Останнім часом українські підприємці активно обговорюють нове законодавство про захист персональних даних. Люди бояться, що до тих із них, хто не встигне зареєструвати свої бази персональних даних у Державній службі з питань захисту персональних даних до 1-го січня 2012 року, застосовуватимуться штрафні санкції. І навіть суми називають: мовляв, штрафуватимуть на суму до 17 000 грн. Результатом таких чуток стали черги і нервування в офісі Держслужби, куди підприємці з усієї України кинулися реєструвати свої бази персональних даних.
Така ситуація змусила чиновників роз'яснити ситуацію - що і як насправді. Так, директор департаменту Міністерства юстиції по зв'язках з органами влади Олена Зеркаль повідомила, що підприємцям турбуватися не варто, ніхто їх з нового року штрафувати не збирається.
«Жодного автоматичного штрафу не буде і бути не може. Штрафні санкції застосовуватимуться виключно за рішенням суду, а воно прийматиметься тільки на підставі протоколу про адміністративне правопорушення, який складає Державна служба з питань захисту персональних даних», - підкреслила Зеркаль. І додала, що в цій держструктурі на сьогодні працює 51 співробітник. З них лише сім осіб мають повноваження контролю, тому можливості відомства обмежені.
Крім того, перевірки можуть бути плановими або ж на підставі мотивованої скарги, отриманої Держслужбою від громадян про те, що їх персональні дані передані третім особам.
Також чиновник Мін'юсту закликає підприємців не створювати черги в офісі реєстраційної служби, оскільки зареєструвати бази персональних даних можна і звичайною, чи електронною, поштою з використанням електронного цифрового підпису.
«Законом «Про захист персональних даних» встановлено заявний порядок реєстрації баз персональних даних і підприємці з регіонів можуть поштою або в електронній формі послати заяви про реєстрацію. З першого січня реєстрація не припиняється», - роз'яснила Зеркаль.
Крім цього, в Держслужбі закликають українців не турбуватися про те, що їхні персональні дані можуть потрапити, так би мовити, в чужі руки. Підприємці відправлятимуть в Держслужбу не самі паспортні дані, ідентифікаційні коди, номери дипломів, та ін., а інформацію про те, що такий-то роботодавець має персональні дані фізичних осіб на законних підставах.
«Це - найбільш поширена помилка. Ніякі персональні дані в службу захисту персональних даних не передаються. Реєструється база, де вказується, хто володіє базою, які дані і з якою метою обробляються. Дані про осіб, що знаходяться в базі, не віддаються в службу. Ними розпоряджається і, відповідно, несе відповідальність за їх зберігання власник бази», - запевнила Зеркаль.
Але якщо з питань можливих санкцій Мін'юст більш-менш розставив крапки над «і», то відкритим залишається питання - що входить в поняття «бази персональних даних».
Як роз'яснили в Міністерстві, базою персональних даних однозначно є інформація про найманих працівників у відділі кадрів підприємства.
Однак на практиці принцип визначення бази персональних даних залишається дещо розмитим.
Якщо адвокат разово захищав інтереси клієнта, наводить приклад Зеркаль, і, відповідно, володіє його персональними даними, то це не означає, що він володіє базою персональних даних і, отже, реєструвати йому нічого не потрібно.
Але, якщо той же адвокат на постійній основі захищає інтереси клієнта, то він стає власником бази персональних даних клієнта і зобов'язаний повідомити про це в Держслужбу. Проте, де межа між «разово» і «на постійній основі», закон не роз'яснює.
Ще одна неясність в тому, що закон зобов'язує реєструвати бази також некомерційних організацій: політичні партії, релігійні громади, громадські організації. Але тільки за умови, що керівництво цих громадських об'єднань веде облік своїх членів з використанням їх персональних даних.
Питання, чи потрібно реєструвати бази даних віруючих керівництву релігійних організацій, залишається відкритим. Адже у глави тієї чи іншої конфесії є персональні дані священослужителів, але відсутні дані прихожан. Як тут діяти?
Важко оцінити і доцільність ухвалення закону «Про захист персональних даних» у нашій країні.
За словами Зеркаль, Україна зробила це для того, щоб привести українське законодавство у відповідність до Конвенції Ради Європи «Про автоматизовану обробку персональних даних».
Практичний сенс закону на перший погляд логічний: закон допомагає захистити персональні дані громадянина від несанкціонованого використання. На практиці це може виглядати так: роботодавець або банк без дозволу фізичної особи передав його персональні дані (скажімо, домашню адресу) третій особі, наприклад рекламному агентству.
У результаті клієнтові банку або найманому працівникові додому приходять рекламні листи. Далі людина пише скаргу до Держслужби з питань захисту персональних даних і вже вона повинна розібратися, яким чином інформація про домашню адресу цієї людини потрапила до рекламного агентства. А далі встановити винного у несанкціонованій передачі персональних даних третій особі і застосувати до нього міру впливу.
Однак, усе це в теорії, а на практиці ця схема навряд чи діятиме в українських реаліях.
Як воно буде - покаже час. А нам залишається сподіватися, що європейська практика щодо захисту персональних даних приживеться в Україні.
Дмитро Хилюк,
Спасибі за Вашу активність, Ваше питання буде розглянуто модераторами найближчим часом
2307
