных данных. Здесь показательной является ситуация с общедоступными персональными данными. Тот факт, что некоторые персональные данные считаются общедоступными, не означает, что эти данные могут использоваться компаниями для достижения любых целей. Например, если данные субъекта из адресного или телефонного справочника компания собирается использовать в целях, отличных чем просто получение информации о месте проживания лица, то на такие действия необходимо получить разрешение субъекта персональных данных.
Передача данных третьим лицам. В большинстве случаев обработка персональных данных не обходится без передачи их компаниям внутри группы или лицам, которые оказывают компании различные услуги. По договору с собственником базы данных третьи лица оказывают услуги по систематизации, классификации, хранению персональных данных и другие. Составляя письмо-согласие, необходимо убедиться в том, что оно содержит разрешение на передачу персональных данных субъекта третьим лицам. Для определенного бизнеса характерны некоторые особенности сбора персональных данных. Например, для бизнеса, который базируется на сетевом маркетинге. Здесь обычной является ситуация, когда персональные данные собираются у клиентов дистрибьюторами компании, потом такие данные передаются компании для обработки. В такой ситуации дистрибьютор может стать собственником базы данных, содержащей персональные данные, если в договор с дистрибьютором не будет включено поручение по сбору персональных данных от имени компании. Сама форма письма-согласия должна указывать на компанию, которой передаются персональные данные, сведения о лице, к которому субъект персональных данных может адресовать просьбы относительно исправления персональных данных и иные.
Конфиденциальность персональных данных. Правильно организованная процедура сбора согласия на обработку персональных данных и правильно составленная форма для сбора персональных данных - это уже половина дела в вопросе приведения деятельности компании в соответствие с требованиями законодательства о персональных данных. Закон, однако, не ограничивается исключительно требованиями к получению согласия на обработку персональных данных у владельцев таких данных. Собственник базы данных, содержащей персональные сведения, несет ответственность перед субъектом персональных данных за конфиденциальность такой информации. Конфиденциальность должна обеспечиваться различными организационными, правовыми и юридическими мерами. В этом вопросе закон не содержит детального регулирования, например, какие именно действия должен совершать собственник базы данных для выполнения требований по обеспечению конфиденциальности. С одной стороны, отсутствие излишнего регулирования - это хорошо, поскольку законодательство дает свободу предпринимателям в выборе конкретных мер обеспечения конфиденциальности. С другой стороны, такие обязательства могут по-разному толковаться органами, осуществляющими контроль над соблюдением законодательства о персональных данных. Должны ли владельцы базы данных обеспечивать все меры защиты (и правовые, и организационные, и технические) или это могут быть, например, только организационные и технические меры? В этом отношении можно рекомендовать следующее - меры обеспечения конфиденциальности могут быть выбраны компанией самостоятельно, однако они должны быть достаточными для неразглашения и сохранности персональных данных субъектов. Приведем примеры правовых, организационных и технических мер. К правовым мерам можно отнести выработку собственником базы, содержащей персональные данные определенной политики в отношении их обработки (эта мера также может быть и организационной), заключение договоров конфиденциальности с лицами, которые имеют доступ к персональным данным, а также с компаниями, которым передаются персональные данные (например, при оказании услуг хранения). К организационным мерам относятся назначение ответственного лица за организацию сбора и обработки персональных данных, осуществление внутреннего аудита за деятельностью по обработке данных, ознакомление сотрудников с политикой сбора и обработки персональных данных. К техническим мерам можно отнести различные программы, которые блокируют доступ к персональным данным, обезличивают данные, когда срок хранения и использования таковых истек. Таким образом, мы постепенно подошли к вопросу о том, с какими сложностями компании сталкиваются или могут столкнуться в процессе применения закона. Чтобы обеспечить однородность практики применения закона, некоторые его нормы требуют внесения изменений.
Есть куда развиваться!
Уже сейчас можно отметить некоторые недостатки закона, которые могут привести к тому, что практика применения нормативного материала не будет однородной и понимание норм права у субъектов гражданского оборота и государственных органов может быть разным. Остановимся на некоторых вопросах, регулирование которых в законе неоднозначно, и которые, как нам видится, требуют внесения изменений: 1) разграничение общедоступных персональных данных и данных ограниченного доступа; 2) вопрос представительства в вопросах выдачи согласия и отзыва согласия на сбор и обработку персональных данных; 3) форма согласия на сбор и обработку персональных данных; 4) срок хранения персональных данных.
Общедоступные данные и данные ограниченного доступа. Закон различает общедоступные персональные данные и данные ограниченного доступа. Однако он приводит лишь примеры источников общедоступных данных, но не перечисляет такие данные. К источникам общедоступных данных отнесены библиографические справочники, телефонные и адресные книги и т.п. Можно полагать, что к общедоступным данным относятся, в частности, имя, фамилия, адрес, номер стационарного телефона. При этом нужно отметить, что объем информации, который предоставляют справочники и адресные книги, может разниться. Сами субъекты персональных данных могут быть против включения той или иной информации в адресные книги и справочники. Практический совет для компаний в данной ситуации. В отсутствие исчерпывающего перечня общедоступных персональных данных и однозначного регулирования относительно того, каким образом общедоступные персональные данные могут использоваться в законодательстве Казахстана, рекомендуем получать согласие субъектов на обработку и данных, которые потенциально могут считаться общедоступными персональными данными. В том числе и потому, что цели, для достижения которых персональные данные были сделаны общедоступными, могут не совпадать с целями компании, для которых данные собираются.
Представительство в вопросах сбора и обработки персональных данных. Следует учитывать, что разрешение на сбор и обработку персональных данных может дать только сам владелец этих данных. Это касается и отзыва такого согласия. Закон не предоставляет возможность третьим лицам осуществлять эти действия по доверенности. Такое право дается только законному представителю - то есть лицу, которое представляет интересы субъекта перед государственными органами, организациями, гражданами в силу того, что опекаемый не может самостоятельно осуществлять свои права и выполнять обязанности по причине малолетства или физического состояния. Предпринимателям следует учитывать эту особенность закона при сборе персональных данных.
Форма письма-согласия. Большинство правоотношений постепенно переходит в информационно-коммуникационную среду, поэтому уже не редкость сделки, заключаемые посредством интернета. При заключении сделки используется тот или иной набор персональных данных, начиная с фамилии и имени, заканчивая реквизитами банковского счета и т.д. В связи с этим вопрос разрешенной формы письма-согласия на сбор и обработку персональных данных является очень важным. Закон о персональных данных не обходит стороной форму выражения согласия на сбор и обработку персональных данных со стороны их владельца. Субъект дает (отзывает) согласие на сбор, обработку персональных данных письменно либо в форме электронного документа, либо иным способом с применением элементов защитных действий, не противоречащих законодательству Республики Казахстан. Сделка, совершаемая в письменной форме, должна быть подписана сторонами или их представителями, если иное не вытекает из обычаев делового оборота. Если же субъект персональных данных передает и дает разрешение на обработку персональных данных, например, в электронной форме посредством сети интернет, то следует оценить, насколько заключение сделки в электронной форме, принятие каких-либо обязательств и (или) получение прав является обычаем делового оборота в той или иной сфере деятельности. В настоящий момент в Казахстане вполне приемлемо получение согласия на обработку персональных данных в электронном виде через интернет, учитывая широко распространенную практику приобретения авиабилетов, товаров народного потребления, бронирования гостиниц посредством сети. Однако некоторые риски в связи с получением согласия через интернет сохраняются, пока закон однозначно не предусмотрит такую возможность. Что касается согласия в форме электронного документа, такая форма, по нашему мнению, будет мало востребована, т.к. электронный документ, в соответствии с отечественным законодательством, требует удостоверения посредством электронной цифровой подписи. Процедура же получения и обновления ЭЦП достаточно сложная и сделки, удостоверенные таким образом, большой популярностью не пользуются. Что касается «иного способа с применением элементов защитных действий», то ни закон о персональных данных, ни иные нормативные акты Республики Казахстан не дают объяснения, что это могут быть за способы получения согласия на сбор и обработку персональных данных. Однако мы полагаем, что «иные способы с применением элементов защитных действий» не исключают возможность получения письма-согласия от субъектов персональных данных в электронном виде посредством сети интернет. Другими словами, предусмотренные «иные способы» получения согласия субъекта персональных данных - еще один аргумент в пользу того, что письмо-согласие на сбор и обработку персональных данных в электронном виде через интернет можно считать формой, приравненной к письменной в силу обычаев делового оборота. В этом отношении, например, российский закон о персональных данных дает большую определенность - он указывает, что любая форма будет достаточной, если она позволяет подтвердить факт получения разрешения на сбор и обработку персональных данных от субъекта данных. Таким образом, для минимизации рисков в случае, если для получения согласия был выбран интернет, следует обеспечить наличие однозначных доказательств такого согласия от конкретного субъекта персональных данных.
Срок хранения персональных данных. Закон о персональных данных не имеет, по нашему мнению, четкого регулирования и в отношении сроков хранения персональных данных. Закон определяет, что уничтожение персональных данных должно иметь место при прекращении правоотношений между субъектом персональных данных и собственником или оператором базы данных, содержащей персональные данные. В случае, если правоотношения не прекращаются, то срок хранения определяется датой достижения целей сбора и обработки персональных данных. Однако вопрос, какой момент в конкретных правоотношениях можно считать достижением цели, в некоторых ситуациях может быть достаточно сложным. В связи с этим мы рекомендуем определять срок хранения персональных данных в письме-согласии, которое подписывается субъектом персональных данных. Хотелось бы отметить также, что закон не требует регистрации или уведомлений о базе данных, содержащей персональные данные. Законодательством Казахстана предусмотрена диспозитивная процедура учета (по желанию собственника базы данных) негосударственных информационных систем, в том числе содержащих персональные данные. *** Полагаем, что сказанное выше будет полезным компаниям, чтобы начать работу по организации документооборота с персональными данными, если такая работа еще не велась. Законодательство Казахстана о персональных данных в ряде существенных вопросов, как показывает анализ, требует изменений. Надеемся, что данная статья может служить некоторым вкладом в совершенствование законодательства о персональных данных Республики Казахстан. Практика же применения закона, скорее всего, выявит и иные недочеты и (или) пробелы правового регулирования.
Доступ к документам и консультации
от ведущих специалистов |