Кто не зарегистрировал базу данных - тот виноват? О защите БД и ответственности

Закон Украины от 01.06.10 г. № 2297-VI «О защите персональных данных» (далее – Закон о защите ПД), регулирующий отношения, связанные с защитой персональных данных во время их обработки, вступил в силу еще 01.01.11 г. Причем, его принятие имело весьма благородную цель - приблизить украинское общество к европейским стандартам защиты информации о персональных данных. Но вот только недавно, и, причем, именно среди бухгалтеров предприятий, одной из самых злободневных вопросов стал вопрос о необходимости регистрации информации о физических лицах, которая имеется у предприятия и необходима ему для осуществления своей хозяйственной деятельности. Причина тому – достаточно серьезные меры ответственности за нарушение законодательства о защите персональных данных, которые установлены Законом Украины от 02.06.11 г. № 3454-VI «О внесении изменений в некоторые законодательные акты Украины об усилении ответственности за нарушение законодательства о защите персональных данных», вступающим в силу с 01.01.12 г. Данным Законом устанавливается административная и уголовная ответственность, применяемая, в частности, к должностным лицам предприятий и предпринимателям, имеющим наемных работников. Кто подпадает в сферу действия Закона о защите ПД, какие персональные данные подлежат регистрации, какой орган уполномочен проводить такую регистрацию, как она проводится, за что могут привлечь к ответственности и кто имеет на это соответствующие полномочия, – попробуем разобраться. Взаимоотношения в сфере защиты ПД: понятия, объекты защиты, субъекты отношений Закон о защите ПД определяет понятия, сферу действия, объект защиты, субъекты правоотношений, порядок регистрации, доступа, требования к обработке и пр. Для начала определимся с некоторыми терминами. Объектами защиты являются персональные данные, которые обрабатываются в базах персональных данных (БПД), под которыми понимается совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных. Персональные данные (далее – ПД) в понимании данного Закона – это сведения либо совокупность сведений о физлице, которое идентифицировано или может быть конкретно идентифицировано (при этом под действие данного Закона не подпадает деятельность по созданию БПД и обработке ПД в этих базах, в том числе, физлицами исключительно для их непрофессиональных или бытовых потребностей). Субъект ПД - физлицо, относительно которого в соответствии с законом осуществляется обработка его ПД. Таким образом, сфера действия Закона о защите ПД не распространяется на: 1) физлиц-граждан, владеющих информацией о других физлицах (номер телефона, место жительство, фотоснимки, видеозаписи с их участием и пр.); 2) информацию о юрлицах в силу прямого на то указания в Законе. Какие данные понимаются под персональными? Согласно Закону о защите ПД первичными источниками сведений о физлице являются выданные на его имя документы; подписанные им документы; сведения, которые лицо предоставляет о себе (ч. 4 ст. 6). Учитывая это, считаем, что к ПД могут быть отнесены: биометрические данные о физлице (адрес, дата и место рождения); его национальность; семейное положение; состояние банковского счета; автобиография; данные об образовании; описание личных качеств лица; досье; сведения, содержащиеся в документах, выданных конкретному лицу на его имя (паспорт, свидетельство о рождении, диплом и пр.); личное дело; запись в базе данных медицинского учреждения; регистрационная запись о праве собственности на недвижимость; записи видеонаблюдения в общественных местах. Иными словами, это ни что иное, как информация о физлице, которая относится к конфиденциальной в понимании Закона Украины от 02.10.92 г. № 2657-XII «Об информации». Что считается БПД? Поскольку Закон определяет этот термин, как совокупность упорядоченных ПД в электронной форме и/или в форме картотек, напрашивается вывод, что такая база должна использоваться в некоем систематизированном и упорядоченном виде, к примеру, в форме справочников в бумажном либо электронном виде. Потому считаем, что только лишь факт наличия у предприятия каких-либо данных о физлице (скажем, идентификационный код и другие данные о предпринимателе, с которым у предприятия заключен гражданско-правовой договор, либо паспортные данные руководителя предприятия-контрагента, действующего от его имени, ставшие известными при заключении какой-либо сделки и пр.), не является БПД с целью ее регистрации ввиду отсутствия определенной системы и структуры в такой информации. Владельцем БПД, на которого возложена обязанность по ее регистрации, может выступать физическое или юридическое лицо, которому законом или по согласию субъекта ПД предоставлено право на обработку этих данных, которое утверждает цель обработки ПД в этой базе данных, устанавливает состав этих данных и процедуры их обработки, если иное не определено законом. А значит, такой владелец, которым является любое предприятие и предприниматель, имеющий в распоряжении данную информацию о физлицах-субъектах ПД, самостоятельно принимает решение о том, является ли та или иная имеющаяся совокупность ПД этих физлиц БПД с целью ее регистрации. Согласно разъяснениям Государственной службы Украины по вопросам защиты персональных данных Украины (далее – ГСЗПД, орган, на который возложены функции регистрации БПД, ведения Госреестра БПД, выдачи обязательных для исполнения предписаний об устранении нарушений законодательства о защите ПД), каждое предприятие является владельцем, по меньшей мере, двух БПД: 1) наемных работников (если на предприятии числится хотя бы один наемный работник, информация о нем уже считается такой базой); 2) клиентов-физлиц или иных лиц, ПД которых обрабатываются предприятием в ходе его хозяйственной деятельности. При этом, разные отчеты и формы, содержащие в себе определенную совокупность сведений о физлицах, взятых из БПД их владельца, в соответствии с требованиями действующего законодательства периодически представляемые в разные контролирующие органы и иные органы госвласти, не рассматриваются как отдельные БПД, подлежащие регистрации. Обратим внимание, что регистрации подлежат не сами данные о физлицах, которые находятся в распоряжении владельца БПД и входят в состав такой базы, а факт их наличия. Это значит, что при регистрации БПД необходимо только указать название такой БПД и цель использования ПД, заполнив и направив соответствующее заявление установленной формы в электронном либо бумажном виде. ОТВЕТСТВЕННОСТЬ!!! Ответственность за нарушение законодательства о защите ПД имеет довольно внушительный вид, причем, предполагает не только административную, но и даже уголовную ответственность. Применяться она будет с 01.01.12 г., а это значит, что под такую ответственность попадут только те правонарушения, которые совершены после указанной даты. ГСЗПД – это орган, на который, в том числе, возложены функции: - контроля за соблюдением требований законодательства о защите ПД; - проведения в пределах своих полномочий выездных и невыездных проверок владельцев и (или) распорядителей БПД; - выдачи обязательных для исполнения предписаний об устранении нарушений законодательства о защите ПД; - составления админпротоколов о выявленных нарушениях; - передачи правоохранительным органам материалов о выявленных нарушениях. Рассматривать дела об административных правонарушениях уполномочены районные, районные в городах, городские или горрайонные суды (ст. 221 КУоАП). Заметим, что учитывая неконкретность требований самого Закона о защите ПД, определить нарушителя и привлечь его к ответственности и после этой даты будет весьма непросто. Хотя бы из-за наличия явных противоречий, имеющихся в некоторых его законодательных формулировках, и нестыковок с нормами других законодательных актов, а также множества вопросов в их практическом применении на практике. Ведь это принципиально новая для Украины сфера отношений, поэтому процедура привлечения к ответственности пока досконально не изучена теоретически и совершенно не опробована на практике. Вместе с тем, одним из основных, на наш взгляд, «белых пятен» можно считать вопрос о порядке проведения проверок соблюдения данного Закона с целью выявить его нарушителей. Дело в том, что Закон о защите ПД хоть и установил госорган, уполномоченный их проводить, но не определил порядок их проведения. При этом он также не содержит условия о том, что при проведении этих проверок данному контролирующему органу следует руководствоваться Законом Украины от 05.04.07 г. № 877-V «Об основных принципах государственного надзора (контроля) в сфере хозяйственной деятельности». Поэтому законность проведения проверок соблюдения законодательства о защите ПД в отсутствие какого-либо порядка их проведения - под большим вопросом. Вполне логично знать мнение компетентного органа в этой сфере об условиях привлечения к ответственности нарушителей. Представляем Вашему вниманию комментарий ГСЗПД, который получен на запрос ЛІГА:ЗАКОН: «З 1 січня 2012 року набирають чинності зміни до Кодексу України про адміністративні правопорушення та Кримінального кодексу України, якими введена адміністративна та кримінальна відповідальність (за порушення недоторканності приватного життя стосовно незаконного збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконної зміни такої інформації), але лише за наступних умов. 1) До ДСЗПД повинна бути надіслана скарга громадянина України (при цьому скарга має бути підкріплена документами, що підтверджують порушення у сфері захисту персональних даних). 2) На підставі скарги ДСЗПД буде проведено перевірку володільців та (або) розпорядників баз персональних даних щодо дотримання ними вимог законодавства у сфері захисту персональних даних, в результаті якої буде надано припис на усунення порушень. 3) В разі невиконання припису ДСЗПД складає адміністративний протокол, який потім передається до суду. 4) На підставі адміністративного протоколу проводиться судове засідання і приймається рішення про накладення адміністративного стягнення, передбаченого Кодексом України про адміністративні правопорушення, на підставі якого володільцем бази персональних даних сплачується штраф. Довідково. Ухиленням від державної реєстрації бази персональних даних не вважатиметься факт подачі володільцем бази персональних даних заяви про реєстрацію бази персональних даних до ДСЗПД до 1 січня 2012 р. Єдиним органом виконавчої влади, на який законом покладеного завдання щодо контролю за додержанням вимог законодавства про захист персональних даних є Державна служба України з питань захисту персональних даних, а рішення про адміністративне стягнення прийматиме лише суд». Источник: www.pravozahyst.com