Закон о защите персональных данных коснулся почти каждого жителя Украины, но написан он таким образом, что выполнить его невозможно.
После выхода этой публикации Владимир Козак, заместитель Госслужбы по вопросам персональных данных при Минюсте, прокомментировал блог автора статьи, сказав, что тот "все напутал". В частности, Козак обратил внимание на то, что отправлять в Госслужбу базы данных закон не требует. В статье не было сказано, что это нужно делать, но было сказано, что некоторые так поступают, потому что не поняли нормы закона.
"Экономическая правда" принесла извинения Госслужбе и приносит их своим читателям, если описание случаев отправки баз в это ведомство было принято как призыв к действию. На самом деле базы присылать в Госслужбу не надо – нужна только их регистрация.
Там же, в блоге на глазах читателей, "Экономическая правда" договорилась об интервью с Козаком. К разговору позже подключился и глава Службы Алексей Мервинский – интервью с ним будет в следующей публикации.
Цель этого разговора состояла в том, чтобы выяснить, насколько закон качественный и как же его выполнять.
Эта беседа состоялась в офисе Госслужбы. О том, как выполняется закон о защите персональных данных, вступивший в силу 1 января 2011 года, уже можно начать судить по объявлению, которое Госслужба разместила у входа в здание: это объявление гласит, что заявки на регистрацию баз можно присылать почтой или упаковать заявку в пакет и опустить в специальный ящик. На объявлении кто-то ручкой написал "могу помочь", но не оставил номер телефона.
Таких "помощников" сейчас много – от юристов до других "консультантов". Паника, которая была вызвана непониманием закона и введением больших штрафных санкций, привела к тому, что в Госслужбу пришло более 4 миллионов заявок на регистрацию баз. И "Экономическая правда" не ошиблась, когда писала, что люди присылают и сами базы – что и подтвердил Козак.
В коридоре стоит несколько десятков мешков с необработанными заявками на регистрацию. Отсортированные заявки разложены в шкафах и на полках. Показывая все это, Козак в шутку назвал это "логовом".
Он говорит, что на самом деле в Госслужбе работает не 12 человек, как писалось ранее, а 51, но даже эти люди не могут обработать все заявки в кратчайшие сроки. Сотрудники службы вносят поступившие данные в компьютер вручную. Этой работы им хватит если не на несколько лет, то на несколько месяцев. И это при том, что, по приблизительной оценке Козака, в этих мешках и шкафах находится около 50% заявок на регистрацию баз данных.
Напомним, что этот закон был принят после того, как Украина в 2010 году ратифицировала европейскую Конвенцию о защите личности в связи с автоматизированной обработкой персональных данных. Эксперты и некоторые депутаты обратили внимание на то, что закон в значительной степени содержит те же нормы, что и Конвенция, в некоторых случаях – слово в слово. Как оказалось, украинский закон соответствует этой Конвенции не полностью. И это было первой новостью, которая прозвучала во время разговора.
"Я не говорю, что закон полностью соответствует Конвенции, я говорю, что в значительной мере соответствует. Там осталось несколько моментов, которые не соответствуют, и кое-какие вещи открываются по мере реализации. То есть не все сразу можно было увидеть даже тем, кто его писал: некоторые вещи очевидны, а некоторые нет", - сказал Козак.
Правда, он уточняет, что разница присутствует на уровне формулировок, то есть, как сказал чиновник, что-то изменилось при переводе текста на украинский. "Трудности перевода", - процитировал Козак название знаменитого фильма Софии Копполы.
Одно из принципиальных отличий закона от Конвенции состоит в том, что, украинский документ распространяется практически на все сферы, включая оборону и госбезопасность. И Минобороны и СБУ уже зарегистрировали свои базы данных в Госслужбе.
Правда, в ходе разговора выяснилось и то, что закон о защите персональных данных выполнили далеко не все министерства и ведомства или их заявки на регистрацию баз данных находятся в тех самых мешках и до них еще не дошли руки.
Козак подтвердил, что Минюсту поручено внести в закон коррективы, но пока он не говорит, какие именно – это станет ясно в процессе работы. Но уже известно, что Европейский Союз, проанализировав наш закон, уже дал более 50 рекомендации по его доработке. На вопрос, какие замечания есть у ЕС, Козак ответил так: "Например, даже те, которые в вашей статье повторяются в тех или иных вариациях".
Как писала "Экономическая правда", претензии депутатов, экспертов и общественных организаций предпринимателей сводятся к тому, что в законе не прописаны четко такие понятия как "база данных" – что это такое, закон трактует очень пространно, что дает широкие возможности для фантазии как организаций, так и самой Госслужбы.
Козак также заявил, что ЕС считает штрафы за нарушение закона о персональных данных низкими. Как известно, с 1 января этого года действую штрафы, размер которых достигает 1000 необлагаемых налогов минимумом (сейчас этот минимум равен 17 гривнам) и введена уголовная ответственность. В некоторых странах Европы штрафы достигают 2% оборота компании.
А как же быть с общественными организациями, у которых нет ни оборота, ни прибыли? И не считают ли в Госслужбе, что штраф в 17 тысяч гривен – это огромные деньги? Руководство Госслужбы уверено, что штрафы должны быть еще больше.
Козак уточняет, что в разных сферах риски нарушения закона разные: "В Украине год работы закона показал сферы деятельности, где эти риски максимальны. Это отношения между коллектором и организацией, которая предоставляет им сведенья о заемщиках. Вторая сфера – директ-маркетинг. Ну, и третья, как ни странно, это жилищно-коммунальное хозяйство".
Замглавы Госслужбы, доказывая "мягкость" украинского закона, говорит, что в некоторых странах регистрация баз данных невозможна без предварительной проверки этих баз. Украинский закон предполагает проверку после регистрации. Собственно, по этой причине, а также потому, что были введены штрафы, в конце декабря прошлого года Госслужба была завалена заявками на регистрацию.
"Безусловно, ничего хорошего в этом никак не было. Хотя, если попытаться найти хорошее в любом действии, то можно сказать, что таким ужасным способом повысилось знание о существовании закона, знание о том, что что-то есть. Хотя, конечно, так не должно было быть", - признался чиновник.
- Согласитесь, что это следствие некачественного закона.
- Ну, безусловно. Это - следствие некачественного закона, плюс на этапе имплементации закона нам не удалось убедить при подготовке постановления Кабинета министров внести какие-то процедурные изменения, которые смягчили бы этот недостаток, - согласился Козак.
Он также отметил, что проблемы с имплементацией национальных законов других стран решаются годами.
- Не бывает идеальных законов, это же не особенность только нашего закона, - сказал Козак, но настаивает, что выполнять его нужно.
Он не считает, что закон надо остановить или надо приостановить его выполнение, даже если кто-то считает его дискриминационным. Одно из замечаний, с которым Госслужба соглашается, относится к норме закона, согласно которой владелец базы данных обязан письменно получить согласие человека на включение его данных в базу, а затем еще письменно подтвердить факт включения – очевидно, что уведомление о включении в базу после получения согласия уже не нужно. Эта бумажная работа рано или поздно превратится в кошмар для любого владельца базы данных.
Сейчас на подписи у президента лежит закон, который откладывает введение штрафных санкции до 1 июля этого года. Если президент его не подпишет, то, с учетом вольной трактовки закона о защите персональных данных появляются большие возможности для манипуляций и коррупции. Но Козак уверяет, что бояться штрафов не стоит.
- Почему штрафы такие высокие и что будет, если президент наложит вето на закон об их отсрочке?
- Не зависимо от того, будет этот закон ветирован или будет подписан, принципиально ничего не поменяется. Единственное что, поменяется для нас: явные нарушители, которые открыто игнорируют требования закона, будут терпеливо ждать до июля. Если закон будет ветирован, то применить закон о защите персональных данных на практике ведь не так просто, окончательное решение о штрафах принимает суд, а не мы.
- Предположим, вы проводите проверку и решаете применить санкции – например, 300 необлагаемых минимумов. Что потом?
- Мы составляем акт проверки и административный протокол, отправляем в суд, и суд принимает решение.
- Вот пример: штрафы предусмотрены за несвоевременную регистрации баз данных. Но нигде не сказано, что значит "несвоевременно".
- Ну, в принципе, очень трудно применить санкции в этом случае, ведь трудно представить, что Служба будет выдвигать требования об уклонения от регистрации, имея у себя около миллиона заявлений баз персональных данных.
- Ну это же не серьезно…
- А чего не серьезно?
- Закон принят, санкции утверждены, и вы говорите, что не будете штрафовать? Этому можно просто так верить?
- Строгость этого закона не обязательно ведет к массовому применению санкций. У нас по штату отдел контроля состоит из девяти человек. Значит, говорить о повальном контроле бессмысленно. В законе прописано, что после проверки мы пишем предписание, которое говорит о том, какие нарушения выявлены и сколько времени дается на их устранение, потом через какое-то время повторно мы проводим проверку, и если это предписание не выполнено, тогда составляем акты. На сегодняшний момент никто не оштрафован. Говорить гипотетически, что все будут оштрафованы или никто не будет оштрафован – ну, это просто слова.
- А в каком случае применяется один штраф, а в каком - другой?
- Это будет решать суд.
