Суворі тепер зими. Здається, і морозу особливого немає, і сніг можна частіше побачити на екрані телевізора, чим на вулиці, але все одно зимова пора дається багатьом непросто. Епідемія? Проходили, було. Що ж тоді?
Подарунки.
Володимир Дзьобанюрист "Cai & Lenard" |
Так, подарунки. Шановні, отримуйте новий презент у вигляді перевірок від Державної служби з питань захисту персональних даних (далі - ГСЗПД). Для тих, хто не в курсі або забув, нелишним буде нагадати, що з 1 січня 2011 року вступив в дію Закон України "Про захист персональних даних". Вступив і вступив, тисячі їх. На самій же справі цей нормативний акт став основою для імплементації в Україні положень Конвенції Поради Європи "Про захист фізичних осіб при автоматизованій обробці персональних даних". Головною метою сторін, що підписалися, є захист громадян від незаконного використання їх персональної інформації. Благородно. Україна теж піклується про своїх громадян: Президент Указом від 6 квітня 2011 року № 390/2011 затвердив Положення про ГСЗПД, прийнятий ряд інших документів. Відмінно, нарешті заживемо по-людськи! Але багато хто чомусь запідозрив каверзу з боку дбайливої держави. А не чи приведе усе це до чергових "покращенням"? Відповідь дізнаємося у дракона, точніше рік дракона розставить точки над "і", адже 1 січня 2012 року настане година відповідальності. Не для влади, звичайно ж, а для тих, кому адресований Закон України "Про внесення змін до деяких законодавчих актів України відносно порушень законодавства про захист персональних даних", тобто - для нас.
Перевірки ГСЗПД : кого, де, коли?
ГСЗПД повинна стати вартовим на захисті персональних даних фізичних осіб в Україні, саме тому серед інших повноважень їй доручили проведення виїзних і безвиїзних перевірок власників і розпорядників баз персональних даних. Браво! Зірвані масові акції по незаконному використанню чужої інформації, які готувалися по всій країні. Чи не готувалися? У будь-якому випадку ні у бізнесу, ні у інших суб'єктів немає можливості відмовитися від подарунка. Жереб кинутий. Можна не посміхатися, не дякувати, але слід готуватися до прийому перевіряючих.
Розуміння допустимих меж дій з боку працівників ГСЗПД - ключ до успіху. Стаття 19 Основного закону свідчить, що органи державної влади, їх посадовці зобов'язані діяти лише на основі, в межах повноважень і способом, які передбачені Конституцією і законами України. Таким чином, знаючи відповідні положення законодавства, можна узабезпечити себе від незаконних дій перевіряючого органу. Так знайте, що не існує нормативно-правових актів, регулюючих порядок проведення перевірок ГСЗПД. Миттєва радість, оскільки підготовлений проект наказу Міністерства юстиції "Про затвердження Положення про порядок здійснення ГСЗПД державного контролю над дотриманням законодавства про захист персональних даних" (далі - проект Положення). В найближчому майбутньому цей документ стане нормативно-правовим актом, покликаним врегулювати порядок проведення перевірок ГСЗПД. Незважаючи на неофіційність тексту проекту Положення, він заслуговує на увагу, адже громадське обговорення і наступні фази прийняття наказу залишать усе, як є. Хто б сумнівався.
Стаття 19 КУ свідчить, що органи державної влади, їх посадовці зобов'язані діяти лише на основі, в межах повноважень і способом, які передбачені Конституцією і законами України. На сьогодні, окрім проекту Положення про порядок здійснення ГСЗПД контролю, не існує нормативно-правових актів, регулюючих порядок проведення перевірок |
Імовірно з 1 січня 2012 року усі власники або розпорядники баз персональних даних (далі - БПД) можуть стати суб'єктами перевірки. Неоднозначне формулювання: маються на увазі тільки ті, хто зареєстрував свої БПД, або ж усі, хто обробляє персональні дані в професійних цілях? Ймовірно, ГСЗПД у своїй діяльності використовуватиме негласну презумпцію про те, що будь-яка особа може бути власником і розпорядником БПД незалежно від факту державної реєстрації таких. Представники цього органу вже заявляли, що на кожному підприємстві є хоч би БПД працівників, а у більшості випадків - також контрагентів (клієнтів). Не варто забувати і про те, що ухилення від державної реєстрації БПД скоро стане адміністративною провиною, хоча, з іншого боку, "не спійманий - не злодій". А якщо і спійманий, то представникам ГСЗПД в суді потрібно буде довести факти існування БПД і її використання порушником в професійних цілях, що дуже непросто. Взагалі, нехай кожен вирішує для себе дилему реєстрації самостійно. Але пам'ятаєте, що закон є закон, і покладатися на випадок - не кращий вибір.
Отже окрім свят, січень ознаменується формальним початком виїзних і безвиїзних перевірок ГСЗПД. Перші здійснюватимуться по місцезнаходженню суб'єкта перевірки і БПД, другі, - при неможливості і відсутності необхідності проведення перевірки по місцезнаходженню. Логічно, хоча трохи бентежить використання оцінних понять. Напевно, вимірник "неможливості" і "необхідності" відразу вбудований в новоспечений контролюючий орган.
Як виїзні, так і безвиїзні перевірки будуть плановими і позаплановими. Наказ про твердження квартальних і річного планів перевірок шукайте на сайті ГСЗПД. У подібних списках будь-який суб'єкт перевірки має право розраховувати бачити себе не частіше за один раз в п'ять років. Позапланові ж візити співробітники ГСЗПД проводитимуть за наявності однієї з наступних підстав :
• про проведення перевірки отримано судове рішення або постанову слідчого, прокурора у кримінальній справі;
• за заявою самого власника або розпорядника БПД;
• у разі непредставлення упродовж десяти робочих днів з дня отримання письмового запиту ГСЗПД пояснень і документального підтвердження відсутності порушень, вказаних в скарзі на суб'єкт перевірки;
• виявлена недостовірність (навіть вірогідна) у відомостях, наданих суб'єктом перевірки по письмовому запиту ГСЗПД, або отримані дані не дозволяють оцінити виконання вимоги законодавства;
• якщо суб'єкт перевірки посилається на недосліджені обставини в запереченнях до акту перевірки або скарги на прийняте по її результатах рішення з вимогами про повний або частковий перегляд результатів перевірки або відміни відповідного рішення, і об'єктивний їх розгляд неможливий без проведення перевірки;
• закінчився термін виконання суб'єктом перевірки раніше виданого припису ГСЗПД про усунення порушень законодавства у сфері захисту персональних даних;
• отримано звернення органів державної влади відповідно до їх повноважень, визначених законодавством, про необхідність ініціації ГСЗПД перевірки відповідної особи.
Багато тексту, багато підстав, а вивід один - перевіряти зможуть дуже часто. Це на тлі розпливчатих формулювань про предмет перевірки, який звучить як "перелік питань дотримання суб'єктом перевірки вимог законодавства про захист персональних даних". Постійте, а де, власне, предмет? З яких пір визначення меж перевірки здійснюється шляхом повної невизначеності? Автори проекту замість використання незрозумілого формулювання якраз повинні вказати цей перелік питань. У іншому випадку суди довго розбиратимуться, що вважати питанням дотримання вимог законодавства про захист персональних даних, а що - ні.
Показово, в наказах ГСЗПД, на підставі яких проводитимуться перевірки, також не буде конкретного переліку питань перевірки. Весело. До того ж копія цього документу при планових візитах має бути спрямована особі не менше чим за 10 календарних днів до її початку. У разі непланової виїзної перевірки наказ вручатиметься під особистий підпис безпосередньо перед початком проведення перевірки разом з відповідним напрямом, а при безвиїзній - спрямовуватися суб'єктові перевірки разом із запитом ГСЗПД цінним листом з повідомленням про вручення.
Нове - добре забуте старе, або як працюватимуть "трійки"
Переміщатися групами безпечніше. До цього прислухалися і в ГСЗПД. У проекті Положення пропонують здійснювати перевірки комісіями в складі не менше трьох посадовців. При необхідності склад комісії може бути змінений і будь-які обмеження такої заміни відсутні, що породжує чергові підозри в майбутніх зловживаннях. Видно, ніхто не збирається возитися з фахівцями з "особливою думкою". Простіше замінити.
Тривалість перевірок не перевищуватиме десяти робочих днів. У разі потреби такий термін може бути продовжений наказом ГСЗПД, але не більше ніж ще на десять робочих днів.
А ось тепер найголовніше! Суб'єкт перевірки повинен буде забезпечити необхідні умови для проведення перевірки, зобов'язаний на вимогу членів комісії організувати доступ в приміщення, де здійснюється обробка персональних даних, а також у разі потреби надавати комісії письмові пояснення по обробці ним персональних даних. Більше того, при проведенні перевірки комісія має право знімати копії з будь-яких документів, необхідних для проведення перевірки і документування (фіксації) порушень, і вимагати їх посвідчення у встановленому законодавством порядку. Багато хто захоче дати доступ практично до усієї документації? Представте чисте полотно художника - це закінчена картина із зображенням усіх охочих.
При проведенні перевірки комісія має право знімати копії з будь-яких документів, необхідних для проведення перевірки і документування (фіксації) порушень, і вимагати їх посвідчення у встановленому законодавством порядку |
Так само цікаво виглядає в проекті Положення нагадування про відповідальність, передбачену законодавством за ухилення від участі в проведенні перевірки. Бланкетна норма посилає в нікуди, адже відповідальності за це діяння прямо не передбачено.
Кінець - справі вінець. Оформлення результатів перевірки і методи реагування
За результатами перевірки комісія в довільній формі складатиме акт. Пильнуєте, оскільки викладені в нім порушення повинні мати посилання на конкретні пункти, статті, розділи нормативно-правових актів, які порушені, крім того, при складанні акту довільне тлумачення положень законодавства не допускається. У Україні начулися про "не довільне" тлумачення положень законодавства податковою. На черзі тямущі "перли" від ГСЗПД?
Акт повинен буде містити вивід або про відсутність порушень, або про їх виявлення. При цьому він складається в двох екземплярах і підписується в останній день перевірки усіма членами комісії і суб'єктом перевірки або уповноваженим ним особою. У кожного члена комісії є право на особливу думку, а особу, відносно якої здійснювалася перевірка, може викласти зауваження відносно фактів і виводів в акті. Якщо від особи, що перевіряється, акт ніхто не підписує, то про це робиться відповідний запис, який підтверджується підписами членів комісії. Залишається сподіватися, що це не стане способом відходу від зауважень того, що перевіряється. У будь-якому випадку, копія акту має бути надана суб'єктові упродовж п'яти днів після закінчення перевірки.
Важливо, що проект Положення передбачає заборону на поширення будь-якої інформації, відомої, що стала, при проведенні перевірок. Акт, копії документів і інші матеріали можуть бути переданий третім особам тільки у випадках, передбачених законодавством. Одним з таких є проведення позапланової перевірки, призначеної на підставі звернення органу державної влади. Ініціатор може отримати усі матеріали перевірки в п'ятиденний термін після її закінчення.
Необхідно бути пильними, адже викладені в акті перевірки порушення повинні мати посилання на конкретні пункти, статті, розділи нормативно-правових актів, які порушені, крім того, при складанні акту довільне тлумачення положень законодавства не допускається |
Боротися з порушеннями ГСЗПД планує за допомогою приписів, які складатимуться упродовж п'яти днів з дня завершення перевірки. У цей же термін один з двох екземплярів цього документу має бути наданий суб'єктові перевірки або його уповноваженому обличчю. Адресат зобов'язаний впродовж визначеного приписом терміну вжити заходи по усуненню вказаних недоліків, порушень і письмово представити ГСЗПД інформацію про це разом з підтверджувальними документами. Але що ми усі про квіточки? Справжні ягідки - штрафи! Бійтеся, 1 січня 2012 року ГСЗПД отримує повноваження по складанню протоколів про адміністративні правопорушення. Напевно, найприємніша частина роботи будь-якого держоргану. "Утримання" від штрафування триває майже рік. Хіба не схоже на затишші перед бурею? Судячи з розмірів штрафів - наслідки можуть бути ще ті.
Усе погано...
ВИСНОВОК |
Маємо те, що маємо. Проект Положення про перевірки, м'яко кажучи, сируватий, але вже зараз є видимою можливість перетворення ГСЗПД в завсідника страхітливих снів підприємців. Невизначеність предмета контролю, довгий перелік підстав для проведення позачергових перевірок, а також високі штрафи - побічні ефекти нововведень, які зведуть нанівець старання сподобатися Європі.
Невідомо, персональні дані скількох громадян захистять комиссии-"тройки". Ясне одно, що робота бізнесу точно не спроститься, адже повноваження ГСЗПД можна буде використовувати як новий, "елегантніший" інструмент тиску з боку держави (без прямого втручання правоохоронних органів).