Обработка персональных данных при IT-аутсорсинге
О Законе «О защите персональных данных» (Закон), вступившем в силу в начале этого года, было сказано и написано уже достаточно много. Его «визитной карточкой» уже успели стать нечеткое и размытое определение многих ключевых понятий, а также наложение непропорционально тяжелых обязательств на владельцев баз персональных данных.
Если коротко, то персональные данные (ПД) — это любая информация о физическом лице, которая позволяет это лицо идентифицировать, начиная от имени и номера паспорта и заканчивая IP адресом домашнего компьютера; базы ПД — это упорядоченная совокупность ПД (при чем, как в бумажной, так и в электронной форме); а владельцы баз ПД — это компании и предприниматели, фактически являющиеся первоначальными создателями и обладателями таких баз.
Таким образом, IT-аутсорсинговая компания, с которой может сотрудничать 1000 и более разработчиков, обладает очень обширной базой ПД. Причем в эту базу могут входить не только ПД специалистов, сотрудничающих с компанией на сегодняшний день, но и ПД бывших или потенциальных работников.
Каковы основные требования Закона к IT-аутсорсинговой компании, владеющей базой ПД?
- Получить документированное согласие у субъектов ПД (физических лиц) на обработку их ПД;
- направить субъектам ПД уведомления о включении в базу ПД, а также о некоторых других действиях с ПД в базе;
- следить за соответствием обработки ПД законодательству и условиям согласия субъекта ПД (особенно это важно при передаче ПД за границу, что нередко имеет место в IT-аутсорсинговых компаниях);
- зарегистрировать базы ПД в Государственной службе по вопросам защиты ПД (www.zpd.gov.ua).
На первый взгляд, по сравнению с налоговыми проблемами, обеспечением работы офиса или борьбой с нелицензионным софтом в рядах сотрудников, эти требования выглядят смешными. Однако с 1 января 2012 года вступает в силу закон, ужесточающий ответственность за нарушение законодательства в сфере защиты ПД. В частности, за обработку ПД физического лица без согласия ответственные лица в компании могут быть привлечены к уголовной ответственности, не говоря уже об административных санкциях за менее серьезные нарушения.
Легко ли все это выполнить?
В силу неоднозначности украинского законодательства, наиболее надежным способом «документирования» согласия является получение его в письменной форме. Получение согласия в электронной форме, в принципе, возможно, однако сопряжено с рядом рисков, включая невозможность доказать получение такого согласия в украинском суде.
Кроме того, согласно Закону, компания, получив, скажем, согласие на обработку данных у 1000 физических лиц, затем обязана направить всем им письменные (!) уведомления о включении их ПД в базу, а также периодически сообщать о дальнейших действиях с этими данными.
Все это требует ощутимых временных и финансовых затрат.
При всем этом, нельзя исключить, что этот процесс не пойдет гладко. Айтишники — люди независимые, и от них вполне можно ожидать отказа от подписания стандартного шаблона согласия, который, как правило, разрабатывается для указанных целей (и это несмотря на то, что все их ПД раньше довольно активно обрабатывались безо всяких на то согласий). Соответственно, дополнительных ресурсов могут потребовать переговоры с «несогласными» и разработка индивидуальных форм.
Более того, получение согласия у бывших работников, чьи ПД по каким-либо причинам должны храниться в компании, может быть в принципе невозможным. То же самое нередко касается ПД потенциальных работников, расстаться с которыми зачастую не готовы HR-специалисты.
Вместо выводов
Законодательство в сфере защиты персональных данных вызвало неоднозначную реакцию у представителей бизнеса. Одни не относятся к нововведениям серьезно, придерживаясь мнения, что далеко не совершенные нормы нового законодательства никогда не заработают на практике. Другие стремятся как можно быстрее привести деятельность своей компании в соответствие с требованиями закона, оформляя письменные согласия, направляя уведомления и регистрируя базу ПД.
О том, какой из подходов более оправдан, можно будет судить после Нового года, а сейчас хотелось бы узнать у самих представителей IT-аутсорсинговых компаний, какие решения для себя приняли они? Как обрабатываются ПД на практике, и волнует ли кого-то на самом деле соблюдение требований законодательства о защите ПД в указанном контексте?
35 коментарів
Підписатись на коментаріВідписатись від коментарів Коментарі можуть залишати тільки користувачі з підтвердженими акаунтами.