Иногда полезно понизить градус
Нам представляется уместным начать с того, чтобы «понизить градус» и устранить излишний накал страстей, связанных с так называемым введением с 1 июля 2012 года уголовной и административной ответственности за нарушения законодательства в сфере защиты персональных данных.
Начнем с уголовной ответственности. Действительно, с 1 июля 2012 года (если вступление в силу Закона № 3454-VI в очередной раз не будет отсрочено) уголовное наказание за незаконные сбор, хранение, изменение, использование, уничтожение, распространение конфиденциальной информации о лице будет наказываться штрафом от 8500 до 17000 гривен либо исправительными работами до двух лет, либо арестом сроком до шести месяцев, либо же ограничением свободы сроком до трех лет. В случаях если преступление совершено повторно или таковым причинен существенный вред (свыше 100 налоговых социальных льгот, установленных на 1 января года, для 2012 года - это 53650 гривен) правам свободам и интересам лица, наказание может достичь пяти лет лишения свободы.
Однако стоит учесть, что статья 182 «Нарушение неприкосновенности частной жизни» в Уголовном кодексе была и до принятия Закона о защите персональных данных, так что никакой концептуально новой уголовной ответственности с 1 июля не будет.
Полнейший бред и к тому же опасный
(Б. Акунин «Статский советник»)
«Новая» ответственность за незаконный сбор и распространение конфиденциальной информации о лице была введена немногим более года назад, с 10 мая 2011 года, когда вступила в силу новая редакция Закона Украины «Об информации». Напомним, что в отличие от предыдущей редакции этого Закона, новая уже не содержала определения понятия «конфиденциальная информация» как ведомостей, которые находятся во владении, пользовании либо распоряжении отдельных физических или юридических лиц и распространяются по их желанию в соответствии с предусмотренными ими условиями. В связи с этим конфиденциальная информация о лице, даже будучи незаконно разглашенной, то есть более не находящейся во владении и распоряжении отдельных лиц, с 10 мая 2011 года не теряет статус конфиденциальной. В этом кроется существенное изменение, ведь попросту говоря, если раньше написанное мелом на заборе автоматически не могло иметь статус конфиденциальной информации, то теперь может. Сейчас важно не то, находится ли информация во владении ограниченного круга лиц, а то, кого эта информация касается. С учетом Решения Конституционного Суда Украины от 20.01.2012 г. № 2-рп/2012 под информацией о личной и семейной жизни лица следует понимать любые сведения или совокупность сведений о личных имущественных и неимущественных отношениях, о событиях и явлениях, отношениях, связанных с лицом или членами его семьи. Такая информация признается конфиденциальной.
Итак, законодательные изменения мая 2011 года и толкование Конституционным Судом понятия «информации о личной и семейной жизни» в совокупности уже полгода как позволяют усадить на скамью подсудимых любого, кто имеет документальное подтверждение существования других людей.
Непросто соблюсти простые правила, если они бессмысленны
Придя в себя после осознания того, что общество состоит сплошь и рядом из нарушителей неприкосновенности личной жизни и эти нарушители чудом уже полгода избегают уголовной ответственности, можно тут же снова выйти из себя. Зачем? Затем, чтобы быть в себе с 1 июля 2012 года (вернувшись, можно обнаружить там проверяющих), особенно если вы - должностное лицо предприятия или гражданин-СПД.
Константин Пильков |
Государственная служба по вопросам защиты персональных данных (ГСЗПД) получает с 1 июля 2012 года законодательное подкрепление своим полномочиям в виде весьма значительных административных штрафов. Насколько значительными являются эти санкции, можно понять из простого сравнения. За невыполнение законных требований должностного лица налоговой службы полагается штраф в размере от 85 до 170 гривен (статья 163-3 КоАП). Уклонение должностного лица от выполнения законных требований прокурора может вылиться в штраф от 34 до 85 гривен (статья 185-8 КоАП). За невыполнение же законных требований должностного лица ГСЗПД должностному лицу предприятия или гражданину-СПД грозит штраф в размере от 1700 до 3400 гривен (статья 188-40 КоАП с 1 июля 2012 года).
Справедливости ради стоит отметить, что суровость санкций за невыполнение требований должностных лиц различных органов в КоАП установлены часто в размере, прямо не связанном с действительной значимостью для общества той сферы, в которой имеет место нарушение (другими словами, ГСЗПД не важнее прокуратуры в 40 раз). Скорее наоборот, чем меньше у определенного органа других рычагов воздействия на нарушителя, тем выше может быть административный штраф, применяемый к нему либо к его должностным лицам. Кстати, за невыполнение законных требований должностного лица ГСЗПД вводится санкция только в отношении должностного лица и гражданина-СПД. Это весьма резонно, поскольку рядовые граждане вряд ли смогут примерить на себя роль нарушителя тех норм законодательства о защите персональных данных, за нарушения которых установлена административная ответственность. По этой же причине ниже мы рассматриваем административные санкции за прочие нарушения только в отношении должностных лиц и граждан-СПД.
Оставим невыполнение требований ГСЗПД. Основаниями для возможных санкций, не связанных с реакцией на запросы должностных лиц ГСЗПД, остаются:
Нарушение | Санкция статьи 188-39 КоАП | Как не стать нарушителем? |
Неуведомление либо несвоевременное уведомления субъекта персональных данных (физического лица, чьи данные обрабатываются) о его правах в связи с внесением его персональных данных в базу, о цели сбора этих данных и лицах, которым они передаются | штраф в размере 5100 - 6800 гривен (6800 - 11900 гривен при повторном в течение года нарушении | Уведомление (содержащее информацию о правах субъекта в связи с обработкой, цели сбора данных, лицах, которым будут передаваться данные) должно быть совершено в письменном виде в течение 10 рабочих дней после включения персональных данных в базу. Уведомление можно не осуществлять, если персональные данные собираются из общедоступных источников. Минюст под таковыми понимает печатные СМИ, средства телерадиовещания, интернет-порталы, публичные выступления и прочие источники информации, к которым лица имеют свободный, неограниченный законодательством доступ (разъяснение от 21.12.2011 г. «Некоторые вопросы практического применения Закона Украины «О защите персональных данных»). |
Неуведомление либо несвоевременное уведомления ГСЗПД об изменении ведомостей, которые подаются для государственной регистрации базы персональных данных | штраф в размере 3400 - 6800 гривен (6800 - 11900 гривен при повторном в течение года нарушении) | Уведомление осуществляется на протяжении 10 рабочих дней с даты изменений путем направления в ГСЗПД заявления, форма которого утверждена приказом Минюста № 1824/5 от 8 июля 2011 года. |
Уклонение от государственной регистрации баз персональных данных | штраф в размере 8500 - 17000 гривен | По мнению представителей ГСЗПД, об уклонении в условиях действующего законодательства может идти речь в случае, если по результатам проверки будет установлено наличие незарегистрированной базы персональных данных, после чего ГСЗПД издаст предписание об устранении нарушения, которое владелец базы неправомерно не удовлетворит. В этом случае возможно составление уполномоченным должностным лицом Службы протокола об административном нарушении, который далее подлежит направлению в местный суд для принятия решения о привлечении к ответственности. |
Несоблюдение установленного законодательством о защите персональных данных порядка защиты персональных данных в базе, которое повлекло незаконный доступ к ним | штраф в размере 5100 - 17000 гривен | Некоторые требования к системе защиты персональных данных уже установлены Типовым порядком обработки персональных данных в базах персональных данных, утвержденным приказом Минюста № 3659/5 от 30.12.2012 г. Для обработки персональных данных в автоматизированной системе установлены требования авторизации и идентификации при допуске к обработке, обеспечение антивирусной защиты и бесперебойного питания элементов системы. Для обработки в картотеках предусмотрено их хранение в помещениях (шкафах, сейфах) под замком либо с контролем доступа. Стоить учесть, что Типовой порядок обязывает создать условия для защиты персональных данных и не указывает, что если приведенные выше минимальные требования выполнены, то порядок защиты считается соблюденным. В случае несанкционированного доступа к персональным данным нарушение может считаться совершенным ввиду самой реализованной возможности несанкционированного доступа. |
ВЫВОД:
Как можно заметить, соблюсти условия, которые помогут не стать нарушителем, возможно. Пусть даже те, кому эти правила выполнять, в подавляющем большинстве своем не видят в них смысла и ценности. В условиях действия санкций за нарушения законодательства о защите персональных данных остается полагаться на благоразумие ГСЗПД и Министерства юстиции (которое уже несколько раз, пусть не системно, но разъяснило нормы законодательства, держась ближе к здравому смыслу, нежели к формально-логическому толкованию Закона). Далее, надеемся, последуют законодательные изменения, направленные на усиление защиты так называемых уязвимых персональных данных, а не открытой информации о гражданах, которой мы обмениваемся ежедневно безо всяких регистраций, уведомлений и зачитывания друг другу прав.
Константин Пильков,
управляющий партнер «Cai & Lenard Law Firm»