Персональные данные: штрафы за «просто так»

Если Президент не подпишет Закон №9624 (откладывающий ужесточение санкций по нарушениям, связанным с базами данных), бизнес ожидают штрафы до 17 000 грн

Прошло уже больше года, как начал действовать Закон «О защите персональных данных», но предприниматели и руководители предприятий поначалу не восприняли его всерьез. Ситуация в корне изменилась летом 2011 г., когда 2 июня парламентарии приняли ЗУ «О внесении изменений в некоторые законодательные акты Украины об усилении ответственности за нарушение законодательства о защите персональных данных» (закон вступил в силу с 1 января). Штрафы до 17 тыс. грн не обрадовали никого, и многие ринулись регистрировать всевозможные базы данных. Но, во-первых, не все успели это сделать (а многие и не знали ни о какой регистрации), а во-вторых, с «базами данных» пришлось столкнуться даже такой «неответственной» категории граждан, как школьники. В частности, на прошлой неделе многих киевлян удивила необходимость подписания «добровольного согласия» на использование всевозможных данных об их детях для формирования баз персональных данных (БПД) школьных заведений. Сам факт таких БПД не особо удивляет – директора тоже не хотят платить штрафы. Удивляет другое – кому и зачем это надо? В общем, юридические аспекты ответственности за нарушение законодательства о защите персональных данных выясняла «Судебно-юридическая газета».

Прежде всего, отметим, что многие положения Закона о защите персональных данных до сих пор не приведены в соответствие с украинскими реалиями, оставшись размытыми и не конкретизированными. Например, понятие базы персональных данных является настолько всеобъемлющим, что его можно применить и к набору визиток, и к списку адресов электронной почты, не говоря уже о блокноте с телефонами тех или иных лиц. А между тем нормы, регулирующие ответственность за нарушение закона, уже начали действовать. Такой подход просто недопустим.

Какая она, ответственность?

На сегодняшний день ответственность за нарушение неприкосновенности частной жизни весьма сурова. И на фоне принятого недавно решения КСУ, которым судьи определили, что конфиденциальной информацией являются любые сведения об имущественных и неимущественных отношениях лица (т. е. когда родился, где проживает, кому продал машину тот или иной человек), положение лиц, ответственных за формирование БПД, выглядит незавидным.

Например, работник не дал работодателю письменного разрешения на использование или хранение его персональных (конфиденциальных) данных. Но в силу специфики трудовых отношений работодатель просто не может не использовать в той или иной степени такие данные (например, при оформлении зарплатной карты). И вот банк, получив соответствующую информацию, начинает названивать и предлагать свои услуги работнику. Фактически нарушена ст. 182 УК Украины – незаконный сбор, хранение, использование, распространение конфиденциальной информации о лице. Санкция этой статьи предусматривает наказание в виде штрафа от 500 до 1000 необлагаемых минимумов доходов граждан, т. е. 8500–17000 грн, или в виде исправительных работ на срок до 2 лет, либо ареста на срок до 6 месяцев, или ограничения свободы на срок до 3 лет. Т. е. ответственное лицо работодателя-юрлица или работодатель-предприниматель запросто могут подвергнуться уголовному наказанию. И таких примеров на практике может оказаться не один и не два, а тысячи. Причем такая возможность уголовной расправы над бизнесом – весьма действенный аргумент в руках чиновников, жаждущих подчинить себе предпринимателей.

Отметим также, что ответственность за нарушение законодательства в сфере персональных данных может быть не только уголовной, но и административной, однако более щадящей из-за этого она не становится. Скажем, неуведомление или несвоевременное уведомление субъекта персональных данных о его правах в связи с включением данных о нем в БПД влечет наложение штрафа от 200 до 300 НМДГ (3400 – 5100 грн) для должностных лиц и от 300 до 400 НМДГ (5100 – 6800 грн) для граждан-субъектов предпринимательской деятельности. Уклонение же от государственной регистрации БПД (а таковой, по сути, может быть признана даже одна-единственная зарплатная ведомость на продавца на рынке) влечет наложение штрафа от 5100 до 8500 грн для граждан и от 8500 грн до 17000 грн для должностных лиц. На те же 17000 грн можно обеднеть и в случае, если кто-нибудь проникнет в вашу БПД (правда, как это доказать, не совсем понятно).

Кто в доме хозяин?

Еще до вступления в силу ЗУ «О защите персональных данных» глава государства В. Янукович своим Указом создал Государственную службу Украины по вопросам защиты персональных данных (далее – ГСЗПД). Именно этот орган составляет административные протоколы о выявленных нарушениях законодательства в сфере защиты персональных данных, а также передает правоохранительным органам материалы о выявленных нарушениях. Также ГСЗПД проводит в пределах своих полномочий выездные и безвыездные проверки как владельцев, так и распорядителей баз персональных данных. По словам председателя Госслужбы по вопросам защиты персональных данных Алексея Мервинского, в 2011 г. работниками его ведомства было проведено 10 проверок. Полученный опыт сейчас анализируется и обязательно будет учтен при формировании рекомендаций относительно предотвращения нарушений законодательства о защите персональных данных.

Но несмотря на то, что ГСЗПД наделена весьма широким кругом полномочий, особенно с точки зрения контроля, на данный момент госслужба (к счастью) действует с учетом того, что законодатель недостаточно качественно выписал многие моменты как в работе этой службы, так и связанные с функционированием БПД. К примеру, «Судебно-юридической газете» в ГСЗПД сообщили, что даже если у предпринимателя работают всего два человека, он обязан подать заявление о регистрации БПД. Но при этом отметили, что хотя ЗУ «О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных» и вступил в силу, за запоздалую подачу заявления никаких штрафных санкций не предусмотрено. Более того, как выяснилось, никаких окончательных сроков, до которых нужно зарегистрировать все БПД, на сегодня не установлено. Так что не стоит сеять панику, если вы что-то забыли подать или заполнить – никто не будет устраивать массовых проверок с целью привлечения нарушителей действующего законодательства к ответственности. Во всяком случае, пока не будет.

Кроме того, 13 января парламентарии приняли ЗУ «О внесении изменений в Заключительные положения ЗУ «О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных». Согласно документу, если он будет подписан Президентом (находится в АП с 16.01.2012), нормы УК и КоАП, касающиеся усиленной ответственности за нарушение законодательства о защите персональных данных, вступят в силу только с 1 июля 2012 г. Данный шаг будет вполне логичным, учитывая острую необходимость в совершенствовании действующего закона о защите персональных данных. Если же этого не произойдет, откладывать с регистрацией БПД лучше не стоит.

Егор Желтухин,

«Судебно-юридическая газета»

**Комментарий**

Председатель Госслужбы по вопросам регуляторной политики и развития предпринимательства Михаил Бродский:

– Одна из основных задумок закона, который вступил в действие, заключалась в превентивном контроле баз данных с тем, чтобы не дать возможности кустарным дельцам так называемого директ-маркетинга покупать информацию о клиентах, чтобы потом продавать вам товары и услуги, о которых вы не просили. По крайней мере, такие были цели. Так это работает в Европе в соответствии с директивой ЕС и Конвенцией о защите личности в связи с автоматической обработкой данных. Таким было требование Европы к Украине. Но в европейских документах нет ни слова о санкциях, а ряд положений нашего закона не выдерживает критики с точки зрения их практической реализации. Кроме того, как это бывает, в закон попало несколько коррупционных норм. В нем, прежде всего, нет четкого определения, что такое база данных, а значит, непонятно, что и как нужно защищать. Сейчас группа Минюста разрабатывает изменения в закон. За основу взяли польское законодательство, основанное на европейских нормах.

**Зарубежный опыт**

Не вся информация должна быть сверхсекретной

Во многих странах Западной Европы персональные данные разделяются по нескольким критериям. Есть общие данные – например ФИО, дата и место рождения, гражданство, место жительства и т. д., и есть так называемые «чувствительные» или «уязвимые» персональные данные. К ним относятся данные о состоянии здоровья (например, история болезни), этническая принадлежность, отпечатки пальцев, запись голоса, фотографии, кредитная история, данные о судимости. Для второй категории персональных данных предусмотрена более высокая степень защиты – запрещен их сбор, хранение, использование и передача без согласия субъекта этих данных.

**Инфосправка**

Как правильно подать заявление на регистрацию БПД

Для создания заявления в электронном виде необходимо выполнить следующие действия:

1. Зайти на сайт ГСЗПД (www.zpd.gov.ua) и перейти в соответствующий раздел «Создать заявление – О регистрации БПД».

2. Заполнить заявление на украинском языке, обязательно заполнив поля отмеченные звездочкой (*).

3. Ввести контрольные символы внизу страницы и нажать «Сформировать заявление».

4. Если все сделано правильно, откроется страница с сообщением об успешном формировании файла заявления.

5. Далее нужно нажать «Сохранить файл заявления» и сохранить XML-файл заявления на своем компьютере. Помните, что подавать электронный вариант заявления необходимо только с цифровой подписью.

6. На сайте ГСЗПД необходимо перейти в раздел «Подать заявление в электронной форме» и указать путь к необходимому файлу, используя кнопку «Обзор», а в поле «Файл заявления» указать путь к неподписанному заявлению.

7. В поле «Файл цифровой подписи заявления» нужно указать путь к заявлению, подписанному руководителем, в поле «Файл публичного сертификата» – путь к сертификату руководителя. В поле «Файл цифровой подписи печати» надо указать путь к заявлению, подписанному печатью (при наличии), а в поле «Файл публичного сертификата печати» – путь к сертификату печати организации (при его наличии).

8. Затем останется лишь ввести контрольные символы и нажать кнопку «Подать заявление».

После успешной подачи заявления на адрес электронной почты заявителя, указанный в заявлении, поступает сообщение. Оно содержит регистрационный номер заявления, а также файлы уведомления о получении заявления в форматах .prnx и .pdf. Состояние обработки заявления можно отследить по его регистрационному номеру с помощью поиска на главной странице сайта Госреестра.

Впрочем, подать заявление о регистрации БПД можно и старым добрым способом – написав его на бумаге. Для этого необходимо заполнить специальную форму (для юридических и физических лиц они разные), которую можно взять на сайте ГСЗПД, поставить подпись и печать и сдать нарочным или отправить по почте.