Сложности трактовки терминов
Одним из краеугольных камней практической реализации положений нового законодательства стало само определение базы персональных данных, данное понятие представляется достаточно обширным и вызывает массу вопросов. В связи с настолько неодозначной трактовкой определения базы персональных данных Министерство юстиции разъясняло положения соответствующего Закона, но вопрос с отсутствием четкого определения и критериев отнесения тех или иных сведений к персональным данным остался до конца не решенным, отметил управляющий партнер
ЮК «Правовая гильдия «ВикториАл» Виктор Мороз.
Минюст определил признаки, позволяющие идентифицировать совокупность данных как базу: хранение и обработка соответствующим программным обеспечением - в электронной форме, хранение и обработка на бумажных носителях информации - в форме картотек. «Данное определение, к сожалению, опять таки не дает четкого определения базы персональных данных в виде картотеки и оставляет ситуацию с определением совокупности данных в качестве БПД неурегулированной» .
|
Виктор Мороз |
Еще более резонансным является положение, указанное Минюстом в отношении обязанности физических лиц - предпринимателей и самозанятых лиц регистрировать базы персональных данных на свое усмотрение. «Руководствуясь данным разъяснением многие физические лица - предприниматели пришли к выводу, что они могут безнаказанно уклоняться от регистрации баз персональных данных, что противоречит положениям Закона», - считает В.Мороз. Минюст также высказал позицию относительно того, что договора физических лиц - предпринимателей с физическими лицами о выполнении работ или предоставлении услуг не являются БПД и не подлежит государственной регистрации. Таким образом, торговля физического лица-предпринимателя яблоками на рынке или деятельность сапожника не предусматривает обязательства регистрации баз персональных данных.
Что касается определения владельца и распорядителя базы, то Минюст указывает, что при обработке персональных данных владельцем базы персональных данных является юридическое лицо, распорядителем же базы персональных данных при наличии у юридического лица филий, отделений, представительств могут выступать соответствующие структурные подразделения. Что касается ситуации, когда владельцем базы персональных данных является орган государственной власти или орган местного самоуправления, то распорядителем базы персональных данных, кроме этих органов, может быть только предприятие государственной или коммунальной формы собственности, принадлежащее к сфере управления данного органа. Вопросы с невозможностью получения согласия субъекта персональных данных остались неосвещенными Минюстом.
Последствия невыполнения законодательных требований
Но каким бы сложным и запутанным не было новое законодательство, выполнять его требования все равно необходимо. «Серьезными последствиями нарушения законодательства о защите персональных данных могут стать иски от граждан в связи с выявленными ими нарушениями порядка использования их персональных данных. С этим может столкнуться каждый», - предупреждает юрист ЮФ «Астерс» Илья Онищенко.
С другой стороны, вопрос административных санкций также актуален ввиду изменений в Уголовный кодекс и Кодекс об административных правонарушениях, устанавливающих ответственность за нарушения законодательства в сфере персональных данных (неуведомление физического лица о его правах, уклонение от регистрации баз данных, неуведомление регулятора об изменении ведомостей поданных при регистрации баз, незаконный сбор и использование конфиденциальной информации) в виде штрафов до 17 000 грн. и ограничения свободы.
|
Илья Онищенко |
Напомним, угроза этих санкций стимулировала активное обращение компаний в Государственную службу по вопросам защиты персональных в конце прошлого года с заявлениями о регистрации персональных данных - орган оказался не готов к значительно возросшей нагрузке, поскольку объемы ежедневно подаваемых заявлений превысили все ожидания. На данный момент регулятор погрузился в обработку полученных заявлений, при этом регистрация баз данных в установленные Законом сроки стала практически невозможной.
13 января 2012 года Президент Украины подписал Закон, которым срок введения в действие указанных выше санкции за нарушение законодательства в области защиты персональных данных переносится на 6 месяцев. По мнению И.Онищенко, такая отсрочка должна позитивно сказаться как на текущей работе регулятора, так и в части разрешения некоторых других спорных или до конца урегулированных вопросов (напр., в отношении компетенции Государственной службы при проведении проверок, специфики работы с персональными данными в транснациональных корпорациях, альтернативных способов получения согласия лиц на обработку персональных данных, и т.д.). При этом, однако, отсрочка совершенно не снимает рисков, связанных с потенциальными претензиями со стороны граждан - собственников персональных данных.
На сегодняшний день вопросов практической реализации норм Закона о защите персональных данных остается больше, чем есть ответов. Тем не менее, практика нарабатывается. Юристы надеются, что уже в ближайшем будущем большинство неоднозначных ситуаций, возникающих в сфере защиты персональных данных, будут урегулированы, и цель принятия Закона будет достигнута.
Подробнее о защите персональных данных - в материале Защита персональных данных: добро пожаловать в Украину!.
