Рекомендации по работе с персональными базами данных от Украинской ассоциации директ-маркетинга

1. Дмитрий Йовдий
Валентин Калашник
рекомендации
по работе с адресными базами данных
Юридические аспекты при создании, обработке, отчуждении

2. Содержание
3 Ситуация в Украине
4 Список ключевых определений и сокращений
5 Выполнение требований законодательства
о защите персональных данных при работе
с адресными базами данных
5 Краткая характеристика Закона о защите ПД
с точки зрения возможности ведения бизнеса
7 Получение согласия у субъекта персональных данных
на обработку его данных
9 Форма согласия на обработку персональных данных
11 Создание архива документальных подтверждений согласий
об использовании персональных данных
12 Порядок использования номеров мобильных телефонов, адресов,
e-mail без указания информации, кому они принадлежат
13 Обеспечение возможности отказа от обработки ПД,
внесения в них изменений
14 Как поступать в случае поступления претензии от лица
о незаконной обработке его данных?
15 Регистрация базы персональных данных в государственном реестре.
15 Осуществление письменного уведомления субъекта ПД
о включении его данных в базу ПД
16 Принятие организационно-технических мер по обеспечению
конфиденциальности обрабатываемых персональных данных.
16 Какие меры нужно предпринимать при покупке базы
персональных данных?
18 методология защиты прав на базу данных
от неправомерного использования третьими лицами
19 Статус базы данных как объекта права охраны авторского права:
проблемы, ограничивающие возможности защиты
19 Документальное оформление базы данных на предприятии
23 Включение в базу данных «контрольных адресов» как механизм
доказывания факта неправомерного использования базы данных
24 Передача контрольных адресов на хранение
(депозитарий контрольных адресов)
25 Процедура защиты авторского права на базу данных в случае нарушения.
Ответственность за неправомерное использование базы данных
28 Заключение
2

3. Вступление
Ситуация в Украине
На сегодняшний день вряд кто-нибудь будет спорить с тем, что одним из наиболее важ-
ных факторов, влияющих на успешность любого бизнеса, является информация и пра-
вильное её применение. Высокую ценность для каждой компании составляют контакты
деловых партнёров, клиентов, потенциальных потребителей, поставщиков и т.д. Многие
компании тратят немалые финансовые и организационные ресурсы на поиск необхо-
димой информации и её систематизацию в базы данных. Создание и торговля базами
данных уже давно стала отдельной сферой бизнеса.
Вместе с тем нужно констатировать, что на сегодняшний день особой актуальности при-
обретает юридическая сторона такой деятельности. По мнению авторов данной мето-
дологии процесс работы с базами данных включает две юридические составляющие.
Первый момент — это соответствие процедуры работы с базами данных требованиям
законодательства Украины о защите персональных данных, а именно: Закону Украины
«О защите персональных данных», принятого 01.06.2010 года, Закону Украины
«О ратификации Конвенции о защите персональных данных в связи с автоматизирован-
ной обработкой персональных данных и Дополнительного протокола к Конвенции о за-
щите лиц в связи с автоматизированной обработкой персональных данных относительно
органов надзора и трансграничных потоков данных» от 06.07.2010 года № 2438-VI. (оба
закона вступают вступают в действие с 1 января 2011 года). Ведь 95 % баз данных —
это адресные базы, содержащие информацию о людях (то есть персональные данные).
Следовательно, практически любые операции с такими базами являются обработкой
персональных данных, и подпадают под действие указанных Законов.
Второй момент — это обеспечение создателем базы данных возможности защиты ав-
торских прав от неправомерного использования базы данных третьими лицами. Ведь
копания может потратить массу ресурсов на сбор и систематизацию ценной информа-
ции, а через некоторое время обнаружить, что такая база данных успешно продаётся на
«Петровке». В такой ситуации определяющим является то обстоятельство, или принял
создатель базы данных необходимые меры, делающие возможным защиту своих прав от
неправомерных действий нарушителей.
В данной методологии авторами представлены практические рекомендации по работе
с адресными базами данных при их создании, обработке, отчуждении учитывая два
изложенных выше аспекта. При разработке данных рекомендаций не преследовалась
цель провести детальный юридический анализ положений Закона, содержание не «на-
пичкано» юридической терминологией и экспертными комментариями относительно
положений Закона. Данная методология скорее будут полезными сотрудникам компа-
ний — профессиональных обработчиков баз данных (маркетинговые агентства, дата-
центры, колл-центры), а также для руководителей, маркетологов, менеджеров по прода-
жам компаний, которые создают либо покупают адресные базы данных для внутреннего
использования (банков, страховых компаний, FMCG компаний, сетей магазинов бытовой
техники, автозаправочных станций, интернет-магазинов и любых компаний, поддер-
живающих коммуникации с потребителями). Также методология может быть полезна
юристам таких компаний.
3

4. Список ключевых определений
и сокращений 1
персональные данные (далее «ПД») — сведения или совокупность сведений о физиче-
ском лице, которое идентифицировано или может быть конкретно идентифицировано
(статья 2 Закона Украины «О защите персональных данных» от 01. 06. 2010 года № 2297-VI);
обработка персональных данных (далее — «обработка ПД») — любое действие или
совокупность действий, осуществленных полностью или частично в информационной
(автоматизированной) системе и/или в картотеках персональных данных, которые свя-
заны с сбором, регистрацией, накоплением, хранением, адаптированием, изменением,
возобновлением, использованием и распространением (распространением, реализаци-
ей, передачей), обезличиванием, уничтожением сведений о физическом лице (статья 2
Закона Украины «О защите персональных данных» от 01. 06. 2010 года № 2297-VI);
Субъект персональных данных (далее — «субъект ПД» или «физическое лицо» или
«лицо») — физическое лицо, относительно которого в соответствии с законом осущест-
вляется обработка его персональных данных (статья 2 Закона Украины «О защите пер-
сональных данных» от 01. 06. 2010 года № 2297-VI);
база персональных данных (далее — «база ПД») — именуемая совокупность упорядо-
ченных персональных данных в электронной форме и/или в форме картотек персональ-
ных данных (статья 2 Закона Украины «О защите персональных данных» от 01. 06. 2010
года № 2297-VI);
Согласие субъекта персональных данных (далее — «согласие субъекта ПД» или «согла-
сие лица» или «согласие») — любое документируемое, в частности письменное, добро-
вольное волеизъявление физического лица относительно предоставления разрешению
на обработку его персональных данных в соответствии с сформулированной целью их
обработки (статья 2 Закона Украины «О защите персональных данных» от 01. 06. 2010
года № 2297-VI);
база данных — совокупность произведений, данных или любой другой независимой ин-
формации в произвольной форме, в том числе — электронной, подбор и расположение
составных частей которой и ее упорядочивание является результатом творческого тру-
да, и составляющие части которой являются доступными индивидуально и могут быть
найдены за помощью специальной поисковой системы на основе электронных средств
(компьютера) или других средств (абзац 3 ч. 1 ст. 1 Закона Украины «Об авторском праве
и смежных правах» от 23. 12.1993, № 3792-XII).
Адресная база данных — структурированный массив информации, содержащий полно-
стью либо частично сведения о физических лицах (авт.);
«Закон о защите пД» — Закон Украины «О защите персональных данных» от 01.06.2010
года № 2297-VI.
4

5. Выполнение требований
законодательства
о защите персональных данных
2
при работе с адресными базами данных
2.1. Краткая характеристика Закона о защите ПД
с точки зрения возможности ведения бизнеса.
Как упомянуто выше, 1 июня 2010 года принят Закон Украины «О защите персональных
данных» № 2297-VI. Уже сейчас можно утверждать, что в принятой редакции Закон уста-
навливает серьёзные затруднения любому бизнесу, ряд норм и вовсе являются невыпол-
нимыми. Ниже подана характеристика его основных его проблемных моментов.
Неоправданная всеохватываемость Закона. Закон вводит толкование определения
«персональные данные», в соответствии с которым под действие Закона подпадает лю-
бая общественная или коммерческая деятельность. «Базой персональных данных» при-
знается любой массив информации, который содержит элементы персональных данных.
В частности, базой персональных данных признается картотека в виде бумажных доку-
ментов — таким образом, под регулирование подпадают даже такие повседневные опе-
рации, как заключение и выполнения любых гражданско-правовых договоров, которые
в той или иной мере содержат персональные данные.
По Закону все владельцы базы персональных данных должны зарегистрировать все
имеющиеся в них базы персональных данных в специальном государственном реестре.
Сегодня база персональных данных есть у каждого предпринимателя Украины (а в не-
которых организациях их количество будет измеряться сотнями единиц — почтовые
службы, операторы телекоммуникаций, датацентры, банки, страховые компании и тому
подобное). Это значит, что должна быть создана очень разветвленная система, с офисом
в каждом городе. За расчетами специалистов, в этом реестре должно быть зарегистри-
ровано больше 3 млн. записей. По объему этот реестр быстро превысит объем ЕГРПОУ.
Финансирование проведения работ, связанных с регистрацией и контролем, предусма-
тривается, в том числе, за счет предпринимателей, при этом пользу от существования
такого реестра не получит ни государство, ни ее граждане.
Отсутствие разграничения персональных данных на «идентифицирующие» и «уязвимые».
В соответствии с европейскими стандартами, персональные данные разделяются на
данные общего характера (фамилия, имя, отчество, дата и место рождения, граждан-
ство, местожительство) и уязвимые персональные данные (данные о состоянии здоро-
вья — история болезни и диагнозы, этническая принадлежность, отношение к религии;
кредитная история, идентификационные коды и тому подобное). В соответствии с евро-
пейскими стандартами, именно к уязвимым данным относится запрет сбора, хранения,
использования и распространения их без согласия субъекта данных. В Законе, который
вступает в силу, это относится ко всем без исключения персональным данным, что фак-
тически парализует развитие бизнеса во многих направлениях.
2. Выполнение требований законодательства о защите персональных данных. 5

6. Неоправданно широкие полномочия контролирующего органа. По Закону, представите-
ли Государственной службы по вопросам защиты персональных данных (создание кото-
рой предусмотрено Указом Президента Украины от 09. 12. 2010 года) имеют право бес-
препятственно входить в любое помещение, где обрабатываются персональные данные
(при условии современного распространения компьютеров, базы персональных данных
есть в каждом офисе), что является равнозначными праву на проведение обыска, ко-
торое до сих пор имели лишь правоохранительные органы. Уполномоченному органу
дано право проверять состояние защиты персональных данных и накладывать предпи-
сания и наказания на владельцев баз персональных данных. В данном контексте важно
отметить, что в Верховной Раде зарегистрирован проект Закона, которым предусматри-
вается установление уголовной и административной ответственности за нарушение за-
конодательства в сфере персональных данных (№ 7355 от 11. 11. 2010 года). При этом воз-
можность наказания в большинстве случаев не связывается с фактом нарушения прав
конкретного гражданина — субъекта персональных данных. Это значит, что наказание
может быть наложено при формальном поводе, например, невыполнения владельцем
базы ПД любых технических или организационных требований, установленных уполно-
моченным органом. Во многих европейских странах соответствующий орган не имеет
права беспрепятственного доступа к помещениям, где обрабатываются персональные
данные. В украинских реалиях такие права контролирующего органа станут питатель-
ной средой для коррупции, но не приведут к защите прав граждан.
Двойное получение согласия от субъектов персональных данных. Напрасным, но чрез-
вычайно расходным для владельца базы персональных данных является требование со-
общать гражданам — субъектам персональных данных «исключительно в письменной
форме» о его правах, целях сбора персональных данных, лиц, которым его персональ-
ные данные будут передаваться. Сообщить нужно в течение десяти рабочих дней со дня
включения его персональных данных в базу. Такое требование является нелогичным, по-
скольку внесение в базу персональных данных и так становится возможным только по
получении документируемого согласия субъектов персональных данных.
Злоупотребление субъектов ПД. Закон дает субъекту персональных данных право требо-
вать удаления его персональных данных из базы персональных данных по формальным
причинам (ошибка в данных). Таким образом, граждане могут избегать ответственности
по заключенным ими гражданско-правовым договорам. Например, недобросовестные
заемщики могут требовать у кредиторов удаления их персональных данных и, таким об-
разом, избегать ответственности за полученными кредитами.
Невозможность выполнения Закона без принятия подзаконных нормативно-правовых
актов. Закон вступает в силу уже первого января 2011 года. Очевидно, что надлежащее
функционирование Закона возможно лишь после принятия ряда нормативно-правовых
актов, которые разъясняли бы нормы Закона и устанавливали механизм его выполне-
ния. Отсутствие таких нормативных актов делает Закон непонятным как для участников
общественных правоотношений, так и для самого контролирующего органа. К тому же,
такие обстоятельства будут способствовать коррупции, ведь у контролирующего органа
появится возможность привлекать предпринимателей к ответственности за невыполне-
ние требований уже действующего Закона, которые без принятия необходимых норма-
тивно-правовых актов выполнить невозможно.
2. Выполнение требований законодательства о защите персональных данных. 6

7. 2.2. Получение согласия
у субъекта персональных данных на обработку его данных.
В соответствии с положениями Закона о защите ПД какая-либо обработка ПД (опреде-
ление термина «обработка ПД» см. в разделе 1.1) допускается только после получения
однозначного согласия субъекта ПД на обработку данных, и в соответствии с целью об-
работки данных, заявленной при получении такого согласия (ч.1 ст. 11 Закона).
Таким образом, компаниям при сборе ПД нужно будет получать согласие от субъектов
персональных данных в каждом конкретном случае. Точнее, требование по получению
согласия содержалось в законодательстве Украины и до принятия Закона о защите ПД.
Так, согласно Конституции Украины, Закону Украины «Об информации» использование
информации о лице допускается только с согласия такого лица. Но при этом, в виду пол-
ного отсутствия механизма реализации данного положения, данные нормы носили лишь
формальный характер, и мало кто на практике задумывался о необходимости соблюде-
ния законности при сборе персональных данных. Очевидно, после вступления в силу
Закона и других подзаконных актов, а также после создания уполномоченного органа в
сфере защиты персональных данных, ситуация измениться, и данные правоотношения
будут жёстко контролироваться государством.
Кроме того, при получении согласия на обработку данных лицом должна быть чётко
обозначена цель обработки ПД, и ПД могут обрабатываться только в соответствии за-
явленной целью. Следовательно, если компания начнёт обрабатывать ПД с другой це-
лью, нежели заявленной при получении согласия, нужно получить повторное согласие
у субъекта ПД на обработку его данных уже с новой целью.
При этом стоит отметить, что в ряде европейских стран постепенно начинают отказывать-
ся от жёсткой «привязки» к конкретной цели обработки. Ведь цель обработки в процессе
может видоизменяться, и получая первичное согласие, невозможно предусмотреть все
возможные варианты. Вместе с тем, формальные предписания Закона в текущей редак-
ции обязывают использовать ПД только в соответствии с заявленной целью обработки,
что компании и должны учитывать при сборе ПД. Например, указав целью обработки пер-
сональных данных лишь исполнение заказа, после осуществления доставки и получения
оплаты, компания будет обязана уничтожить полученные ПД (согласно с п. 2 ч. 2 ст. 15 За-
кона). Однако, если будет указано, к примеру, «обработку заказа, поддержание долгосроч-
ного сотрудничества, информирование о специальных предложениях и рассылку реклам-
ных материалов», то ПД могут храниться и после исполнения конкретного заказа.
Получение согласия может осуществляться разными способами. В независимости от спо-
соба компания должна быть заинтересована в том, что бы полученное от лица согласие
лица было надлежащим образом оформлено на документальном носителе (об этом под-
робней в разделе 2.3) однозначным, чётко сформулированным, и главное, позволяло в
дальнейшем обрабатывать персональные данные в маркетинговых и коммерческих целях.
Для разрешения такой задачи рекомендуем компаниям использовать на специальную
формулировку о добровольной передаче клиентом своих персональных данных и раз-
решение на любые операции с ПД, делающими возможным их дальнейшее исполь-
зование в маркетинговых и коммерческих целях. Формулировки могут быть разные
2. Выполнение требований законодательства о защите персональных данных. 7

8. в зависимости от обстоятельств, при которых собираются данные. Для этого рекоменду-
ем при сборе персональных данных использовать формулировки в текстах носителей,
используемых при передаче данных. В зависимости от обстоятельств, при которых со-
бирают ПД, можно использовать разные варианты носителей и формулировок:
Пример 1. Компания собирает персональные данные при выдаче дисконтных карт по-
купателям. Надпись на анкете, заполняемая участником при сборе данных:
«Я добровольно передаю указанные в анкете персональные данные компании (название
компании) для получения дисконтно-накопительной карты, а также с целью поддержания
долгосрочного сотрудничества с компанией. При этом даю согласие на использование
моих персональных данных для обработки заказов на покупку товаров (услуг) компании
(её связанных лиц, коммерческих партнёров), получения рекламных и специальных
предложений, а также помещение моих персональных данных в базу данных, неограни-
ченное во времени хранение данных.»
Пример 2. Компания собирает данные при регистрации участников розыгрыша, акции.
Надпись на анкете участника:
«Я добровольно передаю указанные в анкете персональные данные компании (название
компании) для регистрации в качестве участника розыгрыша, который состоится (дата)
по адресу: (адрес). Также даю согласие на использование моих персональных данных
для получения от компании (её связанных лиц, коммерческих партнёров) рекламных и
специальных предложений, информационных материалов, а также на помещение моих
данных в базу данных, неограниченное во времени хранение данных…».
Пример 3. Компания дистанционной торговли продаёт товары по каталогу. Надпись на
расходной накладной о передаче товара:
«Я добровольно передаю компании (название компании) указанные в данном документе
персональные данные для обработки заказа на покупку товара. Также даю согласие на
получение от компании рекламных и специальных предложений, информационных ма-
териалов…».
Пример 4. Интернет-магазин либо другая компания осуществляет сбор персональных
данных через интернет путём заполнения клиентами on-line анкет на сайте компании,
и использует в дальнейшем собранные персональные данные для рассылок рекламных
предложений. Формулировка на отправляемом рекламном материале (либо в тексте ре-
кламного сообщения по e-mail):
«Для отправки этого материала использованы персональные данные получателя, добро-
вольно предоставленные последним компании (название компании) путем регистрации
на сайте (адрес сайта)»
В случае, если компания проводит разного рода программы лояльности, и размещает
на своем корпоративном сайте правила участия в программе, целесообразно включать
туда пункты о порядке обработки ПД, ну и естественно положение о том, что став участ-
ником программы, клиент в полном объеме соглашается с условиями программы.
Кроме того, в соответствии с Законом лицо в любой момент вправе отказаться от даль-
нейшей обработки его ПД. С целью выполнения данного требования Закона, компаниям
целесообразно при использовании ПД клиентов уведомлять последних о праве отказа
от использования их персональных данных, а также обеспечить клиентам возможность
2. Выполнение требований законодательства о защите персональных данных. 8

9. осуществить такой отказ в любой удобный для них способ (к слову, такая практика хоро-
шо распространена в большинстве европейских стран). Для этого во всех перечислен-
ных выше вариантах формулировок стоит добавлять соответствующую фразу.
Пример: «Получатель в любое время может запретить либо ограничить обработку его
персональных данных путём заполнения соответствующей анкеты на официальном сай-
те компании либо по телефону (номер телефона)».
2.3. Форма согласия на обработку персональных данных.
Законом не установлено обязательной письменной формы согласия субъекта ПД на об-
работку его ПД. В соответствии со статьей 1 Закона, таким согласием может являться
какое-либо документированное волеизъявление физического лица на обработку его
данных (то есть, не только письменное, а любое документированное). При этом Закон
не разъясняет термина «документированное согласие». Вместе с тем, согласно Закону
Украины «Об информации» документом является материальная форма получения, хра-
нения, использования и распространения информации путём фиксации ёё на бумаге,
магнитной, кино-, видео-, фотоплёнке либо на другом носителе. Исходя из данного опре-
деления, компании могут использовать следующие формы получения согласия (в зави-
симости от характера деятельности и обстоятельств, при которых собираются ПД);
а) анкета, заявка, купон на заказ товара, на регистрацию в акции, расходная накладная на
передачу товара (разумеется, с применением формулировок, приведенных в разделе 2.2 и
подписи лица, передавшего свои персональные данные). Это оптимальный вариант с точки
зрения возможных рисков, так как в данном случае фиксация будет на бумажном носителе;
б) аудиозапись телефонного разговора с лицом, в ходе которого данное лицо предостав-
ляет свои ПД, и даёт согласие на их использование с определённой целью. Такую форму
фиксации согласия можно использовать в случае сбора ПД путём телемаркетинга. Также
это допустимо в случае интернет-магазинов, компаний дистанционной торговли, когда
покупатель осуществляет заказ товара по телефону, оставляя при этом необходимые для
оформления заказа ПД. Также это допустимо в случае, когда потенциальные потребите-
ли звонят на горячую линию компании и оставляют свои данные, к примеру, с целью по-
лучения рекламной информации от компании либо для участия в акции. В таких случаях
в ходе разговора нужно в обязательном порядке уведомить лицо, что осуществляется
аудиозапись, и получить от такого лица однозначный ответ, что он согласен на обработ-
ку предоставленных им ПД.
в) полученное e-mail сообщение от лица на обработку его ПД. Такая форма фиксации
может использоваться интернет-магазинами либо компаниями, осуществляющими сбор
данных путём on-line регистрации потребителей на своём сайте. Полученное e-mail
сообщение содержится на материальных носителях (сервере компании получателя и
сервере компании, обслуживающей хостинг), и, следовательно, может являться доку-
ментированной формой согласия. При выборе данного способа (равно как и преды-
дущего), нужно тщательно технически продумать процедуру коммуникации с субъек-
тами ПД. Ведь как упомянуто ранее, e-mail сообщение не является доказательством в
судебном процессе, поэтому использование ПД на основании таких e-mail регистраций
несет определённые риски, связанные со злоупотреблениями недобросовестных лиц.
2. Выполнение требований законодательства о защите персональных данных. 9

10. К тому же, при желании такое лицо сможет сослаться на то, что не отправляло сообще-
ния, а указанный e-mail не имеет к данному лицу никакого отношения. Ведь технически
невозможно идентифицировать отправителя (за исключением тех редких случаев, ког-
да отправка сообщения осуществлялась с корпоративного сайта — там ещё могут быть
«зацепки»). В связи с этим нужно понимать, что использование данного способа фикса-
ции должно сопровождаться применением других мер, которые смогут «подстраховать»
компанию в случае вопроса о правомерности использования ПД. К примеру, если недо-
бросовестный покупатель имеет претензии к интернет-магазину о неправомерной об-
работке его ПД (и при этом отрицает, что давал согласие на использование его данных),
нужно отыскать расходную накладную, подтверждающую факт покупки товара данным
покупателем. Этот факт может сыграть положительную роль в судебном споре, так как
будет доказан факт покупки товара, которая была бы невозможной без предоставления
покупателем своих ПД. Также при сборе данных таким способом, в обязательном по-
рядке должна обеспечиваться возможность лицам отказаться от обработки их персо-
нальных данных (подробней — см. в разделе 2.6). В судебном споре компания сможет
сослаться на то, что от лица не поступало требования о прекращении обработки его ПД.
Исходя из приведённого выше очевидно, что при сборе ПД через e-mail на сегодняшний
день не существует способа, который даст 100 % гарантию и доказательства подтверж-
дения согласия. Но это не означает, что использовать этот способ не нужно. Ведь отправ-
ляя рекламу именно тем, кто оставил свои ПД таким способом, компания, во-первых, вы-
полняет требования Закона, и во-вторых, минимизирует случаи возможных претензий
(ведь у таких клиентов вряд ли возникнет желание жаловаться на неправомерное ис-
пользование их ПД).
г) полученное от субъекта ПД sms-сообщение с подтверждением о возможности ис-
пользования его ПД. Такой способ может использоваться в случае, когда компания
осуществляет сбор ПД путём рассылки sms сообщений либо просто осуществляет sms-
маркетинг. Важно добавить, что на данный момент сложно спрогнозировать, будет ли
подзаконными актами предусмотрена возможность осуществлять сбор ПД с помощью
sms-сообщений, и если да, то какие требования и ограничения будут установлены для
данного способа фиксации. Пока же нужно исходить из существующих норм законода-
тельства, а именно Закона Украины «О защите персональных данных», Закона Украины
«Об информации»: поскольку sms-сообщение содержится на соответствующем матери-
альном носителе (а именно, на сервере мобильного оператора), согласие, данное в та-
кой форме, отвечает определению «документированное согласие». Подчёркиваем, что
компания, которая намерена осуществлять сбор данных таким способом, должна тща-
тельно продумать технологическую процедуру сбора данных (обеспечить возможность
фиксации содержания sms, полученных от субъектов ПД, номера, номера, с которого
была осуществлена отправка и дата отправки). Пояснения в данном случае аналогичны
тем, что указаны в подпункте «в».
2. Выполнение требований законодательства о защите персональных данных. 10

11. 2.4. Создание архива документальных подтверждений согласий об
использовании персональных данных.
Хотя в Законе и не содержится положения об обязанности компаний хранить доказа-
тельства получения согласия лица на обработку его персональных данных (как, к при-
меру, это сделано в России), очевидно, что в случае поступления претензии от субъекта
ПД (вероятней всего недобросовестного), компания будет обязана предоставить до-
казательства получения согласия на использование ПД такого лица уполномоченному
органу или суду. Следовательно, для избежания рисков претензий о неправомерной об-
работке ПД, компаниям необходимо обеспечить хранение документальных подтверж-
дений получения согласий по каждому клиенту.
Для этого рекомендуем создать в компании архив документальных подтверждений, ко-
торыми клиент дал согласие на использование его данных с возможностью постоянного
пополнения данных (внесения изменений), и быстрого поиска нужного документа. Как и
упоминалось выше, такими подтверждениями могут служить заполненные анкеты для по-
лучения дисконтной карты, заявки на регистрацию участника акции, розыгрыша, купоны
на заказ товара, подписанные заявителями, с формулировкой о добровольной передаче
своих персональных данных для их дальнейшей обработки в рекламных и коммерческих
целях. Необходимость поиска соответствующего документа возникнет исключительно в
случае претензии со стороны клиента о неправомерном использовании его данных либо
в случае соответствующего запроса уполномоченного органа или суда.
Один из ключевых вопросов, который компании необходимо решить, это в каком виде
вести архив этих документальных подтверждений. В данной ситуации допустимыми яв-
ляются два варианта:
Вариант 1: хранить документы в оригинале (то есть в бумажном виде).
При хранении документов в бумажном виде (с живой подписью лица) у компании будут все
гарантии и доказательства надлежащего получения согласия, что в полной мере убережет
компанию от рисков привлечения к ответственности за неправомерную обработку ПД.
Но с другой стороны, данный способ имеет существенный минус. Используя его, компа-
ния должна нести существенные финансовые и организационные затраты. По предвари-
тельным подсчётам документы-подтверждения по базе данных, состоящей, к примеру,
из 1 млн. позиций, физически будут занимать около тридцати стандартных стеллажных
паллет. Не стоит добавлять, сколько ресурсов будет уходить на упорядочение и обслу-
живание данного архива.
Вариант 2: хранить документы в электронном виде (сканкопии).
При этом собранные документы передаются оператору, который сканирует анкеты, и за-
носит сканкопии электронный реестр. Оригиналы анкет при этом уничтожаются. Оче-
видно, такой способ позволит значительно оптимизировать расходы на хранение. Да и
в организационном плане значительно проще вести систематизированный реестр элек-
тронных документов, чем бумажных.
В то же время, в соответствии с законодательством Украины и сложившейся судеб-
ной практикой, электронные версии документов на сегодняшней день не признаются
2. Выполнение требований законодательства о защите персональных данных. 11

12. доказательством в суде. Поэтому в случае спора есть вероятность, что сканкопия не бу-
дет признана надлежащим доказательством получения согласия (касается случаев, если
недобросовестный клиент будет отрицать, что этоон заполнял данный документ и ста-
вил подпись).
Компания самостоятельно должна выбрать удобный для неё способ хранения подтверж-
дений исходя из индивидуальных особенностей ее деятельности, взвесив приведённые
выше аргументы и риски. К примеру, если речь идёт о базе персональных данных клиен-
тов - владельцев дисконтных карт либо участников бонусных программ (особенно, если
правила участия в таких программах регламентированы и размещены на сайте с указа-
нием о возможности использования ПД заявителей), вполне допустимым будет хранение
документальных подтверждений в электронном виде. Ведь даже в случае непризнания
недобросовестным клиентом факта, что он ставил подпись в анкете при регистрации, у
компании будет достаточно других доказательств использования ПД такого клиента на
законных основаниях, то есть с согласия клиента). Это могут, к примеру, быть: факт нали-
чия у клиента дисконтной карты, предыдущие покупки клиента, правила, размещённые
на сайте (без ознакомления с которыми клиент не мог получить дисконтную карту) и т.д.
Соответственно, в таком случае риски уменьшаются.
Многие компании уже начали применять бумажный архив. Некоторые из них практику-
ют смешанную форму: ведут систематизированный электронный реестр документов, и
вместе с тем параллельно хранят оригиналы документов, отсортированные только по
дате передачи документа в архив. В случае необходимости на основании данных, поме-
щённых в электронный реестр, по дате находится бумажная версия нужного документа.
Как вариант, эти документы также могут быть переданы полностью либо частично на
хранение в архив либо адвокату, таким образом избавив компанию от операционной
загруженности.
2.5. Порядок использования номеров мобильных телефонов, адресов,
e-mail без указания информации, кому они принадлежат.
Стоит уделить дополнительное внимание вопросу, является ли персональными данны-
ми номер мобильного телефона без указания фамилии и имени его владельца либо дру-
гой информации, позволяющей идентифицировать данное лицо (следовательно, являет-
ся ли база данных, состоящая исключительно из номеров мобильных телефонов, базой
персональных данных).
Анализ приведённых в Законе о защите ПД определений «персональные данные», «база
персональных данных» дают основания сделать вывод, что отдельно взятые номер мо-
бильного телефона, домашний адрес либо e-mail адрес не являются ПД, поскольку не
содержат информации, необходимой для идентификации конкретного лица — владель-
ца данного номера, адреса, e-mail. Следовательно, обработка баз данных e-mail адресов,
мобильных номеров, домашних адресов для рассылок рекламных предложений (без
получения согласия их владельцев) не будет являться нарушением законодательства о
защите персональных данных.
2. Выполнение требований законодательства о защите персональных данных. 12

13. Вместе с тем нужно понимать, что такие действия являются предметом регулирова-
ния других сфер законодательства. Так, несанкционированная e-mail рассылка (СПАМ)
может быть квалифицирована как преступление в сфере использования электронно-
исчислительных машин (компьютеров) в соответствии со ст. 363-1 Уголовного кодекса
Украины. Указанной статьей предусмотрена ответственность за умышленное массовое
распространение сообщений электросвязи, осуществленное без предварительного со-
гласия адресатов, если это привело к нарушению либо прекращению работы электро-
исчислительной машины (компьютера). Кроме того, рассылка рекламы потенциальному
потребителю без его согласия может быть квалифицирована как агрессивная предпри-
нимательская практика (которая проявляется в форме надоедания ненадлежащего вли-
яния на потребителя), Такие действия являются нарушением в соответствии с частью 4
статьи 19 Закона Украины «О защите прав потребителей».
Не лишним будет также упомянуть о том, совершая рекламные рассылки по мобильным
номерам без предварительного согласия лица, компания нарушает Кодекс мобильного
маркетинга, утверждённый при Украинской ассоциации директ маркетинга. Указанный
кодекс хоть и не имеет юридической силы, но подписан основными мобильными опера-
торами Украины с целью создания цивилизованных правил на рынке, и играет важную
роль в регулировании отношений между участниками рынка. Есть основания полагать,
что подобные правила спустя некоторое время найдут отображение и в законодатель-
стве Украины. Можно с точностью утверждать, что такая необходимость назревает.
Учитывая описанное выше, рекомендуем компаниям очень взвешено использовать та-
кой инструмент, как массовая рассылка рекламы через sms, на почтовый и электронный
адрес. В любом случае нужно понимать, что такие действия, если и не подпадают под ре-
гулирование законодательства о защите персональных данных в Украине, в то же время
являются предметом регламентации нормативно-правовых актов в других сферах.
2.6. Обеспечение возможности отказа от обработки ПД,
внесения в них изменений.
В соответствии с п. 1 ч. 1 ст. 11 Закона о защите ПД физическое лицо при предоставле-
нии согласия на обработку его данных может установить запрет (ограничение) на такую
обработку. В прочем, такое ограничение может быть установлено в любое время, а не
только в момент предоставления согласия. На выполнение данной нормы Закона реко-
мендуем компаниям обеспечить механизм, при котором клиенты могут в любое время
внести изменения в свои ПД либо отказаться от их дальнейшей обработки тем или иным
способом. Для этого рекомендуем использовать специальные формы анкет, с помощью
которых осуществляются изменения. На выбор компании анкеты о прекращении (огра-
ничении) обработки либо внесении изменений в ПД могут подаваться клиентами путём
заполнения на сайте компании, по телефону «горячей» линии либо вбрасываться в спе-
циально отведённый для этого ящик в магазинах компании.
Если от клиента поступила анкета об ограничении обработки данных (или их измене-
нии), ответственный сотрудник компании сканирует документ и вносит соответствую-
щие изменения в базу ПД. При этом по умолчанию предусматривается, что если от кли-
ента не поступило анкеты либо волеизъявления другим способом, последний согласен
2. Выполнение требований законодательства о защите персональных данных. 13

14. на любую обработку предоставленных ним ПД в полном объёме. Следовательно, все
возможные риски в случае, если от субъекта ПД не пришло соответствующее уведомле-
ние, возлагаются на этого субъекта ПД.
Стоит дополнительно почеркнуть, что целесообразность создания механизма отказа от
обработки ПД обусловлена не только необходимостью выполнения требований Закона
о защите ПД. Такой механизм позволит компании построить коммуникации с клиентами
с учётом их индивидуальных пожеланий (например, если клиент компании не желает,
что бы ему звонили с рекламными предложениями на мобильный номер либо направля-
ли sms, — у него будет возможность отказаться от этого). Такой механизм уменьшит ко-
личество недовольных, и, соответственно, снизит количество потенциальных претензий
и судебных тяжб, связанных с обработкой ПД.
2.7. Как поступать в случае поступления претензии от лица
о незаконной обработке его данных?
В случае поступления претензии к компании от субъекта ПД прежде всего нужно:
а) найти в архиве данных документальное подтверждение согласия данного лица на об-
работку его данных;
б) выяснить, в чём именно заключается претензия лица (ему не нравится, что ему на по-
чту приходит реклама; надоедают звонки; возможно, неправильно указано его имя или
фамилия; либо данное лицо прямо обвиняет компанию в том, что последняя нарушила
его права, использовав его персональные данные без предварительного согласия);
в) понять, какую цель преследует субъект ПД, обращаясь к компании с претензией (это
может быть требование полностью либо частично прекратить обработку его ПД, изме-
нить недостоверные данные, исключить его ПД с базы).
В случае, если у компании есть документальное подтверждение получения согласия, нужно
его просто предъявить. Если подтверждения согласия нет, нужно поискать альтернативные
доказательства, которые хотя бы косвенно подтверждают, что такое согласие действитель-
но предоставлялось. Например, - компания осуществляет сбор ПД покупателей, которым
выдаются дисконтные карты на покупку товаров компании. При этом дисконтная карта
выдаётся покупателю с целью получения клиентом скидок на товары при последующих
покупках. Исходя из этого можно утверждать, что покупатель, получив добровольно дис-
контную карту (понимая, что с помощью этой карты он может покупать товар и получать
скидку), дал этим согласие на использование его ПД с целью совершения дальнейших поку-
пок. Ведь понятно, что без обработки персональных данных, продажа в данном случае не-
возможна. Таким образом, факт самого наличия у клиента дисконтной карты даст компании
возможность (даже без наличия анкеты либо специальной формулировки на дисконтной
карте) обрабатывать ПД этих клиентов (в т.ч. хранить их данные в базе) с целью продажи
им товаров. В таком случае с «натяжкой» можно также обосновать, что получив от компа-
нии дисконтную карту, покупатель дал согласие на использование его ПД для отправки ему
рекламных и информационных материалов компании. Ведь получая дисконтную карточку,
клиент косвенно демонстрирует свое желание получать информацию о товарах компании.
2. Выполнение требований законодательства о защите персональных данных. 14

15. Вне зависимости от ситуации, целесообразно урегулировать вопрос с жалобщиком мир-
ным путём: извиниться за беспокойство, сославшись на ошибку, и предложить исправить
ситуацию исходя из требований субъекта ПД (исключить его персональные данные из
базы, не звонить ему на домашний номер и т.д.). Если же конфликт не удаётся урегулировать
мирным путём, и «пострадавшее» лицо все же обратилось с иском в суд (либо с жалобой
в уполномоченный орган), и будет доказан факт, что данное лицо не давало согласия на
обработку его ПД, то компании не избежать привлечения к административной ответствен-
ности её должностных лиц. Настоит напомнить, что на данный момент в Верховной Раде за-
регистрирован проект Закона, которым предусматривается установление уголовной и ад-
министративной ответственности за нарушение законодательства в сфере персональных
данных (№ 7355 от 11.11.2010 года). Принятие данного Закона — это вопрос времени. При
этом возможность наказания в большинстве случаев связывается не с фактом нарушения
прав конкретного гражданина, а с формальным нарушением порядка обработки ПД.
Вместе с тем, для взыскания с компании серьёзной денежной компенсации в судебном по-
рядке, такому лицу нужно будет привести веские аргументы, свидетельствующие о том, что
неправомерное использование его ПД действительно нанесло ему существенных физиче-
ских или моральных страданий. Это будет сделать очень сложно, ведь едва ли обработка
«адресных» ПД, используемых, к примеру, при маркетинговой рассылке или звонке с ре-
кламной целью, способно нанести серьёзного вреда человеку, как это может случится при
неправомерной обработке «уязвимых» ПД (данные о болезнях человека, кредитная история
и т.д.). К слову, на сегодняшний день в Украине отсутствует практика (и не известно, через
сколько десятилетий появится), как, к примеру, в США, когда за наименьшее нарушение сво-
их прав, гражданин может добиться взыскания миллионных компенсаций с «нарушителя».
2.8. Регистрация базы персональных данных в государственном реестре.
Законом о защите ПД предусмотрено создание Государственного реестра баз персональ-
ных данных с обязательным требованием к владельцам баз ПД по регистрации всех баз в
данном реестре (статья 9 Закона). Это означает, что практически всем компаниям (а особен-
но «профессиональным обработчикам ПД») нужно будет регистрировать в государствен-
ном реестре каждую базу, содержащую ПД. Сложно даже представить, каким образом будет
реализовываться на практике данная норма Закона. Уже сейчас очевидно, что без утверж-
дения подзаконного нормативно-правового акта, регламентирующего порядок работы гос.
реестра, эти требования являются невыполнимыми. Кроме того, возможно, данная норма
претерпит изменений и реестр баз персональных данных будет заменён на реестр владель-
цев баз персональных данных. В связи с этим до принятия соответствующего нормативно-
правового нет смысла давать какие-либо рекомендации относительно регистрации баз ПД.
2.9. Осуществление письменного уведомления субъекта ПД
о включении его данных в базу ПД
Весьма затруднительной и затратной для компаний является норма Закона об обяза-
тельном уведомлении физического лица о включении его ПД в базу ПД (ч. 2 ст. 12 Закона
о защите ПД). При этом данное уведомление должно осуществляться исключительно в
письменной форме на протяжении 10 рабочих дней со дня включения ПД лица в базу.
2. Выполнение требований законодательства о защите персональных данных. 15

16. Абсолютно очевидно, что данное положение Закона является весьма непоследователь-
ным, ведь любая обработка ПД и так становится возможной только после получения со-
гласия субъекта ПД, и какой смысл дважды согласовывать с лицом обработку его ПД?
Исходя из соображений здравого смысла (как минимум до принятия соответствующего
подзаконного акта) рекомендуем компаниям осуществлять такое уведомление лишь в
тех случаях, когда в базу ПД помещаются данные того лица, не дававшего ранее согласия
на обработку его ПД, либо если предполагаемая цель обработки ПД существенно отли-
чается от той, на которую давалось согласие.
2.10. Принятие организационно-технических мер по обеспечению
конфиденциальности обрабатываемых персональных данных.
С целью усовершенствования системы контроля и защиты ПД на предприятии, компа-
ниям следует назначить должностное лицо, ответственное за обработку ПД, возложив
на такое лицо полномочия и ответственность за процедуру обработки ПД (особенно
актуальным это мера является для крупных компания, базы персональных данных ко-
торых насчитывают сотни тысяч позиций). Хоть Закон о защите ПД и не содержит подоб-
ного требования (вполне возможно оно появится в подзаконном нормативно-правовом
акте), в европейских странах это широко распространенная практика.
Также целесообразно предусмотреть в компании положение о процедуре обработки
ПД, включить сведения о собранных ПД в перечень сведений, которые являются ком-
мерческой тайной.
Законом о защите ПД также установлено, что цель обработки ПД должна быть сформули-
рована в уставных документах владельца базы персональных данных (ч. 1 ст. 6 Закона).
Таким образом, рекомендуем компаниям уже сейчас позаботиться над внесением в свои
уставы пунктов о обработке ПД с указанием целей такой обработки. Вернее, вносить из-
менения в действующие уставы компаний только из-за этого не стоит, но при регистра-
ции новых юридических лиц либо при внесении других изменений в устав, параллельно
нужно включать и пункт об обработке персональных данных.
2.11. Какие меры нужно предпринимать при покупке базы
персональных данных?
Исходя из приведённой выше информации с целью обеспечения законности будущего
использования приобретаемой базы ПД, компании перед покупкой базы ПД нужно про-
вести аудит приобретаемой базы, в частности, получить ответы на следующие вопросы:
а) убедиться, получены ли согласия содержащихся в базе субъектов ПД на обработку их
данных;
б) определить, для какой цели субъектами ПД передавалось согласие на обработку ПД;
в) выяснить, не запрещено ли условиями согласия право передачи ПД третьим лицам.
2. Выполнение требований законодательства о защите персональных данных. 16

17. В случае, если проверка указанной информации является невозможной или трудновы-
полнимой ввиду большого объёма базы (к примеру, если она насчитывает тысячи или
десятки тысяч позиций), целесообразно хотя бы выборочно проверить несколько пози-
ций для создания общей картины о законности сбора ПД компанией-продавцом.
К слову, правовой аудит приобретаемой базы ПД нужен не только для проверки леги-
тимности сбора содержащихся в ней ПД, а также для подтверждения того, что продавец
при отчуждении базы данных не нарушает чьих-либо авторских на данную базу данных
(более подробно об этом в разделе 3).
Кроме того, оформлять покупку такой базы ПД следует исключительно на основании до-
говора. При этом это должен быть не договор купли-продажи самой базы данных, а дого-
вор о передачи права на использование информации. Выбор конкретной юридической
формы договора стоит осуществлять исходя из индивидуальных целей покупателя, но в
любом случае в такой договор целесообразно включить пункты о следующем:
а) продавец гарантирует законность сбора всех персональных данных, и по требованию
покупателя обязуется предоставить копию документа, подтверждающего согласие субъ-
екта персональных данных;
б) продавец обязуется выступить на стороне покупателя в случае поступления претен-
зий (исков, жалоб в уполномоченный орган) от субъектов ПД о неправомерном исполь-
зовании их ПД, а также компенсировать последнему все убытки (штрафы), взысканные
последнего в результате таких претензий.
Разумеется, указанные положения договора не снимают ответственности с покупателя
за неправомерное использование полученных ПД (если это будет иметь место). Но вме-
сте с тем, это позволяет разделить риски с продавцом. Кроме того, настаивание на вклю-
чение в договор таких пунктов как минимум дадут возможность компании - покупателю
проверить поведение продавца по этому поводу, на основании чего сделать вывод о
степени «проблемных моментов» в передаваемой базе, и на основании этого уже при-
нимать решение, покупать или не покупать.
Нельзя не отметить тот факт, что на сегодняшний день едва ли найдётся база данных,
собранная на законных основаниях, и хотя бы частично отвечающая требованиям За-
кона Украины «О защите персональных данных» (особенно учитывая то, что до принятия
Закона мало кто задумывался о необходимости законности сбора ПД). К сожалению, ры-
нок Украины еще не отошёл от практики массового использования баз данных, приоб-
ретённых на «Петровке» или в интернете за 100 долларов без всяких договоров. И даже в
случае, когда приобретаемая база персональных данных сформирована на законных ос-
нованиях (и тому есть все юридические подтверждения), стоимость такой базы данных
будет гораздо выше. И всегда останется соблазн купить ту, что хоть и не совсем «чистая»,
но дешевая. Но при этом следует помнить, что в связи со вступлением в силу Закона
Украины «О защите персональных данных» дальнейшее использование такой базы бу-
дет нести существенные финансовые риски для компании. К тому же, покупка таких баз
будет только поощрять поведение недобросовестных продавцов, и уж точно не будет
способствовать развитию нормальных цивилизованных отношений на рынке.
2. Выполнение требований законодательства о защите персональных данных. 17

18. методология защиты прав
на базу данных от неправомерного
использования третьими лицами
3
3.1. Статус базы данных как объекта права охраны авторского права:
проблемы, ограничивающие возможности защиты.
Обеспечение создателем базы данных возможности защиты авторских прав на создан-
ную им базу данных от неправомерного использования третьими лицами является не
менее актуальной проблемой, чем вопросы, связанные с защитой персональных дан-
ных. Ведь копания может потратить массу ресурсов на сбор и систематизацию ценной
информации в базе данных, а через некоторое время обнаружить, что эта же база данных
успешно продаётся в ларьке или магазине. В такой ситуации определяющим является то
обстоятельство, или создатель базы данных применил необходимые меры, делающие
возможным защиту своих прав от неправомерных действий нарушителей.
Несмотря на то, что законодательством Украины база данных и предусмотрена как са-
мостоятельный объект авторского права, на сегодняшний день практически отсутствует
законодательный механизм защиты авторского права на такой объект от незаконного
использования третьими лицами. К сожалению, на сегодняшний день едва ли найдётся
судебное решение которым правообладателю удалось защитить свои права на базу дан-
ных либо получить компенсацию за ее неправомерное использование третьими лицами.
Такой ситуации способствуют две причины. Первая — это наличие жестких ограничений
относительно содержания базы данных, которые мешают признать ее объектом право-
вой защиты как объекта авторского права. Вторая заключается в том, что очень слож-
но доказать, что массив информации, собранный в базе данных, является результатом
именно интеллектуального труда сотрудников именно вашей компании. Ведь лицо, ис-
пользующее эту же базу данных, может сослаться на то, что такая информация (адреса
клиентов, их ФИО, номера телефонов) собрана ним самостоятельно.
Стоит отметить, в соответствии с положением п. 4 ч. 1 ст. 8 Закона Украины «Об автор-
ском праве и смежных правах» база данных есть объектом правовой охраны авторского
права. Вместе с тем, анализ положений Закона Украины «Об авторском праве и смежных
правах» даёт возможность сделать вывод, что защита базы данных распространяется
не на защиту самой информации (данных), которую она содержит, а именно на совокуп-
ность данных, объединённых по единому принципу, критерию. Другими словами, защи-
щается не сама информация, собрана в отдельных позициях, а лишь способ содержа-
щихся там данных. Такой вывод исходит из положения абзаца 4 части 1 статьи 19 Закона
Украины «Об авторском праве и смежных правах», которая гласит, что правовая охрана
баз данных не распространяется на сами базы данных или информацию, и не задевает
любое авторское право, которое относиться к самим данным или информацию, которая
содержится в базе данных.
3. Методология защиты прав на базу данных. 18

19. Еще одна сложность заключается в том, что не все базы данных подлежат правовой ох-
ране как объект авторского права. Так, соответственно с пунктом «е» ч. 1 ст. 10 Зако-
на Украины «Об авторском праве и смежных правах» не являются объектом правовой
охраны расписание движения транспортных средств, расписание телерадиопередач,
телефонные справочники и др. аналогичные базы данных, т.е. базы данных, которые не
отвечают критериям оригинальности.
Понятие оригинальности в данном случае весьма относительное и неопределённое.
Согласно с научным подходом можно предположить, что понятие оригинальность как
условие правовой охраны базы данных в качестве объекта правовой охраны предпо-
лагает наличие одного из следующих условий:
• использование творческих усилий при создании БД;
• специфический критерий отбора данных;
• эксклюзивность (уникальность) информации.
При этом нужно констатировать, что 95 % баз данных на рынке являют собой примитив-
ные списки информации, и, соответственно, ни о какой оригинальности речь идти не
может. Соответственно, такие базы данных не подпадают под защиту, предусмотренную
Законом Украины «Об авторском праве и смежных правах», и их создатели лишены воз-
можности защитить массив информации как объект авторского права от неправомерно-
го использования третьими лицами.
3.2. Документальное оформление базы данных на предприятии.
Несмотря на то, что возможности создателя базы данных относительно защиты своих
интеллектуальных прав в соответствии с законодательством существенно ограничены,
варианты все-таки имеются. Для этого нужно, прежде всего, правильно оформить до-
кументально базу данных на предприятии, и принять ряд юридических и организацион-
ных мер, описанных в этом и следующих разделах.
Шаг 1 (обязательный). Оформление базы данных как объект авторского права в форме
служебного произведения.
Рассмотрим коротко права, которые принадлежат авторам баз данных. В соответствии с
Законом Украины «Об авторском праве и смежным правам» такие права подразделяют-
ся на две категории: личные неимущественные права и имущественные права. Первая
категория прав является неотчуждаемой (то есть данные права нельзя передавать даже
по договору) и включает в себя: право авторства — право считаться автором базы дан-
ных, право на имя — право определять форму указания имени автора в программе или
базе данных (под своим именем, псевдонимом или анонимно) и, наконец, право на не-
прикосновенность (целостность) — право на защиту самой базы данных и ее названия от
всякого рода искажений или иных посягательств, способных нанести ущерб чести и до-
стоинству автора. Вторая категория прав — права имущественные. Именно их передают
на основе так называемых лицензионных договоров. Обладатель имущественных прав
3. Методология защиты прав на базу данных. 19