Как помним, момент вступления в силу указанного закона был перенесен на полгода, а именно с 01.01.2012 на 01.07.2012. Одной из целей такого переноса была доработка нормативных актов в сфере защиты персональных данных, в частности Закона «О защите персональных данных» (далее — Закон № 2297-VI), который зачастую не дает четких определений и формулировок, что порождает разночтения его норм. Однако, несмотря на указанные ожидания значительных изменений в течение этого времени так и не состоялось.
Для многих предпринимателей не до конца ясными остаются некоторые основные понятия, в частности понятия персональных данных и базы персональных данных. Так, в Законе № 2297-VI дается следующее определение: «Персональные данные — это сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано». Однако конкретного перечня сведений о физлице, которые считаются персональными данными, нигде нет. А это дает основания для наложения санкций за неправильное использование любых данных о физическом лице. Понятно, что, прежде всего, к персональным данным относятся фамилия, имя и отчество лица, его дата рождения, адрес регистрации и другие данные, по которым это лицо можно идентифицировать. Но насколько широким может быть круг таких сведений? В официальном разъяснении Минюста «Некоторые вопросы практического применения Закона Украины «О защите персональных данных» указывается, что законодательством не установлено и не может быть установлен четкий перечень сведений о физическом лице, которые являются персональными данными. Это объясняется тем, как указывает Минюст, что необходимо обеспечить возможность применения закона для различных ситуаций, в том числе таких, которые могут возникнуть в будущем в связи с изменением в технологической, экономической и других сферах жизни.
Что касается понятия базы персональных данных, то его значение также остается не до конца понятным. Согласно Закону № 2297-VI базой персональных данных является именованная совокупность упорядоченных персональных данных в электронной форме или в форме картотек. Таким образом, сведения в базе должны быть обязательно структурированы. Из этого возникает вопрос: нужно ли считать неструктурированную и неупорядоченную совокупность данных базой персональных данных? Из указанного положения закона следует, что нет. Поэтому вы конечно можете решить не регистрировать такую базу. Однако в связи с этим возникают риски того, что во время проверки должностные лица Государственной службы защиты персональных данных (далее — ГСЗПД) все же признают эту совокупность сведений базой данных, следствием чего станут соответствующие административные санкции.
Кем является владелец базы персональных данных? Владельцем, согласно Закону № 2297-VI, является физическое или юридическое лицо, которому законом или с согласия субъекта персональных данных предоставлено право на обработку данных, которое утверждает цель обработки персональных данных в базе данных, устанавливает состав этих данных и процедуру их обработки, если иное не определено законом. Следует указать, что одно лицо может быть владельцем нескольких баз персональных данных, например, базы работников, клиентов, контрагентов и т. д.
А теперь к самому главному: какой является ответственность и за какие нарушения в сфере персональных данных она наступает? Прежде всего, это административная ответственность. С этим вопросом можно ознакомиться в таблице.
Административная ответственность за нарушения в сфере персональных данных
Неуведомление или несвоевременное уведомление субъекта персональных данных о его правах в связи с включением его персональных данных в базу персональных данных
Штраф: а) на граждан — от 200 до 300 необлагаемых минимумов доходов граждан (за повторное нарушение — от 300 до 500 необлагаемых минимумов); б) должностных лиц, граждан — субъектов предпринимательской деятельности — от 300 до 400 необлагаемых минимумов доходов граждан (за повторное нарушение — от 400 до 700)
Неуведомление или несвоевременное уведомление специально уполномоченного центрального органа исполнительной власти по вопросам защиты персональных данных (ГСЗПД) об изменении сведений, предоставляемых для государственной регистрации базы персональных данных
Штраф: а) на граждан — от 100 до 200 необлагаемых минимумов доходов граждан (за повторное нарушение — от 300 до 500 необлагаемых минимумов); б) на должностных лиц, граждан — субъектов предпринимательской деятельности — от 200 до 400 необлагаемых минимумов доходов граждан (за повторное нарушение — от 400 до 700)
Уклонение от государственной регистрации базы персональных данных
Штраф: а) на граждан — от 300 до 500 необлагаемых минимумов доходов граждан; б) на должностных лиц, граждан — субъектов предпринимательской деятельности — от 500 до 1000 необлагаемых минимумов доходов граждан
Несоблюдение установленного законодательством о защите персональных данных порядка защиты персональных данных в базе персональных данных, что привело к незаконному доступу к ним
Штраф: от 300 до 1000 необлагаемых минимумов доходов граждан
Невыполнение законных требований должностных лиц ГСЗПД об устранении нарушений законодательства о защите персональных данных
Штраф: на должностных лиц, граждан — субъектов предпринимательской деятельности — от 100 до 200 необлагаемых минимумов доходов граждан
Как видим, размеры штрафов внушающие: от 1700 грн. до 17 000 грн. Более того, Законом № 3454-VI предусматривается и уголовная ответственность: незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о лице или незаконное изменение такой информации наказываются штрафом от 500 до 1000 необлагаемых минимумов доходов граждан или исправительными работами на срок до двух лет, либо арестом на срок до шести месяцев, или ограничением свободы на срок до трех лет.
Чтобы избежать или по крайней мере снизить риски подпадания под указанные санкции, следует придерживаться следующего алгоритма действий:
Первое, что необходимо сделать перед созданием баз персональных данных, — это получить согласие субъектов персональных данных на обработку этих данных. Согласно ч. 6 ст. 6 Закона № 2297-VI не допускается обработка данных о физическом лице без его согласия, кроме случаев, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека. А в ст. 2 Закона № 2297-VI определено, что согласие субъекта персональных данных — это любое документированное, в частности письменное, добровольное волеизъявление физического лица о предоставлении разрешения на обработку его персональных данных в соответствии с сформулированной цели их обработки. Форма такого согласия является произвольной. Однако наличие такого согласия является необязательным, если право на обработку данных владелец имеет согласно закону. Так, например, Кодекс законов о труде предоставляет работодателям право при заключении трудового договора получать данные о работнике (ФИО, образование и т. д.).
После создания базы персональных данных необходимо уведомить субъекта этих данных о его правах в связи с включением его персональных данных в базу, о цели сбора данных и о лицах, которым эти данные передаются. Субъектами персональных данных, как уже указывалось, могут быть работники, клиенты, контрагенты и т. п. Сообщение, согласно ст. 12 Закона № 2297-VI, должно быть осуществлено в течение 10 рабочих дней со дня включения персональных данных в базу и исключительно в письменной форме. При этом сообщение не осуществляется, если персональные данные собираются из общедоступных источников (ч. 3 ст. 12 Закона). Конкретной формы указанного уведомления закон не устанавливает, поэтому его можно составлять произвольно. Если база персональных данных уже создана, а данные лица просто подлежат включению в эту базу, то десятидневный срок для уведомления нужно отсчитывать со дня включения сведений в базу (например, на дату приказа о приеме работника на работу).
Базы персональных данных подлежат обязательной регистрации в ГСЗПД, в результате которой владельцу базы выдается свидетельство о регистрации. Согласно ч. 2 ст. 10 Закона № 2297-VI регистрация баз персональных данных осуществляется по заявочному принципу путем сообщения. Как указывается в уже упоминавшемся выше разъяснении Минюста, суть заявочного принципа заключается в том, что основным является представление владельцем базы данных заявления о регистрации, а не получение свидетельства. Таким образом, лицам, которые подали заявление в ГСЗПД и получили официальное уведомление о ее получении, но еще не получили соответствующего свидетельства, не стоит волноваться по поводу наложения штрафов.
Стоит отметить, что согласно Закону № 2297-VI ГСЗПД должна:
сообщить заявителю не позднее следующего рабочего дня со дня поступления заявления о его получении;
В случае, если в сведения, представляемые для государственной регистрации баз персональных данных, вносятся изменения (например изменение местонахождения базы данных, изменение наименования юридического лица — владельца БПД, и др.), нужно в течение 10 рабочих дней сообщить о соответствующих изменениях ГСЗПД. Подчеркиваем, что речь идет не об изменениях сведений, содержащихся в регистрируемой базе данных, а о сведениях, которые подаются государственному регистратору в заявлении о регистрации баз данных.
После того, как база создана и зарегистрирована, нужно придерживаться установленного законодательством порядка защиты персональных данных. Каждое предприятие должно утвердить Положение об обработке персональных данных. Приказом Минюста от 30.12.2011 № 3659/5 утвержден Типовой порядок обработки персональных данных в базах персональных данных (далее — Типовой порядок). Поэтому при разработке собственного Положения предприятию необходимо ориентироваться на этот документ. Как указывается в п. 1.5 Типового порядка защита персональных данных возлагается на владельца персональных данных. Владелец базы должен определить: цель обработки, состав персональных данных, местонахождение базы данных порядок внесения, изменения, обновления, использования, уничтожения персональных данных; ответственное лицо или структурное подразделение. В Типовом порядке отдельно определены требования по обработке персональных данных в электронной форме и в форме картотек. В частности, указывается, что обработка данных в информационной системе может осуществляться в составе информационно-телекоммуникационной системы с применением средств сетевой защиты от несанкционированного доступа при обработке персональных данных. Картотеки баз данных должны храниться в помещениях (шкафах, сейфах), защищенных от несанкционированного доступа.
Такими являются основные правила, которых нужно придерживаться, чтобы избежать нарушений в сфере защиты персональных данных и санкций, которые за ними следуют.