Новий страшний закон – нові добровільні жертви!
01 червня 2010 року був прийнятий Закон України «Про захист персональних даних». Здавалося б, така хороша мета законодавчого акту: захистити. Але, як кажуть, хотіли як краще – вийшло як завжди.
Навіть цей закон (далеко не ідеальний та «сирий» з юридичної точи зору) став тестом рівня нашої громадської свідомості та готовності до повноправного діалогу з владою у правовому полі. На жаль, ми отримали доказ того, як (у своїй більшості) ми й досі чемно виконуємо команди «фас» (не думаючи, не аналізуючи) і , що найгірше, самі собі наганяючи такого страху і паніки. А в страху, як відомо, очі великі.
Давайте подумаємо разом!
1. Закон регламентує реєстрацію бази персональних даних, якою є іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних (ст. 2 Закону). Власником бази персональних даних Закон визначає фізичну або юридичну особу, якій законом або за згодою суб'єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом (ст.2 Закону). Реєстрація баз персональних даних здійснюється за заявочним принципом шляхом повідомлення (ст.9 Закону).
Отже, власники бази даних чи картотек подають не звіт (як це подається за переказами «одна баба сказала»), а заяву на реєстрацію (типу заяви на реєстрацію права власності). За результатами розгляду заяви може бути відмова у реєстрації (п.5. ст.9 Закону). При прийнятті рішення про подання чи неподання такої заяви ви повинні дати відповідь на питання : чи є у вашому розпорядженні персональні дані , які можна назвати «іменованою сукупністю упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних»? Що стосується різної кадрової документації та звітності, то , на думку самої ж Державної служби з питань захисту публічної інформації, різні типи звітів і форм, які з встановленою законом періодичністю передаються різним державним службам , не слід розглядати як окремі бази персональних даних. Давайте думати логічно: для подання щорічних звітів у кожному найменшому місті чи районі працює податковий орган з чималеньким штатом працівників. Скільки потрібно часу і працівників у новоствореній службі, щоб розібрати мільйони листів-заяв від кожного, хто бодай має чи мав одного найманого працівника?!
Крім того, Закон чітко визначає саме упорядкованість персональних даних в електронній формі чи у формі картотеки. Таким чином, подавши добровільну заяву, якою вами задекларовано факт наявності у вас бази даних чи картотеки, ви тим самим зробили перший крок на зустріч ще одному контролюючому органу (Державній службі з питань захисту персональних даних), яка тепер має всі підстави взяти вас під свою «опіку» (про яку буде розказано нижче по тексту).
2. Чи має право на існування міф про необхідність подання даної заяви до 15 грудня чи якоїсь іншої дати? Заява подається у разі наявності чи у випадку появи у вас такої бази даних чи картотеки. А якщо дана база чи картотека буде сформована вами 19 грудня 2011р. чи 20 березня 2012року? Ні Законом, ні відповідними Положенням та Порядком взагалі не регламентовано часовий проміжок подання заяви ні для діючих баз даних, ні для новостворених від часу їх створення. Тому поняття «ухилення від реєстрації» не повинно трактуватися як не здійснення реєстрації до саме 01.01.2012р., а починатися з факту встановлення чи визнання вами наявності бази даних взагалі, яка підлягає реєстрації. Отже, якщо ви дали ствердну відповідь на питання, щодо наявності у вас бази чи картотеки, то термін подання заяви для отримання свідоцтва власника цієї бази визначається вами в залежності від необхідності захистити себе від судових позовів з боку осіб, персональні дані яких ви обробляєте. Звичайно, це в першу чергу стосується банків, страхових компаній, медичних закладів, адвокатів, які можуть бути звинувачені у несанкціонованому використанні отриманої інформації про особу .
3. Треба зізнатися, що дійсна причина паніки закладена не в самому Законі «Про захист персональних даних», а в Законі «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» в частині внесення змін до Кодексу України про адміністративні правопорушення , які наберуть чинності з 1січня 2012року. Насамперед, ст.182 КУпАП «Порушення недоторканності приватного життя» встановлює відповідальність у розмірі від 8500 до 17000грн. (не варто навіть згадувати ще про можливість позбавлення волі на строк до 3-х років (страшно!) за незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації. Зверніть увагу, що така відповідальність наступає за рішенням суду у випадку подання скарги чи позову особою, права якої ви порушили своїм «довгим язиком». Причому наявність у вас свідоцтва власника бази даних абсолютно не виключає можливості притягнення вас до відповідальності за цією статтею. Так само, як і відсутність у вас бази даних чи картотеки не є гарантією того, що вас не можуть притягнути до такої відповідальності. Думаємо, що всі прекрасно розуміють, кого в першу чергу хотіли захистити цією статтею. Навряд чи у звітах про доходи фізичних осіб , які ми здаємо у податкову, є багато цікавої та конфіденційної інформації , стосовно розголошення якої на нас можуть подати до суду?!
4. Тепер кілька слів про «опіку» Державної служби з питань захисту персональних даних. Після реєстрації бази даних у власника виникає обов»язок повідомляти уповноважений державний орган з питань захисту персональних даних про кожну зміну відомостей, необхідних для реєстрації відповідної бази, не пізніш як протягом десяти робочих днів з дня настання такої зміни (п.6 ст.9 Закону), у разі невиконання якого передбачено штраф у розмірі від 3400 до 6800грн. (ст.188-39 КУпАП у редакції з 01.01.2012р.). Крім того, недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них, тягне відповідальність у розмірі від 5100 до 17 000грн.
В той час , як ухилення від реєстрації бази (за яке також передбачається відповідальність у розмірі від 8500 до 17 000грн) – це порушення , яке дає більше шансів уникнути відповідальності, оскільки законом не прописані чіткі часові рамки для реєстрації бази, ознаки чи докази ухилення від реєстрації (що означає імовірність попереднього припису з боку контролюючого органу та часу на його виконання), а зрештою, передбачає необхідність доведення самого факту наявності у вас бази даних. Крім того, КУпАП в частині даних статей закріплює за судом право визначати міру відповідальності, а також регламентує термін покарання від часу вчинення адмінпорушення та від часу його виявлення (не має юридичних підстав вважати часом вчинення правопорушення 01.01.2012р.)
Також Законом передбачено відповідальність за неповідомлення або несвоєчасне повідомлення суб'єкта персональних даних про його права у зв'язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються, у розмірі від 5100 до 6800грн.
Одним словом, добре кажуть: сім раз відміряй – один раз відріж. Сім разів подумай перш , ніж заявити, що ти є власником бази даних!
Скакун Люда
01 червня 2010 року був прийнятий Закон України «Про захист персональних даних». Здавалося б, така хороша мета законодавчого акту: захистити. Але, як кажуть, хотіли як краще – вийшло як завжди.
Навіть цей закон (далеко не ідеальний та «сирий» з юридичної точи зору) став тестом рівня нашої громадської свідомості та готовності до повноправного діалогу з владою у правовому полі. На жаль, ми отримали доказ того, як (у своїй більшості) ми й досі чемно виконуємо команди «фас» (не думаючи, не аналізуючи) і , що найгірше, самі собі наганяючи такого страху і паніки. А в страху, як відомо, очі великі.
Давайте подумаємо разом!
1. Закон регламентує реєстрацію бази персональних даних, якою є іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних (ст. 2 Закону). Власником бази персональних даних Закон визначає фізичну або юридичну особу, якій законом або за згодою суб'єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом (ст.2 Закону). Реєстрація баз персональних даних здійснюється за заявочним принципом шляхом повідомлення (ст.9 Закону).
Отже, власники бази даних чи картотек подають не звіт (як це подається за переказами «одна баба сказала»), а заяву на реєстрацію (типу заяви на реєстрацію права власності). За результатами розгляду заяви може бути відмова у реєстрації (п.5. ст.9 Закону). При прийнятті рішення про подання чи неподання такої заяви ви повинні дати відповідь на питання : чи є у вашому розпорядженні персональні дані , які можна назвати «іменованою сукупністю упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних»? Що стосується різної кадрової документації та звітності, то , на думку самої ж Державної служби з питань захисту публічної інформації, різні типи звітів і форм, які з встановленою законом періодичністю передаються різним державним службам , не слід розглядати як окремі бази персональних даних. Давайте думати логічно: для подання щорічних звітів у кожному найменшому місті чи районі працює податковий орган з чималеньким штатом працівників. Скільки потрібно часу і працівників у новоствореній службі, щоб розібрати мільйони листів-заяв від кожного, хто бодай має чи мав одного найманого працівника?!
Крім того, Закон чітко визначає саме упорядкованість персональних даних в електронній формі чи у формі картотеки. Таким чином, подавши добровільну заяву, якою вами задекларовано факт наявності у вас бази даних чи картотеки, ви тим самим зробили перший крок на зустріч ще одному контролюючому органу (Державній службі з питань захисту персональних даних), яка тепер має всі підстави взяти вас під свою «опіку» (про яку буде розказано нижче по тексту).
2. Чи має право на існування міф про необхідність подання даної заяви до 15 грудня чи якоїсь іншої дати? Заява подається у разі наявності чи у випадку появи у вас такої бази даних чи картотеки. А якщо дана база чи картотека буде сформована вами 19 грудня 2011р. чи 20 березня 2012року? Ні Законом, ні відповідними Положенням та Порядком взагалі не регламентовано часовий проміжок подання заяви ні для діючих баз даних, ні для новостворених від часу їх створення. Тому поняття «ухилення від реєстрації» не повинно трактуватися як не здійснення реєстрації до саме 01.01.2012р., а починатися з факту встановлення чи визнання вами наявності бази даних взагалі, яка підлягає реєстрації. Отже, якщо ви дали ствердну відповідь на питання, щодо наявності у вас бази чи картотеки, то термін подання заяви для отримання свідоцтва власника цієї бази визначається вами в залежності від необхідності захистити себе від судових позовів з боку осіб, персональні дані яких ви обробляєте. Звичайно, це в першу чергу стосується банків, страхових компаній, медичних закладів, адвокатів, які можуть бути звинувачені у несанкціонованому використанні отриманої інформації про особу .
3. Треба зізнатися, що дійсна причина паніки закладена не в самому Законі «Про захист персональних даних», а в Законі «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» в частині внесення змін до Кодексу України про адміністративні правопорушення , які наберуть чинності з 1січня 2012року. Насамперед, ст.182 КУпАП «Порушення недоторканності приватного життя» встановлює відповідальність у розмірі від 8500 до 17000грн. (не варто навіть згадувати ще про можливість позбавлення волі на строк до 3-х років (страшно!) за незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації. Зверніть увагу, що така відповідальність наступає за рішенням суду у випадку подання скарги чи позову особою, права якої ви порушили своїм «довгим язиком». Причому наявність у вас свідоцтва власника бази даних абсолютно не виключає можливості притягнення вас до відповідальності за цією статтею. Так само, як і відсутність у вас бази даних чи картотеки не є гарантією того, що вас не можуть притягнути до такої відповідальності. Думаємо, що всі прекрасно розуміють, кого в першу чергу хотіли захистити цією статтею. Навряд чи у звітах про доходи фізичних осіб , які ми здаємо у податкову, є багато цікавої та конфіденційної інформації , стосовно розголошення якої на нас можуть подати до суду?!
4. Тепер кілька слів про «опіку» Державної служби з питань захисту персональних даних. Після реєстрації бази даних у власника виникає обов»язок повідомляти уповноважений державний орган з питань захисту персональних даних про кожну зміну відомостей, необхідних для реєстрації відповідної бази, не пізніш як протягом десяти робочих днів з дня настання такої зміни (п.6 ст.9 Закону), у разі невиконання якого передбачено штраф у розмірі від 3400 до 6800грн. (ст.188-39 КУпАП у редакції з 01.01.2012р.). Крім того, недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них, тягне відповідальність у розмірі від 5100 до 17 000грн.
В той час , як ухилення від реєстрації бази (за яке також передбачається відповідальність у розмірі від 8500 до 17 000грн) – це порушення , яке дає більше шансів уникнути відповідальності, оскільки законом не прописані чіткі часові рамки для реєстрації бази, ознаки чи докази ухилення від реєстрації (що означає імовірність попереднього припису з боку контролюючого органу та часу на його виконання), а зрештою, передбачає необхідність доведення самого факту наявності у вас бази даних. Крім того, КУпАП в частині даних статей закріплює за судом право визначати міру відповідальності, а також регламентує термін покарання від часу вчинення адмінпорушення та від часу його виявлення (не має юридичних підстав вважати часом вчинення правопорушення 01.01.2012р.)
Також Законом передбачено відповідальність за неповідомлення або несвоєчасне повідомлення суб'єкта персональних даних про його права у зв'язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються, у розмірі від 5100 до 6800грн.
Одним словом, добре кажуть: сім раз відміряй – один раз відріж. Сім разів подумай перш , ніж заявити, що ти є власником бази даних!
Скакун Люда
