1 июля с.г. вступил в силу Закон Укра­ины «О внесении изменений в некоторые законодательные акты Укра­ины относительно усиления ответст­венности за нарушение законодательства о защите персональных данных» от 2 июня 2011 года № 3454-VI. В связи с тем, что за нарушение упомянутого за­кона предполагается достаточно серьезная ответственность, попробуем разобраться, каким образом вступление в силу этого документа может повлиять на ситуацию с защитой персональных данных на Украине.

Прежде всего, стоит отметить, что ужесточение законодательства в этой сфере, а именно установление более строгих правил обращения с персональными данными и более серьезных санкций за их нарушение, сейчас является общеевропейским трендом.

В Европе защиту персональных данных регулирует Европейская конвенция о защите физических лиц в связи с автоматизированной обработкой персональных данных, а также национальное законодательство отдельных стран, действующее на локальном уровне.

Кроме того, не так давно Европейской комиссией по реформированию законодательства о защите персональных данных в Европе были предложены к рассмотрению Стандарты защиты персональных данных Евросоюза. Основной идеей предложенных стандартов является изменение процедуры получения согласия лица на обработку персональных данных, возложение на компании обязательств доказывания правомерности обработки персональных данных, ужесточение санкций за нарушение законодательства, а также усиление возможностей граждан контролировать их персональные данные.

Со всей строгостью

Закон Украины «О защите персональных данных» от 1 июня 2010 года № 2297‑VI частично отражает европейские стандарты. В частности, украинское законодательство предусматривает наличие обязательного согласия субъекта на обработку его персональных данных, право предъявлять требование с возражением против их обработки, а также требование исключить информацию о себе из базы персональных данных.

С момента вступления в силу Закона Украины «О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных» нашли свое отражение европейские тенденции к ужесточению санкций за нарушение законодательства в данной сфере.

Так, усиливается уголовная ответ­ственность за нарушение неприкосновенности частной жизни. А именно, в новой редакции изложена статья 182 Уголовного кодекса Украины от 5 апреля 2001 года № 2341-III, согласно которой максимальное наказание за незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о лице или незаконную замену такой информации устанавливается в виде лишения свободы до пяти лет.

По нарушителям бьют рублем

Кроме того, вводится административная ответственность за нарушение законодательства в сфере защиты персональных данных, а также — за невыполнение законных требований должностных лиц специально уполномоченного центрального органа исполнительной власти по вопросам защиты персональных данных.

Согласно новым нормам Кодекса Украины об административных нарушениях от 7 декабря 1984 года № 8073-X, административная ответственность наступает за:

1. Неуведомление или несвоевременное уведомление субъекта персональных данных о его правах в связи с включением его персональных данных в базу персональных данных, цели сбора данных и лицах, которым эти данные передаются. Сумма штрафа за это правонарушение может составлять от 200 до 400 не облагаемых налогом минимумов доходов граждан (нмдг), что в денежном эквиваленте варьируется между 3400 и 6800 гривен.

2. Неуведомление или несвоевременное уведомление специально уполномоченного центрального органа исполнительной власти по вопросам защиты персональных данных об изменении сведений, предоставляемых для государственной регистрации базы персональных данных. За данное правонарушение устанавливается сумма штрафа в размере от 100 до 400 нмдг, что эквивалентно сумме от 1700 до 6800 гривен. При повторном совершении указанных правонарушений сумма штрафа может достигать 11 900 гривен.

3. Уклонение от государственной регистрации базы персональных данных. Сумма штрафа варьируется от 300 до 1000 нмдг (от 5100 до 17 000 гривен).

4. Несоблюдение установленного законодательством о защите персональных данных порядка защиты персональных данных, что привело к незаконному доступу к ним. Сумма штрафа составляет от 300 до 1000 нмдг (от 6800 до 17 000 гривен).

5. Невыполнение законных требований должностных лиц специально уполномоченного центрального органа исполнительной власти по вопросам защиты персональных данных об устранении нарушений законодательства о защите персональных данных. Сумма штрафа составляет от 100 до 200 нмдг (от 1700 до 3400 гривен).

Познается в сравнении

Как видим, эти санкции в украинских реалиях достаточно существенные, однако в сравнении с европейским законодательством они могут показаться совсем несерьезными. К примеру, предложенные Европейской комиссией Стандарты защиты персональных данных Евросоюза за непредоставление национальным уполномоченным органам персональных данных предусматривают штрафные санкции к нарушителям в размере до 1 миллиона евро или 2 % от мирового годового оборота компании.

Таким образом, учитывая общеевропейские тенденции ужесточения законодательства в сфере защиты персональных данных, необходимо быть готовыми к подобной практике и на Украине. Следовательно, украинскому обществу необходимо учиться соблюдать букву закона так, как это делают граждане других европейских стран. Тогда и самые строгие санкции будут восприниматься общественностью должным образом.

КИРИЛЛОВА Дарья — юрист ЮК «Алексеев, Боярчуков и Партнеры», г. Киев

---

Мнения

Привлечь к ответственности — проблематично

Артем НАУМОВ,
юрист ЮФ ILF

1 июля с.г. вступили в силу изменения в Кодек­с Укра­и­ны об административных правонарушениях и Уголов­ный кодекс Укра­ины, которые предусматривают ужесточение ответственности за нарушение законодательства о защите персональных данных.

В первую очередь, следует обратить внимание на то, что вступление в силу этих санкций уже откладывалось на полгода. Причина — неготовность бизнеса и государства, соответственно, следовать требованиям Закона Украины «О защите персональных данных» и контролировать его исполнение. Сложно утверждать, успел ли адаптироваться бизнес (в Российской Федерации к подобному закону привыкают уже более пяти лет), но законодатель ожидаемых изменений в указанный закон так и не внес.

На данный момент в Верховном Совете Украины зарегистрированы два законопроекта. Предлагаемые ими изменения являются логичными и правильными, но будут ли они приняты — неизвестно. Поэтому нельзя исключать очередного переноса сроков вступления в силу этих санкций. Даже с учетом последних изменений привлечь к ответственности за нарушение законодательства о защите персональных данных сегодня крайне сложно. Некоторые санкции предусмотрены за нарушение, которое привело к нанесению ущерба физическому лицу или к незаконному доступу к персональным данным. Непросто будет доказать, как минимум, то, что именно нарушение законодательства конкретным владельцем базы персональных данных повлекло такие последствия или такой доступ имел место быть. Также проблематичным выглядит доказывание факта уклонения от регистрации базы персональных данных. Санкция предусмотрена именно за уклонение, а не за отсутствие регистрации, поэтому любые действия, направленные на регистрацию базы, уже не будут уклонением. Таким образом, санкции, скорее, выступают стимулом к выполнению Закона Украины «О защите персональных данных», чем реальной угрозой для владельцев баз данных.

Действовать, а не жаловаться

Светлана ХЕДА,
советник и глава практики трудового права ЮФ «Саенко Харенко»

Нарекания бизнеса относительно преждевременности ужесточения ответственности за правонарушения в сфере защиты персональных данных (ПД) являются обоснованными, однако руководителям украинских компаний пора действовать, а не жаловаться. Наличие вины — необходимое условие для привлечения к административной и уголовной ответственности. Поэтому должностные лица компаний должны быть непосредственно заинтересованы в принятии детально продуманных положений о порядке обработки и защиты ПД и иной внутренней документации. Это позволит документально подтвердить, что существующий в компании порядок обработки и защиты ПД соответствует толкованию законодательных норм ее юристами и что ее руководство сделало все возможное для соблюдения требований закона. Также важно тщательно прописать должностные обязанности лица, ответственного за работу с ПД в компании, и преду­смотреть дисциплинарную ответственность такого лица и других сотрудников за нарушение установленного порядка обработки и защиты ПД.

Формально и фактически

Юлия СЕМЕНИЙ,
адвокат, партнер АК «Коннов и Созановский»

Защита персональных данных (ПД) — неотъемлемая составляющая ци­вилизованного общества и, безусловно, ответственность за нарушение законодательства в этой сфере должна быть предусмотрена. Но, прежде всего, следует четко понимать, в чем заключаются эти требования и как именно их необходимо выполнять. По многим вопросам защиты ПД законодательство оперирует, скорее, общими положениями, нежели конкретными и понятными нормами. Некоторые нормы, такие как письменное уведомление субъекта персональных данных и регистрация всех баз данных, многими рассматриваются как избыточные. Их выполнение требует затрат, но вряд ли существенно повлияет на достижение эффективной защиты ПД. В то же время ответственность за них предусмотрена. Таким образом, усиление ответственности способствует, в первую очередь, выполнению ряда формальных требований законодательства — вопрос фактической защиты ПД при этом остается второстепенным.

Где искать ответы

Ольга САВАНЕ,
адвокат АФ «Династия»

С 1 июля с.г. введена административная и уголовная ответственность за нарушение законодательства в сфере защиты персональных данных. В связи с этим возникает множество вопросов. И самый главный — где же найти ответы на них? Наиболее подробную информацию можно почерпнуть из Закона Украины «О защите персональных данных». Кроме того, статьи 285, 286 Гражданского кодекса Украины помогают соблюсти право на информацию о состоянии своего здоровья, статья 301 предоставляет гарантии на тайну личной жизни, а статья 302 защищает право на информацию во всех его аспектах. Полезны будут и моменты, изложенные в законах Украины «Об информации», «О доступе к публичной информации». Что касается защиты персональных данных о состоянии здоровья, то в этом контексте важны также Основы законодательства Украи­ны об охране здоровья, законы Украины «О психиатрической помощи» и «О мерах противодействия незаконному обращению наркотических средств, психотропных веществ и прекурсоров и злоупотреб­лению ими».