19 декабря 2011

Ажиотаж вокруг персональных данных

 

Закон о защите персональных данных действует уже почти год. И к концу года его нормы вызвали ажиотаж. Действительно базы персональных данных должны быть зарегистрированы до 01 января 2012 года. На регистрацию был дан целый год. Так что жаловаться не на что. Несмотря на определенные недостатки закона, в целом он направлен на защиту персональных данных граждан. То есть нас с вами. Именно нормы закона о защите персональных данных направлены на защиту от несанкционированной Вами передачи Ваших личных данных, например, коллекторам. К ответственности могут быть привлечены и организации, которые получив без Вашего согласия Ваши личные данные, рассылают почтой или с помощью СМС рекламные материалы. Более того, Закон дает субъекту персональных данных (то есть нам с Вами) право требовать удаления его данных из базы по формальным причинам. Это означает, что некоторые граждане смогут избегать ответственности по заключенным гражданско-правовым договорам, например, по выплате кредита.

Вклад в усиление ажиотажа внесли и СМИ. Особенно впечатлила новость ТСН: «Предприниматели бунтуют против посягательства на их частную жизнь. По Украине прокатилась очередная волна протестов предпринимателей из-за обязательства с нового года предоставить фискальным органам все данные о собственном имуществе, доходах и частной жизни. За нарушение нормативной базы для мелких предпринимателей вводят новые штрафы, которые будут достигать 34 тысяч гривен. Так, в Чернигове торговцы на акции протеста решили показать властям все, вплоть до нижнего белья. Панталоны, трусы и лифчики всех размеров и цветов стали орудием против новых положений Закона о защите частных данных».

Акция интересная, зрелищная. Только на частную жизнь предпринимателей никто не покушается.

Базы персональных данных регистрируются Службой по вопросам защиты персональных данных, а не фискальными органами. Регистрации подлежат базы данных с информацией о физических лицах, которые имеются в наличии у юридических лиц и физических лиц - предпринимателей. То есть регистрации подлежит именно база данных. Поэтому, во-первых, сама информация (персональные данные) не передается. Регистрируются не поименно люди, данные которых Вы имеете, а сам факт того, что юрлицо или физлицо-предприниматель владеют такими данными. Во-вторых, если у физического лица-предпринимателя отсутствуют наемные работники и база клиентов (контрагентов) в каком-либо виде не ведется, то, соответственно, регистрировать ему нечего (база данных отсутствует).

«Орудие» против новых положений Закона утрачивает боеспособность, если ознакомиться с положениями закона, определяющими, что есть персональные данные. Это данные, с помощью которых физическое лицо может быть идентифицировано. Например, идентификационный код, адрес + Ф.И.О. и т.д. По выложенным протестующими «орудиям» физлицо не может быть идентифицировано. Ваша частная жизнь если кого-то и интересует, то не Службу по вопросам защиты персональных данных. Закон как раз направлен на защиту частной жизни от посягательств. В том числе от продаж баз данных (базы телефонных номеров, базы ГАИ, БТИ, налоговой и т.д.) на рынке. Именно эти базы содержат личную информацию (например, об имеющейся собственности, паспортных данных), которая продается и используется мошенниками без Вашего согласия.

Складывается мнение, что люди верят в то, что если до нового года они не получат свидетельство о регистрации базы персональных данных, сразу же после празднования нового года на них будет наложен штраф 17 000 грн. Однако это не совсем так.

Решение о наложении штрафа будет принимать суд. На основании данных проверки Службы по вопросам защиты персональных данных. Инспекторы Службы пока не планируют идти ко всем подряд в поисках жертв. Основанием для проверки будет являться жалоба физического лица, чьи права нарушены из-за незаконного использования персональных данных. Кроме того, это лицо должно приложить к жалобе документы, подтверждающие факт нарушения. И прежде, чем составлять админпротокол и передавать его в суд, Служба направит предписание об устранении нарушений. И только потом, если предписание будет проигнорировано, протокол будет составлен и передан в суд.

Порядка проведения проверок Службой пока не существует. Опасаться стоит именно положений этого порядка. Большим сюрпризом может стать и создание требований к порядку ведения и хранения баз персональных данных. Не является секретом то, что характерной чертой нормотворчества в Украине является стремление к бюрократизации и созданию возможностей для коррупции.

Таким образом, если заявление о регистрации базы персональных данных подано до 01.01.2012, претензий по поводу уклонения от регистрации не будет. Даже если свидетельство о регистрации было получено после этой даты. Если заявление не подано вообще, Служба должна направить предписание об устранении нарушения. И только тогда, когда требования службы будут проигнорированы, грозит админштраф на основании решения суда. Если заявление было подано после 01.01.2012, но до момента проверки, о возможных действиях Службы можно пока только догадываться.

Отсутствие практики применения Закона также пока не позволяет однозначно сказать, что вообще считать базой данных. База предполагает наличие упорядоченности в хранении и обработке той совокупности персональных данных, которыми Вы владеете. Если совокупность персональных данных не является систематизированной и упорядоченной, то такая совокупность не может считаться базой персональных данных.

Поэтому стоит подумать, прежде чем подавать заявления о регистрации персональных данных и не плодить базы. Зарегистрировав базу, которой фактически не обладаете, Вы добровольно становитесь объектом для проверок и применения санкций. Без регистрации можно доказывать отсутствие наличия у Вас базы данных, а субъект властных полномочий вынужден будет доказывать, что такая база имеет место и вы уклоняетесь от ее регистрации.

Так что, заявление о регистрации базы персональных данных лучше подать до нового года, но панике поддаваться не стоит.

Остается только задуматься, кому выгоден ажиотаж. Организаторам таких акций? Или юристам, которые в конце года начали предлагать услуги по регистрации баз персональных данных?

P.S.: Заполнение заявления о регистрации базы данных занимает несколько минут. Регистрация бесплатна. Если выстоять очередь в Службе по вопросам защиты персональных данных не представляется возможным, заявление можно направить почтой или обратиться к посредникам. Если имеется электронная цифровая подпись, то заявление можно подать непосредственно на сайте Службы по вопросам защиты персональных данных. Согласие на обработку персональных данных необходимо получить только от тех физических лиц, отношения (трудовые, гражданско-правовые) с которыми возникли с 01.01.2011 г. И заявление, и образцы согласия находятся в свободном доступе. Определенную информацию можно найти на сайте Службы по вопросам защиты персональных данных: http://www.zpd.gov.ua. Консультация юриста может понадобиться при разработке внутренних положений о защите персональных данных.

Фроня Надежда, адвокат, партнер ОА «Лига правовой защиты»

  1. толково, почти со всем согласен.

    Единственный нюанс - как на основании этого Закона юрлицо или ФЛП-работодатель может получить согласие работника на то что данные последнего попадают в какую-то базу, если работник говорит работодателю - Да не хочу я нигде и ничего регистрировать и согласия вам не дам!

    Ведь по закону (ст.1)

    володілець бази персональних даних - фізична або юридична особа, якій законом або за згодою суб'єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом;

    То д.б. или обязанность ФИРМЫ согласно какому-то ЗАКОНУ (это вообще непонять что, нет такого Закона), или ЗГОДА субъекта персональных данных.

    а згода суб'єкта персональних даних - будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки;

    Т.е. добровольное волеизъявление.... я к чему это все. К тому что инициатива добровольного волеизъявления должна быть не от ФИРМЫ-работодателя а от самого работника - мол "включите меня в базу - я согласен - говорит сам работник", а не "можно мы тебя включим в базу данных - просит директор ФИРМЫ".

    Что думаете по этому поводу?

    ОтветитьУдалить
  2. Добровольное согласие означает согласие без применения насилия и принуждения. Источник инициативы законом не определен. Инициативу может проявить как работодатель, так и работник. Действительно – именно работник заинтересован в защите своих персональных данных. Для работодателей защита персональных данных работников – дополнительные затраты, обязанность, которая не может быть выполнена, если заинтересованное лицо не желает защиты своих прав. То есть ответственности за отказ работника дать согласие работодатель нести не может.
    Для работодателя отсутствие согласия только упрощает ситуацию: нет согласия – нет базы данных. Невозможность использования персональных данных работника в связи отсутствием его согласия означает, например, невозможность выплатить заработную плату (для этого нужен идентификационный код). Невыплата зарплаты будет нарушением законодательства работодателем. Практики применения закона пока нет. Думаю, что работодатель имеет право прекратить трудовые отношения в связи с невозможностью выполнения им возложенных на него обязательств по выплате заработной платы.

    ОтветитьУдалить
  3. так а к чему это "Думаю, что работодатель имеет право прекратить трудовые отношения в связи с невозможностью выполнения им возложенных на него обязательств по выплате заработной платы." - что из-за несогласия работника включать его в базу работодатель должен его уволить?

    ОтветитьУдалить
  4. Для выплаты заработной платы необходимо использовать идентификационный код работника, т.е. его персональные данные. Без его согласия это сделать невозможно. Если субъект персональных данных не дает свое право на использование его персональных данных, кроме особых случаев, предусмотренных Законом, то использование его данных является противозаконным. Невыплата зарплаты также наказуема.
    Ст. 7 Закона позволяет обработку персональных данных без согласия субъекта персональных данных (работника) в случае, когда обработка персональных данных необходима для осуществления прав и выполнения обязанностей в сфере трудовых правоотношений в соответствии с законом. Однако ст. 7 распространяется только на данные «про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров'я чи статевого життя».
    Наличие такого же положения в ст. 6 избавило бы работодателя от необходимости получать согласие. Однако на сегодня между Законом и КЗоТ имеется противоречие.
    Согласно ст. 6 Закона «не допускається обробка даних про фізичну особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини». Если обработка персональных данных является необходимой для защиты жизненно важных интересов субъекта персональных данных, обрабатывать персональные данные без его согласия можно до времени, когда получение согласия станет возможным.
    Пока нет разъяснений (и главное жалоб работника в Службу) работодатель может использовать идент. код для выплаты зарплаты без согласия работника. Если работодатель будет согласен с таким трактованием Закона: зарплата – это указанные в Законе экономическое благополучие, право человека и жизненно важный интерес. Т.е. на обработку персональных данных работника самим работодателем, в установленных КЗоТ пределах, письменного согласия работника не требуется. Работодатель на случай проверки может взять письменный отказ работника от дачи согласия с выражением согласия на получение заработной платы (составить соответствующий акт), однако это будет не совсем тем согласием в письменном виде, как того требует Закон (а значит возможность наложение на работодателя штрафа исключать не стоит).
    Разумеется, работодатель не обязан на свой страх и риск трактовать законы. Ведь согласия работника не требуется, если информация о персональных данных работника не передается третьим лицам. А налоговая инспекция согласно Закону является третьим лицом. Поэтому работодатель не должен, но может уволить работника. Часть 2 ст. 24 КЗоТ +ст. 40 (в связи с изменением условий труда или систематическим нарушением ПВТР). Нужно только быть целеустремленным и правильно оформить локальные нормативные акты.
    Итог. Несовершенство законодательства позволяет обосновать позицию как работника, так и работодателя. Трудности имеют те, на кого возложена обязанность защищать персональные данные. Сами субъекты персональных данных не только приняли в штыки нововведения, но и создают дополнительные трудности в защите их же данных.
    Кстати, о персональных данных, передаваемых налоговой инспекции. Согласно письма Государственной службы Украины по вопросам защиты персональных данных от 06.12.2011 г. N 09/1312-11 подлежат регистрации как база персональных данных Единый лицензионный реестр и Реестр документов разрешительного характера. Исходя из такой логики Службы, скоро могут появиться разъяснения относительно регистрации ГНАУ как базы персональных данных Реестра физических лиц-налогоплательщиков.

    ОтветитьУдалить