Обработка персональных данных при IT-аутсорсинге

О Законе «О защите персональных данных» (Закон), вступившем в силу в начале этого года, было сказано и написано уже достаточно много. Его «визитной карточкой» уже успели стать нечеткое и размытое определение многих ключевых понятий, а также наложение непропорционально тяжелых обязательств на владельцев баз персональных данных.


© sparkieblues

Если коротко, то персональные данные (ПД) — это любая информация о физическом лице, которая позволяет это лицо идентифицировать, начиная от имени и номера паспорта и заканчивая IP адресом домашнего компьютера; базы ПД — это упорядоченная совокупность ПД (при чем, как в бумажной, так и в электронной форме); а владельцы баз ПД — это компании и предприниматели, фактически являющиеся первоначальными создателями и обладателями таких баз.

Таким образом, IT-аутсорсинговая компания, с которой может сотрудничать 1000 и более разработчиков, обладает очень обширной базой ПД. Причем в эту базу могут входить не только ПД специалистов, сотрудничающих с компанией на сегодняшний день, но и ПД бывших или потенциальных работников.

Каковы основные требования Закона к IT-аутсорсинговой компании, владеющей базой ПД?

  • Получить документированное согласие у субъектов ПД (физических лиц) на обработку их ПД;
  • направить субъектам ПД уведомления о включении в базу ПД, а также о некоторых других действиях с ПД в базе;
  • следить за соответствием обработки ПД законодательству и условиям согласия субъекта ПД (особенно это важно при передаче ПД за границу, что нередко имеет место в IT-аутсорсинговых компаниях);
  • зарегистрировать базы ПД в Государственной службе по вопросам защиты ПД (www.zpd.gov.ua).

На первый взгляд, по сравнению с налоговыми проблемами, обеспечением работы офиса или борьбой с нелицензионным софтом в рядах сотрудников, эти требования выглядят смешными. Однако с 1 января 2012 года вступает в силу закон, ужесточающий ответственность за нарушение законодательства в сфере защиты ПД. В частности, за обработку ПД физического лица без согласия ответственные лица в компании могут быть привлечены к уголовной ответственности, не говоря уже об административных санкциях за менее серьезные нарушения.

Легко ли все это выполнить?

В силу неоднозначности украинского законодательства, наиболее надежным способом «документирования» согласия является получение его в письменной форме. Получение согласия в электронной форме, в принципе, возможно, однако сопряжено с рядом рисков, включая невозможность доказать получение такого согласия в украинском суде.

Кроме того, согласно Закону, компания, получив, скажем, согласие на обработку данных у 1000 физических лиц, затем обязана направить всем им письменные (!) уведомления о включении их ПД в базу, а также периодически сообщать о дальнейших действиях с этими данными.

Все это требует ощутимых временных и финансовых затрат.

При всем этом, нельзя исключить, что этот процесс не пойдет гладко. Айтишники — люди независимые, и от них вполне можно ожидать отказа от подписания стандартного шаблона согласия, который, как правило, разрабатывается для указанных целей (и это несмотря на то, что все их ПД раньше довольно активно обрабатывались безо всяких на то согласий). Соответственно, дополнительных ресурсов могут потребовать переговоры с «несогласными» и разработка индивидуальных форм.

Более того, получение согласия у бывших работников, чьи ПД по каким-либо причинам должны храниться в компании, может быть в принципе невозможным. То же самое нередко касается ПД потенциальных работников, расстаться с которыми зачастую не готовы HR-специалисты.

Вместо выводов

Законодательство в сфере защиты персональных данных вызвало неоднозначную реакцию у представителей бизнеса. Одни не относятся к нововведениям серьезно, придерживаясь мнения, что далеко не совершенные нормы нового законодательства никогда не заработают на практике. Другие стремятся как можно быстрее привести деятельность своей компании в соответствие с требованиями закона, оформляя письменные согласия, направляя уведомления и регистрируя базу ПД.

О том, какой из подходов более оправдан, можно будет судить после Нового года, а сейчас хотелось бы узнать у самих представителей IT-аутсорсинговых компаний, какие решения для себя приняли они? Как обрабатываются ПД на практике, и волнует ли кого-то на самом деле соблюдение требований законодательства о защите ПД в указанном контексте?

Все про українське ІТ в телеграмі — підписуйтеся на канал DOU

LinkedIn



35 коментарів

Підписатись на коментаріВідписатись від коментарів Коментарі можуть залишати тільки користувачі з підтвердженими акаунтами.

А как быть мне если у меня в книге более 1000 адресатов насобиралось, с фамлиями, мейлами?

А как быть фрилансерам работающим с зарубежными заказчиками?
Да и что такое ПД для фрилансера одиночки? Я могу хоть сейчас удалить все пдфы договоров и выбросить в мусорку печатные версии и получится что никаких ПД я не храню.

И вообще насколько, сходя из закона, наше государство печется о персональных данных граждан других стран? Их тоже необходимо регистрировать?

То есть, исходя из закона, необходимо будет чтобы каждый владелец каждого интернет-ресурса (где есть авторизация) регистрировал БПД?

Подскажите, пожалуйста, что надо регистрировать и где, если я работаю без наемных на зарубежную компанию и все договора тут у меня с юрлицами, на интернет и офис?
Базу данных этих юрлиц-контрагентов? Эту, более чем публичную информацию?

И нужно ли будет получать согласия и заводить «базу» на гипотетического спд-субподрядчика, если таковой вдруг потребуется. Спасибо

Насколько я понял данные юр.лиц не нужно нигде регистрировать.

Только в тех случаях, если по договору то или иное юр.лицо представлено неким физическим (бухгалтер, директор такой-то и т.п.).

А вот как иностранных граждан регистрировать самого интересует.

Сегодня попросили подписать соглашение «Про сбор и обработку персональных данных», но там нету списка документов, которые я передаю. Нужно ли требовать наличия такого списка? А то получается что передаю непонятно что.

В принципе, список документов необязателен, но конкретизировать, какие именно ПД передаются, нужно. Можно их перечислить в самом тексте согласия (как-то: ФИО, адрес, телефон, номер паспорта, фото и т.д.).

Кстати, из сложившейся ситуации есть простой выход — технический. Не держать персональные данные у себя, а пользоваться. OpenId, OAuth, и прочими технологиями соц. сетей. Пусть наше правительство фейсбуку претензии выставляет и их попытается разводить на бабки. :)))

не проходит:

базы ПД — это упорядоченная совокупность ПД (при чем, как в бумажной, так и в электронной форме)

бумажное резюме на собеседовании у ХРа — и начинается ответственность...
а вдруг на собеседовании присутствует «сотрудник» — СПД — все — привет от третьих лиц...

Садить за бумажное резюме даже у нас не будут...:) Всё-таки Украина не Россия и не Белоруссия. Что касается баз персональных данных так их можно заоффшорить в соц сетях и на облачных серверах которые формально не связаны не с юридическим ни с физическим лицом. Нет тела — нет дела

Вряд ли таким образом можно будет уйти от ответственности за нарушение законодательства о ЗПД. Закон налагает основные обязательства на Владельца БПД, а он определен следующим образом:

«владелец базы персональных данных — физическое или юридическое лицо, которому законом или с согласия субъекта персональных данных предоставлено право на обработку ПД, который утверждает цель обработки ПД в базе данных, устанавливает состав этих данных и процедуры их обработки, если иное не определено законом;»

То есть, для того, чтобы быть владельцем в понимании закона, не обязательно иметь прямую связь с сервером, где хранится база.

Закон налагает основные обязательства на Владельца БПД

Ключевое слово — владелец БПД. Именно поэтому в законе предусмотрели регистрацию БПД. Доказать что вы есть владелец БПД можно или на основе регистрации оной или в результате оперативных мероприятий (маски шоу). Если вы используете Гуглевский профиль пользователя, то не вы являетесь владельцем БПД, а следовательно и не несёте ответственность. Владельцем БПД является Гугль и предоставляет он ваши ПД по нажатию вами кнопочки, что в штатах приравнивается с самоличному подписанию соглашения. Уже есть прецидент.

Владелец БПД действительно ключевое понятие, однако оно в законе достаточно четко определено (см. выше), и привязки к конкретному местонахождению базе данных (в Гугле, в Фейсбуке, на сервере в Индии и т.п.) в нем нет. Если Вы собираете ПД, самостоятельно получаете согласия на их обработку, а также определяете цель обработки ПД, не важно где Вы храните данные. В понимании закона Вы будете владельцем БД и вешать в таком случае ответственность за сбор персональных данных на Гугл было бы нелогично.

А о каком прецеденте идет речь?

Ну так я и говорил, что сбором занимается Гугль и согласие на обработку (передачу данных профиля) получает он, когда пользователь кнопочку нажимает.

Исходя из вашей логики — посадить можно любого по этому закону, если человек пошлёт кому-нибудь запись из своей телефонной книги со своего собственного телефона. :( Бред какой то. :(

Насчет прецидента: dshkvyra.blogspot.com/...8.html?spref=gb

Спасибо за интересный кейс. В принципе, он касается общего подхода к юридическому статусу электронной формы коммуникации, который в большинстве развитых стран уже давно приравнивается к статусу письменной коммуникации.

Что касается логики, так она не моя, а принятого закона, который логичным, к сожалению, назвать никак нельзя.

Кстати, закон не регулирует обработку персональных данных физическими лицами в личных целях, поэтому к пересылке контактов из личной телефонной книги его применить нельзя.

если компания берет людей на трудовую книгу, никакие оупенайди не прокатят. это бумажная+1с база данных, которая должна регистрироваться.

Сегодня читал о новшествах НБУ для платёжных систем... Вообще такое впечатления, что все законопроекты у на переводят на украинский переводчиком гугля. Наши депутаты просто берут новый российский закон, переводят и принимают его. Как и с этим законом, так и с кучей других мертворожденных путинских законов

По идее, «нет тела — нет дела», т.е. в отсутствие претензий от лиц, чьи данные хранятся/обрабатываются ненадлежащим образом, дело открывать не должны? Или я неправ?

Владельцам баз ПД следует помнить о том, что для них рисками являются как наши проверки, так и судебные иски граждан.

— рассказал заместитель главы Государственной службы по защите персональных данных Владимир Козак.

biz.liga.net/...w/EI110063.html

Судя по всему будет еще один повод, подобный логотипу Евро... С контрольной рассылкой резюме...

Из вариантов решения, с которыми я знаком из цивилизованных стран — централизованный прием резюме через сайт с соотв. дисклеймером. Однако это не решает проблемы

Получение согласия в электронной форме, в принципе, возможно, однако сопряжено с рядом рисков, включая невозможность доказать получение такого согласия в украинском суде

Когда мы стаффили польский офис, то во всех резюме, которые мне присылали на рассмотрение, была такая вот приписка:

Wyrażam zgodę na przetwarzanie moich danych osobowych zawartych w mojej ofercie pracy dla potrzeb niezbędnych do realizacji procesu rekrutacji (zgodnie z ustawa z dn. 29.08.97 roku o Ochronie Danych Osobowych Dz. Ust. nr 133 poz. 883)

Но у нас, да, может не прокатить.

На самом деле, это самое опасное последствие нечетких формулировок закона — возможность недобросовестно влиять на представителей бизнеса, при чем как со стороны контролирующих органов, так и со стороны самих субъектов персональных данных, так как придраться всегда будет к чему.

тут еще веселее: нпа никаких нет, ни по обработке данных, ни по оценке критериев риска, ни по порядку защиты. то есть закон принять — приняли, а как его осуществлять — а хз.

Тут есть решение. Например, получив такое резюме, можно отправит автоответ, что, мл, спасибо за резюме, но в соответствии с законом о защите ПД, мы не можем внести его в базу без Вашего на то письменного согласия, поэтому отправьте нам факсом письмо по форме и выслать шаблон. Те, кому интересно, чтобы его данные хранились и обрабатывались с целью последующего трудоустройства, может быть, сделают это. Цифровая подпись физлиз — это из области фантастики, поэтому нужно будет действовать такими дедовскими методами, во избежание неприятностей. Кто-то плевать хотел на этот закон с высокой горы, поэтому не будут заморачиваться. Но, поскольку речь возможной «контрольной закупке», то ухо держать востро нужно

«То же самое нередко касается ПД потенциальных работников, расстаться с которыми зачастую не готовы HR-специалисты. »

Телефон и е-мейл хранить тоже нельзя? Я не думаю что хр-ам нужны прямо паспортные данные потенциальных работников.

Телефон и е-мейл в совокупности с именем субъекта- тоже персональные данные, то есть формально согласия на их обработку получать нужно

Сайты по поиску работы с резюме, линкедин, вконтакте, мой мобильный телефон... все это напичкано такими данными, тут уж при желании можно кого хочешь прижать. С айти-компаниями как раз не вижу проблем — если удается большинство сотрудников склонить к регистрации СПД, то с чего бы отказываться от подписания разрешения. Неоднократно подписывал такое при оформление дисконтных карт в магазинах. ИМХО, проблема не там, проблема в нечетких формулировках и новых основаниях для выявления нарушений с нужными последствиями.

ЛинкедИн — не субъект украинского права. Рабочие сайты наши — возможно, нл пока они не решили для себя этот вопрос. Нужно объединять усилия и вносить ясность в закон

Какие санкции за нарушение?

С 1.01.2012 ответственность будет следующая:

Административная ответственность (за не уведомление субъектов или службы в предусмотренных законом случаях, за уклонение от регистрации баз данных) — штраф от 1700 до 17 000 грн.

Уголовная (за обработку без согласия) — Штраф от 8500 до 17 000 грн или исправительные работы до 2 лет, или арест до 6 месяцев, или ограничение свободы до 3 лет;

Те же действия, совершенные повторно или если наносится существенный вред (сейчас- вред в размере около 89 400 грн.): арест на 3 — 6 месяцев или ограничение свободы на 3 −5 лет, или лишение свободы на 3 — 5 лет.

Классно еще то, что «бабло» выплачивается государству, а тот человек, данные которого были использованы, не получит НИЧЕРТА.

Вообщем, моя гипотеза о том, что ЛЮБОЙ закон который принимается несет цель срубить как можно больше «бабла», с того кто еще как-то плавает в нашей стране, а не cуществует(живет) от получки до получки.

издревле так было. есть. и будет

я считаю, что проявить серьёзность в этом вопросе всё-же надо. Слишком дерзко выглядит госслужба по контролю за этими ПД

Підписатись на коментарі