Складнощі трактування термінів
Одним з наріжних каменів практичної реалізації положень нового законодавства стало само визначення бази персональних данихце поняття представляється досить великим і викликає масу питань. У зв'язку з настільки неодозначной трактуванням визначення бази персональних даних Міністерство юстиції роз'яснювало положення відповідного Закону, але питання з відсутністю чіткого визначення і критеріїв віднесення тих або інших відомостей до персональних даних залишилося до кінця не вирішеним, відмітив керівний партнер
ЮК "Правова гільдія "ВикториАл" Віктор Мороз.
Мінюст визначив ознаки, що дозволяють ідентифікувати сукупність даних як базу : зберігання і обробка відповідним програмним забезпеченням - в електронній формі, зберігання і обробка на паперових носіях інформації - у формі картотек. "Це визначення, на жаль, знову таки не дає чіткого визначення бази персональних даних у вигляді картотеки і залишає ситуацію з визначенням сукупності даних в якості БПД неврегульованою" .
Віктор Мороз |
Ще більше резонансним є положення, вказане Мінюстом відносно обов'язку фізичних осіб - підприємців і самозанятых осіб реєструвати бази персональних даних на власний розсуд. "Керуючись цим роз'ясненням багато фізичних осіб - підприємці дійшли висновку, що вони можуть безкарно ухилятися від реєстрації баз персональних даних, що суперечить положенням Закону", - рахує В. Мороз. Мінюст також висловив позицію відносно того, що договору фізичних осіб - підприємців з фізичними особами про виконання робіт або надання послуг не являються БПД і не підлягає державній реєстрації. Таким чином, торгівля фізичного особи-підприємця яблуками на ринку або діяльність шевця не передбачає зобов'язання реєстрації баз персональних даних.
Що стосується визначення власника і розпорядника базито Мінюст вказує, що при обробці персональних даних власником бази персональних даних являється юридична особа, розпорядником же бази персональних даних за наявності у юридичної особи филий, відділень, представництв можуть виступати відповідні структурні підрозділи. Що стосується ситуації, коли власником бази персональних даних є орган державної влади або орган місцевого самоврядування, то розпорядником бази персональних даних, окрім цих органів, може бути тільки підприємство державної або комунальної форми власності, що належить до сфери управління цього органу. Питання з неможливістю отримання згоди суб'єкта персональних даних залишилися неосвітленими Мінюстом.
Наслідки невиконання законодавчих вимог
Але яким би складним і заплутаним не було нове законодавство, виконувати його вимоги все одно необхідно. "Серйозними наслідками порушення законодавства про захист персональних даних можуть стати позови від громадян у зв'язку з виявленими ними порушеннями порядку використання їх персональних даних. З цим може зіткнутися кожен"- попереджає юрист ЮФ "Астерс" Ілля Онищенко.
З іншого боку, питання адміністративних санкцій також актуальний зважаючи на зміни до Карного кодексу і Кодексу про адміністративні правопорушення, що встановлюють відповідальність за порушення законодавства у сфері персональних даних (неповідомлення фізичної особи про його права, ухилення від реєстрації баз даних, неповідомлення регулятора про зміну відомостей поданих при реєстрації баз, незаконний збір і використання конфіденційної інформації) у вигляді штрафів до 17 000 грн. і обмеження свободи.
Ілля Онищенко |
Нагадаємо, загроза цих санкцій стимулювала активне звертання компаній до Державної служби з питань захисту персональних у кінці минулого року із заявами про реєстрацію персональних даних - орган виявився не готовий до значно збільшеного навантаження, оскільки об'єми заяв, що щодня подаються, перевищили усі очікування. На даний момент регулятор занурився в обробку отриманих заяв, при цьому реєстрація баз даних у встановлені Законом терміни стала практично неможливою.
13 січня 2012 року Президент України підписав Закон, яким термін введення в дію вказаних вище за санкцію за порушення законодавства в області захисту персональних даних переноситься на 6 місяців. На думку И. Онищенко, така відстрочення повинне позитивно позначитися як на поточній роботі регулятора, так і в частині дозволу деяких інших спірних або до кінця врегульованих питань (напр., відносно компетенції Державної служби при проведенні перевірок, специфіки роботи з персональними даними в транснаціональних корпораціях, альтернативних способів отримання згоди осіб на обробку персональних даних, і так далі). При цьому, проте, відстрочення абсолютно не знімає ризиків, пов'язаних з потенційними претензіями з боку громадян - власників персональних даних.
На сьогодні питань практичної реалізації норм Закону про захист персональних даних залишається більше, ніж є відповідей. Проте, практика напрацьовується. Юристи сподіваються, що вже в найближчому майбутньому більшість неоднозначних ситуацій, що виникають у сфері захисту персональних даних, будуть врегульована, і мета ухвалення Закону буде досягнута.
Детальніше про захист персональних даних - в матеріалі Захист персональних даних : ласкаво просимо в Україну!.