С 1 января 2011 года вступил в силу Закон Украины от 01.06.2010 № 2297-VІ “О защите персональных данных” (далее – Закон № 2297), что вызвало много вопросов в предпринимательской среде, особенно у владельцев интернет-магазинов. И вот почему.
Вряд ли сейчас можно найти предпринимателя, у которого бы не была собрана воедино информация о клиентах, а Закон № 2297 требует регистрации подобных баз данных. Несмотря на то что этот документ содержит определение понятия персональных данных, для многих нет четкого понимания, какая информация подпадает под определение базы персональных данных и какие из имеющихся баз подлежат регистрации.
Поскольку ответственность за несоблюдение норм Закона № 2297 не установлена, был принят Закон Украины от 02.06.2011 г. № 3454-VI “О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных” (далее – Закон № 3454), который еще больше обеспокоил предпринимателей.
В связи с этим 20 сентября 2011 года в г. Днепропетровске был проведен круглый стол на тему: “Закон о защите персональных данных и ответственность за его нарушение”, который организовало и провело отделение АПУ в Днепропетровской области.
Модератором круглого стола выступил Евгений Смирнов, председатель отделения Ассоциации юристов Украины в Днепропетровской области. Докладчиками и участниками были представители предприятий, общественных организаций, контролирующих органов: партнер ЮФ “Прецедент” Галина Бакум, капитан МОО “Международный комитет по защите прав человека” Александр Сорочан, начальник сектора специальных проверок и предоставления информационных услуг ГУМВД Украины в Днепропетровской области Оксана Некрасова и др. Почетным гостем круглого стола и содокладчиком выступил доктор юридических наук председатель отделения АПУ в Харьковской области Елена Кибенко, которая поделилась с участниками неоценимым опытом зарубежных стран в области защиты персональных данных.
На круглом столе пытались разобраться: какие же данные являются персональными; что такое база персональных данных; каковы обязанности владельцев баз персональных данных; могут ли их привлечь к ответственности, если они своевременно не зарегистрируют свои базы, и др.
В Законе № 2297 дано определение персональных данных – “это сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано”. Эти сведения могут быть разными, поэтому с уверенностью можно утверждать, что к персональным данным можно отнести любую информацию о физическом лице. Ввиду этого многими специалистами озвучивается проблема, связанная с тем, что Закон № 2297 не содержит четкого определения понятия “персональные данные”. Под указанное определение подпадает слишком обширный круг данных о лице.
Похожая ситуация и с понятием “база персональных данных”. Так, в соответствии со ст. 2 Закона № 2297 база персональных данных – это “именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных”. Такое определение также сложно назвать четким. Из-за неконкретного определения самого понятия “персональных данных” любую картотеку можно считать базой персональных данных. И, как следствие, какой-либо объем информации в печатном виде, содержащий элементы персональных данных, при описанных условиях будет относиться к базе персональных данных.
Закон № 2297 определяет основные обязанности владельцев баз персональных данных. Кроме прочих они включают:
– получение письменного согласия лица на использование его персональных данных. В соответствии с ч. 6 ст. 6 Закона № 2297 не допускается обработка данных о физическом лице без его согласия, кроме случаев, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека. Статьей 2 данного Закона предусмотрено, что согласие субъекта персональных данных – это какое-либо документированное, в частности письменное, добровольное волеизъявление физического лица относительно предоставления разрешения на обработку его персональных данных в соответствии со сформулированной целью их обработки;
– уведомление лица о внесении его персональных данных в базу данных. (Для многих остается загадкой, зачем дополнительно в письменной форме уведомлять лицо о включении его персональных данных в базу персональных данных, если до этого уже было получено его письменное согласие на использование его персональных данных. И каким документом следует подтверждать полученное согласие на использование данных лица в базе персональных данных, каким документом уведомлять его о внесении сведений о нем в такую базу?);
– регистрацию базы персональных данных.
Согласно Закону № 2297 базы персональных данных подлежат регистрации в Государственном реестре баз персональных данных, при этом ничего не сказано о том, когда такие базы регистрировать не следует.
С 21 июня 2011 года вступило в силу постановление Кабинета Министров Украины от 25.05.2011 г. № 616 “Об утверждении Положения о Государственном реестре баз персональных данных и порядке его ведения”, согласно которому с 01.07.2011 г. начата регистрация баз персональных данных. Ведение такой регистрации осуществляет Государственная служба по вопросам защиты персональных данных (далее – ГСЗПД).
За уточнением можно обратиться на официальный сайт ГСЗПД www.zpd.gov.ua.
И конечно, самый главный вопрос: кто будет контролировать соблюдение законодательства о защите персональных данных предпринимателей и какие штрафные санкции предусмотрены за нарушение требований Закона № 2297? Следует отметить, что контроль за соблюдением законодательства о защите персональных данных в рамках полномочий возложен на органы ГСЗПД и другие органы государственной власти и органы местного самоуправления.
Положение о Государственной службе Украины по вопросам защиты персональных данных утверждено Указом Президента Украины от 06.04.2011 г. № 390/2011, в котором также перечислено, что должна контролировать данная служба. При этом не установлены пределы полномочий ГСЗПД. И это притом что согласно ст. 23 Закона № 2297 органы ГСЗПД имеют право беспрепятственного доступа в помещения, где осуществляется обработка персональных данных. А вот механизм реализации этого права не регламентирован. Не находим в нем ответов и на вопросы, как пресечь возможные попытки беспрепятственного доступа в помещение, когда для него нет оснований, и что считать достаточным основанием для такого доступа. Не установлены пределы полномочий других органов государственной власти, которые также имеют право осуществлять контроль в данной сфере.
Ответственность за нарушение законодательства о защите персональных данных обозначена Законом № 3454, который вступает в силу с 01.01.2012 г. Данным документом внесены изменения в Кодекс Украины об административных правонарушениях (дополнены ст. 18839–18840) и в Уголовный кодекс Украины (в новой редакции изложена ст. 182). Штрафы предусмотрены как за неуведомление субъектов персональных данных о том, что сведения о них внесены в базу персональных данных, так и за неуведомление органов ГСЗПД об изменении сведений в базе данных. По результатам работы круглого стола участники пришли к выводу: в Законе № 2297 нет четкого определения термина “база персональных данных”, нормы его носят декларативный характер, отсутствует четкий механизм защиты персональных данных от недобросовестных пользователей, владельцев и приобретателей – и выступили с инициативой внести предложения, рекомендации субъектам законодательной инициативы для дальнейшего совершенствования законодательства.
Галина БАКУМ, руководитель практики
налогового права ЮЦ "Прецедент",
www.precedent-94.dp.ua