Іноді корисно знизити градус
Нам представляється доречним почати з того, щоб "знизити градус" і усунути зайве загострення пристрастей, пов'язаних з так званим введенням з 1 липня 2012 року карній і адміністративній відповідальності за порушення законодавства у сфері захисту персональних даних.
Почнемо з карної відповідальності. Дійсно, з 1 липня 2012 року (якщо набуття чинності Закону № 3454 - VI у черговий раз не буде відстрочено) карне покарання за незаконні збір, зберігання, зміна, використання, знищення, поширення конфіденційної інформації про особу каратиметься штрафом від 8500 до 17000 гривен або виправними роботами до двох років, або арештом строком до шести місяців, або ж обмеженням свободи строком до трьох років. У випадках якщо злочин скоєний повторно або таким заподіяна істотна шкода (понад 100 податкових соціальних пільг, встановлених на 1 січня року, для 2012 року - це 53650 гривен) правам свободам і інтересам особи, покарання може досягти п'яти років позбавлення волі.
Проте варто врахувати, що стаття 182 "Порушення недоторканості приватного життя" в Карному кодексі була і до прийняття Закону про захист персональних даних, так що ніякої концептуально нової карної відповідальності з 1 липня не буде.
Щонайповніше марення і до того ж небезпечний
(Б. Акунін "Статський радник")
"Нова" відповідальність за незаконний збір і поширення конфіденційної інформації про особу була введена дещо більше року тому, з 10 травня 2011 року, коли набула чинності нова редакція Закону України "Про інформацію". Нагадаємо, що на відміну від попередньої редакції цього Закону, нова вже не містила визначення поняття "Конфіденційна інформація" як відомостей, які перебувають у володінні, користуванні або розпорядженні окремих фізичних або юридичних осіб і поширюються по їх бажанню відповідно до передбачених ними умов. У зв'язку з цим конфіденційна інформація про особу, навіть будучи незаконно розголошеною, тобто що більше не перебуває у володінні і розпорядженні окремих осіб, з 10 травня 2011 року не втрачає статус конфіденційною. У цьому криється істотна зміна, адже просто кажучи, якщо раніше написане крейдою на огорожі автоматично не могло мати статусу конфіденційної інформації, то тепер може. Зараз важливо не те, чи знаходиться інформація у володінні обмеженого кола осіб, а то, кого ця інформація торкається. З обліком Рішення Конституційного Суду України від 20.01.2012 р. № 2-рп/2012 під інформацією про особисте і сімейне життя особи слід розуміти будь-які відомості або сукупність відомостей про особисті майнові і немайнові стосунки, про події і явища, стосунки, пов'язані з обличчям або членами його сім'ї. Така інформація визнається конфіденційною.
Отже, законодавчі зміни травня 2011 року і тлумачення Конституційним Судом поняття "Інформації про особисте і сімейне життя" в сукупності вже півроку як дозволяють усадити на лаву підсудних будь-кого, хто має документальне підтвердження існування інших людей.
Непросто дотримати прості правила, якщо вони безглузді
Прийшовши в себе після усвідомлення того, що суспільство складається часто-густо з порушників недоторканості особистого життя і ці порушники дивом вже півроку уникають карної відповідальності, можна тут же знову вийти з себе. Навіщо? Для того, щоб бути в собі з 1 липня 2012 року (повернувшись, можна виявити там перевіряючих), особливо якщо ви - посадовець підприємства або ГРОМАДЯНИН-СПД.
|
Костянтин Пильков |
Державна служба з питань захисту персональних даних (ГСЗПД) отримує з 1 липня 2012 року законодавче підкріплення своїм повноваженням у вигляді дуже значних адміністративних штрафів. Наскільки значними є ці санкції, можна зрозуміти з простого порівняння. За невиконання законних вимог посадовця податкової служби вважається штраф в розмірі від 85 до 170 гривен (стаття 163-3 КоАП). Ухилення посадовця від виконання законних вимог прокурора може вилитися в штраф від 34 до 85 гривен (стаття 185-8 КоАП). За невиконання ж законних вимог посадовця ГСЗПД посадовцю підприємства або ГРОМАДЯНИНОВІ-СПД загрожує штраф в розмірі від 1700 до 3400 гривен (стаття 188-40 КоАП з 1 липня 2012 року).
Справедливості ради варто відмітити, що суворість санкцій за невиконання вимог посадовців різних органів в КоАП встановлені часто в розмірі, прямо не пов'язаному з дійсною значущістю для суспільства тієї сфери, в якій має місце порушення (іншими словами, ГСЗПД не важливіше за прокуратуру в 40 разів). Швидше навпаки, чим менше у певного органу інших важелів дії на порушника, тим вище може бути адміністративний штраф, що застосовується до нього або до його посадових облич. До речі, за невиконання законних вимог посадовця ГСЗПД вводиться санкція тільки відносно посадовця і ГРОМАДЯНИНА-СПД. Це дуже резонно, оскільки пересічні громадяни навряд чи зможуть приміряти на себе роль порушника тих норм законодавства про захист персональних даних, за порушення яких встановлена адміністративна відповідальність. З цієї ж причини нижче ми розглядаємо адміністративні санкції за інші порушення тільки відносно посадовців і ГРОМАДЯН-СПД.
Залишимо невиконання вимог ГСЗПД. Підставами для можливих санкцій, не пов'язаних з реакцією на запити посадовців ГСЗПД, залишаються:
Порушення | Санкція статті 188-39 КоАП | Як не стати порушником? |
Неповідомлення або несвоєчасне повідомлення суб'єкта персональних даних (фізичної особи, чиї дані обробляються) про його права у зв'язку з внесенням його персональних даних у базу, про мету збору цих даних і осіб, яким вони передаються | штраф у розмірі 5100 - 6800 гривен (6800 - 11900 гривен при повторному впродовж року порушенні | Повідомлення (що містить інформацію про права суб'єкта у зв'язку з обробкою, мети збору даних, осіб, яким передаватимуться дані) має бути здійснене письмово впродовж 10 робочих днів після включення персональних даних у базу. Повідомлення можна не здійснювати, якщо персональні дані збираються із загальнодоступних джерел. Мінюст під такими розуміє друковані ЗМІ, засоби телерадіомовлення, інтернет-портали, публічні виступи і інші джерела інформації, до яких особи мають вільний, необмежений законодавством доступ (роз'яснення від 21.12.2011 р. "Деякі питання практичного застосування Закону України "Про захист персональних даних"). |
Неповідомлення або несвоєчасне повідомлення ГСЗПД про зміну відомостей, які подаються для державної реєстрації бази персональних даних | штраф у розмірі 3400 - 6800 гривен (6800 - 11900 гривен при повторному впродовж року порушенні) | Повідомлення здійснюється упродовж 10 робочих днів з дати змін шляхом напряму в ГСЗПД заяви, форма якої затверджена наказом Мінюсту № 1824/5 від 8 липня 2011 року. |
Ухилення від державної реєстрації баз персональних даних | штраф у розмірі 8500 - 17000 гривен | На думку представників ГСЗПД, про ухилення в умовах чинного законодавства може йтися у разі, якщо за результатами перевірки буде встановлено наявність незареєстрованої бази персональних даних, після чого ГСЗПД видасть припис про усунення порушення, яке власник бази неправомірний не задовольнить. В цьому випадку можливе складання уповноваженим посадовцем Служби протоколу про адміністративне порушення, який далі підлягає напряму до місцевого суду для ухвалення рішення про притягнення до відповідальності. |
Недотримання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі, яке спричинило незаконний доступ до них | штраф у розмірі 5100 - 17000 гривен | Деякі вимоги до системи захисту персональних даних вже встановлені Типовим порядком обробки персональних даних у базах персональних даних, затвердженим наказом Мінюсту № 3659/5 від 30.12.2012 р. Для обробки персональних даних в автоматизованій системі встановлені вимоги авторизації і ідентифікації при допуску до обробки, забезпечення антивірусного захисту і безперебійного живлення елементів системи. Для обробки в картотеках передбачено їх зберігання в приміщеннях (шафах, сейфах) під замком або з контролем доступу. Варто врахувати, що Типовий порядок зобов'язує створити умови для захисту персональних даних і не вказує, що якщо приведені вище мінімальні вимоги виконані, то порядок захисту вважається дотриманим. У разі несанкціонованого доступу до персональних даних порушення може вважатися досконалим зважаючи на саму реалізовану можливість несанкціонованого доступу. |
ВИСНОВОК:
Як можна помітити, дотримати умови, які допоможуть не стати порушником, можливо. Нехай навіть ті, кому ці правила виконувати, в переважній більшості своєму не бачать в них сенсу і цінності. В умовах дії санкцій за порушення законодавства про захист персональних даних залишається покладатися на розсудливість ГСЗПД і Міністерства юстиції (яке вже кілька разів, нехай не системно, але роз'яснило норми законодавства, тримаючись ближче до здорового глузду, ніж до формально-логічного тлумачення Закону). Далі, сподіваємося, послідують законодавчі зміни, спрямовані на посилення захисту так званих уразливих персональних даних, а не відкритій інформації про громадян, якою ми обмінюємося щодня без всяких реєстрацій, повідомлень і зачитування один одному прав.
Костянтин Пильков,
керівний партнер "Cai & Lenard Law Firm"
