Персональные данные: штрафы за «просто так»

Прошло уже больше года, как начал действовать Закон «О защите персональных данных», но предприниматели и руководители предприятий поначалу не восприняли его всерьез. Ситуация в корне изменилась летом 2011 г., когда 2 июня парламентарии приняли ЗУ «О внесении изменений в некоторые законодательные акты Украины об усилении ответственности за нарушение законодательства о защите персональных данных» (закон вступил в силу с 1 января). Штрафы до 17 тыс. грн не обрадовали никого, и многие ринулись регистрировать всевозможные базы данных. Но, во-первых, не все успели это сделать (а многие и не знали ни о какой регистрации), а во-вторых, с «базами данных» пришлось столкнуться даже такой «неответственной» категории граждан, как школьники. В частности, на прошлой неделе многих киевлян удивила необходимость подписания «добровольного согласия» на использование всевозможных данных об их детях для формирования баз персональных данных (БПД) школьных заведений. Сам факт таких БПД не особо удивляет — директора тоже не хотят платить штрафы. Удивляет другое — кому и зачем это надо? В общем, юридические аспекты ответственности за нарушение законодательства о защите персональных данных выясняла «Судебно-юридическая газета», пишет ЛигаБизнесИнформ.

Прежде всего, отметим, что многие положения Закона о защите персональных данных до сих пор не приведены в соответствие с украинскими реалиями, оставшись размытыми и не конкретизированными. Например, понятие базы персональных данных является настолько всеобъемлющим, что его можно применить и к набору визиток, и к списку адресов электронной почты, не говоря уже о блокноте с телефонами тех или иных лиц. А между тем нормы, регулирующие ответственность за нарушение закона, уже начали действовать. Такой подход просто недопустим.

Какая она, ответственность?

На сегодняшний день ответственность за нарушение неприкосновенности частной жизни весьма сурова. И на фоне принятого недавно решения КСУ, которым судьи определили, что конфиденциальной информацией являются любые сведения об имущественных и неимущественных отношениях лица (т. е. когда родился, где проживает, кому продал машину тот или иной человек), положение лиц, ответственных за формирование БПД, выглядит незавидным.

Например, работник не дал работодателю письменного разрешения на использование или хранение его персональных (конфиденциальных) данных. Но в силу специфики трудовых отношений работодатель просто не может не использовать в той или иной степени такие данные (например, при оформлении зарплатной карты). И вот банк, получив соответствующую информацию, начинает названивать и предлагать свои услуги работнику. Фактически нарушена ст. 182 УК Украины — незаконный сбор, хранение, использование, распространение конфиденциальной информации о лице. Санкция этой статьи предусматривает наказание в виде штрафа от 500 до 1000 необлагаемых минимумов доходов граждан, т. е. 8500-17000 грн, или в виде исправительных работ на срок до 2 лет, либо ареста на срок до 6 месяцев, или ограничения свободы на срок до 3 лет. Т. е. ответственное лицо работодателя-юрлица или работодатель-предприниматель запросто могут подвергнуться уголовному наказанию. И таких примеров на практике может оказаться не один и не два, а тысячи. Причем такая возможность уголовной расправы над бизнесом — весьма действенный аргумент в руках чиновников, жаждущих подчинить себе предпринимателей.

Отметим также, что ответственность за нарушение законодательства в сфере персональных данных может быть не только уголовной, но и административной, однако более щадящей из-за этого она не становится. Скажем, неуведомление или несвоевременное уведомление субъекта персональных данных о его правах в связи с включением данных о нем в БПД влечет наложение штрафа от 200 до 300 НМДГ (3400 — 5100 грн) для должностных лиц и от 300 до 400 НМДГ (5100 — 6800 грн) для граждан-субъектов предпринимательской деятельности. Уклонение же от государственной регистрации БПД (а таковой, по сути, может быть признана даже одна-единственная зарплатная ведомость на продавца на рынке) влечет наложение штрафа от 5100 до 8500 грн для граждан и от 8500 грн до 17000 грн для должностных лиц. На те же 17000 грн можно обеднеть и в случае, если кто-нибудь проникнет в вашу БПД (правда, как это доказать, не совсем понятно).

Кто в доме хозяин?

Еще до вступления в силу ЗУ «О защите персональных данных» глава государства В. Янукович своим Указом создал Государственную службу Украины по вопросам защиты персональных данных (далее — ГСЗПД). Именно этот орган составляет административные протоколы о выявленных нарушениях законодательства в сфере защиты персональных данных, а также передает правоохранительным органам материалы о выявленных нарушениях. Также ГСЗПД проводит в пределах своих полномочий выездные и безвыездные проверки как владельцев, так и распорядителей баз персональных данных. По словам председателя Госслужбы по вопросам защиты персональных данныхАлексея Мервинского, в 2011 г. работниками его ведомства было проведено 10 проверок. Полученный опыт сейчас анализируется и обязательно будет учтен при формировании рекомендаций относительно предотвращения нарушений законодательства о защите персональных данных.

Но несмотря на то, что ГСЗПД наделена весьма широким кругом полномочий, особенно с точки зрения контроля, на данный момент госслужба (к счастью) действует с учетом того, что законодатель недостаточно качественно выписал многие моменты как в работе этой службы, так и связанные с функционированием БПД. К примеру, «Судебно-юридической газете» в ГСЗПД сообщили, что даже если у предпринимателя работают всего два человека, он обязан подать заявление о регистрации БПД. Но при этом отметили, что хотя ЗУ «О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных» и вступил в силу, за запоздалую подачу заявления никаких штрафных санкций не предусмотрено. Более того, как выяснилось, никаких окончательных сроков, до которых нужно зарегистрировать все БПД, на сегодня не установлено. Так что не стоит сеять панику, если вы что-то забыли подать или заполнить — никто не будет устраивать массовых проверок с целью привлечения нарушителей действующего законодательства к ответственности. Во всяком случае, пока не будет.

Кроме того, 13 января парламентарии приняли ЗУ «О внесении изменений в Заключительные положения ЗУ »О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных". Согласно документу, если он будет подписан Президентом (находится в АП с 16.01.2012), нормы УК и КоАП, касающиеся усиленной ответственности за нарушение законодательства о защите персональных данных, вступят в силу только с 1 июля 2012 г. Данный шаг будет вполне логичным, учитывая острую необходимость в совершенствовании действующего закона о защите персональных данных. Если же этого не произойдет, откладывать с регистрацией базы персональных данных лучше не стоит.