Законы, кодексы, проекты
Защита персональных данных по-украински
С нового года начинает действовать новый контролирующий орган и новая система штрафов до 17000 гривен
С 1 января 2012 года практически все организации Украины может захлестнуть новая волна, правда, на сей раз не кризиса, а штрафов. Они будут налагаться за несоблюдение Закона "О защите персональных данных". И суммы немалые - от 1,7 до 17 тысяч гривень. Такое положение вещей является следствием того, что механизмы введения в действие упомянутого закона, который призван внедрить в Украине цивилизованный, европейский стандарт пользования личными данными жителей страны, на сегодня не отработаны. Особенно "не повезло" Государственной службе по вопросам защиты персональных данных. Созданная указом Президента еще в декабре 2010 года, деятельность которой координируется Кабмином, в частности - через министра юстиции, не в силах гарантировать своевременную регистрацию этих самых баз данных. Ее "пропускная" возможность не позволяет обслужить вал предприятий и организаций, которые кинулись выполнять предписания.
***1 января 2011 г. Верховная Рада приняла закон "О защите персональных данных", предполагающий ответственность за распространение любых персональных данных физических лиц, с которыми работают предприятия, организации, учреждения. Получение, хранение, передача и даже уничтожение персональных данных, к которым относится ФИО, адрес проживания, номер идентификационного кода, теперь возможно лишь с письменного разрешения их обладателя. В июне 2011 года парламент принял закон об ответственности за нарушение в сфере защиты персональных данных. Данный документ вступит в действие с 1 января следующего года. То есть, банки, суды, госорганы рискуют быть оштрафованы за некорректное обращение с персональными данными граждан.
Еще в начале текущего года общественность высказывалась за доработку законодательства в данной сфере, поскольку многие участники рынков, например, банкиры, не понимали, каким образом будут его соблюдать, так как оставалось неясным, какая теперь информация подпадает под определение "банковская тайна". Проблемными также назывались неоправданно завышенные права субъектов баз персональных данных, норма об уничтожении баз данных и пр. О необходимости доработки закона заявлял и заместитель председателя Государственной службы по вопросам защиты персональных данных Владимир Козак: "По порядку обработки персональных данных в банковской сфере, информации, которая содержит банковскую тайну, этот вопрос пока на серьезном уровне не начат".
"Сырой" закон в действии
Практика создания и использования баз персональных данных (БПД) уже давно традиционна в мире. Главная цель - защитить от распространения определенную информацию о человеке. Сами же базы данных представляют собой любую информацию, согласно которой можно идентифицировать конкретного человека.
В Украине с принятием соответствующего закона идея этого механизма немного искривлена. Но этого "немного" оказалось достаточно, чтобы возникли серьезные проблемы с эффективностью использования принципов регистрации БПД.
Дело в том, что в документе, действующем с начала 2011 года, нет четкого разграничения между "чувствительной" информацией - которая требует защиты, и идентификационной - использование которой фактически не наносит ущерб физлицам. К "чувствительным" относятся данные из истории болезни, о судимости, кредитные истории и т.д. "Именно эти персональные данные должны быть защищены на высоком уровне", - отмечает управляющий партнер юридической компании "Лигал асистанс групп" Дмитрий Евдий.
Идентификационные данные - имя, фамилия, отчество, место работы и т.д. "Это идентифицирующие персональные данные, разглашение которых в большинстве случаев не наносит ущерб какому-либо лицу", - подчеркнул эксперт.
Отсутствие упомянутого разграничения в законодательстве приводит к тому, что все существующие базы данных физлиц необходимо регистрировать. Если взять в качестве примера предприятия, поясняет Д.Евдий, то получается, что на сегодня нет исключения относительно базы данных их работников, контрагентов, деловых партнеров, разглашение такой информации не несет угрозы. То есть, нет смысла регистрировать их. "Если у стандартного юрлица баз данных может быть 2-3, то фактически у предприятий, для которых профессиональная деятельность - обработка ПД, их может быть несколько сотен", - резюмирует юрист.
Подгонять спешащего - законодательный принцип
В преддверии введения штрафов за нарушение закона о ЗПД, все владельцы баз данных вынуждены оперативно регистрировать их в Государственной службе по вопросам защиты персональных данных. И тут проявились две крайности. Первая - огромные объемы информации, поступающие в службу, с обработкой которых она не справляется. Вторая - достаточно сложно, скорее, практически невозможно, проконтролировать, нарушает ли какая-либо компания правила подачи информации.
По словам вице-президента Украинского союза промышленников и предпринимателей (УСПП), члена общественного совета при Госслужбе по вопросам защиты персональной информации Ивана Петухова, "сегодня в день приходит до 10 тысяч заявлений на регистрацию БЗ. В то же время, штат службы не превышает 50 человек. Мыслимо ли таким штатом отработать такой объем корреспонденции?!".
В пресс-службе Министерства юстиции подтвердили: "С начала функционирования реестра в Государственную службу по вопросам защиты персональных данных приходило небольшое количество заявлений на регистрацию БПД, которое начало расти, начиная с конца ноября 2011 года". Так, с 1 июля до 21 ноября т.г. было подано менее 2 тыс. заявлений. С конца ноября ситуация резко поменялась. "Количество поданных заявлений за последние три недели составляет около 100 тысяч. Они обрабатываются в порядке очереди", - отметили в министерстве.
Кого сделают крайним?
Между тем, проконтролировать выполнение предприятиями законодательной нормы о регистрации БПД крайне сложно, считает Петухов. "В Украине 6,5 млн. частных предпринимателей. В большинстве своем у них работает небольшое количество людей. Допустим, один работник. На этого человека оформлена трудовая книга - база данных, заработная плата начисляется - вторая база данных... Умножьте на 6,5 млн.", - отмечает он.
Это касается порядка 300 предприятий, у которых, как минимум, две базы данных. "У нас сколько-то тысяч общественных организаций, минимум на два надо множить. У нас есть больницы, школы, садики, библиотеки, у нас есть государственные органы... То есть, по самым скромным подсчетам, 15 млн. баз данных. Я не думаю, что кто-то кого-то сможет привлечь сейчас (к ответственности), проконтролировать...", - подчеркивает Петухов.
Евдий уточняет, что ответственность наступает не за отсутствие факта регистрации базы персональных данных, а за уклонение от регистрации. Другими словами, если заявка предприятия на регистрацию подана в Госслужбу, но по какой-то причине в этом отказано, то данная ситуация не считается фактом уклонения от регистрации.
Эксперты почти единогласно сходятся во мнении, что учреждение Госслужбы не сопряжено с идей создать очередную коррупционную структуру.
В то же время, законодательство в сфере защиты персональных данных прописано таким образом, что можно за любую мелочь притянуть к ответственности, даже к уголовной, отмечает Евдий. "Возможности в связи с этим законом для коррупции есть, но пока любые намеки на то, что он будет использоваться таким образом, отсутствуют", - подчеркнул эксперт. Но "формализм и бюрократизм этого закона фактически не столько защищают субъектов персональных данных, сколько создают дополнительные неудобства для бизнеса, для любой социальной деятельности", считает эксперт.
Выход из ситуации он видит в том, чтобы хотя бы выписать в законе, что такое "чувствительные" и идентификационные персональные данные. Это позволит сократить количество заявок, поступающих в службу.
Такого же мнения придерживается И.Петухов. "Для того чтобы эту ситуацию урегулировать, необходимо отсечь самый большой объем баз данных. Нужно признать, если таблица состоит из 30 сотрудников, 50 сотрудников, то она не является существенной и такой, которая может повлиять на ситуацию с персональными данными".
По словам Петухова, Госслужба обратится в правительство с просьбой урегулировать ситуацию. "Постараемся, возможно, чтобы на уровне Кабинета Министров было принято какое-то решение, допустим, чтобы для частных предпринимателей продлили срок регистрации до примерно 2016 года. Или же в срочном порядке нужно принять закон, предусматривающий, что предприятия с определенной численностью пока не будут регистрировать бухгалтерию и кадры до такого-то года", - пояснил он.
Но пока достучатся в Кабмин, юридическим лицам придется отдуваться за промахи законодателей. В принципе, как обычно…