Специально для издания «Юридическая практика» №22
Как говорится, уже «не за горами» 1 июля 2012 года, когда вступит в силу Закон Украины «О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных» (Закон № 3454). Этим Законом устанавливаются достаточно жесткие нормы административной и уголовной ответственности за неисполнение обязанностей, связанных с ведением и регистрацией баз персональных данных (БПД), так и за нарушение неприкосновенности частной жизни. Сегодня любой вид ответственности отсутствует.
Базы данных по сотрудникам
Введение механизма ответственности не может не волновать субъектов хозяйственной деятельности, ведь каждое без исключения предприятие имеет определенную БПД, как минимум под условным названием «Сотрудники». Ее наличие обусловливает необходимость регистрации такой базы, осуществления процедуры обработки (даже если на предприятии только один работник), создание защиты данных, разработка соответствующих инструкций и приказов. Нарушение регламентированной законодательством процедуры предопределяет применение штрафных санкций к должностным лицам предприятия в размере до 17 000 грн. и риск привлечения к уголовной ответственности. Относительно предприятий, имеющих большой штат персонала, разветвленную систему филиалов и обособленных подразделений, которые от имени самой компании также заключают гражданско-правовые договоры с физическими лицами и предпринимателями – ситуация по ведению БПД усложняется. В таких случаях следует уже говорить о назначении ответственных лиц в каждом из филиалов для того чтобы вести базу под условным названием «Контрагенты», что требует привлечения дополнительных кадров.
Таким образом ситуация доходит до абсурда в части обработки данных по базам «Сотрудники» и «Контрагенты», поскольку в большинстве случаев предприятия обязаны в силу других законодательных актов формировать базы данных (скажем кадровые картотеки, данные по идентификации лиц при осуществлении финансового мониторинга, персонификация физических лиц и др.). Кроме того, предприятия обязаны получать и сохранять персонифицированные данные лиц независимо от того, хотят этого последние или нет, что, конечно же, без должного согласия лица может расцениваться как нарушение со всеми вытекающими последствиями.
Верховным Советом Украины 15 мая с.г. под регистрационным № 10472 вынесен на рассмотрение законопроект «О внесении изменений в некоторые законодательные акты Украины относительно защиты персональных данных». Анализируя нормы законопроекта можно сказать, что его инициаторы предлагают достаточно действенные изменения, которые облегчат работу как мелким предпринимателям, так и крупным учреждениям и организациям. Как известно, наибольшее количество регистрируемых БПД, связаны с обеспечением и реализацией трудовых отношений – «Сотрудники», «Персонал» и другие. А обработка персональных данных даже одного наемного работника как для физического лица-предпринимателя, так и для юридического лица создает обязанность регистрации соответствующей базы и осуществление защиты персональных данных в ней. В свою очередь, законопроектом предлагается внести изменения в часть 1 статьи 9 Закона Украины «О защите персональных данных» (Закон № 2297), согласно которым не будут нуждаться в государственной регистрации БПД, в которых содержатся исключительно персональные данные субъектов, находящихся в трудовых отношениях с владельцем такой базы. Принятие таких изменений в Закон № 2297 позволит выдохнуть с облегчением малому бизнесу, поскольку в большинстве случаев предприятие имеет только одного работника – директора, а вынуждено регистрировать базу и осуществлять ее защиту в соответствии с установленными законодательством требованиями.
Кроме того, с принятием этого законопроекта упростится регистрация еще одной достаточно распространенной базы данных – «Контрагенты». Так, согласно законопроекту не требуют государственной регистрации персональные данные, полученные в связи с совершением действий, связанных с заключением, исполнением и/или прекращением сделки, стороной которой, представителем стороны, выгодополучателем или поручителем по которой либо другим,, связанным с такой сделкой лицом является субъект персональных данныхв случаеесли такие данные обрабатываются исключительно в связи с такой сделкой.. Такой подход вполне логичен, ведь субъект хозяйственной деятельности обязан иметь информацию о контрагенте, по крайней мере для того, чтобы выплатить средства и подать в налоговую отчет. Предприятие может быть и не заинтересовано в данных о личности как таковых, они ему нужны исключительно для выполнения обязательств как перед контрагентом, так и перед государственными органами. В таком случае предприятие использует данные на основании закона, что, кстати, предусмотрено и разрешается статьей 11 Закона № 2297.
Заручиться согласием
Еще одно нововведение касается согласия на обработку персональных данных. Наверняка некоторые предприятия уже столкнулись с рядом отказов в предоставлении письменного согласия. Большинство рядовых граждан даже не понимают значения такого согласия и подписывать его не решаются. И что дальше? Сегодня законодатель не дает однозначного ответа на этот вопрос, акцентируя внимание лишь на том, что данные можно обрабатывать либо на основании согласия субъекта, либо в силу закона (не удосуживаясь ответить при этом какого именно закона, решайте, мол, сами, а при проверке мы определим). Ответ на этот вопрос предлагает законопроект, определяя перечень оснований, которые дают возможность владельцу базы обрабатывать данные.
К таким основаниям относятся:
1) непосредственно само согласие субъекта (в письменной, электронной или другой форме, предусмотренной законом);
2) подписание субъектом любого договора при условии что данные будут использоваться только в связи с осуществлением такого договора;
3) необходимость защиты жизненно важных интересов субъекта;
4) обработка данных в силу закона;
5) необходимость защиты интересов владельца БПД или лиц, которым раскрываются данные;
6) свободное волеизъявление (и отсутствие возражения) до вступления в силу закона. Это основание можно будет использовать, к примеру, в тех ситуациях, когда базы данных существовали на предприятии еще до вступления в силу Закона № 2297. Согласно ему не нужно будет получать согласия от лиц, которые уже включены в нее, что облегчит и без того громоздкий объем документооборота.
7) наличие персональных данных в общедоступных источниках.
Важным шагом предложенных изменений является то, что они касаются трансграничной передачи персональных данных. Законопроект определяет страны, которые предоставляют надежную защиту персональных данных. Данное введение является усовершенствованием отечественного законодательства и адаптирует его к международным требованиям и стандартам.
Однако, внеся изменения в пункт 2 статьи 12 Закона №2297, законодатель не обратил внимания на правовую коллизию. Закон № 2297 устанавливает ответственность за несвоевременное уведомление субъекта о его правах в связи с включением его персональных данных в базу, цели сбора этих данных и круга лиц, которым они передаются. Согласно предлагаемым изменениям субъекту персональных данных подобная информация сообщается, если этого требуют условия его согласия после включения его персональных данных в базу. То есть законодатель отменяет основание наступления ответственности, указанной в Законе № 2297, но не вносит изменения в Закон № 3454.
Кроме того, законопроект все же не устраняет всех существующих пробелов. Например, таких как: отсутствие должного разграничения персональных данных на общие и уязвимые, как это требуется европейскими стандартами; определение исчерпывающего перечня сведений, относящихся к персональным данным; определение четкой процедуры уничтожения персональных данных и т.д.
Также стоит обратить внимание, что до сих пор не утвержден Порядок осуществления Государственной службой Украины по вопросам защиты персональных данных государственного контроля за соблюдением законодательства о защите персональных данных. Но, все же, принятие законопроекта положительно повлияет на отечественный бизнес, приблизит украинское законодательство к требованиям европейских стандартов, на что и будем надеяться.