Персональные данные: ответственность и проверки

Персональные данные: ответственность и проверки

Михаил ВИШНЕВСКИЙ, экономист-аналитик Издательского дома «Фактор»

Первое, что вынуждены отметить: Закон Украины «Об основных принципах государственного надзора (контроля) в сфере хозяйственной деятельности» от 05.04.2007 г. № 877-V на осуществление мер по контролю в сфере защиты персональных данных вряд ли можно распространить, поскольку данная сфера отношений не является видом хозяйственной деятельности.

На сегодня законодательное регулирование порядка проведения проверок в сфере защиты персональных данных ограничивается одной статьей Закона № 2297 (согласно ст. 22 контроль за соблюдением законодательства о защите персональных данных в пределах полномочий, предусмотренных законом, осуществляет уполномоченный государственный орган по вопросам защиты персональных данных) и несколькими предписаниями в Положении № 390. Так, в частности, Положением предусмотрено, что Госслужба осуществляет госнадзор и контроль за соблюдением законодательства о защите персональных данных, разрабатывает и утверждает планы проверок владельцев баз персональных данных, проводит в пределах своих полномочий выездные и невыездные проверки, выдает обязательные для выполнения предписания по устранению нарушений законодательства о защите персональных данных, составляет админпротоколы о выявленных нарушениях законодательства.

Следует обратить внимание на то, что и Закон № 2297, и Положение № 390 указывают на необходимость установления надзорных полномочий на уровне закона. Пока порядка проведения проверок нет не только в законе, но и в подзаконных нормативных актах. Впрочем, это не помешало Госслужбе утвердить план проведения проверок на IV квартал 2011 года (в него вошло только 9 субъектов хозяйствования), а в последующем и на I квартал 2012 года (в него «посчастливилось» попасть трем субъектам хозяйствования). Следует сказать, что на сегодня правомерность проведения проверок Государственной службой по вопросам защиты персональных данных в условиях отсутствия порядка их осуществления вызывает вопросы. Однако в силу их немногочисленности данный вопрос, скорее всего, остро так и не станет.

Сегодня существует разработанный Госслужбой по вопросам защиты персональных данных проект порядка проведения проверок. Им предусмотрен «стандартный» набор проверок: плановые и внеплановые, выездные и невыздные. Интересно, что уведомление о проверке направляется субъекту хозяйствования не менее чем за 10 дней независимо от того, какая проверка будет проводиться — плановая или внеплановая. При этом срок проведения проверки не может превышать 10 рабочих дней. Правда, возможно продление проверки, но не более чем на 5 рабочих дней.

Проектом предусмотрено распределение субъектов хозяйствования по степени риска осуществляемой ими деятельности на три категории, в зависимости от которых определяется периодичность плановых проверок. К примеру, к высокой степени риска предлагается относить деятельность в сфере административного и вспомогательного обслуживания, финансовую и страховую деятельность, здравоохранение (проверки планируется проводить на чаще чем раз в три года). Деятельность в сфере телекоммуникаций попадет в группу со средней степенью риска (частота проверок — раз в четыре года). Наибольшее количество видов деятельности попало в категорию незначительной степени риска. Это, к примеру, оптовая и розничная торговля, транспорт, временное размещение и организация питания и т. п. (проверки могут проводиться не чаще чем раз в пять лет). Те виды деятельности, которые ни в одну из групп не попали, судя по всему, плановыми проверками охватываться не будут.

Базовый перечень вопросов для проверки работниками Государственной службы Украины по вопросам защиты персональных данных соблюдения субъектами проверок требований законодательства о защите персональных данных включает в себя следующие пункты:

1. Наличие у субъекта проверки факта обработки персональных данных: выяснение сферы деятельности, категорий субъектов персональных данных и состава персональных данных, которые обрабатываются.

2. Наличие документов, регламентирующих деятельность субъекта проверки:

— для органов государственной власти: Указ Президента Украины о создании и об утверждении соответствующих Положений; свидетельства о государственной регистрации других нормативных документов, регулирующих деятельность;

— для субъектов предпринимательской деятельности: выписка из ЕГР либо другой документ, подтверждающий госрегистрацию, учредительные документы и свидетельство об уплате единого налога (если лицо является плательщиком единого налога).

3. Статус субъекта проверки: принадлежность к владельцам/распорядителям базы персональных данных или к третьему лицу.

4. В случае наличия у распорядителя базы персональных данных, владельцем которой является орган государственной власти или орган местного самоуправления, — проверка его принадлежности к государственной или коммунальной форме собственности, которая относится к сфере управления этого органа.

5. Наличие у субъекта проверки документов, подтверждающих регистрацию баз персональных данных или копий документов касательно их отправки для регистрации в Гослужбу.

6. Правовые основания для осуществления обработки персональных данных в базе персональных данных:

— на основании разрешения, предоставленного в соответствии с законодательством Украины исключительно для осуществления полномочий;

— на основании согласия, предоставленного субъектом персональных данных, на обработку его персональных данных.

7. Разрешение на обработку персональных данных, предоставленное субъекту хозяйствования в соответствии с законом исключительно для осуществления его полномочий, проверяется на соответствие конкретным положениям каждого акта (пункт, часть, статья), которые предусматривают право на обработку персональных данных физических лиц. Также проверяется соответствие процедур обработки персональных данных положениям акта, которым было предусмотрено право на обработку персональных данных.

8. При наличии согласия субъекта персональных данных как правового основания для обработки персональных данных проверяется и определяется полнота охвата предоставленным согласием всех установленных субъектом проверки процессов обработки персональных данных.

9. Наличие нормативно-правового акта, учредительного или иного документа, регулирующего деятельность субъекта проверки, который содержит или утверждает цель обработки персональных данных.

10. Проверка соответствия цели обработки персональных данных целям, установленным нормативно-правовыми актами, учредительными или другими документами, а также цели, которая была указана субъектом проверки в заявлении на регистрацию базы персональных данных.

11. Проверка соответствия определенной или установленной цели состава и содержания персональных данных, содержащихся в соответствующей базе персональных данных.

12. Установление источников получения сведений о физическом лице (первичные источники в виде подписанных физическим лицом документов, сведений, которые физическое лицо предоставляет о себе или общедоступные источники, предусмотренные законодательством).

13. Наличие у субъекта проверки персональных данных, по которым установлены особые требования для их обработки, а также проверка наличия соответствующих правовых оснований для их обработки.

14. Наличие однозначно предоставленного согласия субъекта персональных данных на обработку персональных данных, по которым установлены особые требования для их обработки.

15. Законность осуществления субъектом проверки обработки персональных данных в соответствии с законодательством:

— уведомление субъекта персональных данных в течение десяти рабочих дней со дня включения его персональных данных в соответствующую базу персональных данных;

— обеспечение субъектом проверки целостности персональных данных и соответствующего режима доступа к ним;

— проверка сроков обработки персональных данных в форме, допускающей идентификацию физического лица и правовые основания для установления именно таких сроков обработки персональных данных;

— наличие и законность процедур распространения персональных данных (правовые основания, обеспечение защиты персональных данных при их передаче, выполнение стороной, которой осуществлялась передача персональных данных, соответствующих гарантий выполнения требований законодательства);

— законность процедур уничтожения персональных данных;

— наличие уведомления субъекта персональных данных о включении в базу персональных данных, о его правах, определенных Законом, цели сбора данных и лица, которым передаются его персональные данные;

— соответствие данных и сведений, представленных субъектом проверки для регистрации баз персональных данных, фактическому состоянию обработки персональных данных у субъекта проверки;

— законность установленного субъектам проверки порядка доступа к персональным данным.

16. Наличие у субъекта проверки документов, устанавливающих процедуры обработки персональных данных и связанных со сбором, регистрацией, накоплением, хранением, адаптацией, изменением, обновлением, использованием и распространением (реализацией, передачей), обезличением, уничтожением сведений о физическом лице.

17. Установление субъектом проверки:

— порядка внесения, изменения, обновления, использования, распространения, обезличивания, уничтожения персональных данных в базе персональных данных;

— порядка защиты персональных данных, в том числе от незаконной обработки и незаконного доступа к ним;

— распространение на все действия субъекта проверки требований по защите персональных данных от незаконной обработки, а также от незаконного доступа к ним.

18. Наличие у субъекта проверки — владельца базы персональных данных распорядителя базы. В случае наличия распорядителя проверяются:

— документальное подтверждение факта заключения договора в письменной форме между владельцем и распорядителем баз персональных данных;

— соответствие условий обработки распорядителем базы персональных данных условиям, которые определены в соответствующем договоре с владельцем баз персональных данных (в частности, соответствие целям, составу, содержанию, объему и т. д.). А также выяснение, не предоставлено ли распорядителю базы персональных данных больше полномочий по обработке персональных данных, чем у владельца.

19. Порядок доступа к персональным данным, которые обрабатываются субъектом проверки, со стороны третьих лиц.

20. Наличие передачи персональных данных иностранным субъектам. В случае наличия — установление соответствующих процедур.

21. Наличие документа об определении структурного подразделения или ответственного лица, которые организуют работу, связанную с защитой персональных данных при их обработке, а также документов, регламентирующих их деятельность.

22. Выполнение структурным подразделением или ответственным лицом задач по организации работы, связанной с защитой персональных данных при их обработке.

23. Ведение субъектом проверки учета фактов предоставления и лишения работников права доступа к персональным данным и их обработки, а также попыток и фактов несанкционированных и/или незаконных действий по обработке персональных данных.

24. Разграничение режимов доступа сотрудников к обработке персональных данных в базе персональных данных в соответствии с их профессиональными, трудовыми или служебными обязанностями.

25. Организация обработки субъектом проверки персональных данных в составе информационной (автоматизированной) системы, в которой обеспечивается защита персональных данных в соответствии с законодательством.

26. Выполнение субъектом проверки требований по внедрению организационных и технических мер защиты персональных данных при их обработке в форме картотек.

Самому предприятию ничего не грозит. А вот его должностным лицам есть чего опасаться. Размеры штрафов более чем внушительные:

— за неуведомление или несвоевременное уведомление субъекта персональных данных (в том числе работника) о его правах в связи с включением его персональных данных в базу персональных данных, цели сбора этих данных и лицах, которым эти данные передаются, может быть наложен штраф на должностных лиц, физлиц-предпринимателей — от 300 до 400 не облагаемых минимумов доходов граждан (т. е. от 5100 до 6800 грн.), на физлиц-работодателей, не имеющих статуса предпринимателя, — от 200 до 300 ннмдг (от 3400 до 5100 грн.);

— за неуведомление или несвоевременное уведомление Госслужбы об изменении сведений, которые подаются для государственной регистрации базы персональных данных на должностных лиц предприятия либо на физлицо-предпринимателя может быть наложен штраф от 200 до 400 ннмдг (от 3400 до 6800 грн.), на физлиц-работодателей, не имеющих статуса предпринимателя, — от 100 до 200 ннмдг (от 1700 до 3400 грн.);

— за уклонение от государственной регистрации базы персональных данных предусмотрен штраф на граждан, не имеющих статуса предпринимателя, от 300 до 500 ннмдг (от 5100 до 8500 грн.), на должностных лиц, физлиц-предпринимателей — от 500 до 1000 ннмдг (от 8500 до 17000 грн.).

На составление админпротоколов уполномочены должностные лица Государственной службы по защите персональных данных. Рассматривают дела и налагают штрафы суды.

Уголовная ответственность будет наступать за незаконные сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о работнике или незаконное изменение такой информации в виде штрафа от 500 до 1000 ннмдг (от 8500 до 17000 грн.) либо исправительных работ на срок до двух лет, либо в виде ареста на срок до шести месяцев, либо ограничения свободы на срок до трех лет.

Напомним, нормы об ответственности заработают с 1 июля 2012 года. При этом Госслужба признает, что направление ей заявления о регистрации БПД является достаточным для того, чтобы должностные лица субъекта хозяйствования либо предприниматель не были привлечены к ответственности за уклонение от регистрации (http://zpd.gov.ua/dszpd/uk/publish/article/36511). Такой вывод Госслужбы взяли на вооружение и другие государственные органы. К примеру, Минздравоохранения в Методрекомендациях от 01.12.2011 г. № 11-02-09/10-299 предписало пребывающим в сфере его управления учреждениям предпринять меры по регистрации баз данных до вступления в силу норм об ответственности, что позволит избежать штрафов.

Скажем прямо, шансов быть оштрафованными у должностных лиц субъекта хозяйствования и в этом случае немного. Объясним, почему.

На данный момент все усилия Госслужбы, как мы уже сказали, направлены на регистрацию уже поступивших заявлений. Более того, до сих пор нет механизма осуществления проверок: порядок их проведения есть лишь в виде проекта, территориальных органов у Госслужбы нет. Поэтому с проверкой соблюдения требований законодательства о защите персональных данных на предприятие если и придут, то очень нескоро.

Так что у тех субъектов хозяйствования, которые собираются регистрировать БПД, но до 01.07.2012 г. сделать это не успеют, некоторое время еще есть. Предположим, заявление будет подано в ГСЗПД 25.07.2012 г. Дальше происходит следующее. До 25.07.2012 г. должностные лица субъекта хозяйствования либо физлицо-предприниматель считаются совершающими такое длящееся нарушение как уклонение от регистрации БПД. С момента подачи заявления о регистрации нарушение считается прекратившимся, а поскольку налагать штрафы за его совершение уполномочены суды (на основании составленных ГСЗПД протоколов), то согласно ст. 38 Кодекса об административных правонарушениях срок давности составляет три месяца. Это означает, что до 26.10.2012 г. не только должна быть проведена проверка, составлен и направлен в суд протокол об админправонарушении, но и суд должен успеть рассмотреть дело и вынести постановление о наложении штрафа.

Такой вариант развития событий сегодня выглядит маловероятным.