О вопросе регистрации баз персональных данных
01 января 2011 года вступил в силу Закон Украины № 2297-VI «О защите персональных данных». Поначалу отнеслась к данному нормативно-правовому акту совершенно спокойно. 30 статей, написанных достаточно «гениальным» языком и благородная цель принятия закона – защита персональных данных во время их обработки, - не произвели на меня должного впечатления. Как и на всё население Украины, которое не особо поняло для чего это, собственно, нужно. Потому, по-видимому, парламентарии решили наверстать упущенное, приняв 02 июня 2011 года Закон Украины «О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных». К слову, они не прогадали: колоссальный размер штрафов впечатлил до глубины души даже самых стойких граждан, и народ рьяно ринулся регистрировать пресловутые базы персональных данных. Я не стала паниковать раньше времени. Благо, на юридических, бухгалтерских и кадровых форумах тема регистрации баз персональных данных была достаточно актуальной, начали проводиться круглые столы и семинары, да ещё и заработал сайт Государственной службы Украины по вопросам защиты персональных данных (далее по тексту – Служба). На нём данная Служба разместила ответы на самые популярные вопросы, а в декабре 2011 года там появились примеры заполнения заявлений для регистрации баз персональных данных. Правда, немного удивил тот факт, что Служба существует почему-то одна на всю Украину без региональных подразделений, да еще и работать более-менее она начала лишь летом 2011 года. В общем, всерьёз вопросом регистрации баз персональных данных я занялась лишь в ноябре 2011 года. Собственно, сам Закон «О защите персональных данных» (далее по тексту – Закон) я знала уже почти наизусть, что совершенно не помогло понять мне полностью порядок его исполнения. При этом дозвониться по горячему телефонному номеру, указанному на сайте Службы, мне не удалось, и я написала адвокатский запрос на имя Главы службы. В нём были изложены около 10 вопросов, касающихся разъяснения данного Закона. В частности, - что именно является базами персональных данных в понимании Закона; как поступить, если физическое лицо отказывается давать согласие на обработку его персональных данных; как быть с персональными данными, полученными до 01 января 2011 года и пр. Я не паниковала и тогда, когда решила съездить на устную консультацию Службы, и увидела огромную очередь у входа в здание. Тогда я позвонила в Министерство юстиции Украины и попросила проконсультировать меня в телефонном режиме. По телефону мне объяснили, что единственной базой персональных данных, которую на сегодняшний момент необходимо регистрировать, согласно с трудовым законодательством Украины является база персональных данных «Работники». Мне стало немного легче. 20 декабря 2011 года письмом, подписанным Главой Службы, данная Служба уведомила меня, что на заседании Кабинета Министров Украины от 20 октября 2011 года, было принято решение относительно прекращения практики предоставления разъяснений норм законодательства центральными органами исполнительной службы, кроме случаев, предусмотренных законом. Потому все вопросы, изложенные в адвокатском запросе, остались без рассмотрения. Я решила проявить силу духа и ещё раз поехала в Службу. К счастью, очередь была уже только внутри здания, а не на улице, как в прошлый раз. Хотя очередь – довольно громко сказано. Озлоблённая толпа пыталась добиться адекватных ответов от двух сотрудников Службы, которых бросили на растерзание рассерженных граждан. Документы принимались непосредственно в фойе Службы. Сотрудники Службы уже находились наряду вместе с гражданами на гране нервного срыва – сквозь толпу на работу пробирались работники Государственной регистрационной службы Украины, которой посчастливилось находиться в одном здании со Службой. Добравшись до одного из сотрудников я узнала, что, принимая заявления о регистрации базы персональных данных, отметок они никаких не ставят, ссылаясь на внутренний приказ, по почте рекомендуют заявления не отправлять, потому что ценные письма никто не забирает. Но самое интересное было впереди. Кроме, базы персональных данных «Работники», по словам сотрудников Службы, должна быть база данных «Контрагенты» и база данных «Учредители», если те являются физическими лицами. Таким образом официальная позиция Министерства юстиции Украины (далее по тексту – Минюст) Службой игнорируется, хотя её деятельность координируется Кабинетом Министров Украины через Министра юстиции Украины. Но, конечно же, не вина Службы в том, что Закон «О защите персональных данных» написан так, что каждый может трактовать его как хочет. Совершенно непонятна цель его принятия, – какие персональные данные, от кого именно и каким образом следует защищать. Первые разъяснения относительно практического применения данного Закона Минюст умудрился написать спустя полтора года после его принятия – в декабре 2011 года. При этом создаётся ощущение, что Минюст предоставил данные разъяснения, прочитав Закон по диагонали, и толком не разобравшись, а в чём же суть дела. Во-первых, что же на сегодня является персональными данными так и осталось загадкой, поскольку Минюст разъяснил, что законодательством Украины не установлено и не может быть установлено чёткого перечня ведомостей о физическом лице, которые являются персональными данными. Во-вторых, такие категории, как адвокаты, нотариусы, а так же физические лица – предприниматели (которые заключают договора исполнения работ (предоставления услуг) с другими физическими лицами), освобождены от обязанности ведения баз персональных данных, и вообще, обрабатываемые ими персональные данные не являются базой персональных данных в понимании Закона «О защите персональных данных». При этом статья 24 Закона «О защите персональных данных» гласит, что физические лица – предприниматели, адвокаты, нотариусы лично обеспечивают защиту баз персональных данных, которыми они владеют, согласно с требованиями закона. Об этом Минюст так же напоминает в своих разъяснениях, которые дублируют ст. 24 Закона. В общем, вопрос наличия баз персональных данных, по-видимому, остаётся открытым. Удивляет в разъяснениях Министерства юстиции Украины так же многое другое – неожиданно выясняется, что распорядителями баз персональных данных являются филиалы, представительства и отделения юридического лица. Согласно статьи 2 Закона Украины «О защите персональных данных» распорядителем базы персональных данных является физическое или юридическое лицо (к слову, филиал не является ни тем и ни другим), которой владельцем базы данных или законом предоставлено право обрабатывать такие данные. Таким образом, разъяснения Министерства юстиции не только не помогли в практическом применении Закона, но и окончательно всех запутали. Ведь многих, подавших вовремя заявления о регистрации базы персональных данных, волнует вопрос, какой же перечень баз персональных данных можно квалифицировать как базу персональных данных и необходимо регистрировать. Если дословно читать Закон, выходит, даже данные записной книжки в мобильном телефоне являются базой персональных данных. Как быть в таком случае врачам, адвокатам, нотариусам? Если регистрировать базу персональных данных «Учредители – физические лица», как быть со статьёй 20 Закона Украины «О государственной регистрации юридических лиц и физических лиц – предпринимателей», согласно которой ведомости из Единого государственного реестра (в том числе, об учредителях) являются открытыми и общедоступными, и любой желающий может получить их в виде выдержки, выписки или справки. В то же время персональные данные по режиму доступу являются информацией с ограниченным доступом (ст. 5 Закона «О защите персональных данных). Как быть с контрагентами – физическими лицами, которые не желают давать письменного согласия на обработку их персональных данных? По мнению сотрудника Службы, с такими контрагентами следует расторгнуть договора, но это уже, извините, вмешательство в хозяйственную деятельность предприятия и вообще является абсурдом. Я считаю, что закон необходим для того, чтобы защищать граждан. Для чего необходим Закон «О защите персональных данных», кроме того, чтобы наполнить бюджет, мне совершенно непонятно. Для сравнения – размер штрафа на хозяина собаки, которая покусала человека, составляет от 51 до 85 гривен; штраф за незаконную вырубку сквера - от 170 до 510 гривен; штраф за уклонение от регистрации базы персональных данных – от 5100 до 17 000 гривен. Делайте выводы. Анна Самойленко, руководитель Национальной правовой палаты ЛИГА:БЛОГИ
|