Комитет финансов и права Клуба отельеров и рестораторов Hoteliero провел очередное заседание
Комитет финансов и права Клуба отельеров и рестораторов Hoteliero провел очередное заседание
Путь в цивилизованную Европу для нашей страны неразрывно связан с вознесением прав человека в ранг «святая святых». Одним из механизмов достижения данной цели является обеспечение защиты персональных данных. Надо сказать, первые шаги уже сделаны: сначала парламентарии приняли соответствующий закон, потом ввели санкции за нарушение его норм (пусть и с отсрочкой в полгода), сейчас же решили этот закон существенно доработать.
Честно говоря, немногие в совершенстве понимают, кто и от кого защищает персональные данные физических лиц, а тем более, какова роль субъектов хозяйствования в этом вопросе. Большинство ограничилось подачей заявления на регистрацию баз и разработкой (самостоятельно или с привлечением юристов) стандартного письменного бланка получения согласия от субъекта персональных данных.
В связи с этим, а также учитывая, что штрафы уже вполне реальны, актуальной оказалась тема очередного заседания Комитета финансов и права Клуба отельеров и рестораторов Hoteliero: «Обработка и регистрация баз персональных данных в гостиничной и ресторанной индустрии». Модератором Комитета в который раз выступил Владимир Гурлов, партнер Юридической компании «Правовая помощь».
Актуальность темы подогревалась принятием в начале октября законопроекта, который существенно изменяет ряд положений Закона Украины «О защите персональных данных» (на сегодняшний день законопроект находится на подписи у Президента). Именно ему посвятил первую часть своего выступления специальный гость Комитета – Алексей Мервинский, Глава Государственной службы по защите персональных данных (ГСЗПД). В частности, было отмечено, что нововведениями предусмотрено значительное расширение сферы применения Закона. Если раньше таковая охватывала вопросы обработки персональных данных, то сейчас Закон касается всех правоотношений, связанных с персональными данными.
Множество вопросов, адресованных г-ну Мервинскому, сводилось к тому, что именно нужно относить к понятию «персональные данные». Ответ Главы ГСЗПД был достаточно неожиданным и вызвал бурное обсуждение, поскольку к персональным данным докладчик предложил относить буквально всё, что касается физического лица. Представители лидирующей в Украине независимой юридической компании Arzinger, Лада Шелковникова и Александр Плотников, принимавшие участие в обсуждении, парировали такое широкое толкование прямой нормой Закона о том, что к данной категории нужно относить только сведения, с помощью которых можно непосредственно идентифицировать лицо. Однако компромисса в данном вопросе найти не удалось, поэтому единственной ценностью для присутствующих оказались лишь приобретенные знания о позиции Службы и эксклюзивные комментарии специалистов из компании Arzinger о специфике работы с базами персональных данных в гостиничной сфере. Правда, думается, что позиция судов не будет столь категоричной, но это, среди прочего, зависит и от качества работы юристов, представляющих позицию бизнеса.
Г-н Мервинский также предложил свой «рецепт» того, как избежать нарушений законодательства о персональных данных и не попасть под довольно солидные штрафы (за некоторые виды нарушений размер штрафа достигает 17 000 гривен). Для этого необходимо поставить себя на место потенциального «жалобщика» - того физлица, персональные данные которого обрабатываются. Детально проследить весь путь персональных данных в вашей организации: кто проводит сбор, регистрацию, обработку, хранение и т.д. Под каждый из этапов необходимо прописать четкую инструкцию, с которой под роспись ознакомить ответственных работников. Все эти действия, а также разработка инструкций поможет в случае возникновения необходимости (при утечке персональных данных, например) снять вину с руководителя, поскольку он обеспечил функционирование системы обработки в соответствии с законом.
Кроме того, на Комитете был затронут технический аспект работы с персональными данными. Согласно ст. 5 Закона «О защите персональных данных» персональные данные относятся к информации с ограниченным доступом. Такая информация обрабатывается и хранится либо в картотеках, либо в автоматизированных системах. И если к картотекам жестких требований нет, то автоматизированным системам законодательство уделяет много внимания.
Так, согласно Закону «О защите информации в информационно-телекоммуникационных системах» информация с ограниченным доступом должна обрабатываться в системах с применением комплексной защиты с подтвержденным соответствием. Таким подтверждением может быть сертификат соответствия или положительное экспертное заключение государственной экспертизы. В этой части заседания Комитета опять стало жарко, но на этот раз не от дискуссий, а от того, что на сегодняшний день процедура сертификации каждой такой системы обойдется в несколько десятков тысяч гривен. Далеко не для всех присутствующих такая сумма показалась приемлемой.
В целом, обсуждение оказалось продуктивным и познавательным. Большинство участников Комитета финансов и права заполнили пробелы в вопросах персональных данных, сделав соответствующие выводы об организации работы с персональными данными на своем предприятии. Очевидно, что практика только формируется, и время внесет свои коррективы, особенно когда за дело возьмутся суды.