Как говорится, уже «не за горами» 1 июля 2012 года, когда вступит в силу Закон Украины «О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных» (Закон № 3454). Этим Законом устанавливаются достаточно жесткие нормы административной и уголовной ответственности как за неисполнение обязанностей, связанных с ведением и регистрацией баз персональных данных (БПД), так и за нарушение неприкосновенности частной жизни. Сегодня любой вид ответственности отсутствует.

Базы данных по сотрудникам

Введение механизма ответственности не может не волновать субъектов хозяйственной деятельности, ведь каждое без исключения предприятие имеет определенную БПД, как минимум под условным названием «Сотрудники». Ее наличие обу­словливает необходимость регистрации такой базы, осуществления процедуры обработки (даже если на предприятии только один работник), создания защиты данных, разработки соответствующих инструкций и приказов. Нарушение регламентированной законодательством процедуры предопределяет применение штрафных санкций к должностным лицам предприятия в размере до 17 000 грн и риск привлечения к уголовной ответственности. Относительно предприятий, имеющих большой штат персонала, разветвленную систему филиалов и обособленных подразделений, которые от имени самой компании также заключают гражданско-правовые договоры с физическими лицами и предпринимателями, ситуация по ведению БПД усложняется. В таких случаях следует уже говорить о назначении ответственных лиц в каждом из филиалов для того, чтобы вести базу под условным названием «Контрагенты», что требует привлечения дополнительных ­кадров.

Таким образом, ситуация доходит до абсурда в части обработки данных по базам «Сотрудники» и «Контрагенты», поскольку в большинстве случаев предприятия обязаны в силу других законодательных актов формировать базы данных (скажем, кадровые картотеки, данные по идентификации лиц при осуществлении финансового мониторинга, персонификация физических лиц и др.). Кроме того, предприятия обязаны получать и сохранять персонифицированные данные лиц независимо от того, хотят этого последние или нет, что, конечно же, без должного согласия лица может расцениваться как нарушение со всеми вытекающими последствиями.

Верховным Советом Украины 15 мая 2012 года внесен на рассмотрение законопроект «О внесении изменений в некоторые законодательные акты Украины относительно защиты персональных данных» под регистрационным № 10472 (Законо­проект). Анализируя нормы Законо­проекта, можно сказать, что его инициаторы предлагают достаточно действенные изменения, которые облегчат работу как мелким предпринимателям, так и крупным учреждениям и организациям. Как известно, наибольшее количество регистрируемых БПД связано с обеспечением и реализацией трудовых отношений — «Сотрудники», «Персонал» и др. А обработка персональных данных даже одного наемного работника как для физического лица — предпринимателя, так и для юридического лица создает обязанность регистрации соответствующей базы и осуществления защиты персональных данных в ней. В свою очередь, Законопроектом предлагается внести изменения в часть 1 статьи 9 Закона Украины «О защите персональных данных» (Закон № 2297), согласно которым не будут нуждаться в государственной регистрации БПД, в которых содержатся исключительно персональные данные субъектов, находящихся в трудовых отношениях с владельцем такой базы. Принятие таких изменений в Закон № 2297 позволит выдохнуть с облегчением малому бизнесу, поскольку в большинстве случаев предприятие имеет только одного работника — директора, — а вынуждено регистрировать базу и осуществлять ее защиту в соответствии с установленными законодательством требованиями.

Кроме того, с принятием этого Законо­проекта упростится регистрация еще одной достаточно распространенной базы данных — «Контрагенты». Так, согласно Законопроекту, не требуют государственной регистрации персональные данные, полученные в связи с совершением действий, связанных с заключением, исполнением и/или прекращением сделки, стороной по которой, представителем стороны, выгодополучателем или поручителем по которой либо другим лицом, связанным с такой сделкой, является субъект персональных данных, в случае если такие данные обрабатываются исключительно в связи с такой сделкой. Такой подход вполне логичен, ведь субъект хозяйственной деятельности обязан иметь информацию о контрагенте, по крайней мере для того, чтобы выплатить средства и подать в налоговую отчет. Предприятие может быть и не заинтересовано в данных о личности как таковых, они ему нужны исключительно для выполнения обязательств как перед контрагентом, так и перед государственными органами. В таком случае предприятие использует данные на основании закона, что, кстати, предусмотрено и разрешается статьей 11 Закона № 2297.

Заручиться согласием

Еще одно нововведение касается согласия на обработку персональных данных. Наверняка некоторые предприятия уже столкнулись с рядом отказов в предоставлении письменного согласия. Большинство рядовых граждан даже не понимают значения такого согласия и подписывать его не решаются. И что дальше? Сегодня законодатель не дает однозначного ответа на этот вопрос, акцентируя внимание лишь на том, что данные можно обрабатывать либо на основании согласия субъекта, либо в силу закона (не удосуживаясь ответить при этом, какого именно закона, — решайте, мол, сами, а при проверке мы определим). Ответ на этот вопрос предлагает Законопроект, определяя перечень оснований, которые дают возможность владельцу базы обрабатывать данные. К таким основаниям относятся:

1) непосредственно само согласие субъекта (в письменной, электронной или другой форме, предусмотренной законом);

2) подписание субъектом любого договора при условии, что данные будут использоваться только в связи с осуществлением такого договора;

3) необходимость защиты жизненно важных интересов субъекта;

4) обработка данных в силу закона;

5) необходимость защиты интересов владельца БПД или лиц, которым раскрываются данные;

6) свободное волеизъявление (и отсутствие возражения) до вступления в силу закона. Это основание можно будет использовать, к примеру, в тех ситуациях, когда базы данных существовали на предприятии еще до вступления в силу Закона № 2297. Согласно ему, не нужно будет получать согласие от лиц, которые уже включены в нее, что облегчит и без того громоздкий объем документооборота;

7) наличие персональных данных в общедоступных источниках.

Важным шагом предложенных изменений является то, что они касаются трансграничной передачи персональных данных. Законопроект определяет страны, которые предоставляют надежную защиту персональных данных. Это введение является усовершенствованием отечественного законодательства и адаптирует его к международным требованиям и стандартам.

Однако, внеся изменения в пункт 2 статьи 12 Закона № 2297, законодатель не обратил внимания на правовую коллизию. Закон № 2297 устанавливает ответственность за несвоевременное уведомление субъекта о его правах в связи с включением его персональных данных в базу, цели сбора этих данных и круге лиц, которым они передаются. Согласно предлагаемым изменениям, субъекту персональных данных подобная информация сообщается, если этого требуют условия его согласия после включения его персональных данных в базу. То есть законодатель отменяет основание наступления ответственности, указанное в Законе № 2297, но не вносит изменения в Закон № 3454.

Кроме того, Законопроект все же не устраняет всех существующих пробелов. Например, таких как: отсутствие должного разграничения персональных данных на общие и уязвимые, как это требуется европейскими стандартами; определение исчерпывающего перечня сведений, относящихся к персональным данным; определение четкой процедуры уничтожения персональных данных и т.д.

Также стоит обратить внимание, что до сих пор не утвержден Порядок осуществления Государственной службой Украины по вопросам защиты персональных данных государственного контроля за соблюдением законодательства о защите персональных данных. Но, все же, принятие Законопроекта положительно повлияет на отечественный бизнес, приблизит украинское законодательство к требованиям европейских стандартов, на что и будем надеяться.

ИВАХНЕНКО Юлия — юрист ЮК Jurimex, г. Киев

---

Мнение

Восстановлению не подлежит

Юлия ЯНЮК,
юрист, ЮФ «Астерс»

Согласно законодательству, уничтожение персональных данных входит в понятие «обработки», хотя в настоящий момент в Законе Украины «О защите персональных данных» отсутствует четкая и подробная процедура, которой необходимо придерживаться при уничтожении персональных данных. На практике, как правило, предприятия игнорируют существующие требования законодательства об обязательном уничтожении персональных данных (либо делают это по своему усмотрению), что может нести риски возникновения претензий и споров с субъектами персональных данных.

Так, потенциальными истцами по таким делам могут быть сотрудники (как правило, бывшие), а также контрагенты (например, в случае окончания правоотношений) предприятия или же иные субъекты, срок обработки персональных данных которых (указанных в соответствующих согласиях) истек.

Также выявление Службой по вопросам защиты персональных данных «неудаленных» персональных данных при проведении проверок может быть расценено как нарушение законодательства, в частности, как обработка персональных данных без согласия или неуведомление субъекта об их обработке/удалении в установленный срок.

Следует также обратить внимание, что уничтожение персональных данных должно быть окончательным и необратимым процессом, так, чтобы эти данные уже не подлежали восстановлению. Это требование применяется в особенности к электронной форме баз данных, где существуют различные техники восстановления информации. Этот вопрос должен дополнительно координироваться при участии специалистов по информационным технологиям.