Головна Аналітика Персональні дані: штрафи за "просто так"

Персональні дані: штрафи за "просто так"
Вівторок, 31 січня 2012, 19:23

Персональні дані: штрафи за просто такЯкщо Президент не підпише Закон № 9624 (який відкладає посилення санкцій щодо порушень, пов'язаних з базами даних), бізнес очікують штрафи до 17 000 грн.

Минуло вже більше року, як почав діяти Закон "Про захист персональних даних", але підприємці та керівники підприємств спочатку не сприйняли його серйозно. Ситуація докорінно змінилася влітку 2011 р., коли 2 червня парламентарії прийняли ЗУ "Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних" (закон вступив в силу з 1 січня). Штрафи до 17 тис. грн не порадували нікого, і багато кинулися реєструвати всілякі бази даних. Але, по-перше, не всі встигли це зробити (а багато хто й не знали ні про яку реєстрацію), а по-друге, з "базами даних" довелося зіткнутися навіть такій "невідповідальній" категорії громадян, як школярі. Зокрема, минулого тижня багатьох киян здивувала необхідність підписання «добровільної згоди» на використання всіляких даних про їхніх дітей для формування баз персональних даних (БПД) шкільних закладів. Сам факт таких БПД не особливо дивує - директори теж не хочуть платити штрафи. Дивує інше - кому і навіщо це треба?

Перш за все, відзначимо, що багато положень Закону про захист персональних даних до цих пір не приведені у відповідність з українськими реаліями, залишившись розмитими і не конкретизованими. Наприклад, поняття бази персональних даних є настільки всеосяжним, що його можна застосувати і до набору візиток, і до списку адрес електронної пошти, не кажучи вже про блокноти з телефонами тих чи інших осіб. А тим часом норми, що регулюють відповідальність за порушення закону, вже почали діяти. Такий підхід просто неприпустимий.

Яка вона, відповідальність?

На сьогоднішній день відповідальність за порушення недоторканності приватного життя дуже сувора. І на фоні прийнятого недавно рішення КСУ, яким судді визначили, що конфіденційною інформацією є будь-які відомості про майнові і немайнові відносини особи (тобто коли народився, де проживає, кому продав машину та чи інша людина), становище осіб, відповідальних за формування БПД, виглядає незавидним.

Наприклад, працівник не дав роботодавцю письмового дозволу на використання чи зберігання його персональних (конфіденційних) даних. Але в силу специфіки трудових відносин роботодавець просто не може не використовувати в тій чи іншій мірі такі дані (наприклад, при оформленні зарплатної карти). І ось банк, отримавши відповідну інформацію, починає надзвонювати й пропонувати свої послуги працівникові. Фактично порушено ст. 182 КК України - незаконне збирання, зберігання, використання, поширення конфіденційної інформації про особу. Санкція цієї статті передбачає покарання у вигляді штрафу від 500 до 1000 неоподатковуваних мінімумів доходів громадян, тобто 8500-17000 грн, або у вигляді виправних робіт на строк до 2 років, або арешту на строк до 6 місяців, або обмеження волі на строк до 3 років. Тобто відповідальна особа роботодавця-юрособи або роботодавець-підприємець запросто можуть піддатися кримінальному покаранню. І таких прикладів на практиці може виявитися не один і не два, а тисячі. Причому така можливість кримінальної розправи над бізнесом - дуже дієвий аргумент в руках чиновників, які прагнуть підпорядкувати собі підприємців.

Відзначимо також, що відповідальність за порушення законодавства у сфері персональних даних може бути не тільки кримінальною, але й адміністративною, однак більш делікатною через це вона не стає. Скажімо, неповідомлення або несвоєчасне повідомлення суб'єкта персональних даних про його права у зв'язку з включенням даних про нього в БПД тягне за собою накладення штрафу від 200 до 300 НМДГ (3400 - 5100 грн) для посадових осіб та від 300 до 400 НМДГ (5100 - 6800 грн) для громадян-суб'єктів підприємницької діяльності. Ухилення ж від державної реєстрації БПД (а такої, по суті, може бути визнана навіть одна-єдина зарплатна відомість на продавця на ринку) тягне за собою накладення штрафу від 5100 до 8500 грн для громадян та від 8500 грн до 17000 грн для посадових осіб. На ті ж 17000 грн можна збідніти і у випадку, якщо хто-небудь проникне у вашу БПД (правда, як це довести, не зовсім зрозуміло).

Хто в домі господар?

Ще до вступу в силу ЗУ "Про захист персональних даних" глава держави В. Янукович своїм Указом створив Державну службу України з питань захисту персональних даних (далі - ДСЗПД). Саме цей орган складає адміністративні протоколи про виявлені порушення законодавства у сфері захисту персональних даних, а також передає правоохоронним органам матеріали про виявлені порушення. Також ДСЗПД проводить у межах своїх повноважень виїзні та безвиїзні перевірки як власників, так і розпорядників баз персональних даних. За словами голови Держслужби з питань захисту персональних даних Олексія Мервінського, в 2011 р. працівниками його відомства було проведено 10 перевірок. Отриманий досвід зараз аналізується і обов'язково буде враховано при формуванні рекомендацій щодо запобігання порушенням законодавства про захист персональних даних.

Але незважаючи на те, що ДСЗПД наділена дуже широким колом повноважень, особливо з точки зору контролю, на даний момент держслужба (на щастя) діє з урахуванням того, що законодавець недостатньо якісно виписав багато моментів як у роботі цієї служби, так і пов'язані з функціонуванням БПД. Приміром, "Судово-юридичній газеті" у ДСЗПД повідомили, що навіть якщо у підприємця працюють лише дві особи, він зобов'язаний подати заяву про реєстрацію БПД. Але при цьому відзначили, що хоча ЗУ "Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних" і вступив в силу, за запізнілу подачу заяви ніяких штрафних санкцій не передбачено. Більше того, як з'ясувалося, ніяких остаточних термінів, до яких потрібно зареєструвати всі БПД, на сьогодні не встановлено. Так що не варто сіяти паніку, якщо ви щось забули подати або заповнити - ніхто не буде влаштовувати масових перевірок з метою притягнення порушників чинного законодавства до відповідальності. У всякому разі, поки не буде.

Крім того, 13 січня парламентарії прийняли ЗУ "Про внесення змін до Прикінцевих положень ЗУ "Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних". Згідно з документом, якщо він буде підписаний Президентом (знаходиться в АП з 16.01.2012), норми КК і КУпАП, що стосуються посиленої відповідальності за порушення законодавства про захист персональних даних, набудуть чинності тільки з 1 липня 2012 р. Даний крок буде цілком логічним, враховуючи гостру необхідність у вдосконаленні чинного закону про захист персональних даних. Якщо ж цього не відбудеться, відкладати з реєстрацією БПД краще не варто.

Коментар
Голова Держслужби з питань регуляторної політики та розвитку підприємництва Михайло Бродський:

- одна з основних задумок закону, який вступив у дію, полягала в превентивному контролі баз даних з тим, щоб не дати можливості кустарним ділкам так званого директ-маркетингу купувати інформацію про клієнтів, щоб потім продавати вам товари і послуги, про які ви не просили . Принаймні, такі були цілі. Так це працює в Європі відповідно до директиви ЄС та Конвенцією про захист осіб у зв'язку з автоматичною обробкою даних. Такою була вимога Європи до України. Але в європейських документах немає ні слова про санкції, а ряд положень нашого закону не витримує критики з точки зору їх практичної реалізації. Крім того, як це буває, в закон потрапило декілька корупційних норм. У ньому, перш за все, немає чіткого визначення, що таке база даних, а значить, незрозуміло, що і як треба захищати. Зараз група Мін'юсту розробляє зміни до закону. За основу взяли польське законодавство, засноване на європейських нормах.

Зарубіжний досвід
Не вся інформація повинна бути надсекретною

 У багатьох країнах Західної Європи персональні дані поділяються за кількома критеріями. Є загальні дані - наприклад ПІБ, дата і місце народження, громадянство, місце проживання і т. д., і є так звані "чутливі" або "вразливі" персональні дані. До них відносяться дані про стан здоров'я (наприклад, історія хвороби), етнічна приналежність, відбитки пальців, записи голосу, фотографії, кредитна історія, дані про судимість. Для другої категорії персональних даних передбачена більш висока ступінь захисту - заборонено їх збирання, зберігання, використання та передача без згоди суб'єкта цих даних.

За матеріалами: Судово-юридична газета