четвер, 13 січня 2011 р.

Защита ПД, теперь в Украине

Вчера с ящика забрал счёт на оплату комунальных услуг. Счёт выглядит почти как обычно, вот только вмессто фамилии плательщика пустой прямоугольник, а снизу приписка:
УВАГА!
В зв'язку з набранням чинності ЗУ 'Про захист персональних даних' №2297-VI прізвище та ініціали заповнюються ВЛАСНОРУЧНО.

Вообще вопрос фамилии на этом счёте тоже интересный: сотрудник задал вполне резонный вопрос "а зачем она там вообще?". И вправду, зачем? Зачисление денег то всё-равно делается по номеру лицевого счёта. Ну да ладно.
Как-то так совпало что закон этот я читал буквально за день до этого. Вообще закон есть на сайте ВР, так что любой желающий может с ним ознакомиться. И есть там некоторые интересные моменты.
  • Прежде всего интересно узнать кто писал этот закон и где он нашел такое удивительное слово как "володілець"
  • По закону персональными данными является информация и личности, которая конкретно идентифицирована или может быть идентифицирована. А так как никакой анонимности на самом деле нет (вы не знали???), то персональными данными можно назвать практически любую информацию, кроме, разве что, совсем общих вещей типа роста да веса. А уж адрес страницы на одноглазиках это однозначно персональные данные!
  • Очевидно так же что телефонная книжка в мобилке является базой персональных данных. К счастью в законе явно упоминается что ПД, собранные частным лицом исключительно для личных и бытовых нужд, под этот закон не попадают. Так что можете спокойно искать в своей мобилке контакты знакомых и звонить им. Но только по личным и бытовым нуждам! А если надо по работе? А нельзя! Нет, нету никакой процедуры, просто нельзя: по закону владельцем базы, которая используется в иных целях, могут быть органы государственной власти, фирмы и частные предприниматели. Просто физическое лицо не может быть владельцем такой базы.
  • Владелец базы обязан поддерживать данные в базе в актуальном состоянии. Зачем он это должен делать в случаях, когда ему эти данные подходят и так, и как он это должен делать, в законе, естественно, не написано (но вполне возможно что будет написано в других нормативных документах, которые будут позже). Вариант "в исторических целях" не проходит: в исторических целях можно использовать только обезличенные данные.
  • Само собой база должна регистрироваться в неком едином реестре. Само собой органы государственной власти (а уж тем более в целях оперативно-разыскных мероприятий и противодействия терроризму) имеют право на доступ ко всем этим базам.
Ну а теперь плюшки.
  • ПД претендента или занимающего избирательную должность или госслужащего первой категории по этому закону не является информацией с ограниченным доступом. Правда это не мешает ограничить доступ к этим данным согласно каким-нибудь другим законам ...
  • Я имею право на бесплатное получение всей информации, которая содержится в любой базе ПД, просто по своему личному запросу. Я имею право просто запросить "а если ли в вашей базе информация обо мне?" Как-то обосновывать подобные запросы я не обязан.
  • Я имею право требовать удаления моих ПД из базы. Это уже нужно мотивировать, но судя по закону это будет не сложно (я не давал согласия на использование моих данных в таких целях, использование моих ПД в таких то целях без моего согласия не разрешено)
  • Меня обязаны письменно уведомлять о внесении моих ПД в базу
Вообще на самом деле пока что это всё только разговоры: закон есть, но нормативно-правовой базы под него еще нет, и на неё разработу выделено полгода (так что появится через годик). Но вот когда появится...
Но зато по получению очередной СМС-ки со спамом можно будет смело слать запрос тем, кого рекламируют, на тему "сообщите есть ли в вашей базе информация обо мне, какая именно информация есть, каким способом получена, с какой целью используется" и потом слать "удалите нах".

3 коментарі:

Анонім сказав...

относительно обновления - нам написано "в случае необходимости"

но вообще закон забавный. мозги у авторов включались частично

мне интересно, как теперь быть с ведомостями и журналами контроля успеваемости в университетах. не говоря уже о вещах типа размещения в инете списков студентов с результатами контрольных, как это делаю я :)
также интересно по поводу научных исследований - это ж наши базы нужно теперь регистрировать, а данные обязательно обезличивать. раньше мы просто обещали хранить и не разглашать, а теперь не канает

Анонім сказав...

кстати, телефонная книга в мобилке это не обязательно БПД - можно ж пиать "Вася1", "Петя (поставщик)" и т.п. )))
а вот коллекция визиток - БПД :)

levsha сказав...

Там написано что владелец должен поддерживать базу в актуальном состоянии. Где-то в самых первых статьях.
С размещением в интернете никак: даже если ты попросишь студентов в конце контрольных написать "разрешаю размещать" то это всё-равно не поможет: он может дать тебе право на размещение и обработку его ПД, но при этом ПД всё-равно остаются информацией с ограниченным доступом.
По научным исследованиям насколько я понял данные обязательно должны обезличиваться, после чего база уже перестает быть базой ПД (так как установить личность уже нет возможности), а значит не попадает под действие этого закона.
С телефонной книгой не всё так просто. По текущему описанию в законе "Петя (поставщик)" + номер телефона вполне даже позволят идентифицировать личность, а значит можно считать ПД. Но это, скорее всего, потом в подзаконных актах растолкуют.