ЗА ЧУТКАМИ І НАСПРАВДІ
За несвоєчасну реєстрацію нікого не штрафуватимуть
Переполох, який наприкінці року охопив усю країну і стосувався санкцій, передбачених за невиконання Закону «Про захист персональних даних», мабуть, ущухне після прес-конференції, яку в Міністерстві юстиції за тиждень до Нового року провели керівники Державної служби з питань захисту персональних даних. Саме ця структура, а не податкова служба чи правоохоронні органи, стежитиме за дотриманням законодавчих норм. А рішення про штрафні санкції прийматиме лише суд.
Річ у тім, що ні до податкової, ні до регуляторної політики цей закон не має жодного стосунку. Його розробили і схвалили заради приведення у відповідність законодавства України до Конвенції Ради Європи про систематизовану обробку персональних даних, підписаної і ратифікованої нашою країною. Окрім загальноєвропейських, якихось національних особливостей у документі не передбачено.
— Хочу всіх заспокоїти: жодного автоматичного штрафу бути не може, — наголосила директор департаменту взаємодії з органами влади Олена Зеркаль. — Згідно із законодавством, санкції застосовуються за рішенням суду, яке приймається на підставі протоколу про адміністративні правопорушення, складеного Державною службою з питань захисту персональних даних.
Лише адаптація до європейського законодавства
Однак, мабуть, не це має заспокоїти власників, чи то пак «володільців» баз даних, які не встигають їх зареєструвати. Річ у тім, що навіть за великого бажання оштрафувати їх не зможуть. Чисельність держслужби — 51 особа, з яких контролем займається лише семеро фахівців. Тож на масові перевірки сподіватися не варто. До того ж підставою для проведення перевірки є включення її до плану, затвердженого головою служби і завчасно оприлюдненого, або ж за мотивованою скаргою від громадян. За результатами перевірок контролери можуть скласти припис про усунення правопорушень (якщо вони незначні) або ж адміністративний протокол (за серйозні промахи), який і подають на розгляд суду.
Самі ж судові справи можуть бути тільки за ухилення від реєстрації, яке можна встановити лише за результатами перевірки, пояснила перший заступник голови Держслужби з питань захисту персональних даних Лілія Олексюк. Суд встановлює як величину провини, так і розмір штрафу. Якщо чиїсь персональні дані передають третій особі без згоди того, кому вони належать, покарання не минути.
Вести чи не вести базу даних — право, а не обов'язок. Фото Володимира ЗАЇКИ
Кого притягувати до відповідальності?
Однак штрафи — не єдине, чим переймаються громадяни з приводу набуття чинності цим законом. Одне з актуальних питань — чи припиняється реєстрація баз даних після нового року і як мають доправляти інформацію ті, хто проживає у регіонах (структур держслужби на місцях немає). Згідно із законом встановлена заявницька система реєстрації. Документ можна надсилати поштою або ж в електронній формі з використанням електронного цифрового підпису.
Стосовно занепокоєння з приводу того, що заявникам не ставлять позначок про вчасно надані документи, то й воно марне. За такого напливу паперів, який пішов в останні два місяці, в держслужбі просто не встигають їх обробити у відведений законодавством десятиденний термін. Один фахівець може опрацювати не більше ста заяв за день. Нині їх надійшло понад 300 тис. Хоч до листопада служба отримувала не більше 100 заяв на місяць. Перед Новим роком вони надходять мішками, у кожному з яких по тисячі.
— Не варто перейматися й тим, що державна служба не втримає таємницю персональних даних, — наголосила Олена Зеркаль. — Жодних персональних даних нам не передають. Реєструється лише база як така, де сказано, хто нею володіє, які дані обробляються і з якою метою. Самі ж персональні дані зберігаються на тому підприємстві, яке веде цю базу. Воно відповідає й за захищеність таємниці.
Підприємці, які не ведуть баз персональних даних, нічого й не реєструють. Навіть адвокати, які не мають таких баз, не задіяні у реєстраційному процесі. Адже вести чи не вести базу даних — право, а не обов’язок. Якщо ж бізнесмен має справи з контрагентами і веде базу цих контрагентів, куди вносить про них інформацію, це вже база персональних даних (на її підставі він може ідентифікувати особу, яка уклала з ним договір).
Нечітка межа
Тож кожен сам вирішує, де база персональних даних, а де просто набір даних, стверджують керівники держслужби. Однак насправді межа між цими поняттями нечітка. Того, що закон далекий від ідеального, не заперечують і в держслужбі. Мовляв, він і не міг бути ідеальним (колишній президент тричі накладав на нього вето). Тому документ потребує доопрацювання. Після того, як у січні Рада Європи проаналізує український закон про захист персональних даних і надасть свої висновки, з їх урахуванням будуть розроблені доповнення та зміни. Та й сам резонансний закон, який набув такого широкого розголосу в суспільстві, обговорять із громадськістю.
Ліпше це було зробити перед його схваленням. А ще роз’яснити незрозумілі положення цього документа, як це зробили на вже згадуваній прес-конференції. Приміром, що робити людині, яка брала кредит у банку і згодом з’ясувала, що її персональні дані опинилися у колекторській компанії?
Передусім вона має з’ясувати, чи були ці дані зареєстровані держслужбою, а потім пред’являти претензію в суд до банку, чи поскаржитися до держслужби, яка має провести своє розслідування. Порядок обробки персональних даних у банківській системі визначає НБУ. Однак нині це питання лише врегульовують, тож імовірно, що проблеми таки будуть.
Усі мають знати, що є лише дві підстави для обробки персональних даних: згода суб’єкта або законодавчі підстави. Однак і тут є одне «але»: людина може не давати згоди на обробку персональних даних, але згідно з іншим законодавством, приміром, Трудовим кодексом, їх обробляють без такої згоди.
На запитання, чи потрібно політичним партіям, громадським та релігійним організаціям реєструвати свою базу даних, відповідь була ствердною. Однак щодо релігійних організацій у майбутньому, мабуть, зроблять виняток, оскільки це питання вельми делікатне.
Що робити підприємствам, які перебувають у стадії ліквідації чи банкрутства? Реєструватися треба, адже обидві процедури тривалі. Але після зміни статусу треба повідомити про це дерслужбу, надіславши заяву з проханням виключити відомості з реєстру.
На запитання кореспондента «Урядового кур’єра», на кого шукати управу тому, чиї персональні дані одночасно зберігаються у кількох інституціях (у партійній, релігійній організаціях, членом яких є, у банках, де брав кредит чи відкривав депозит, за місцем роботи та підробітку) і раптом потрапили третій особі, відповідь хоч і була дана, однак втішного у ній мало. Адже повірити у запевнення, що держслужба всіх перевірить і з’ясує, хто порушив закон, важко. Та й де візьметься така армія контролерів, щоб усіх перевірити?