Защита персональных данных на Украине: Практика и проблемы

Сегодня, спустя три года после принятия закона и два года активной деятельности Государственной службы Украины по вопросам защиты персональных данных, можно говорить об особенностях внедрения стандартов защиты персональных данных в Украине, о проблемах которые удалось решить, и о проблемах, которые предстоит еще решать.

В 2010 году Украиной была ратифицирована Конвенция Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 1981 года (Конвенция 108) и принят Закон Украины «О защите персональных данных». Функции уполномоченного органа по вопросам защиты персональных данных были возложены на вновь созданную Государственную службу Украины по вопросам защиты персональных данных.

Персональные данные. Закон определяет персональные данные как «сведения о физическом лице, которое идентифицировано или может быть конкретно идентифицировано». Чрезвычайно широкое определение персональных данных, по существу соответствующее определению ПД в Конвенции 108, вызвало большие сложности его восприятия всеми субъектами. Потребовалось время, практика применения законодательства и работа ГСЗПД по повышению осведомленности всех субъектов. ГСЗПД в своей деятельности использует рекомендации международных организаций по вопросам персональных данных, при подготовке позиции ГСЗПД по применению определения ПД в различных ситуациях использовался документ Рабочей группы ЕС, созданной в соответствии с Директивой 95/46/ЕС.

Сегодня большинство организаций, которые обрабатывают ПД, уверенно применяют широкое определение персональных данных. Мобильные операторы относятся к номеру мобильного телефона, даже если предоставляется предоплаченный сервис без договора, как к персональным данным. Интернет сервис-провайдеры в большинстве случаев относятся как к персональным данным не только к сведениям, полученным при заполнении анкет, но и к другим сведениям о пользователях, которые во многих случаях могут быть идентифицированными (например, к IP адресам, к сведениям о посещаемых страницах и т.п).

Защита персональных данных. Сложности для понимания вызвал пришедший к нам из Европы термин «защита персональных данных». В украинском законодательстве, как и в российском, традиционно используется термин «защита информации» для обозначения деятельности, направленной на обеспечение защищенного состояния объектов, в частности, информационных систем и средств. Этот термин ближе всего к «information security» или даже к «information technology security», используемых в англоязычных международных документах. Безусловно, «персональные данные» – это информация. Но «защита персональных данных» - это не составляющая «защиты информации». Ведь защита персональных данных имеет совсем другую природу и цели: не защищенное состояние объектов, а защищенное состояние субъектов, защита физических лиц в связи с автоматизированной обработкой их персональных данных, обеспечение права на невмешательство в частную жизнь в связи с обработкой персональных данных в автоматизированных системах.

Для защиты персональных данных важно обеспечить защиту информационной системы от несанкционированного доступа. Но это только одно из многих требований…

Материал полностью читайте в №7 (60) журнала «Персональные данные»

Электронное периодическое издание «Персональные данные» на данный момент является первым специализированным средством массовой информации, в котором на профессиональном уровне освещаются вопросы, связанные с различными аспектами обработки информации персонального характера о гражданах.

На страницах журнала читателям представлен достаточно обширный, разноплановый объем информации о нововведениях в законодательстве страны, об основных проблемах, существующих в области обработки, хранения и защиты персональных данных, о состоявшихся и готовящихся семинарах в этой области, раскрываются вопросы международного сотрудничества, а также затрагиваются проблемы информационной безопасности. Журнал дает возможность специалистам (операторам персональных данных) первыми познакомиться с информацией о мерах и средствах защиты персональных данных как технического, так и нетехнического характера, а гражданам (субъектам персональных данных) получить информацию о том, как они могут реализовать гарантированное российским законодательством право на защиту своих персональных данных.