Рекомендации по работе с персональными базами данных

4,633 views

Published on

Рекомендации по работе с персональными базами данных от Украинской ассоциации директ-маркетинга

Published in: Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
4,633
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
15
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Рекомендации по работе с персональными базами данных

  1. 1. Дмитрий ЙовдийВалентин Калашникрекомендациипо работе с адресными базами данныхЮридические аспекты при создании, обработке, отчуждении
  2. 2. Содержание3 Ситуация в Украине4 Список ключевых определений и сокращений5 Выполнение требований законодательства о защите персональных данных при работе с адресными базами данных5 Краткая характеристика Закона о защите ПД с точки зрения возможности ведения бизнеса7 Получение согласия у субъекта персональных данных на обработку его данных 9 Форма согласия на обработку персональных данных11 Создание архива документальных подтверждений согласий об использовании персональных данных12 Порядок использования номеров мобильных телефонов, адресов, e-mail без указания информации, кому они принадлежат13 Обеспечение возможности отказа от обработки ПД, внесения в них изменений14 Как поступать в случае поступления претензии от лица о незаконной обработке его данных?15 Регистрация базы персональных данных в государственном реестре.15 Осуществление письменного уведомления субъекта ПД о включении его данных в базу ПД16 Принятие организационно-технических мер по обеспечению конфиденциальности обрабатываемых персональных данных.16 Какие меры нужно предпринимать при покупке базы персональных данных?18 методология защиты прав на базу данных от неправомерного использования третьими лицами19 Статус базы данных как объекта права охраны авторского права: проблемы, ограничивающие возможности защиты19 Документальное оформление базы данных на предприятии23 Включение в базу данных «контрольных адресов» как механизм доказывания факта неправомерного использования базы данных24 Передача контрольных адресов на хранение (депозитарий контрольных адресов)25 Процедура защиты авторского права на базу данных в случае нарушения. Ответственность за неправомерное использование базы данных28 Заключение 2
  3. 3. ВступлениеСитуация в УкраинеНа сегодняшний день вряд кто-нибудь будет спорить с тем, что одним из наиболее важ-ных факторов, влияющих на успешность любого бизнеса, является информация и пра-вильное её применение. Высокую ценность для каждой компании составляют контактыделовых партнёров, клиентов, потенциальных потребителей, поставщиков и т.д. Многиекомпании тратят немалые финансовые и организационные ресурсы на поиск необхо-димой информации и её систематизацию в базы данных. Создание и торговля базамиданных уже давно стала отдельной сферой бизнеса.Вместе с тем нужно констатировать, что на сегодняшний день особой актуальности при-обретает юридическая сторона такой деятельности. По мнению авторов данной мето-дологии процесс работы с базами данных включает две юридические составляющие.Первый момент — это соответствие процедуры работы с базами данных требованиямзаконодательства Украины о защите персональных данных, а именно: Закону Украины«О защите персональных данных», принятого 01.06.2010 года, Закону Украины«О ратификации Конвенции о защите персональных данных в связи с автоматизирован-ной обработкой персональных данных и Дополнительного протокола к Конвенции о за-щите лиц в связи с автоматизированной обработкой персональных данных относительноорганов надзора и трансграничных потоков данных» от 06.07.2010 года № 2438-VI. (обазакона вступают вступают в действие с 1 января 2011 года). Ведь 95 % баз данных —это адресные базы, содержащие информацию о людях (то есть персональные данные).Следовательно, практически любые операции с такими базами являются обработкойперсональных данных, и подпадают под действие указанных Законов.Второй момент — это обеспечение создателем базы данных возможности защиты ав-торских прав от неправомерного использования базы данных третьими лицами. Ведькопания может потратить массу ресурсов на сбор и систематизацию ценной информа-ции, а через некоторое время обнаружить, что такая база данных успешно продаётся на«Петровке». В такой ситуации определяющим является то обстоятельство, или принялсоздатель базы данных необходимые меры, делающие возможным защиту своих прав отнеправомерных действий нарушителей.В данной методологии авторами представлены практические рекомендации по работес адресными базами данных при их создании, обработке, отчуждении учитывая дваизложенных выше аспекта. При разработке данных рекомендаций не преследоваласьцель провести детальный юридический анализ положений Закона, содержание не «на-пичкано» юридической терминологией и экспертными комментариями относительноположений Закона. Данная методология скорее будут полезными сотрудникам компа-ний — профессиональных обработчиков баз данных (маркетинговые агентства, дата-центры, колл-центры), а также для руководителей, маркетологов, менеджеров по прода-жам компаний, которые создают либо покупают адресные базы данных для внутреннегоиспользования (банков, страховых компаний, FMCG компаний, сетей магазинов бытовойтехники, автозаправочных станций, интернет-магазинов и любых компаний, поддер-живающих коммуникации с потребителями). Также методология может быть полезнаюристам таких компаний. 3
  4. 4. Список ключевых определенийи сокращений 1персональные данные (далее «ПД») — сведения или совокупность сведений о физиче-ском лице, которое идентифицировано или может быть конкретно идентифицировано(статья 2 Закона Украины «О защите персональных данных» от 01. 06. 2010 года № 2297-VI);обработка персональных данных (далее — «обработка ПД») — любое действие илисовокупность действий, осуществленных полностью или частично в информационной(автоматизированной) системе и/или в картотеках персональных данных, которые свя-заны с сбором, регистрацией, накоплением, хранением, адаптированием, изменением,возобновлением, использованием и распространением (распространением, реализаци-ей, передачей), обезличиванием, уничтожением сведений о физическом лице (статья 2Закона Украины «О защите персональных данных» от 01. 06. 2010 года № 2297-VI);Субъект персональных данных (далее — «субъект ПД» или «физическое лицо» или«лицо») — физическое лицо, относительно которого в соответствии с законом осущест-вляется обработка его персональных данных (статья 2 Закона Украины «О защите пер-сональных данных» от 01. 06. 2010 года № 2297-VI);база персональных данных (далее — «база ПД») — именуемая совокупность упорядо-ченных персональных данных в электронной форме и/или в форме картотек персональ-ных данных (статья 2 Закона Украины «О защите персональных данных» от 01. 06. 2010года № 2297-VI);Согласие субъекта персональных данных (далее — «согласие субъекта ПД» или «согла-сие лица» или «согласие») — любое документируемое, в частности письменное, добро-вольное волеизъявление физического лица относительно предоставления разрешениюна обработку его персональных данных в соответствии с сформулированной целью ихобработки (статья 2 Закона Украины «О защите персональных данных» от 01. 06. 2010года № 2297-VI);база данных — совокупность произведений, данных или любой другой независимой ин-формации в произвольной форме, в том числе — электронной, подбор и расположениесоставных частей которой и ее упорядочивание является результатом творческого тру-да, и составляющие части которой являются доступными индивидуально и могут бытьнайдены за помощью специальной поисковой системы на основе электронных средств(компьютера) или других средств (абзац 3 ч. 1 ст. 1 Закона Украины «Об авторском правеи смежных правах» от 23. 12.1993, № 3792-XII).Адресная база данных — структурированный массив информации, содержащий полно-стью либо частично сведения о физических лицах (авт.);«Закон о защите пД» — Закон Украины «О защите персональных данных» от 01.06.2010года № 2297-VI. 4
  5. 5. Выполнение требованийзаконодательствао защите персональных данных 2при работе с адресными базами данных2.1. Краткая характеристика Закона о защите ПДс точки зрения возможности ведения бизнеса.Как упомянуто выше, 1 июня 2010 года принят Закон Украины «О защите персональныхданных» № 2297-VI. Уже сейчас можно утверждать, что в принятой редакции Закон уста-навливает серьёзные затруднения любому бизнесу, ряд норм и вовсе являются невыпол-нимыми. Ниже подана характеристика его основных его проблемных моментов.Неоправданная всеохватываемость Закона. Закон вводит толкование определения«персональные данные», в соответствии с которым под действие Закона подпадает лю-бая общественная или коммерческая деятельность. «Базой персональных данных» при-знается любой массив информации, который содержит элементы персональных данных.В частности, базой персональных данных признается картотека в виде бумажных доку-ментов — таким образом, под регулирование подпадают даже такие повседневные опе-рации, как заключение и выполнения любых гражданско-правовых договоров, которыев той или иной мере содержат персональные данные.По Закону все владельцы базы персональных данных должны зарегистрировать всеимеющиеся в них базы персональных данных в специальном государственном реестре.Сегодня база персональных данных есть у каждого предпринимателя Украины (а в не-которых организациях их количество будет измеряться сотнями единиц — почтовыеслужбы, операторы телекоммуникаций, датацентры, банки, страховые компании и томуподобное). Это значит, что должна быть создана очень разветвленная система, с офисомв каждом городе. За расчетами специалистов, в этом реестре должно быть зарегистри-ровано больше 3 млн. записей. По объему этот реестр быстро превысит объем ЕГРПОУ.Финансирование проведения работ, связанных с регистрацией и контролем, предусма-тривается, в том числе, за счет предпринимателей, при этом пользу от существованиятакого реестра не получит ни государство, ни ее граждане.Отсутствие разграничения персональных данных на «идентифицирующие» и «уязвимые».В соответствии с европейскими стандартами, персональные данные разделяются наданные общего характера (фамилия, имя, отчество, дата и место рождения, граждан-ство, местожительство) и уязвимые персональные данные (данные о состоянии здоро-вья — история болезни и диагнозы, этническая принадлежность, отношение к религии;кредитная история, идентификационные коды и тому подобное). В соответствии с евро-пейскими стандартами, именно к уязвимым данным относится запрет сбора, хранения,использования и распространения их без согласия субъекта данных. В Законе, которыйвступает в силу, это относится ко всем без исключения персональным данным, что фак-тически парализует развитие бизнеса во многих направлениях.2. Выполнение требований законодательства о защите персональных данных. 5
  6. 6. Неоправданно широкие полномочия контролирующего органа. По Закону, представите-ли Государственной службы по вопросам защиты персональных данных (создание кото-рой предусмотрено Указом Президента Украины от 09. 12. 2010 года) имеют право бес-препятственно входить в любое помещение, где обрабатываются персональные данные(при условии современного распространения компьютеров, базы персональных данныхесть в каждом офисе), что является равнозначными праву на проведение обыска, ко-торое до сих пор имели лишь правоохранительные органы. Уполномоченному органудано право проверять состояние защиты персональных данных и накладывать предпи-сания и наказания на владельцев баз персональных данных. В данном контексте важноотметить, что в Верховной Раде зарегистрирован проект Закона, которым предусматри-вается установление уголовной и административной ответственности за нарушение за-конодательства в сфере персональных данных (№ 7355 от 11. 11. 2010 года). При этом воз-можность наказания в большинстве случаев не связывается с фактом нарушения правконкретного гражданина — субъекта персональных данных. Это значит, что наказаниеможет быть наложено при формальном поводе, например, невыполнения владельцембазы ПД любых технических или организационных требований, установленных уполно-моченным органом. Во многих европейских странах соответствующий орган не имеетправа беспрепятственного доступа к помещениям, где обрабатываются персональныеданные. В украинских реалиях такие права контролирующего органа станут питатель-ной средой для коррупции, но не приведут к защите прав граждан.Двойное получение согласия от субъектов персональных данных. Напрасным, но чрез-вычайно расходным для владельца базы персональных данных является требование со-общать гражданам — субъектам персональных данных «исключительно в письменнойформе» о его правах, целях сбора персональных данных, лиц, которым его персональ-ные данные будут передаваться. Сообщить нужно в течение десяти рабочих дней со днявключения его персональных данных в базу. Такое требование является нелогичным, по-скольку внесение в базу персональных данных и так становится возможным только пополучении документируемого согласия субъектов персональных данных.Злоупотребление субъектов ПД. Закон дает субъекту персональных данных право требо-вать удаления его персональных данных из базы персональных данных по формальнымпричинам (ошибка в данных). Таким образом, граждане могут избегать ответственностипо заключенным ими гражданско-правовым договорам. Например, недобросовестныезаемщики могут требовать у кредиторов удаления их персональных данных и, таким об-разом, избегать ответственности за полученными кредитами.Невозможность выполнения Закона без принятия подзаконных нормативно-правовыхактов. Закон вступает в силу уже первого января 2011 года. Очевидно, что надлежащеефункционирование Закона возможно лишь после принятия ряда нормативно-правовыхактов, которые разъясняли бы нормы Закона и устанавливали механизм его выполне-ния. Отсутствие таких нормативных актов делает Закон непонятным как для участниковобщественных правоотношений, так и для самого контролирующего органа. К тому же,такие обстоятельства будут способствовать коррупции, ведь у контролирующего органапоявится возможность привлекать предпринимателей к ответственности за невыполне-ние требований уже действующего Закона, которые без принятия необходимых норма-тивно-правовых актов выполнить невозможно.2. Выполнение требований законодательства о защите персональных данных. 6
  7. 7. 2.2. Получение согласияу субъекта персональных данных на обработку его данных.В соответствии с положениями Закона о защите ПД какая-либо обработка ПД (опреде-ление термина «обработка ПД» см. в разделе 1.1) допускается только после полученияоднозначного согласия субъекта ПД на обработку данных, и в соответствии с целью об-работки данных, заявленной при получении такого согласия (ч.1 ст. 11 Закона).Таким образом, компаниям при сборе ПД нужно будет получать согласие от субъектовперсональных данных в каждом конкретном случае. Точнее, требование по получениюсогласия содержалось в законодательстве Украины и до принятия Закона о защите ПД.Так, согласно Конституции Украины, Закону Украины «Об информации» использованиеинформации о лице допускается только с согласия такого лица. Но при этом, в виду пол-ного отсутствия механизма реализации данного положения, данные нормы носили лишьформальный характер, и мало кто на практике задумывался о необходимости соблюде-ния законности при сборе персональных данных. Очевидно, после вступления в силуЗакона и других подзаконных актов, а также после создания уполномоченного органа всфере защиты персональных данных, ситуация измениться, и данные правоотношениябудут жёстко контролироваться государством.Кроме того, при получении согласия на обработку данных лицом должна быть чёткообозначена цель обработки ПД, и ПД могут обрабатываться только в соответствии за-явленной целью. Следовательно, если компания начнёт обрабатывать ПД с другой це-лью, нежели заявленной при получении согласия, нужно получить повторное согласиеу субъекта ПД на обработку его данных уже с новой целью.При этом стоит отметить, что в ряде европейских стран постепенно начинают отказывать-ся от жёсткой «привязки» к конкретной цели обработки. Ведь цель обработки в процессеможет видоизменяться, и получая первичное согласие, невозможно предусмотреть всевозможные варианты. Вместе с тем, формальные предписания Закона в текущей редак-ции обязывают использовать ПД только в соответствии с заявленной целью обработки,что компании и должны учитывать при сборе ПД. Например, указав целью обработки пер-сональных данных лишь исполнение заказа, после осуществления доставки и полученияоплаты, компания будет обязана уничтожить полученные ПД (согласно с п. 2 ч. 2 ст. 15 За-кона). Однако, если будет указано, к примеру, «обработку заказа, поддержание долгосроч-ного сотрудничества, информирование о специальных предложениях и рассылку реклам-ных материалов», то ПД могут храниться и после исполнения конкретного заказа.Получение согласия может осуществляться разными способами. В независимости от спо-соба компания должна быть заинтересована в том, что бы полученное от лица согласиелица было надлежащим образом оформлено на документальном носителе (об этом под-робней в разделе 2.3) однозначным, чётко сформулированным, и главное, позволяло вдальнейшем обрабатывать персональные данные в маркетинговых и коммерческих целях.Для разрешения такой задачи рекомендуем компаниям использовать на специальнуюформулировку о добровольной передаче клиентом своих персональных данных и раз-решение на любые операции с ПД, делающими возможным их дальнейшее исполь-зование в маркетинговых и коммерческих целях. Формулировки могут быть разные2. Выполнение требований законодательства о защите персональных данных. 7
  8. 8. в зависимости от обстоятельств, при которых собираются данные. Для этого рекоменду-ем при сборе персональных данных использовать формулировки в текстах носителей,используемых при передаче данных. В зависимости от обстоятельств, при которых со-бирают ПД, можно использовать разные варианты носителей и формулировок:Пример 1. Компания собирает персональные данные при выдаче дисконтных карт по-купателям. Надпись на анкете, заполняемая участником при сборе данных:«Я добровольно передаю указанные в анкете персональные данные компании (названиекомпании) для получения дисконтно-накопительной карты, а также с целью поддержаниядолгосрочного сотрудничества с компанией. При этом даю согласие на использованиемоих персональных данных для обработки заказов на покупку товаров (услуг) компании(её связанных лиц, коммерческих партнёров), получения рекламных и специальныхпредложений, а также помещение моих персональных данных в базу данных, неограни-ченное во времени хранение данных.»Пример 2. Компания собирает данные при регистрации участников розыгрыша, акции.Надпись на анкете участника:«Я добровольно передаю указанные в анкете персональные данные компании (названиекомпании) для регистрации в качестве участника розыгрыша, который состоится (дата)по адресу: (адрес). Также даю согласие на использование моих персональных данныхдля получения от компании (её связанных лиц, коммерческих партнёров) рекламных испециальных предложений, информационных материалов, а также на помещение моихданных в базу данных, неограниченное во времени хранение данных…».Пример 3. Компания дистанционной торговли продаёт товары по каталогу. Надпись нарасходной накладной о передаче товара:«Я добровольно передаю компании (название компании) указанные в данном документеперсональные данные для обработки заказа на покупку товара. Также даю согласие наполучение от компании рекламных и специальных предложений, информационных ма-териалов…».Пример 4. Интернет-магазин либо другая компания осуществляет сбор персональныхданных через интернет путём заполнения клиентами on-line анкет на сайте компании,и использует в дальнейшем собранные персональные данные для рассылок рекламныхпредложений. Формулировка на отправляемом рекламном материале (либо в тексте ре-кламного сообщения по e-mail):«Для отправки этого материала использованы персональные данные получателя, добро-вольно предоставленные последним компании (название компании) путем регистрациина сайте (адрес сайта)»В случае, если компания проводит разного рода программы лояльности, и размещаетна своем корпоративном сайте правила участия в программе, целесообразно включатьтуда пункты о порядке обработки ПД, ну и естественно положение о том, что став участ-ником программы, клиент в полном объеме соглашается с условиями программы.Кроме того, в соответствии с Законом лицо в любой момент вправе отказаться от даль-нейшей обработки его ПД. С целью выполнения данного требования Закона, компаниямцелесообразно при использовании ПД клиентов уведомлять последних о праве отказаот использования их персональных данных, а также обеспечить клиентам возможность2. Выполнение требований законодательства о защите персональных данных. 8
  9. 9. осуществить такой отказ в любой удобный для них способ (к слову, такая практика хоро-шо распространена в большинстве европейских стран). Для этого во всех перечислен-ных выше вариантах формулировок стоит добавлять соответствующую фразу.Пример: «Получатель в любое время может запретить либо ограничить обработку егоперсональных данных путём заполнения соответствующей анкеты на официальном сай-те компании либо по телефону (номер телефона)».2.3. Форма согласия на обработку персональных данных.Законом не установлено обязательной письменной формы согласия субъекта ПД на об-работку его ПД. В соответствии со статьей 1 Закона, таким согласием может являтьсякакое-либо документированное волеизъявление физического лица на обработку егоданных (то есть, не только письменное, а любое документированное). При этом Законне разъясняет термина «документированное согласие». Вместе с тем, согласно ЗаконуУкраины «Об информации» документом является материальная форма получения, хра-нения, использования и распространения информации путём фиксации ёё на бумаге,магнитной, кино-, видео-, фотоплёнке либо на другом носителе. Исходя из данного опре-деления, компании могут использовать следующие формы получения согласия (в зави-симости от характера деятельности и обстоятельств, при которых собираются ПД);а) анкета, заявка, купон на заказ товара, на регистрацию в акции, расходная накладная напередачу товара (разумеется, с применением формулировок, приведенных в разделе 2.2 иподписи лица, передавшего свои персональные данные). Это оптимальный вариант с точкизрения возможных рисков, так как в данном случае фиксация будет на бумажном носителе;б) аудиозапись телефонного разговора с лицом, в ходе которого данное лицо предостав-ляет свои ПД, и даёт согласие на их использование с определённой целью. Такую формуфиксации согласия можно использовать в случае сбора ПД путём телемаркетинга. Такжеэто допустимо в случае интернет-магазинов, компаний дистанционной торговли, когдапокупатель осуществляет заказ товара по телефону, оставляя при этом необходимые дляоформления заказа ПД. Также это допустимо в случае, когда потенциальные потребите-ли звонят на горячую линию компании и оставляют свои данные, к примеру, с целью по-лучения рекламной информации от компании либо для участия в акции. В таких случаяхв ходе разговора нужно в обязательном порядке уведомить лицо, что осуществляетсяаудиозапись, и получить от такого лица однозначный ответ, что он согласен на обработ-ку предоставленных им ПД.в) полученное e-mail сообщение от лица на обработку его ПД. Такая форма фиксацииможет использоваться интернет-магазинами либо компаниями, осуществляющими сборданных путём on-line регистрации потребителей на своём сайте. Полученное e-mailсообщение содержится на материальных носителях (сервере компании получателя исервере компании, обслуживающей хостинг), и, следовательно, может являться доку-ментированной формой согласия. При выборе данного способа (равно как и преды-дущего), нужно тщательно технически продумать процедуру коммуникации с субъек-тами ПД. Ведь как упомянуто ранее, e-mail сообщение не является доказательством всудебном процессе, поэтому использование ПД на основании таких e-mail регистрацийнесет определённые риски, связанные со злоупотреблениями недобросовестных лиц.2. Выполнение требований законодательства о защите персональных данных. 9
  10. 10. К тому же, при желании такое лицо сможет сослаться на то, что не отправляло сообще-ния, а указанный e-mail не имеет к данному лицу никакого отношения. Ведь техническиневозможно идентифицировать отправителя (за исключением тех редких случаев, ког-да отправка сообщения осуществлялась с корпоративного сайта — там ещё могут быть«зацепки»). В связи с этим нужно понимать, что использование данного способа фикса-ции должно сопровождаться применением других мер, которые смогут «подстраховать»компанию в случае вопроса о правомерности использования ПД. К примеру, если недо-бросовестный покупатель имеет претензии к интернет-магазину о неправомерной об-работке его ПД (и при этом отрицает, что давал согласие на использование его данных),нужно отыскать расходную накладную, подтверждающую факт покупки товара даннымпокупателем. Этот факт может сыграть положительную роль в судебном споре, так какбудет доказан факт покупки товара, которая была бы невозможной без предоставленияпокупателем своих ПД. Также при сборе данных таким способом, в обязательном по-рядке должна обеспечиваться возможность лицам отказаться от обработки их персо-нальных данных (подробней — см. в разделе 2.6). В судебном споре компания сможетсослаться на то, что от лица не поступало требования о прекращении обработки его ПД.Исходя из приведённого выше очевидно, что при сборе ПД через e-mail на сегодняшнийдень не существует способа, который даст 100 % гарантию и доказательства подтверж-дения согласия. Но это не означает, что использовать этот способ не нужно. Ведь отправ-ляя рекламу именно тем, кто оставил свои ПД таким способом, компания, во-первых, вы-полняет требования Закона, и во-вторых, минимизирует случаи возможных претензий(ведь у таких клиентов вряд ли возникнет желание жаловаться на неправомерное ис-пользование их ПД).г) полученное от субъекта ПД sms-сообщение с подтверждением о возможности ис-пользования его ПД. Такой способ может использоваться в случае, когда компанияосуществляет сбор ПД путём рассылки sms сообщений либо просто осуществляет sms-маркетинг. Важно добавить, что на данный момент сложно спрогнозировать, будет липодзаконными актами предусмотрена возможность осуществлять сбор ПД с помощьюsms-сообщений, и если да, то какие требования и ограничения будут установлены дляданного способа фиксации. Пока же нужно исходить из существующих норм законода-тельства, а именно Закона Украины «О защите персональных данных», Закона Украины«Об информации»: поскольку sms-сообщение содержится на соответствующем матери-альном носителе (а именно, на сервере мобильного оператора), согласие, данное в та-кой форме, отвечает определению «документированное согласие». Подчёркиваем, чтокомпания, которая намерена осуществлять сбор данных таким способом, должна тща-тельно продумать технологическую процедуру сбора данных (обеспечить возможностьфиксации содержания sms, полученных от субъектов ПД, номера, номера, с которогобыла осуществлена отправка и дата отправки). Пояснения в данном случае аналогичнытем, что указаны в подпункте «в».2. Выполнение требований законодательства о защите персональных данных. 10
  11. 11. 2.4. Создание архива документальных подтверждений согласий обиспользовании персональных данных.Хотя в Законе и не содержится положения об обязанности компаний хранить доказа-тельства получения согласия лица на обработку его персональных данных (как, к при-меру, это сделано в России), очевидно, что в случае поступления претензии от субъектаПД (вероятней всего недобросовестного), компания будет обязана предоставить до-казательства получения согласия на использование ПД такого лица уполномоченномуоргану или суду. Следовательно, для избежания рисков претензий о неправомерной об-работке ПД, компаниям необходимо обеспечить хранение документальных подтверж-дений получения согласий по каждому клиенту.Для этого рекомендуем создать в компании архив документальных подтверждений, ко-торыми клиент дал согласие на использование его данных с возможностью постоянногопополнения данных (внесения изменений), и быстрого поиска нужного документа. Как иупоминалось выше, такими подтверждениями могут служить заполненные анкеты для по-лучения дисконтной карты, заявки на регистрацию участника акции, розыгрыша, купонына заказ товара, подписанные заявителями, с формулировкой о добровольной передачесвоих персональных данных для их дальнейшей обработки в рекламных и коммерческихцелях. Необходимость поиска соответствующего документа возникнет исключительно вслучае претензии со стороны клиента о неправомерном использовании его данных либов случае соответствующего запроса уполномоченного органа или суда.Один из ключевых вопросов, который компании необходимо решить, это в каком видевести архив этих документальных подтверждений. В данной ситуации допустимыми яв-ляются два варианта:Вариант 1: хранить документы в оригинале (то есть в бумажном виде).При хранении документов в бумажном виде (с живой подписью лица) у компании будут всегарантии и доказательства надлежащего получения согласия, что в полной мере убережеткомпанию от рисков привлечения к ответственности за неправомерную обработку ПД.Но с другой стороны, данный способ имеет существенный минус. Используя его, компа-ния должна нести существенные финансовые и организационные затраты. По предвари-тельным подсчётам документы-подтверждения по базе данных, состоящей, к примеру,из 1 млн. позиций, физически будут занимать около тридцати стандартных стеллажныхпаллет. Не стоит добавлять, сколько ресурсов будет уходить на упорядочение и обслу-живание данного архива.Вариант 2: хранить документы в электронном виде (сканкопии).При этом собранные документы передаются оператору, который сканирует анкеты, и за-носит сканкопии электронный реестр. Оригиналы анкет при этом уничтожаются. Оче-видно, такой способ позволит значительно оптимизировать расходы на хранение. Да ив организационном плане значительно проще вести систематизированный реестр элек-тронных документов, чем бумажных.В то же время, в соответствии с законодательством Украины и сложившейся судеб-ной практикой, электронные версии документов на сегодняшней день не признаются2. Выполнение требований законодательства о защите персональных данных. 11
  12. 12. доказательством в суде. Поэтому в случае спора есть вероятность, что сканкопия не бу-дет признана надлежащим доказательством получения согласия (касается случаев, еслинедобросовестный клиент будет отрицать, что этоон заполнял данный документ и ста-вил подпись).Компания самостоятельно должна выбрать удобный для неё способ хранения подтверж-дений исходя из индивидуальных особенностей ее деятельности, взвесив приведённыевыше аргументы и риски. К примеру, если речь идёт о базе персональных данных клиен-тов - владельцев дисконтных карт либо участников бонусных программ (особенно, еслиправила участия в таких программах регламентированы и размещены на сайте с указа-нием о возможности использования ПД заявителей), вполне допустимым будет хранениедокументальных подтверждений в электронном виде. Ведь даже в случае непризнаниянедобросовестным клиентом факта, что он ставил подпись в анкете при регистрации, укомпании будет достаточно других доказательств использования ПД такого клиента назаконных основаниях, то есть с согласия клиента). Это могут, к примеру, быть: факт нали-чия у клиента дисконтной карты, предыдущие покупки клиента, правила, размещённыена сайте (без ознакомления с которыми клиент не мог получить дисконтную карту) и т.д.Соответственно, в таком случае риски уменьшаются.Многие компании уже начали применять бумажный архив. Некоторые из них практику-ют смешанную форму: ведут систематизированный электронный реестр документов, ивместе с тем параллельно хранят оригиналы документов, отсортированные только подате передачи документа в архив. В случае необходимости на основании данных, поме-щённых в электронный реестр, по дате находится бумажная версия нужного документа.Как вариант, эти документы также могут быть переданы полностью либо частично нахранение в архив либо адвокату, таким образом избавив компанию от операционнойзагруженности.2.5. Порядок использования номеров мобильных телефонов, адресов,e-mail без указания информации, кому они принадлежат.Стоит уделить дополнительное внимание вопросу, является ли персональными данны-ми номер мобильного телефона без указания фамилии и имени его владельца либо дру-гой информации, позволяющей идентифицировать данное лицо (следовательно, являет-ся ли база данных, состоящая исключительно из номеров мобильных телефонов, базойперсональных данных).Анализ приведённых в Законе о защите ПД определений «персональные данные», «базаперсональных данных» дают основания сделать вывод, что отдельно взятые номер мо-бильного телефона, домашний адрес либо e-mail адрес не являются ПД, поскольку несодержат информации, необходимой для идентификации конкретного лица — владель-ца данного номера, адреса, e-mail. Следовательно, обработка баз данных e-mail адресов,мобильных номеров, домашних адресов для рассылок рекламных предложений (безполучения согласия их владельцев) не будет являться нарушением законодательства озащите персональных данных.2. Выполнение требований законодательства о защите персональных данных. 12
  13. 13. Вместе с тем нужно понимать, что такие действия являются предметом регулирова-ния других сфер законодательства. Так, несанкционированная e-mail рассылка (СПАМ)может быть квалифицирована как преступление в сфере использования электронно-исчислительных машин (компьютеров) в соответствии со ст. 363-1 Уголовного кодексаУкраины. Указанной статьей предусмотрена ответственность за умышленное массовоераспространение сообщений электросвязи, осуществленное без предварительного со-гласия адресатов, если это привело к нарушению либо прекращению работы электро-исчислительной машины (компьютера). Кроме того, рассылка рекламы потенциальномупотребителю без его согласия может быть квалифицирована как агрессивная предпри-нимательская практика (которая проявляется в форме надоедания ненадлежащего вли-яния на потребителя), Такие действия являются нарушением в соответствии с частью 4статьи 19 Закона Украины «О защите прав потребителей».Не лишним будет также упомянуть о том, совершая рекламные рассылки по мобильнымномерам без предварительного согласия лица, компания нарушает Кодекс мобильногомаркетинга, утверждённый при Украинской ассоциации директ маркетинга. Указанныйкодекс хоть и не имеет юридической силы, но подписан основными мобильными опера-торами Украины с целью создания цивилизованных правил на рынке, и играет важнуюроль в регулировании отношений между участниками рынка. Есть основания полагать,что подобные правила спустя некоторое время найдут отображение и в законодатель-стве Украины. Можно с точностью утверждать, что такая необходимость назревает.Учитывая описанное выше, рекомендуем компаниям очень взвешено использовать та-кой инструмент, как массовая рассылка рекламы через sms, на почтовый и электронныйадрес. В любом случае нужно понимать, что такие действия, если и не подпадают под ре-гулирование законодательства о защите персональных данных в Украине, в то же времяявляются предметом регламентации нормативно-правовых актов в других сферах.2.6. Обеспечение возможности отказа от обработки ПД,внесения в них изменений.В соответствии с п. 1 ч. 1 ст. 11 Закона о защите ПД физическое лицо при предоставле-нии согласия на обработку его данных может установить запрет (ограничение) на такуюобработку. В прочем, такое ограничение может быть установлено в любое время, а нетолько в момент предоставления согласия. На выполнение данной нормы Закона реко-мендуем компаниям обеспечить механизм, при котором клиенты могут в любое времявнести изменения в свои ПД либо отказаться от их дальнейшей обработки тем или инымспособом. Для этого рекомендуем использовать специальные формы анкет, с помощьюкоторых осуществляются изменения. На выбор компании анкеты о прекращении (огра-ничении) обработки либо внесении изменений в ПД могут подаваться клиентами путёмзаполнения на сайте компании, по телефону «горячей» линии либо вбрасываться в спе-циально отведённый для этого ящик в магазинах компании.Если от клиента поступила анкета об ограничении обработки данных (или их измене-нии), ответственный сотрудник компании сканирует документ и вносит соответствую-щие изменения в базу ПД. При этом по умолчанию предусматривается, что если от кли-ента не поступило анкеты либо волеизъявления другим способом, последний согласен2. Выполнение требований законодательства о защите персональных данных. 13
  14. 14. на любую обработку предоставленных ним ПД в полном объёме. Следовательно, всевозможные риски в случае, если от субъекта ПД не пришло соответствующее уведомле-ние, возлагаются на этого субъекта ПД.Стоит дополнительно почеркнуть, что целесообразность создания механизма отказа отобработки ПД обусловлена не только необходимостью выполнения требований Законао защите ПД. Такой механизм позволит компании построить коммуникации с клиентамис учётом их индивидуальных пожеланий (например, если клиент компании не желает,что бы ему звонили с рекламными предложениями на мобильный номер либо направля-ли sms, — у него будет возможность отказаться от этого). Такой механизм уменьшит ко-личество недовольных, и, соответственно, снизит количество потенциальных претензийи судебных тяжб, связанных с обработкой ПД.2.7. Как поступать в случае поступления претензии от лицао незаконной обработке его данных?В случае поступления претензии к компании от субъекта ПД прежде всего нужно:а) найти в архиве данных документальное подтверждение согласия данного лица на об-работку его данных;б) выяснить, в чём именно заключается претензия лица (ему не нравится, что ему на по-чту приходит реклама; надоедают звонки; возможно, неправильно указано его имя илифамилия; либо данное лицо прямо обвиняет компанию в том, что последняя нарушилаего права, использовав его персональные данные без предварительного согласия);в) понять, какую цель преследует субъект ПД, обращаясь к компании с претензией (этоможет быть требование полностью либо частично прекратить обработку его ПД, изме-нить недостоверные данные, исключить его ПД с базы).В случае, если у компании есть документальное подтверждение получения согласия, нужноего просто предъявить. Если подтверждения согласия нет, нужно поискать альтернативныедоказательства, которые хотя бы косвенно подтверждают, что такое согласие действитель-но предоставлялось. Например, - компания осуществляет сбор ПД покупателей, которымвыдаются дисконтные карты на покупку товаров компании. При этом дисконтная картавыдаётся покупателю с целью получения клиентом скидок на товары при последующихпокупках. Исходя из этого можно утверждать, что покупатель, получив добровольно дис-контную карту (понимая, что с помощью этой карты он может покупать товар и получатьскидку), дал этим согласие на использование его ПД с целью совершения дальнейших поку-пок. Ведь понятно, что без обработки персональных данных, продажа в данном случае не-возможна. Таким образом, факт самого наличия у клиента дисконтной карты даст компаниивозможность (даже без наличия анкеты либо специальной формулировки на дисконтнойкарте) обрабатывать ПД этих клиентов (в т.ч. хранить их данные в базе) с целью продажиим товаров. В таком случае с «натяжкой» можно также обосновать, что получив от компа-нии дисконтную карту, покупатель дал согласие на использование его ПД для отправки емурекламных и информационных материалов компании. Ведь получая дисконтную карточку,клиент косвенно демонстрирует свое желание получать информацию о товарах компании.2. Выполнение требований законодательства о защите персональных данных. 14
  15. 15. Вне зависимости от ситуации, целесообразно урегулировать вопрос с жалобщиком мир-ным путём: извиниться за беспокойство, сославшись на ошибку, и предложить исправитьситуацию исходя из требований субъекта ПД (исключить его персональные данные избазы, не звонить ему на домашний номер и т.д.). Если же конфликт не удаётся урегулироватьмирным путём, и «пострадавшее» лицо все же обратилось с иском в суд (либо с жалобойв уполномоченный орган), и будет доказан факт, что данное лицо не давало согласия наобработку его ПД, то компании не избежать привлечения к административной ответствен-ности её должностных лиц. Настоит напомнить, что на данный момент в Верховной Раде за-регистрирован проект Закона, которым предусматривается установление уголовной и ад-министративной ответственности за нарушение законодательства в сфере персональныхданных (№ 7355 от 11.11.2010 года). Принятие данного Закона — это вопрос времени. Приэтом возможность наказания в большинстве случаев связывается не с фактом нарушенияправ конкретного гражданина, а с формальным нарушением порядка обработки ПД.Вместе с тем, для взыскания с компании серьёзной денежной компенсации в судебном по-рядке, такому лицу нужно будет привести веские аргументы, свидетельствующие о том, чтонеправомерное использование его ПД действительно нанесло ему существенных физиче-ских или моральных страданий. Это будет сделать очень сложно, ведь едва ли обработка«адресных» ПД, используемых, к примеру, при маркетинговой рассылке или звонке с ре-кламной целью, способно нанести серьёзного вреда человеку, как это может случится принеправомерной обработке «уязвимых» ПД (данные о болезнях человека, кредитная историяи т.д.). К слову, на сегодняшний день в Украине отсутствует практика (и не известно, черезсколько десятилетий появится), как, к примеру, в США, когда за наименьшее нарушение сво-их прав, гражданин может добиться взыскания миллионных компенсаций с «нарушителя». 2.8. Регистрация базы персональных данных в государственном реестре.Законом о защите ПД предусмотрено создание Государственного реестра баз персональ-ных данных с обязательным требованием к владельцам баз ПД по регистрации всех баз вданном реестре (статья 9 Закона). Это означает, что практически всем компаниям (а особен-но «профессиональным обработчикам ПД») нужно будет регистрировать в государствен-ном реестре каждую базу, содержащую ПД. Сложно даже представить, каким образом будетреализовываться на практике данная норма Закона. Уже сейчас очевидно, что без утверж-дения подзаконного нормативно-правового акта, регламентирующего порядок работы гос.реестра, эти требования являются невыполнимыми. Кроме того, возможно, данная нормапретерпит изменений и реестр баз персональных данных будет заменён на реестр владель-цев баз персональных данных. В связи с этим до принятия соответствующего нормативно-правового нет смысла давать какие-либо рекомендации относительно регистрации баз ПД.2.9. Осуществление письменного уведомления субъекта ПДо включении его данных в базу ПДВесьма затруднительной и затратной для компаний является норма Закона об обяза-тельном уведомлении физического лица о включении его ПД в базу ПД (ч. 2 ст. 12 Законао защите ПД). При этом данное уведомление должно осуществляться исключительно вписьменной форме на протяжении 10 рабочих дней со дня включения ПД лица в базу.2. Выполнение требований законодательства о защите персональных данных. 15
  16. 16. Абсолютно очевидно, что данное положение Закона является весьма непоследователь-ным, ведь любая обработка ПД и так становится возможной только после получения со-гласия субъекта ПД, и какой смысл дважды согласовывать с лицом обработку его ПД?Исходя из соображений здравого смысла (как минимум до принятия соответствующегоподзаконного акта) рекомендуем компаниям осуществлять такое уведомление лишь втех случаях, когда в базу ПД помещаются данные того лица, не дававшего ранее согласияна обработку его ПД, либо если предполагаемая цель обработки ПД существенно отли-чается от той, на которую давалось согласие.2.10. Принятие организационно-технических мер по обеспечениюконфиденциальности обрабатываемых персональных данных.С целью усовершенствования системы контроля и защиты ПД на предприятии, компа-ниям следует назначить должностное лицо, ответственное за обработку ПД, возложивна такое лицо полномочия и ответственность за процедуру обработки ПД (особенноактуальным это мера является для крупных компания, базы персональных данных ко-торых насчитывают сотни тысяч позиций). Хоть Закон о защите ПД и не содержит подоб-ного требования (вполне возможно оно появится в подзаконном нормативно-правовомакте), в европейских странах это широко распространенная практика.Также целесообразно предусмотреть в компании положение о процедуре обработкиПД, включить сведения о собранных ПД в перечень сведений, которые являются ком-мерческой тайной.Законом о защите ПД также установлено, что цель обработки ПД должна быть сформули-рована в уставных документах владельца базы персональных данных (ч. 1 ст. 6 Закона).Таким образом, рекомендуем компаниям уже сейчас позаботиться над внесением в своиуставы пунктов о обработке ПД с указанием целей такой обработки. Вернее, вносить из-менения в действующие уставы компаний только из-за этого не стоит, но при регистра-ции новых юридических лиц либо при внесении других изменений в устав, параллельнонужно включать и пункт об обработке персональных данных.2.11. Какие меры нужно предпринимать при покупке базыперсональных данных?Исходя из приведённой выше информации с целью обеспечения законности будущегоиспользования приобретаемой базы ПД, компании перед покупкой базы ПД нужно про-вести аудит приобретаемой базы, в частности, получить ответы на следующие вопросы:а) убедиться, получены ли согласия содержащихся в базе субъектов ПД на обработку ихданных;б) определить, для какой цели субъектами ПД передавалось согласие на обработку ПД;в) выяснить, не запрещено ли условиями согласия право передачи ПД третьим лицам.2. Выполнение требований законодательства о защите персональных данных. 16
  17. 17. В случае, если проверка указанной информации является невозможной или трудновы-полнимой ввиду большого объёма базы (к примеру, если она насчитывает тысячи илидесятки тысяч позиций), целесообразно хотя бы выборочно проверить несколько пози-ций для создания общей картины о законности сбора ПД компанией-продавцом.К слову, правовой аудит приобретаемой базы ПД нужен не только для проверки леги-тимности сбора содержащихся в ней ПД, а также для подтверждения того, что продавецпри отчуждении базы данных не нарушает чьих-либо авторских на данную базу данных(более подробно об этом в разделе 3).Кроме того, оформлять покупку такой базы ПД следует исключительно на основании до-говора. При этом это должен быть не договор купли-продажи самой базы данных, а дого-вор о передачи права на использование информации. Выбор конкретной юридическойформы договора стоит осуществлять исходя из индивидуальных целей покупателя, но влюбом случае в такой договор целесообразно включить пункты о следующем:а) продавец гарантирует законность сбора всех персональных данных, и по требованиюпокупателя обязуется предоставить копию документа, подтверждающего согласие субъ-екта персональных данных;б) продавец обязуется выступить на стороне покупателя в случае поступления претен-зий (исков, жалоб в уполномоченный орган) от субъектов ПД о неправомерном исполь-зовании их ПД, а также компенсировать последнему все убытки (штрафы), взысканныепоследнего в результате таких претензий.Разумеется, указанные положения договора не снимают ответственности с покупателяза неправомерное использование полученных ПД (если это будет иметь место). Но вме-сте с тем, это позволяет разделить риски с продавцом. Кроме того, настаивание на вклю-чение в договор таких пунктов как минимум дадут возможность компании - покупателюпроверить поведение продавца по этому поводу, на основании чего сделать вывод остепени «проблемных моментов» в передаваемой базе, и на основании этого уже при-нимать решение, покупать или не покупать.Нельзя не отметить тот факт, что на сегодняшний день едва ли найдётся база данных,собранная на законных основаниях, и хотя бы частично отвечающая требованиям За-кона Украины «О защите персональных данных» (особенно учитывая то, что до принятияЗакона мало кто задумывался о необходимости законности сбора ПД). К сожалению, ры-нок Украины еще не отошёл от практики массового использования баз данных, приоб-ретённых на «Петровке» или в интернете за 100 долларов без всяких договоров. И даже вслучае, когда приобретаемая база персональных данных сформирована на законных ос-нованиях (и тому есть все юридические подтверждения), стоимость такой базы данныхбудет гораздо выше. И всегда останется соблазн купить ту, что хоть и не совсем «чистая»,но дешевая. Но при этом следует помнить, что в связи со вступлением в силу ЗаконаУкраины «О защите персональных данных» дальнейшее использование такой базы бу-дет нести существенные финансовые риски для компании. К тому же, покупка таких базбудет только поощрять поведение недобросовестных продавцов, и уж точно не будетспособствовать развитию нормальных цивилизованных отношений на рынке.2. Выполнение требований законодательства о защите персональных данных. 17
  18. 18. методология защиты правна базу данных от неправомерногоиспользования третьими лицами 33.1. Статус базы данных как объекта права охраны авторского права:проблемы, ограничивающие возможности защиты.Обеспечение создателем базы данных возможности защиты авторских прав на создан-ную им базу данных от неправомерного использования третьими лицами является неменее актуальной проблемой, чем вопросы, связанные с защитой персональных дан-ных. Ведь копания может потратить массу ресурсов на сбор и систематизацию ценнойинформации в базе данных, а через некоторое время обнаружить, что эта же база данныхуспешно продаётся в ларьке или магазине. В такой ситуации определяющим является тообстоятельство, или создатель базы данных применил необходимые меры, делающиевозможным защиту своих прав от неправомерных действий нарушителей.Несмотря на то, что законодательством Украины база данных и предусмотрена как са-мостоятельный объект авторского права, на сегодняшний день практически отсутствуетзаконодательный механизм защиты авторского права на такой объект от незаконногоиспользования третьими лицами. К сожалению, на сегодняшний день едва ли найдётсясудебное решение которым правообладателю удалось защитить свои права на базу дан-ных либо получить компенсацию за ее неправомерное использование третьими лицами.Такой ситуации способствуют две причины. Первая — это наличие жестких ограниченийотносительно содержания базы данных, которые мешают признать ее объектом право-вой защиты как объекта авторского права. Вторая заключается в том, что очень слож-но доказать, что массив информации, собранный в базе данных, является результатомименно интеллектуального труда сотрудников именно вашей компании. Ведь лицо, ис-пользующее эту же базу данных, может сослаться на то, что такая информация (адресаклиентов, их ФИО, номера телефонов) собрана ним самостоятельно.Стоит отметить, в соответствии с положением п. 4 ч. 1 ст. 8 Закона Украины «Об автор-ском праве и смежных правах» база данных есть объектом правовой охраны авторскогоправа. Вместе с тем, анализ положений Закона Украины «Об авторском праве и смежныхправах» даёт возможность сделать вывод, что защита базы данных распространяетсяне на защиту самой информации (данных), которую она содержит, а именно на совокуп-ность данных, объединённых по единому принципу, критерию. Другими словами, защи-щается не сама информация, собрана в отдельных позициях, а лишь способ содержа-щихся там данных. Такой вывод исходит из положения абзаца 4 части 1 статьи 19 ЗаконаУкраины «Об авторском праве и смежных правах», которая гласит, что правовая охранабаз данных не распространяется на сами базы данных или информацию, и не задеваетлюбое авторское право, которое относиться к самим данным или информацию, котораясодержится в базе данных.3. Методология защиты прав на базу данных. 18

×