Рекомендации по работе с персональными базами данных

Дмитрий ЙовдийВалентин Калашник

рекомендации по работе с адресными базами данных

Юридические аспекты при создании, обработке, отчуждении

Содержание

3 Ситуация в Украине

4 Список ключевых определений и сокращений

5 Выполнение требований законодательства о защите персональных данных при работе с адресными базами данных

5 Краткая характеристика Закона о защите ПД с точки зрения возможности ведения бизнеса

7 Получение согласия у субъекта персональных данных на обработку его данных

9 Форма согласия на обработку персональных данных11 Создание архива документальных подтверждений согласий

об использовании персональных данных12 Порядок использования номеров мобильных телефонов, адресов,

e-mail без указания информации, кому они принадлежат13 Обеспечение возможности отказа от обработки ПД,

внесения в них изменений 14 Как поступать в случае поступления претензии от лица

о незаконной обработке его данных?15 Регистрация базы персональных данных в государственном реестре.15 Осуществление письменного уведомления субъекта ПД

о включении его данных в базу ПД16 Принятие организационно-технических мер по обеспечению

конфиденциальности обрабатываемых персональных данных.16 Какие меры нужно предпринимать при покупке базы

персональных данных?

18 методология защиты прав на базу данных от неправомерного использования третьими лицами19 Статус базы данных как объекта права охраны авторского права:

проблемы, ограничивающие возможности защиты19 Документальное оформление базы данных на предприятии23 Включение в базу данных «контрольных адресов» как механизм

доказывания факта неправомерного использования базы данных24 Передача контрольных адресов на хранение

(депозитарий контрольных адресов)25 Процедура защиты авторского права на базу данных в случае нарушения.

Ответственность за неправомерное использование базы данных

28 Заключение

2

3

Ситуация в Украине

На сегодняшний день вряд кто-нибудь будет спорить с тем, что одним из наиболее важ-ных факторов, влияющих на успешность любого бизнеса, является информация и пра-вильное её применение. Высокую ценность для каждой компании составляют контакты деловых партнёров, клиентов, потенциальных потребителей, поставщиков и т.д. Многие компании тратят немалые финансовые и организационные ресурсы на поиск необхо-димой информации и её систематизацию в базы данных. Создание и торговля базами данных уже давно стала отдельной сферой бизнеса.

Вместе с тем нужно констатировать, что на сегодняшний день особой актуальности при-обретает юридическая сторона такой деятельности. По мнению авторов данной мето-дологии процесс работы с базами данных включает две юридические составляющие. Первый момент — это соответствие процедуры работы с базами данных требованиям законодательства Украины о защите персональных данных, а именно: Закону Украины «О защите персональных данных», принятого 01.06.2010 года, Закону Украины «О ратификации Конвенции о защите персональных данных в связи с автоматизирован-ной обработкой персональных данных и Дополнительного протокола к Конвенции о за-щите лиц в связи с автоматизированной обработкой персональных данных относительно органов надзора и трансграничных потоков данных» от 06.07.2010 года № 2438-VI. (оба закона вступают вступают в действие с 1 января 2011 года). Ведь 95 % баз данных — это адресные базы, содержащие информацию о людях (то есть персональные данные). Следовательно, практически любые операции с такими базами являются обработкой персональных данных, и подпадают под действие указанных Законов.

Второй момент — это обеспечение создателем базы данных возможности защиты ав-торских прав от неправомерного использования базы данных третьими лицами. Ведь копания может потратить массу ресурсов на сбор и систематизацию ценной информа-ции, а через некоторое время обнаружить, что такая база данных успешно продаётся на «Петровке». В такой ситуации определяющим является то обстоятельство, или принял создатель базы данных необходимые меры, делающие возможным защиту своих прав от неправомерных действий нарушителей.

В данной методологии авторами представлены практические рекомендации по работе с адресными базами данных при их создании, обработке, отчуждении учитывая два изложенных выше аспекта. При разработке данных рекомендаций не преследовалась цель провести детальный юридический анализ положений Закона, содержание не «на-пичкано» юридической терминологией и экспертными комментариями относительно положений Закона. Данная методология скорее будут полезными сотрудникам компа-ний — профессиональных обработчиков баз данных (маркетинговые агентства, дата-центры, колл-центры), а также для руководителей, маркетологов, менеджеров по прода-жам компаний, которые создают либо покупают адресные базы данных для внутреннего использования (банков, страховых компаний, FMCG компаний, сетей магазинов бытовой техники, автозаправочных станций, интернет-магазинов и любых компаний, поддер-живающих коммуникации с потребителями). Также методология может быть полезна юристам таких компаний.

Всту

плен

ие

4

Список ключевых определений и сокращений

персональные данные (далее «ПД») — сведения или совокупность сведений о физиче-ском лице, которое идентифицировано или может быть конкретно идентифицировано (статья 2 Закона Украины «О защите персональных данных» от 01. 06. 2010 года № 2297-VI);

обработка персональных данных (далее — «обработка ПД») — любое действие или совокупность действий, осуществленных полностью или частично в информационной (автоматизированной) системе и/или в картотеках персональных данных, которые свя-заны с сбором, регистрацией, накоплением, хранением, адаптированием, изменением, возобновлением, использованием и распространением (распространением, реализаци-ей, передачей), обезличиванием, уничтожением сведений о физическом лице (статья 2 Закона Украины «О защите персональных данных» от 01. 06. 2010 года № 2297-VI);

Субъект персональных данных (далее — «субъект ПД» или «физическое лицо» или «лицо») — физическое лицо, относительно которого в соответствии с законом осущест-вляется обработка его персональных данных (статья 2 Закона Украины «О защите пер-сональных данных» от 01. 06. 2010 года № 2297-VI);

база персональных данных (далее — «база ПД») — именуемая совокупность упорядо-ченных персональных данных в электронной форме и/или в форме картотек персональ-ных данных (статья 2 Закона Украины «О защите персональных данных» от 01. 06. 2010 года № 2297-VI);

Согласие субъекта персональных данных (далее — «согласие субъекта ПД» или «согла-сие лица» или «согласие») — любое документируемое, в частности письменное, добро-вольное волеизъявление физического лица относительно предоставления разрешению на обработку его персональных данных в соответствии с сформулированной целью их обработки (статья 2 Закона Украины «О защите персональных данных» от 01. 06. 2010 года № 2297-VI);

база данных — совокупность произведений, данных или любой другой независимой ин-формации в произвольной форме, в том числе — электронной, подбор и расположение составных частей которой и ее упорядочивание является результатом творческого тру-да, и составляющие части которой являются доступными индивидуально и могут быть найдены за помощью специальной поисковой системы на основе электронных средств (компьютера) или других средств (абзац 3 ч. 1 ст. 1 Закона Украины «Об авторском праве и смежных правах» от 23. 12.1993, № 3792-XII).

Адресная база данных — структурированный массив информации, содержащий полно-стью либо частично сведения о физических лицах (авт.);

«Закон о защите пД» — Закон Украины «О защите персональных данных» от 01.06.2010 года № 2297-VI.

1

5

2Выполнение требований законодательства о защите персональных данных при работе с адресными базами данных

2.1. Краткая характеристика Закона о защите ПД с точки зрения возможности ведения бизнеса.

Как упомянуто выше, 1 июня 2010 года принят Закон Украины «О защите персональных данных» № 2297-VI. Уже сейчас можно утверждать, что в принятой редакции Закон уста-навливает серьёзные затруднения любому бизнесу, ряд норм и вовсе являются невыпол-нимыми. Ниже подана характеристика его основных его проблемных моментов.

Неоправданная всеохватываемость Закона. Закон вводит толкование определения «персональные данные», в соответствии с которым под действие Закона подпадает лю-бая общественная или коммерческая деятельность. «Базой персональных данных» при-знается любой массив информации, который содержит элементы персональных данных. В частности, базой персональных данных признается картотека в виде бумажных доку-ментов — таким образом, под регулирование подпадают даже такие повседневные опе-рации, как заключение и выполнения любых гражданско-правовых договоров, которые в той или иной мере содержат персональные данные. По Закону все владельцы базы персональных данных должны зарегистрировать все имеющиеся в них базы персональных данных в специальном государственном реестре. Сегодня база персональных данных есть у каждого предпринимателя Украины (а в не-которых организациях их количество будет измеряться сотнями единиц — почтовые службы, операторы телекоммуникаций, датацентры, банки, страховые компании и тому подобное). Это значит, что должна быть создана очень разветвленная система, с офисом в каждом городе. За расчетами специалистов, в этом реестре должно быть зарегистри-ровано больше 3 млн. записей. По объему этот реестр быстро превысит объем ЕГРПОУ. Финансирование проведения работ, связанных с регистрацией и контролем, предусма-тривается, в том числе, за счет предпринимателей, при этом пользу от существования такого реестра не получит ни государство, ни ее граждане.

Отсутствие разграничения персональных данных на «идентифицирующие» и «уязвимые». В соответствии с европейскими стандартами, персональные данные разделяются на данные общего характера (фамилия, имя, отчество, дата и место рождения, граждан-ство, местожительство) и уязвимые персональные данные (данные о состоянии здоро-вья — история болезни и диагнозы, этническая принадлежность, отношение к религии; кредитная история, идентификационные коды и тому подобное). В соответствии с евро-пейскими стандартами, именно к уязвимым данным относится запрет сбора, хранения, использования и распространения их без согласия субъекта данных. В Законе, который вступает в силу, это относится ко всем без исключения персональным данным, что фак-тически парализует развитие бизнеса во многих направлениях.

2. Выполнение требований законодательства о защите персональных данных.

6

Неоправданно широкие полномочия контролирующего органа. По Закону, представите-ли Государственной службы по вопросам защиты персональных данных (создание кото-рой предусмотрено Указом Президента Украины от 09. 12. 2010 года) имеют право бес-препятственно входить в любое помещение, где обрабатываются персональные данные (при условии современного распространения компьютеров, базы персональных данных есть в каждом офисе), что является равнозначными праву на проведение обыска, ко-торое до сих пор имели лишь правоохранительные органы. Уполномоченному органу дано право проверять состояние защиты персональных данных и накладывать предпи-сания и наказания на владельцев баз персональных данных. В данном контексте важно отметить, что в Верховной Раде зарегистрирован проект Закона, которым предусматри-вается установление уголовной и административной ответственности за нарушение за-конодательства в сфере персональных данных (№ 7355 от 11. 11. 2010 года). При этом воз-можность наказания в большинстве случаев не связывается с фактом нарушения прав конкретного гражданина — субъекта персональных данных. Это значит, что наказание может быть наложено при формальном поводе, например, невыполнения владельцем базы ПД любых технических или организационных требований, установленных уполно-моченным органом. Во многих европейских странах соответствующий орган не имеет права беспрепятственного доступа к помещениям, где обрабатываются персональные данные. В украинских реалиях такие права контролирующего органа станут питатель-ной средой для коррупции, но не приведут к защите прав граждан.

Двойное получение согласия от субъектов персональных данных. Напрасным, но чрез-вычайно расходным для владельца базы персональных данных является требование со-общать гражданам — субъектам персональных данных «исключительно в письменной форме» о его правах, целях сбора персональных данных, лиц, которым его персональ-ные данные будут передаваться. Сообщить нужно в течение десяти рабочих дней со дня включения его персональных данных в базу. Такое требование является нелогичным, по-скольку внесение в базу персональных данных и так становится возможным только по получении документируемого согласия субъектов персональных данных.

Злоупотребление субъектов ПД. Закон дает субъекту персональных данных право требо-вать удаления его персональных данных из базы персональных данных по формальным причинам (ошибка в данных). Таким образом, граждане могут избегать ответственности по заключенным ими гражданско-правовым договорам. Например, недобросовестные заемщики могут требовать у кредиторов удаления их персональных данных и, таким об-разом, избегать ответственности за полученными кредитами.

Невозможность выполнения Закона без принятия подзаконных нормативно-правовых актов. Закон вступает в силу уже первого января 2011 года. Очевидно, что надлежащее функционирование Закона возможно лишь после принятия ряда нормативно-правовых актов, которые разъясняли бы нормы Закона и устанавливали механизм его выполне-ния. Отсутствие таких нормативных актов делает Закон непонятным как для участников общественных правоотношений, так и для самого контролирующего органа. К тому же, такие обстоятельства будут способствовать коррупции, ведь у контролирующего органа появится возможность привлекать предпринимателей к ответственности за невыполне-ние требований уже действующего Закона, которые без принятия необходимых норма-тивно-правовых актов выполнить невозможно.


7

2.2. Получение согласия у субъекта персональных данных на обработку его данных.

В соответствии с положениями Закона о защите ПД какая-либо обработка ПД (опреде-ление термина «обработка ПД» см. в разделе 1.1) допускается только после получения однозначного согласия субъекта ПД на обработку данных, и в соответствии с целью об-работки данных, заявленной при получении такого согласия (ч.1 ст. 11 Закона).

Таким образом, компаниям при сборе ПД нужно будет получать согласие от субъектов персональных данных в каждом конкретном случае. Точнее, требование по получению согласия содержалось в законодательстве Украины и до принятия Закона о защите ПД. Так, согласно Конституции Украины, Закону Украины «Об информации» использование информации о лице допускается только с согласия такого лица. Но при этом, в виду пол-ного отсутствия механизма реализации данного положения, данные нормы носили лишь формальный характер, и мало кто на практике задумывался о необходимости соблюде-ния законности при сборе персональных данных. Очевидно, после вступления в силу Закона и других подзаконных актов, а также после создания уполномоченного органа в сфере защиты персональных данных, ситуация измениться, и данные правоотношения будут жёстко контролироваться государством.

Кроме того, при получении согласия на обработку данных лицом должна быть чётко обозначена цель обработки ПД, и ПД могут обрабатываться только в соответствии за-явленной целью. Следовательно, если компания начнёт обрабатывать ПД с другой це-лью, нежели заявленной при получении согласия, нужно получить повторное согласие у субъекта ПД на обработку его данных уже с новой целью.

При этом стоит отметить, что в ряде европейских стран постепенно начинают отказывать-ся от жёсткой «привязки» к конкретной цели обработки. Ведь цель обработки в процессе может видоизменяться, и получая первичное согласие, невозможно предусмотреть все возможные варианты. Вместе с тем, формальные предписания Закона в текущей редак-ции обязывают использовать ПД только в соответствии с заявленной целью обработки, что компании и должны учитывать при сборе ПД. Например, указав целью обработки пер-сональных данных лишь исполнение заказа, после осуществления доставки и получения оплаты, компания будет обязана уничтожить полученные ПД (согласно с п. 2 ч. 2 ст. 15 За-кона). Однако, если будет указано, к примеру, «обработку заказа, поддержание долгосроч-ного сотрудничества, информирование о специальных предложениях и рассылку реклам-ных материалов», то ПД могут храниться и после исполнения конкретного заказа.

Получение согласия может осуществляться разными способами. В независимости от спо-соба компания должна быть заинтересована в том, что бы полученное от лица согласие лица было надлежащим образом оформлено на документальном носителе (об этом под-робней в разделе 2.3) однозначным, чётко сформулированным, и главное, позволяло в дальнейшем обрабатывать персональные данные в маркетинговых и коммерческих целях.

Для разрешения такой задачи рекомендуем компаниям использовать на специальную формулировку о добровольной передаче клиентом своих персональных данных и раз-решение на любые операции с ПД, делающими возможным их дальнейшее исполь-зование в маркетинговых и коммерческих целях. Формулировки могут быть разные


8

в зависимости от обстоятельств, при которых собираются данные. Для этого рекоменду-ем при сборе персональных данных использовать формулировки в текстах носителей, используемых при передаче данных. В зависимости от обстоятельств, при которых со-бирают ПД, можно использовать разные варианты носителей и формулировок:

Пример 1. Компания собирает персональные данные при выдаче дисконтных карт по-купателям. Надпись на анкете, заполняемая участником при сборе данных:«Я добровольно передаю указанные в анкете персональные данные компании (название компании) для получения дисконтно-накопительной карты, а также с целью поддержания долгосрочного сотрудничества с компанией. При этом даю согласие на использование моих персональных данных для обработки заказов на покупку товаров (услуг) компании (её связанных лиц, коммерческих партнёров), получения рекламных и специальных предложений, а также помещение моих персональных данных в базу данных, неограни-ченное во времени хранение данных.»

Пример 2. Компания собирает данные при регистрации участников розыгрыша, акции. Надпись на анкете участника:«Я добровольно передаю указанные в анкете персональные данные компании (название компании) для регистрации в качестве участника розыгрыша, который состоится (дата) по адресу: (адрес). Также даю согласие на использование моих персональных данных для получения от компании (её связанных лиц, коммерческих партнёров) рекламных и специальных предложений, информационных материалов, а также на помещение моих данных в базу данных, неограниченное во времени хранение данных…».

Пример 3. Компания дистанционной торговли продаёт товары по каталогу. Надпись на расходной накладной о передаче товара:«Я добровольно передаю компании (название компании) указанные в данном документе персональные данные для обработки заказа на покупку товара. Также даю согласие на получение от компании рекламных и специальных предложений, информационных ма-териалов…».

Пример 4. Интернет-магазин либо другая компания осуществляет сбор персональных данных через интернет путём заполнения клиентами on-line анкет на сайте компании, и использует в дальнейшем собранные персональные данные для рассылок рекламных предложений. Формулировка на отправляемом рекламном материале (либо в тексте ре-кламного сообщения по e-mail):«Для отправки этого материала использованы персональные данные получателя, добро-вольно предоставленные последним компании (название компании) путем регистрации на сайте (адрес сайта)»

В случае, если компания проводит разного рода программы лояльности, и размещает на своем корпоративном сайте правила участия в программе, целесообразно включать туда пункты о порядке обработки ПД, ну и естественно положение о том, что став участ-ником программы, клиент в полном объеме соглашается с условиями программы.

Кроме того, в соответствии с Законом лицо в любой момент вправе отказаться от даль-нейшей обработки его ПД. С целью выполнения данного требования Закона, компаниям целесообразно при использовании ПД клиентов уведомлять последних о праве отказа от использования их персональных данных, а также обеспечить клиентам возможность


9

осуществить такой отказ в любой удобный для них способ (к слову, такая практика хоро-шо распространена в большинстве европейских стран). Для этого во всех перечислен-ных выше вариантах формулировок стоит добавлять соответствующую фразу.

Пример: «Получатель в любое время может запретить либо ограничить обработку его персональных данных путём заполнения соответствующей анкеты на официальном сай-те компании либо по телефону (номер телефона)».

2.3. Форма согласия на обработку персональных данных.

Законом не установлено обязательной письменной формы согласия субъекта ПД на об-работку его ПД. В соответствии со статьей 1 Закона, таким согласием может являться какое-либо документированное волеизъявление физического лица на обработку его данных (то есть, не только письменное, а любое документированное). При этом Закон не разъясняет термина «документированное согласие». Вместе с тем, согласно Закону Украины «Об информации» документом является материальная форма получения, хра-нения, использования и распространения информации путём фиксации ёё на бумаге, магнитной, кино-, видео-, фотоплёнке либо на другом носителе. Исходя из данного опре-деления, компании могут использовать следующие формы получения согласия (в зави-симости от характера деятельности и обстоятельств, при которых собираются ПД);

а) анкета, заявка, купон на заказ товара, на регистрацию в акции, расходная накладная на передачу товара (разумеется, с применением формулировок, приведенных в разделе 2.2 и подписи лица, передавшего свои персональные данные). Это оптимальный вариант с точки зрения возможных рисков, так как в данном случае фиксация будет на бумажном носителе;

б) аудиозапись телефонного разговора с лицом, в ходе которого данное лицо предостав-ляет свои ПД, и даёт согласие на их использование с определённой целью. Такую форму фиксации согласия можно использовать в случае сбора ПД путём телемаркетинга. Также это допустимо в случае интернет-магазинов, компаний дистанционной торговли, когда покупатель осуществляет заказ товара по телефону, оставляя при этом необходимые для оформления заказа ПД. Также это допустимо в случае, когда потенциальные потребите-ли звонят на горячую линию компании и оставляют свои данные, к примеру, с целью по-лучения рекламной информации от компании либо для участия в акции. В таких случаях в ходе разговора нужно в обязательном порядке уведомить лицо, что осуществляется аудиозапись, и получить от такого лица однозначный ответ, что он согласен на обработ-ку предоставленных им ПД.

в) полученное e-mail сообщение от лица на обработку его ПД. Такая форма фиксации может использоваться интернет-магазинами либо компаниями, осуществляющими сбор данных путём on-line регистрации потребителей на своём сайте. Полученное e-mail сообщение содержится на материальных носителях (сервере компании получателя и сервере компании, обслуживающей хостинг), и, следовательно, может являться доку-ментированной формой согласия. При выборе данного способа (равно как и преды-дущего), нужно тщательно технически продумать процедуру коммуникации с субъек-тами ПД. Ведь как упомянуто ранее, e-mail сообщение не является доказательством в судебном процессе, поэтому использование ПД на основании таких e-mail регистраций несет определённые риски, связанные со злоупотреблениями недобросовестных лиц.


10

К тому же, при желании такое лицо сможет сослаться на то, что не отправляло сообще-ния, а указанный e-mail не имеет к данному лицу никакого отношения. Ведь технически невозможно идентифицировать отправителя (за исключением тех редких случаев, ког-да отправка сообщения осуществлялась с корпоративного сайта — там ещё могут быть «зацепки»). В связи с этим нужно понимать, что использование данного способа фикса-ции должно сопровождаться применением других мер, которые смогут «подстраховать» компанию в случае вопроса о правомерности использования ПД. К примеру, если недо-бросовестный покупатель имеет претензии к интернет-магазину о неправомерной об-работке его ПД (и при этом отрицает, что давал согласие на использование его данных), нужно отыскать расходную накладную, подтверждающую факт покупки товара данным покупателем. Этот факт может сыграть положительную роль в судебном споре, так как будет доказан факт покупки товара, которая была бы невозможной без предоставления покупателем своих ПД. Также при сборе данных таким способом, в обязательном по-рядке должна обеспечиваться возможность лицам отказаться от обработки их персо-нальных данных (подробней — см. в разделе 2.6). В судебном споре компания сможет сослаться на то, что от лица не поступало требования о прекращении обработки его ПД.

Исходя из приведённого выше очевидно, что при сборе ПД через e-mail на сегодняшний день не существует способа, который даст 100 % гарантию и доказательства подтверж-дения согласия. Но это не означает, что использовать этот способ не нужно. Ведь отправ-ляя рекламу именно тем, кто оставил свои ПД таким способом, компания, во-первых, вы-полняет требования Закона, и во-вторых, минимизирует случаи возможных претензий (ведь у таких клиентов вряд ли возникнет желание жаловаться на неправомерное ис-пользование их ПД). г) полученное от субъекта ПД sms-сообщение с подтверждением о возможности ис-пользования его ПД. Такой способ может использоваться в случае, когда компания осуществляет сбор ПД путём рассылки sms сообщений либо просто осуществляет sms-маркетинг. Важно добавить, что на данный момент сложно спрогнозировать, будет ли подзаконными актами предусмотрена возможность осуществлять сбор ПД с помощью sms-сообщений, и если да, то какие требования и ограничения будут установлены для данного способа фиксации. Пока же нужно исходить из существующих норм законода-тельства, а именно Закона Украины «О защите персональных данных», Закона Украины «Об информации»: поскольку sms-сообщение содержится на соответствующем матери-альном носителе (а именно, на сервере мобильного оператора), согласие, данное в та-кой форме, отвечает определению «документированное согласие». Подчёркиваем, что компания, которая намерена осуществлять сбор данных таким способом, должна тща-тельно продумать технологическую процедуру сбора данных (обеспечить возможность фиксации содержания sms, полученных от субъектов ПД, номера, номера, с которого была осуществлена отправка и дата отправки). Пояснения в данном случае аналогичны тем, что указаны в подпункте «в».


11

2.4. Создание архива документальных подтверждений согласий об использовании персональных данных.

Хотя в Законе и не содержится положения об обязанности компаний хранить доказа-тельства получения согласия лица на обработку его персональных данных (как, к при-меру, это сделано в России), очевидно, что в случае поступления претензии от субъекта ПД (вероятней всего недобросовестного), компания будет обязана предоставить до-казательства получения согласия на использование ПД такого лица уполномоченному органу или суду. Следовательно, для избежания рисков претензий о неправомерной об-работке ПД, компаниям необходимо обеспечить хранение документальных подтверж-дений получения согласий по каждому клиенту.

Для этого рекомендуем создать в компании архив документальных подтверждений, ко-торыми клиент дал согласие на использование его данных с возможностью постоянного пополнения данных (внесения изменений), и быстрого поиска нужного документа. Как и упоминалось выше, такими подтверждениями могут служить заполненные анкеты для по-лучения дисконтной карты, заявки на регистрацию участника акции, розыгрыша, купоны на заказ товара, подписанные заявителями, с формулировкой о добровольной передаче своих персональных данных для их дальнейшей обработки в рекламных и коммерческих целях. Необходимость поиска соответствующего документа возникнет исключительно в случае претензии со стороны клиента о неправомерном использовании его данных либо в случае соответствующего запроса уполномоченного органа или суда.

Один из ключевых вопросов, который компании необходимо решить, это в каком виде вести архив этих документальных подтверждений. В данной ситуации допустимыми яв-ляются два варианта:

Вариант 1: хранить документы в оригинале (то есть в бумажном виде).При хранении документов в бумажном виде (с живой подписью лица) у компании будут все гарантии и доказательства надлежащего получения согласия, что в полной мере убережет компанию от рисков привлечения к ответственности за неправомерную обработку ПД.

Но с другой стороны, данный способ имеет существенный минус. Используя его, компа-ния должна нести существенные финансовые и организационные затраты. По предвари-тельным подсчётам документы-подтверждения по базе данных, состоящей, к примеру, из 1 млн. позиций, физически будут занимать около тридцати стандартных стеллажных паллет. Не стоит добавлять, сколько ресурсов будет уходить на упорядочение и обслу-живание данного архива.

Вариант 2: хранить документы в электронном виде (сканкопии).При этом собранные документы передаются оператору, который сканирует анкеты, и за-носит сканкопии электронный реестр. Оригиналы анкет при этом уничтожаются. Оче-видно, такой способ позволит значительно оптимизировать расходы на хранение. Да и в организационном плане значительно проще вести систематизированный реестр элек-тронных документов, чем бумажных.

В то же время, в соответствии с законодательством Украины и сложившейся судеб-ной практикой, электронные версии документов на сегодняшней день не признаются


12

доказательством в суде. Поэтому в случае спора есть вероятность, что сканкопия не бу-дет признана надлежащим доказательством получения согласия (касается случаев, если недобросовестный клиент будет отрицать, что этоон заполнял данный документ и ста-вил подпись).

Компания самостоятельно должна выбрать удобный для неё способ хранения подтверж-дений исходя из индивидуальных особенностей ее деятельности, взвесив приведённые выше аргументы и риски. К примеру, если речь идёт о базе персональных данных клиен-тов - владельцев дисконтных карт либо участников бонусных программ (особенно, если правила участия в таких программах регламентированы и размещены на сайте с указа-нием о возможности использования ПД заявителей), вполне допустимым будет хранение документальных подтверждений в электронном виде. Ведь даже в случае непризнания недобросовестным клиентом факта, что он ставил подпись в анкете при регистрации, у компании будет достаточно других доказательств использования ПД такого клиента на законных основаниях, то есть с согласия клиента). Это могут, к примеру, быть: факт нали-чия у клиента дисконтной карты, предыдущие покупки клиента, правила, размещённые на сайте (без ознакомления с которыми клиент не мог получить дисконтную карту) и т.д. Соответственно, в таком случае риски уменьшаются.

Многие компании уже начали применять бумажный архив. Некоторые из них практику-ют смешанную форму: ведут систематизированный электронный реестр документов, и вместе с тем параллельно хранят оригиналы документов, отсортированные только по дате передачи документа в архив. В случае необходимости на основании данных, поме-щённых в электронный реестр, по дате находится бумажная версия нужного документа.

Как вариант, эти документы также могут быть переданы полностью либо частично на хранение в архив либо адвокату, таким образом избавив компанию от операционной загруженности.

2.5. Порядок использования номеров мобильных телефонов, адресов, e-mail без указания информации, кому они принадлежат.

Стоит уделить дополнительное внимание вопросу, является ли персональными данны-ми номер мобильного телефона без указания фамилии и имени его владельца либо дру-гой информации, позволяющей идентифицировать данное лицо (следовательно, являет-ся ли база данных, состоящая исключительно из номеров мобильных телефонов, базой персональных данных).

Анализ приведённых в Законе о защите ПД определений «персональные данные», «база персональных данных» дают основания сделать вывод, что отдельно взятые номер мо-бильного телефона, домашний адрес либо e-mail адрес не являются ПД, поскольку не содержат информации, необходимой для идентификации конкретного лица — владель-ца данного номера, адреса, e-mail. Следовательно, обработка баз данных e-mail адресов, мобильных номеров, домашних адресов для рассылок рекламных предложений (без получения согласия их владельцев) не будет являться нарушением законодательства о защите персональных данных.


13

Вместе с тем нужно понимать, что такие действия являются предметом регулирова-ния других сфер законодательства. Так, несанкционированная e-mail рассылка (СПАМ) может быть квалифицирована как преступление в сфере использования электронно-исчислительных машин (компьютеров) в соответствии со ст. 363-1 Уголовного кодекса Украины. Указанной статьей предусмотрена ответственность за умышленное массовое распространение сообщений электросвязи, осуществленное без предварительного со-гласия адресатов, если это привело к нарушению либо прекращению работы электро-исчислительной машины (компьютера). Кроме того, рассылка рекламы потенциальному потребителю без его согласия может быть квалифицирована как агрессивная предпри-нимательская практика (которая проявляется в форме надоедания ненадлежащего вли-яния на потребителя), Такие действия являются нарушением в соответствии с частью 4 статьи 19 Закона Украины «О защите прав потребителей».

Не лишним будет также упомянуть о том, совершая рекламные рассылки по мобильным номерам без предварительного согласия лица, компания нарушает Кодекс мобильного маркетинга, утверждённый при Украинской ассоциации директ маркетинга. Указанный кодекс хоть и не имеет юридической силы, но подписан основными мобильными опера-торами Украины с целью создания цивилизованных правил на рынке, и играет важную роль в регулировании отношений между участниками рынка. Есть основания полагать, что подобные правила спустя некоторое время найдут отображение и в законодатель-стве Украины. Можно с точностью утверждать, что такая необходимость назревает.

Учитывая описанное выше, рекомендуем компаниям очень взвешено использовать та-кой инструмент, как массовая рассылка рекламы через sms, на почтовый и электронный адрес. В любом случае нужно понимать, что такие действия, если и не подпадают под ре-гулирование законодательства о защите персональных данных в Украине, в то же время являются предметом регламентации нормативно-правовых актов в других сферах.

2.6. Обеспечение возможности отказа от обработки ПД, внесения в них изменений.

В соответствии с п. 1 ч. 1 ст. 11 Закона о защите ПД физическое лицо при предоставле-нии согласия на обработку его данных может установить запрет (ограничение) на такую обработку. В прочем, такое ограничение может быть установлено в любое время, а не только в момент предоставления согласия. На выполнение данной нормы Закона реко-мендуем компаниям обеспечить механизм, при котором клиенты могут в любое время внести изменения в свои ПД либо отказаться от их дальнейшей обработки тем или иным способом. Для этого рекомендуем использовать специальные формы анкет, с помощью которых осуществляются изменения. На выбор компании анкеты о прекращении (огра-ничении) обработки либо внесении изменений в ПД могут подаваться клиентами путём заполнения на сайте компании, по телефону «горячей» линии либо вбрасываться в спе-циально отведённый для этого ящик в магазинах компании.

Если от клиента поступила анкета об ограничении обработки данных (или их измене-нии), ответственный сотрудник компании сканирует документ и вносит соответствую-щие изменения в базу ПД. При этом по умолчанию предусматривается, что если от кли-ента не поступило анкеты либо волеизъявления другим способом, последний согласен


14

на любую обработку предоставленных ним ПД в полном объёме. Следовательно, все возможные риски в случае, если от субъекта ПД не пришло соответствующее уведомле-ние, возлагаются на этого субъекта ПД.

Стоит дополнительно почеркнуть, что целесообразность создания механизма отказа от обработки ПД обусловлена не только необходимостью выполнения требований Закона о защите ПД. Такой механизм позволит компании построить коммуникации с клиентами с учётом их индивидуальных пожеланий (например, если клиент компании не желает, что бы ему звонили с рекламными предложениями на мобильный номер либо направля-ли sms, — у него будет возможность отказаться от этого). Такой механизм уменьшит ко-личество недовольных, и, соответственно, снизит количество потенциальных претензий и судебных тяжб, связанных с обработкой ПД.

2.7. Как поступать в случае поступления претензии от лица о незаконной обработке его данных?

В случае поступления претензии к компании от субъекта ПД прежде всего нужно:

а) найти в архиве данных документальное подтверждение согласия данного лица на об-работку его данных;

б) выяснить, в чём именно заключается претензия лица (ему не нравится, что ему на по-чту приходит реклама; надоедают звонки; возможно, неправильно указано его имя или фамилия; либо данное лицо прямо обвиняет компанию в том, что последняя нарушила его права, использовав его персональные данные без предварительного согласия);

в) понять, какую цель преследует субъект ПД, обращаясь к компании с претензией (это может быть требование полностью либо частично прекратить обработку его ПД, изме-нить недостоверные данные, исключить его ПД с базы).

В случае, если у компании есть документальное подтверждение получения согласия, нужно его просто предъявить. Если подтверждения согласия нет, нужно поискать альтернативные доказательства, которые хотя бы косвенно подтверждают, что такое согласие действитель-но предоставлялось. Например, - компания осуществляет сбор ПД покупателей, которым выдаются дисконтные карты на покупку товаров компании. При этом дисконтная карта выдаётся покупателю с целью получения клиентом скидок на товары при последующих покупках. Исходя из этого можно утверждать, что покупатель, получив добровольно дис-контную карту (понимая, что с помощью этой карты он может покупать товар и получать скидку), дал этим согласие на использование его ПД с целью совершения дальнейших поку-пок. Ведь понятно, что без обработки персональных данных, продажа в данном случае не-возможна. Таким образом, факт самого наличия у клиента дисконтной карты даст компании возможность (даже без наличия анкеты либо специальной формулировки на дисконтной карте) обрабатывать ПД этих клиентов (в т.ч. хранить их данные в базе) с целью продажи им товаров. В таком случае с «натяжкой» можно также обосновать, что получив от компа-нии дисконтную карту, покупатель дал согласие на использование его ПД для отправки ему рекламных и информационных материалов компании. Ведь получая дисконтную карточку, клиент косвенно демонстрирует свое желание получать информацию о товарах компании.


15

Вне зависимости от ситуации, целесообразно урегулировать вопрос с жалобщиком мир-ным путём: извиниться за беспокойство, сославшись на ошибку, и предложить исправить ситуацию исходя из требований субъекта ПД (исключить его персональные данные из базы, не звонить ему на домашний номер и т.д.). Если же конфликт не удаётся урегулировать мирным путём, и «пострадавшее» лицо все же обратилось с иском в суд (либо с жалобой в уполномоченный орган), и будет доказан факт, что данное лицо не давало согласия на обработку его ПД, то компании не избежать привлечения к административной ответствен-ности её должностных лиц. Настоит напомнить, что на данный момент в Верховной Раде за-регистрирован проект Закона, которым предусматривается установление уголовной и ад-министративной ответственности за нарушение законодательства в сфере персональных данных (№ 7355 от 11.11.2010 года). Принятие данного Закона — это вопрос времени. При этом возможность наказания в большинстве случаев связывается не с фактом нарушения прав конкретного гражданина, а с формальным нарушением порядка обработки ПД.

Вместе с тем, для взыскания с компании серьёзной денежной компенсации в судебном по-рядке, такому лицу нужно будет привести веские аргументы, свидетельствующие о том, что неправомерное использование его ПД действительно нанесло ему существенных физиче-ских или моральных страданий. Это будет сделать очень сложно, ведь едва ли обработка «адресных» ПД, используемых, к примеру, при маркетинговой рассылке или звонке с ре-кламной целью, способно нанести серьёзного вреда человеку, как это может случится при неправомерной обработке «уязвимых» ПД (данные о болезнях человека, кредитная история и т.д.). К слову, на сегодняшний день в Украине отсутствует практика (и не известно, через сколько десятилетий появится), как, к примеру, в США, когда за наименьшее нарушение сво-их прав, гражданин может добиться взыскания миллионных компенсаций с «нарушителя».

2.8. Регистрация базы персональных данных в государственном реестре.

Законом о защите ПД предусмотрено создание Государственного реестра баз персональ-ных данных с обязательным требованием к владельцам баз ПД по регистрации всех баз в данном реестре (статья 9 Закона). Это означает, что практически всем компаниям (а особен-но «профессиональным обработчикам ПД») нужно будет регистрировать в государствен-ном реестре каждую базу, содержащую ПД. Сложно даже представить, каким образом будет реализовываться на практике данная норма Закона. Уже сейчас очевидно, что без утверж-дения подзаконного нормативно-правового акта, регламентирующего порядок работы гос. реестра, эти требования являются невыполнимыми. Кроме того, возможно, данная норма претерпит изменений и реестр баз персональных данных будет заменён на реестр владель-цев баз персональных данных. В связи с этим до принятия соответствующего нормативно-правового нет смысла давать какие-либо рекомендации относительно регистрации баз ПД.

2.9. Осуществление письменного уведомления субъекта ПД о включении его данных в базу ПД

Весьма затруднительной и затратной для компаний является норма Закона об обяза-тельном уведомлении физического лица о включении его ПД в базу ПД (ч. 2 ст. 12 Закона о защите ПД). При этом данное уведомление должно осуществляться исключительно в письменной форме на протяжении 10 рабочих дней со дня включения ПД лица в базу.


16

Абсолютно очевидно, что данное положение Закона является весьма непоследователь-ным, ведь любая обработка ПД и так становится возможной только после получения со-гласия субъекта ПД, и какой смысл дважды согласовывать с лицом обработку его ПД?

Исходя из соображений здравого смысла (как минимум до принятия соответствующего подзаконного акта) рекомендуем компаниям осуществлять такое уведомление лишь в тех случаях, когда в базу ПД помещаются данные того лица, не дававшего ранее согласия на обработку его ПД, либо если предполагаемая цель обработки ПД существенно отли-чается от той, на которую давалось согласие.

2.10. Принятие организационно-технических мер по обеспечению конфиденциальности обрабатываемых персональных данных.

С целью усовершенствования системы контроля и защиты ПД на предприятии, компа-ниям следует назначить должностное лицо, ответственное за обработку ПД, возложив на такое лицо полномочия и ответственность за процедуру обработки ПД (особенно актуальным это мера является для крупных компания, базы персональных данных ко-торых насчитывают сотни тысяч позиций). Хоть Закон о защите ПД и не содержит подоб-ного требования (вполне возможно оно появится в подзаконном нормативно-правовом акте), в европейских странах это широко распространенная практика.

Также целесообразно предусмотреть в компании положение о процедуре обработки ПД, включить сведения о собранных ПД в перечень сведений, которые являются ком-мерческой тайной.

Законом о защите ПД также установлено, что цель обработки ПД должна быть сформули-рована в уставных документах владельца базы персональных данных (ч. 1 ст. 6 Закона). Таким образом, рекомендуем компаниям уже сейчас позаботиться над внесением в свои уставы пунктов о обработке ПД с указанием целей такой обработки. Вернее, вносить из-менения в действующие уставы компаний только из-за этого не стоит, но при регистра-ции новых юридических лиц либо при внесении других изменений в устав, параллельно нужно включать и пункт об обработке персональных данных.

2.11. Какие меры нужно предпринимать при покупке базы персональных данных?

Исходя из приведённой выше информации с целью обеспечения законности будущего использования приобретаемой базы ПД, компании перед покупкой базы ПД нужно про-вести аудит приобретаемой базы, в частности, получить ответы на следующие вопросы:

а) убедиться, получены ли согласия содержащихся в базе субъектов ПД на обработку их данных;б) определить, для какой цели субъектами ПД передавалось согласие на обработку ПД;

в) выяснить, не запрещено ли условиями согласия право передачи ПД третьим лицам.


17

В случае, если проверка указанной информации является невозможной или трудновы-полнимой ввиду большого объёма базы (к примеру, если она насчитывает тысячи или десятки тысяч позиций), целесообразно хотя бы выборочно проверить несколько пози-ций для создания общей картины о законности сбора ПД компанией-продавцом.

К слову, правовой аудит приобретаемой базы ПД нужен не только для проверки леги-тимности сбора содержащихся в ней ПД, а также для подтверждения того, что продавец при отчуждении базы данных не нарушает чьих-либо авторских на данную базу данных (более подробно об этом в разделе 3).

Кроме того, оформлять покупку такой базы ПД следует исключительно на основании до-говора. При этом это должен быть не договор купли-продажи самой базы данных, а дого-вор о передачи права на использование информации. Выбор конкретной юридической формы договора стоит осуществлять исходя из индивидуальных целей покупателя, но в любом случае в такой договор целесообразно включить пункты о следующем:

а) продавец гарантирует законность сбора всех персональных данных, и по требованию покупателя обязуется предоставить копию документа, подтверждающего согласие субъ-екта персональных данных;

б) продавец обязуется выступить на стороне покупателя в случае поступления претен-зий (исков, жалоб в уполномоченный орган) от субъектов ПД о неправомерном исполь-зовании их ПД, а также компенсировать последнему все убытки (штрафы), взысканные последнего в результате таких претензий.

Разумеется, указанные положения договора не снимают ответственности с покупателя за неправомерное использование полученных ПД (если это будет иметь место). Но вме-сте с тем, это позволяет разделить риски с продавцом. Кроме того, настаивание на вклю-чение в договор таких пунктов как минимум дадут возможность компании - покупателю проверить поведение продавца по этому поводу, на основании чего сделать вывод о степени «проблемных моментов» в передаваемой базе, и на основании этого уже при-нимать решение, покупать или не покупать.

Нельзя не отметить тот факт, что на сегодняшний день едва ли найдётся база данных, собранная на законных основаниях, и хотя бы частично отвечающая требованиям За-кона Украины «О защите персональных данных» (особенно учитывая то, что до принятия Закона мало кто задумывался о необходимости законности сбора ПД). К сожалению, ры-нок Украины еще не отошёл от практики массового использования баз данных, приоб-ретённых на «Петровке» или в интернете за 100 долларов без всяких договоров. И даже в случае, когда приобретаемая база персональных данных сформирована на законных ос-нованиях (и тому есть все юридические подтверждения), стоимость такой базы данных будет гораздо выше. И всегда останется соблазн купить ту, что хоть и не совсем «чистая», но дешевая. Но при этом следует помнить, что в связи со вступлением в силу Закона Украины «О защите персональных данных» дальнейшее использование такой базы бу-дет нести существенные финансовые риски для компании. К тому же, покупка таких баз будет только поощрять поведение недобросовестных продавцов, и уж точно не будет способствовать развитию нормальных цивилизованных отношений на рынке.


18

3методология защиты прав на базу данных от неправомерного использования третьими лицами

3.1. Статус базы данных как объекта права охраны авторского права: проблемы, ограничивающие возможности защиты.

Обеспечение создателем базы данных возможности защиты авторских прав на создан-ную им базу данных от неправомерного использования третьими лицами является не менее актуальной проблемой, чем вопросы, связанные с защитой персональных дан-ных. Ведь копания может потратить массу ресурсов на сбор и систематизацию ценной информации в базе данных, а через некоторое время обнаружить, что эта же база данных успешно продаётся в ларьке или магазине. В такой ситуации определяющим является то обстоятельство, или создатель базы данных применил необходимые меры, делающие возможным защиту своих прав от неправомерных действий нарушителей.

Несмотря на то, что законодательством Украины база данных и предусмотрена как са-мостоятельный объект авторского права, на сегодняшний день практически отсутствует законодательный механизм защиты авторского права на такой объект от незаконного использования третьими лицами. К сожалению, на сегодняшний день едва ли найдётся судебное решение которым правообладателю удалось защитить свои права на базу дан-ных либо получить компенсацию за ее неправомерное использование третьими лицами. Такой ситуации способствуют две причины. Первая — это наличие жестких ограничений относительно содержания базы данных, которые мешают признать ее объектом право-вой защиты как объекта авторского права. Вторая заключается в том, что очень слож-но доказать, что массив информации, собранный в базе данных, является результатом именно интеллектуального труда сотрудников именно вашей компании. Ведь лицо, ис-пользующее эту же базу данных, может сослаться на то, что такая информация (адреса клиентов, их ФИО, номера телефонов) собрана ним самостоятельно.

Стоит отметить, в соответствии с положением п. 4 ч. 1 ст. 8 Закона Украины «Об автор-ском праве и смежных правах» база данных есть объектом правовой охраны авторского права. Вместе с тем, анализ положений Закона Украины «Об авторском праве и смежных правах» даёт возможность сделать вывод, что защита базы данных распространяется не на защиту самой информации (данных), которую она содержит, а именно на совокуп-ность данных, объединённых по единому принципу, критерию. Другими словами, защи-щается не сама информация, собрана в отдельных позициях, а лишь способ содержа-щихся там данных. Такой вывод исходит из положения абзаца 4 части 1 статьи 19 Закона Украины «Об авторском праве и смежных правах», которая гласит, что правовая охрана баз данных не распространяется на сами базы данных или информацию, и не задевает любое авторское право, которое относиться к самим данным или информацию, которая содержится в базе данных.

3. Методология защиты прав на базу данных.

19

Еще одна сложность заключается в том, что не все базы данных подлежат правовой ох-ране как объект авторского права. Так, соответственно с пунктом «е» ч. 1 ст. 10 Зако-на Украины «Об авторском праве и смежных правах» не являются объектом правовой охраны расписание движения транспортных средств, расписание телерадиопередач, телефонные справочники и др. аналогичные базы данных, т.е. базы данных, которые не отвечают критериям оригинальности.

Понятие оригинальности в данном случае весьма относительное и неопределённое. Согласно с научным подходом можно предположить, что понятие оригинальность как условие правовой охраны базы данных в качестве объекта правовой охраны предпо-лагает наличие одного из следующих условий:

• использование творческих усилий при создании БД;

• специфический критерий отбора данных;

• эксклюзивность (уникальность) информации.

При этом нужно констатировать, что 95 % баз данных на рынке являют собой примитив-ные списки информации, и, соответственно, ни о какой оригинальности речь идти не может. Соответственно, такие базы данных не подпадают под защиту, предусмотренную Законом Украины «Об авторском праве и смежных правах», и их создатели лишены воз-можности защитить массив информации как объект авторского права от неправомерно-го использования третьими лицами.

3.2. Документальное оформление базы данных на предприятии.

Несмотря на то, что возможности создателя базы данных относительно защиты своих интеллектуальных прав в соответствии с законодательством существенно ограничены, варианты все-таки имеются. Для этого нужно, прежде всего, правильно оформить до-кументально базу данных на предприятии, и принять ряд юридических и организацион-ных мер, описанных в этом и следующих разделах.

Шаг 1 (обязательный). Оформление базы данных как объект авторского права в форме служебного произведения.

Рассмотрим коротко права, которые принадлежат авторам баз данных. В соответствии с Законом Украины «Об авторском праве и смежным правам» такие права подразделяют-ся на две категории: личные неимущественные права и имущественные права. Первая категория прав является неотчуждаемой (то есть данные права нельзя передавать даже по договору) и включает в себя: право авторства — право считаться автором базы дан-ных, право на имя — право определять форму указания имени автора в программе или базе данных (под своим именем, псевдонимом или анонимно) и, наконец, право на не-прикосновенность (целостность) — право на защиту самой базы данных и ее названия от всякого рода искажений или иных посягательств, способных нанести ущерб чести и до-стоинству автора. Вторая категория прав — права имущественные. Именно их передают на основе так называемых лицензионных договоров. Обладатель имущественных прав


20

имеет исключительное право на использование произведения, а также на разрешение или запрет использования произведения (воспроизведение, публичное исполнение или оповещение, демонстрация или показ, копирование, передача в имущественный найм).

Наиболее распространенным является случай, когда база данных создаётся в компании сотрудником (коллективом сотрудников) в рамках выполнения последними трудовых обязанностей. Как и описано выше первичным субъектом, которому принадлежит ав-торское право, является автор произведения (то есть, физическое лицо, непосредствен-но создавшее базу данных). Для того, что бы компания-разработчик получила право на базу данных, данную базу данных нужно оформить как служебное произведение. Что та-кое «служебное произведение»? Согласно со ст. 16 Закона Украины «Об авторском праве и смежных правах» служебным произведением является произведение, созданное авто-ром в порядке выполнения служебных обязанностей согласно служебному заданию или трудовому договору (контракту) между ним и работодателем. Важно понимать, как закон разделяет право на служебное произведение между исполнителем (работником) и заказ-чиком (компанией). Сотруднику принадлежит авторское неимущественное право на слу-жебное произведение, и оно является неотчуждаемым (ст. 16 Закона «Об авторском праве и смежных правах»). То есть, создавая служебное произведение, он считается автором, но не волен распоряжаться своим произведением по собственному усмотрению. Исключи-тельное имущественное право на служебное произведение принадлежит компании-ра-ботодателю, если иное не предусмотрено трудовым договором, между автором и компа-нией-работодателем либо гражданско-правовым договором между данными сторонами.

Таким образом, для получения исключительных имущественных прав компанией, на которой создана база данных, рекомендуем компаниям оформлять создаваемые базы данных как служебное произведение. Это можно осуществить заключением трудового договора с сотрудником, в соответствии с которым сотрудник по заданию работодателя обязуется создавать информационный продукт, а компания-работодатель осуществляет оплату этой работы. Каждую созданную базу целесообразно оформлять в виде приложе-ний к договору с описаний технических параметров, количества полей, иной информа-ции, с помощью которой ее можно идентифицировать. При этом рекомендуем включать в договор положение о том, что все имущественные права на произведение момента создания произведения принадлежат исключительно компании-работодателю.

Также оформление базы данных можно фиксировать приказом по предприятию, в соот-ветствии с которым сотруднику поручается осуществить поиск информации и система-тизировать её в виде базы данных. После создания базы компания принимает от сотруд-ника результат работ по акту приёма-передачи.

Настоятельно рекомендуем компаниям не пренебрегать необходимостью правильного доку-ментального оформления баз данных. Ведь в противном случае юридически компания не при-обретает прав собственника, следовательно, у нее нет полномочий отчуждать либо другим способом распоряжаться этим продуктом. Более того, при таких обстоятельствах уволивший-ся через определённое время сотрудник сможет утверждать, что именно ему принадлежат права на спорную базу данных (либо все базы данных на предприятии), так как он, например, создал его вне своих служебных обязанностей в свободное от работы время. Если такой со-трудник еще и не полениться зарегистрировать авторские права на такую базу данных, си-туация для компании и вовсе может стать критичной (особенно это касается тех компаний, которые осуществляют создание и торговлю базами данных на профессиональной основе).


21

Шаг 2 (не обязательный, но желательный). Регистрация авторских прав на базу данных.

Стоит подчеркнуть, что юридически авторское право на базу данных возникает с момен-та ее создания, и не требует специальной регистрации либо каких либо дополнительных действий со стороны автора как, скажем, торговая марка, или изобретение. Регистрация осуществляется исключительно по желанию правообладателя, и не прибавляет ей ника-кого правотворческого значения. Но, с другой стороны, регистрация способствует защите авторских прав в случае возникновения конфликтных ситуаций. Ведь факт регистрации может отыграть ключевую роль при судебном споре об авторстве на данный интеллекту-альный продукт в случае его незаконного использования. При этом государственная ре-гистрация произведения является официальным уведомлением общественности о нали-чии авторских прав. В соответствии с Постановлением Кабинета Министров Украины от 27.12.2001 года № 175 «О государственной регистрации авторского права и договоров, которые касаются права автора на произведение» такое уведомление осуществляется путём публикации соответствующих сведений в официальном Бюллетене и Каталоге го-сударственных регистраций. В подтверждение авторских прав правообладатель получа-ет свидетельство, которое выдаётся Государственным департаментом интеллектуальной собственности, подведомственного Министерству образования и Науки Украины. Ины-ми словами, наличие свидетельства о регистрации, факт публикации сведений о реги-страции является свидетельством того, что произведение охраняется авторским правом, и что все третьи лица предупреждены об ответственности за неправомерное и его ис-пользование (и, соответственно, подтверждением того, что лицо, нарушившее авторское право, знала или должна была знать о совершенном ним правонарушении).

Шаг 3 (обязательный). Придание информации, содержащейся в базе данных статуса коммерческой тайны. Оформление документов.

Как и описано в разделе 3.1, сама по себе информация, содержащаяся в базе данных, не яв-ляется объектом авторского права (защищается лишь совокупность данных). Вместе с тем, обеспечение возможности защиты содержащейся в базе информации от неправомерного использования третьими лицами, компании — правообладателю нужно придать такой ин-формации статус коммерческой тайны, что в соответствии с Гражданским кодексом Украи-ны является самостоятельным объектом интеллектуальной собственности. Принципиаль-но значимым в данном случае будет тот факт, что информация (в данном случае массив сведений, помещенный в базу данных) как коммерческая тайна является самостоятельным объектом правовой охраны и её защита не требует от правообладателя никаких дополни-тельных мер (кроме, разумеется, надлежащего документального оформления).

Что нужно сделать для присвоения базе данных статуса коммерческой тайны? Анализ положений Гражданского кодекса Украины, регулирующих положения о коммерческой тайне, свидетельствует, что информация может быть коммерческой тайной при наличии следующих условий в совокупности:

• правомерное обладание лицом информацией;

• конфиденциальность этой информации в том понимании, что она в целом или в опре-деленной форме и совокупности ее составляющих является неизвестной и не является легкодоступной для лиц, которые обычно имеют дело с видом информации, к которому она принадлежит;


22

• коммерческая ценность информации, которая связана с ее конфиденциальностью;

• защищенность информации, то есть употребление лицом, которое правомерно владеет информацией, адекватных существующим обстоятельствам мер относительно сохране-ния ее конфиденциальности.

Учитывая указанные выше требования, с целью присвоения базе данных статуса ком-мерческой тайны, рекомендуем компаниям осуществлять следующий комплекс мер:

• надлежащим образом документально оформить базу данных в компании, что бы иметь бесспорные доказательства правомерного владения базой данных. Это можно офор-мить как служебное произведение (в случае если база данных создана сотрудниками компании); либо договором (если база данных приобретена у другого субъекта);

• зафиксировать положения о коммерческой ценности информации в учредительных до-кументах, других внутренних документах, регламентирующих деятельность компании;

• утвердить на предприятии Положение о коммерческой тайне, где прописывается, что базы данных этого предприятия и информация, которая в них имеется, составляют ком-мерческую тайну (прописав по возможности перечень баз данных, которые являются коммерческой тайной);

• брать письменные обязательства о неразглашении коммерческой тайны от сотрудни-ков, имеющих доступ к базам данных;

• в случае передачи в пользование прав на использование собственной базы данных дру-гим лицам либо передачи базы данных подрядчику (к примеру, для выполнения услуг по рассылке писем или телемаркетингу) — обязательно оформлять передачу базы данных с заключением договора о конфиденциальности . В договоре нужно указывать, что база данных является коммерческой тайной, а также прописать четкие условия и перечень действий, которые вправе осуществлять сторона, которой передаётся база данных. Например, договором можно закрепить обязательства клиента соблюдать режим пол-ной конфиденциальности относительно переданной ему информации, содержащей-ся в базе данных, не раскрывать переданную информацию любым третьим лицам без специального разрешения правообладателя, принимать меры к сохранению такой ин-формации в режиме секретности всеми работниками клиента, имеющих к ней доступ. Разумеется, в договоре должен содержаться пункт о штрафных санкциях в случае не-правомерного использования информации.

Таким образом, осуществив указанные выше действия, компания — правообладатель создаёт условия для «двойной» защиты созданной нею базы данных, которая будет яв-ляться одновременно объектом авторского права и коммерческой тайной предприятия. Этот комплекс мер является необходимым со стороны правообладателей для надлежа-щей защиты права на базу данных от неправомерного использования третьими лицами.


23

3.3. Включение в базу данных «контрольных адресов» как механизм доказывания факта неправомерного использования базы данных.

Нужно понимать, что принятие компанией перечисленных выше мер необходимо, но не-достаточно для защиты своих прав. Правильное юридическое оформление базы данных не будет иметь смысла, если во время судебного процесса компания-правообладатель не сумеет доказать, что именно она является создателем базы, которая является предметом спора. Наибольшая сложность как раз и заключается в доказывании своего авторства.

В такой ситуации как нельзя кстати может быть применена практика включения в базу данных «контрольных адресов». Её суть заключается в следующем: компании сознатель-но нужно включить в созданную нею базу данных (в данном случае речь идёт об адрес-ной базе данных) несколько заведомо неправильных позиций:

Вариант 1: включить в базу так званые «адреса-фантомы» — реально существующие адреса с вымышленным (несуществующим) именем адресата.

Пример: по ул. Братиславской 8, кв. 128 в г. Киеве проживает Мельников Александр Пе-трович. Создатель базы данных включает в базу данных позицию: Крутяков Олег Витали-евич, адрес г. Киев, ул. Братиславская, 8, кв. 128 (то есть другое лицо по тому же адресу);

Вариант 2: включить в базу «искаженные адреса» — реально существующие адреса с неправильными либо «перекрученными» личными данными адресата.

Пример: по ул. Е. Телиги, 6 кв. 25 в г. Киеве реально проживает Иванов Иван Иванович. Создатель базы данных включает в базу данных позицию: ИГанов Иван Иванович с адре-сом Киев, ул. Е. Телиги, 6 кв. 25

При этом адреса, используемые как контрольные, реально должны принадлежать ли-цам, которые заинтересованы помогать компании (например: сотрудники компании, их родственники и т.д.), и которые, в случае поступления писем, смогут передать их компа-нии. В случае, если на эти контрольные адреса начинают приходить письма от кого-либо, то, во-первых, это станет сигналом того, что база данных используется неправомерно как минимум лицом, которое обозначено на конверте как отправитель. Во-вторых, дан-ный данный факт (с наличием данных конвертов в качестве доказательства) поможет в суде доказать, что отправитель писем на данный адрес использует именно базу данных вашей компании.

Для того, что бы понять, в какой именно период времени база данных была «украдена» либо начала «неправомерно использоваться третьими лицами», рекомендуем, по мере наполнения базы новыми позициями добавлять новые или изменять существующие контрольные адреса.Необходимо подчеркнуть, что факт отправки писем на контрольные адреса каким-либо лицом, не свидетельствует, что именно это лицо «украло» или купило «укпаденную» базу данных. Вместе с тем, данный факт свидетельствует о том, что отправител писем как ми-нимум использует базу данных неправомерно (то есть без получения предварительного разрешения компании-правообладателя).


24

Принятие данных мер будет эффективным и сможет привести к положительному резуль-тату только в случае применения дополнительных мер, описанных в разделе 3.4.

3.4. Передача контрольных адресов на хранение (депозитарий контрольных адресов).

Наличие писем пришедших на контрольные адреса еще не доказывает факт нарушения. Для этого компания — правообладатель еще должна доказать факт, что эти контрольные адреса созданы именно ею и до момента поступления писем на такой адрес.

С такой целью рекомендуем компаниям свести список контрольных адресов в один до-кумент, и передать их на хранение, в результате чего фактически создаётся «депозитарий контрольных адресов». Депозитарий контрольных адресов является качественно новой моделью в сфере защиты прав на базу данных, и может являться основным инструментом механизма защиты. Ведь в случае возникновения спора конверт с переданным списком контрольных адресов вскрывается, и служит в суде суду либо в правоохранительных ор-ганах в качестве доказательства факта, что эти адреса были созданы именно компанией и именно в определённое время.

Кому можно передать на хранение контрольные адреса и как процедурно это может выглядеть?

Анализ норм действующего законодательства Украины свидетельствует, что передать на хранение документы можно нотариусу — на основании п.п. 16, 22 ч.1 ст. 34 Закона Укра-ины «О нотариате», адвокату — на основании ч. 1 ст. 10 Закона Украины «Об адвокатуре». К слову, системный анализ норм Закона Украины «Об информации» даёт возможность сделать вывод, что хранителем документации может выступать любое физическое или юридическое лицо разных форм собственности (хотя здесь не все так однозначно).

Считаем, что наиболее оптимальным вариантом является передача списка контрольных адресов на хранение нотариусу. Это объясняется тем, что процедура такой передачи чётко регламентирована законодательством. Так, разделом 35 Приказа Министерства юстиции Украины от 03.03.2004 N 20/5 «Об утверждении Инструкции о порядке совер-шения нотариальных действий нотариусами Украины» предусмотрено, что нотариус принимает на сохранение документ и удостоверяют время предъявления документов, а также он может исполнять иные действия которые не противоречат этому закону. При передаче документа нотариус обязан заверить время передачи документов и тем самым засвидетельствовать дату, время и само существование документа в определенный мо-мент. Документы принимаются на хранение с описанием. Документы принимаются по описи, которая составляется в двух экземплярах. В описании указываются: фамилия, имя и отчество лица, сдавшего документы, ее адрес, наименование документа, сдается на хранение, на чье имя выдан и кем, номер документа, дата его выдачи, срок хранения документа. О принятии документов на хранение нотариус выдает свидетельство по уста-новленной форме. Принятые на хранение документы вместе с описанием и экземпля-ром свидетельства кладутся в пакет и опечатываются.

Обращаем внимание, что нотариус принимает на хранение именно документ. Следова-


25

тельно, передаваемый компанией список контрольных адресов должен быть оформлен в виде документа со всеми необходимыми реквизитами (фирменный бланк предприятия, печать, подпись руководителя, исходящий номер и дата документа).

Если на контрольные адреса начинают приходить письма, компании следует заявить на отправителя писем в правоохранительные органы либо подать иск в суд (более подроб-но об этом в следующем разделе), и обратиться к нотариусу для получения переданного на хранение документа, вскрыть конверт, и сопоставить список указанных в документе контрольных адресов с адресами, на которые приходят письма. Также целесообразно обратить внимание на указанные на конверте адреса. Если имя адресата будет с ошибкой (аналогичной той, что сознательно допущена при формировании контрольного адреса), факт нарушения будет очевиден. Эти доказательства будут являться основополагающи-ми при установлении авторства и факта неправомерного использования базы данных.

3.5. Процедура защиты авторского права на базу данных в случае нарушения. Ответственность за неправомерное использование базы данных.

Куда обращаться? Какие действия следует предпринять компании, обнаружившей, что ее детище, на создание которой было затрачено множество времени, нахально продаёт-ся рынке «Петровка», а самой компании при этом ничего не платят, да и вообще — даже разрешения не спросили? В такой ситуации рекомендуем принимать меры, адекватные размеру убытков и поведению нарушителя. Вариантов реагирования существует не-сколько (степени адекватности изложены по возрастающей):

1. Предъявить претензию лицам, нарушающим авторские права, и потребовать либо прекратить нарушение, либо оформить отношения с компанией в порядке, установлен-ном законом (другими словами получить право распоряжения базой данных по догово-ру на оплатной основе).

2. Обратиться в Отдел по борьбе с экономическими преступлениями, на территории ко-торого допущено нарушение (именно этот орган уполномочен заниматься данной кате-горией дел). Далее сотрудники указанного правоохранительного органа должны разо-браться во всем сами и при необходимости возбудить уголовное дело. В этом случае компания, чьи права нарушены, должна всячески способствовать расследованию, и для того, что бы не получить формальную «отписку» (как это часто бывает) предоставлять все необходимые сведения и доказательства факта нарушения (в первую очередь предъ-явить список контрольных адресов, сформированный в соответствии с разделами 3.3, 3.4) и конверты, присланные на данные адреса с указанием отправителя. Благо статей на по-добный случай в уголовном кодексе припасено немало. Но скорее всего, в таком случае удовлетворение компании-правообладателя будет скорее моральным, и таким спосо-бом денежной компенсации не добиться.

3. Обратиться в Госдепартамент интеллектуальной собственности, заявлением о на-рушении Вашего авторского права. Проведение расследования данным ведомством регламентируется Постановлением КМУ от 17.05.2002 г. N 674. Если инспектор Госде-партамента выявит в деятельности нарушителя признаки состава преступления, дело передаётся органам внутренних дел для возбуждения уголовного дела.


26

4. Обратиться к Антимонопольному комитету Украины с жалобой о допущении недо-бросовестной конкуренции в деятельности нарушителя (имеет смысл, когда наруши-телем является юридическое лицо, а не простой торговец, продающий такую базу дан-ных на лотке). В соответствии с нормами Закона Украины «О защите недобросовестной конкуренции» обвинение в недобросовестной конкуренции может обосновываться фактом неправомерного сбора, разглашения, воспроизведения и использования объек-та интеллектуальной собственности. В соответствии с Законом Украины «Об Антимоно-польном комитете Украины» данный орган проводит расследование факта нарушения антимонопольного законодательства, проводит проверки, в отдельных случаях привле-кает органы внутренних дел Украины в расследовании, может обратиться в суд с иском, представляя при этом интересы пострадавшей компании.

5. Подать иск в суд на нарушителя с требованием о прекращении неправомерного ис-пользования авторских прав на базу данных и взыскании причинённых этим убытков. В таком случае пострадавшая компания может рассчитывать на адекватную денежную компенсацию понесённых убытков (более конкретно — см. ниже).

Виды ответственности, к которым может быть привлечено лицо, уличённое в неправо-мерном использовании базы данных:

1. Административная ответственность — устанавливается за незаконное использование базы данных, присвоения авторства на базу данных. Наступает вне зависимости от факта причинения убытков и влечет за собой наложение штрафа до 3 400 грн. с конфискацией незаконно изготовленной продукции, оборудования и материалов, предназначенных для их изготовления (статья 51-2 Кодекса Украины об административных нарушениях). 2. Уголовная ответственность — наступает за незаконное воспроизведение, распро-странение баз данных либо другое умышленное нарушение авторского права на базу данных в случае, если это создало материальные убытки в крупных либо особо крупных размерах (статья 176 Уголовного кодекса Украины).

3. Гражданско-правовая ответственность (другими словами — это то, что может постра-давшая компания в судебном порядке взыскать с нарушителя)?

• возмещение убытков, нанесенных нарушением авторского права;

• взыскание с нарушителя авторского права дохода, полученного в результате нарушения;

• взыскание с нарушителя компенсации в размере от 10 до 50 000 минимальных заработ-ных плат вместо возмещения убытков или взыскания дохода;

• возмещения морального (неимущественного) ущерба;

3.1. Кроме того, суд может постановить решение о:

• взыскании с нарушителя в государственный бюджет штрафа в размере 10 процентов суммы, присужденной судом в пользу истца;

• изъятии или конфискации всех контрафактных экземпляров


27

(часть 2 статьи 52 Закона Украины «Об авторском праве и смежных правах»)

Анализируя приведенное выше нужно подчеркнуть, что несмотря на несовершенство законодательства Украины относительно защиты прав на объекты интеллектуальной собственности, у создателя базы данных все же есть определённые возможности защи-тить свои права на базу данных в случае их нарушения. Для этого нужно уделить время и ресурсы на правильное документальное обеспечение и создание несложного меха-низма защиты, описанного в предыдущих разделах. Настоятельно рекомендуем забла-говременно заботиться о защите своих прав уже с момента создания базы данных, по-скольку на более поздних стадиях действовать будет гораздо сложнее.


28

Заключение

Стоит отметить, что данная версия методички является временной, поскольку предло-женные в ней рекомендации в значительной степени основываются на положениях те-кущей редакции принятого Закона Украины «О защите персональных данных», который, как известно, содержит ряд пробелов, противоречивых и невыполнимых норм, созда-ющих затруднения любому бизнесу. Кроме того, его функционирование станет возмож-ным лишь после принятия подзаконных нормативно-правовых актов, разъясняющих его положения и устанавливающих механизм его выполнения.

Важно также отметить, что по состоянию на момент написания этой методички существу-ет вероятность отсрочки введения в действие данного закона и применения какой-либо ответственности за его невыполнение до внесения в него изменений и принятия соот-ветствующих изменений в сам Закон. На сегодняшний день более двадцати обществен-ных организаций и ассоциаций разной направленности объединились вокруг этого во-проса и направили Президенту Украины письмо с изложенными выше требованиями.

Таким образом, принятие изменений к Закону, дополнительных нормативных актов, явля-ется практически неизбежным. Соответственно, будут дополняться (изменяться) и сами рекомендации по обработке персональных данных и работе с адресными базами данных. Важно также отметить, что в Законе присутствует ряд принципов, положений, требова-ний, которые точно не претерпят изменений (например, необходимость получения со-гласия у лица на обработку его персональных данных). В любом случае для избежания рисков привлечения к ответственности за невыполнение норм Закона компаниям уже сейчас нужно готовиться к вступлению Закона в силу. Это является особенно актуальным еще и потому, что в Верховной Раде на рассмотрении находится законопроект, которым предусматриваются достаточно жёсткие санкции за нарушения законодательства по за-щите персональных данных.

Важно также отметить, что по состоянию на момент написания этой методологии суще-ствует вероятность отсрочки введения в действие данного Закона и применения какой-либо ответственности за его невыполнение до внесения в него изменений и принятия соответствующих изменений в сам Закон. На сегодняшний день более двадцати обще-ственных организаций и ассоциаций разной направленности объединились вокруг этого вопроса и направили Президенту Украины письмо с изложенными выше требованиями.

Рекомендации по работе с персональными базами данных

Business