Закон о защите персональных данных - проще закона не было давно
Конец 2011 года ознаменовался погоней за базами персональных данных и повальной регистрацией неведомо чего.
Если еще пару месяцев назад юридические лица и физические лица - субъекты предпринимательской деятельности находились в полуобморочном состоянии, то сегодня многие, оценив здраво ситуацию, понимают, что никаких персональных данных, представляющих из себя базу, у них нет и быть не может.
Напомним, что в «ЭА» N 7/2011 мы подробно освещали ситуацию, связанную с вступлением в силу Закона о защите ПД, но на тот момент условия для полноценного применения данного Закона созданы не были, поэтому многие субъекты хозяйствования просто проигнорировали его важность.
Теперь приходится повторять все сначала.
Так, 1 января 2011 года вступил в силу Закон о защите ПД. Для чего он необходим и с какой целью принят?
Главным аргументом принятия настоящего Закона была необходимость приведения украинского законодательства к европейским стандартам и защита каждого человека от вмешательства в его личную жизнь. Это официальная версия. Однако размеры штрафных санкций и сопоставление их с бюджетными дырами породили и версию неофициальную...
Штрафные санкции подлежат применению с 1 января 2012 года, однако судебная практика реализаций Закона о защите ПД пока отсутствует. Конечно, практика может пойти по любому непредсказуемому и даже абсурдному пути, но каждый должен понимать правовую сторону и суть требований настоящего Закона.
Для выполнения Закона о защите ПД создан специальный орган - Государственная служба по вопросам защиты персональных данных (далее - Госслужба), расположенный по адресу: 02660 г. Киев, ул. М. Расковой, 15. Региональные подразделения не созданы, в связи с этим всю корреспонденцию направлять следует по указанному адресу.
На официальном сайте Госслужбы выложено мнение, согласно которому каждое юридическое лицо или предприниматель имеет как минимум две базы персональных данных: работники, контрагенты, подлежащие регистрации.
Так ли это? И главное, любая ли информация, позволяющая идентифицировать физическое лицо, подлежит регистрации в качестве базы персональных данных?
Оказывается, нет, не любая. Идея принятия международных стандартов (ради которых и был принят Закон о защите ПД) - установить требования в отношении действий, специально направленных на создание и использование неких баз данных о физических лицах. К примеру, справочник телефонов и адресов.
Обратимся к определению терминов, изложенных в Законе о защите ПД.
База персональных данных - это именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек.
Из приведенного понятия можно сделать вывод, что одного факта наличия у предприятия данных, позволяющих идентифицировать физическое лицо, недостаточно, чтобы считать, что предприятие владеет базой персональных данных.
Проще говоря, если на предприятие или у предпринимателя просто имеются договоры, свидетельства о госрегистрации, выписки из ЕГР, свидетельства плательщика единого налога и тому подобное, однако все перечисленное не систематизировано, хранится отдельно и не для целей сбора данных о физических лицах, а в силу выполнения договоров, то это не является базой и, соответственно, регистрации не подлежит.
Обращаем ваше внимание, что в Законе о защите ПД отсутствует требование об обязательном наличии на каждом предприятии/у предпринимателя базы персональных данных.
Сегодня насаждается мнение, что все должны иметь такие базы и, соответственно, их создавать, что является абсурдом. Подтверждением позиции автора статьи является ч. 2 ст. 4 Закона о защите ПД, которой предусмотрено, что владельцем или распорядителем базы персональных данных могут быть предприятия, учреждения и организации всех форм собственности. Могут быть. А ведь могут и не быть и, более того, «могут быть» и «все должны иметь» - абсолютно разные вещи.
Для более детального понимания, что такое база персональных данных, обратимся к международным документам. Так, Директивой о защите данных предусмотрено, что:
- обработка данных подпадает под действие данной Директивы исключительно в случаях, если обработка является автоматизированной или если обрабатываемые данные помещаются или предназначены для помещения в систему хранения, структурированную в соответствии с особыми критериями, относящимися к физическим лицам, для обеспечения легкого доступа к соответствующим персональным данным;
- содержание картотеки данных должно быть структурировано в соответствии с определенными критериями, касающимися физических лиц, что обеспечивало бы легкий доступ к персональным данным.
Из изложенного можно сделать вывод, что базой персональных данных может считаться не любая совокупность сведений о физическом лице, которые субъект хозяйствования может получить в ходе ведения хозяйственной деятельности для выполнения императивно определенных законодательством обязанностей в сфере трудового, налогового и иных сфер права, а лишь данные, которые определенным образом систематизируются и упорядочиваются, что предоставляет легкий доступ к данным о физическом лице.
Таким образом, можно утверждать, что Госслужба неоправданно широко трактует Закон о защите ПД, чем нарушает права субъектов хозяйствования, что, в свою очередь, создает препятствия для спокойного ведения деятельности.
Также в пользу того, что понятие базы персональных данных должно на практике использоваться в крайне узком значении, свидетельствует и факт установления серьезной ответственности за нарушение требований законодательства в сфере защиты персональных данных. Так, за уклонение от государственной регистрации базы персональных данных размер административного штрафа составляет от 8500 грн до 17 000 грн.
Поскольку санкции должны быть соразмерны нарушению и наступившим последствиям, было бы неоправданно наказывать субъектов хозяйствования за владение информацией без регистрации соответствующих баз персональных данных. Ведь подобные размеры штрафов в КУоАП больше не встретить, что уж говорить об ответственности уголовной.
Нельзя не согласиться, что в своей деятельности как юридические лица, так и предприниматели не могут обходиться без информации, которая позволяет идентифицировать лицо и, главное, выполнить обязанности, возложенные законом, - составление и подача отчетов и т.п.
Таким образом, при реализации Закона о защите ПД следует исходить из того, что сфера его применения направлена исключительно на тех владельцев баз персональных данных, деятельность которых направлена на упорядочение и систематизацию персональных данных, что облегчает доступ к ним и, как следствие, создает угрозу законным интересам физических лиц.
Резюмируя изложенное, можно говорить о том, что у юридических лиц и предпринимателей есть два варианта поведения:
1) настаивать на том, что у обычных предприятий вообще никаких баз данных нет. Закон о защите ПД узкого применения, и вряд ли найдется большое количество предприятий, на которых есть подобные структурированные базы данных;
2) согласиться с тем, что базы персональных данных на обычных предприятиях есть. А вместе с этим согласиться и с ворохом тех требований, которые выдвигает Госслужба, - с необходимостью получения согласия от работников на использование тех данных, которые в силу законодательных требований мы не можем не использовать, и пр.
Кроме того, не стоит забывать такую мудрость, как «Назвался груздем - полезай в кузов». Иными словами, если юридическое лицо или предприниматель подали заявление о регистрации базы персональных данных (даже если понятия не имеют, что это за база такая), то и другие требования обязаны выполнить - разработать внутренние документы, нести ответственность за несоблюдение порядка защиты персональных данных и т.п.
Более того, не удивляйтесь, что именно к вам, а не к тем, кто осознал, что базы у него нет и не стал ничего регистрировать, контролирующий орган и придет с проверкой. И проверит, как вы справились с защитой персональных данных, насколько тщательно вы защищаете базу от возможных посягательств.
Подводя итоги, можно сказать, что действительно Закон о защите ПД прост до банальности.
И если у вас таки есть база персональных данных, то алгоритм действий должен быть следующий:
1) получить согласие от работников (контрагентов, клиентов, изобретателей рационализаторских предложений и др.) об использовании их персональных данных с определенной целью.
При этом принудить кого-либо к согласию вы не вправе, а во многих случаях (отношения возникли до 2011 года и/или вы не выходите за рамки, к примеру, реализации трудовых отношений) такое согласие в принципе получать не нужно;
2) разработать и внедрить внутренние документы - положение о защите персональных данных, приказ об утверждении Положения и возложении обязанностей по обеспечению защиты персональных данных на должностное лицо предприятия (с его согласия);
3) зарегистрировать базу данных подачей в Госслужбу (в бумажной или электронной форме) соответствующего заявления. Если есть электронные ключи, то можно за 10 минут зарегистрировать прямо на сайте;
4) получить свидетельство о зарегистрированной базе персональных данных.
Незнание законов не освобождает от ответственности. Читайте и изучайте первоисточники - законы, а не «экспертов», сидящих в Сети.
Список использованных документов
КУоАП - Кодекс Украины об административных правонарушениях
Закон о защите ПД - Закон Украины от 01.06.2010 г. N 2297-VI «О защите персональных данных»
Директива о защите данных - Директива Европейского Парламента и Совета от 24.10.1995 г. N 95/46/ЕС «О защите физических лиц при обработке персональных данных и о свободном перемещении таких данных» (http://eakon,rada.g0t>.ua/egi-bi,n/laws/main.cginreg-994242)
“Экспресс анализ законодательных и нормативных актов”, N 52 (834),
26 декабря 2011 г.
Подписной индекс 40783