Ответственность за нарушение требований по защите БПД
Какая существует ответственность у предприятия за отсутствие у него зарегистрированной базы персональных данных?
Итак, свой ответ мы построим из двух частей: первая — напомним общий принцип регистрации баз персональных данных (далее — БПД), вторая — назовем, в каких размерах могут применяться штрафы за нарушение такой регистрации.
1. Прежде всего напомним, что с 1 января 2011 года действует Закон Украины «О защите персональных данных» от 01.06.2010 г. № 2297-VI (далее — Закон № 2297). Руководствуясь положениями этого Закона, с 01.07.2011 г. Государственная служба Украины по вопросам защиты персональных данных (далее — ГСЗПД) приступила к регистрации баз персональных данных в Госреестре баз персональных данных.
Согласно ст. 2 Закона № 2297 персональные данные — это сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано, база персональных данных — именуемая совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных. Источниками сведений о физическом лице являются: выданные на его имя документы; подписанные им документы; сведения, которые лицо предоставляет о себе (ч. 4 ст. 6 Закона № 2297).
Каков порядок регистрации БПД, каковы требования к обработке персональных данных в БПД, какие виды персональных данных существуют, каковы особенности защиты персональных данных физлицами-предпринимателями, нужно ли вообще создавать БПД на предприятиях и т. д. — мы уже рассматривали на страницах нашего издания (см. статьи «База персональных данных: когда и как зарегистрировать?» // «СБ», 2012, № 1, с. 34; «Защита персональных данных в Украине: ответы на вопросы и практические советы» // «СБ», 2012, № 3, с. 20), поэтому сейчас не будем останавливаться на рассмотрении этих вопросов. Отметим лишь следующее.
На сегодняшний день регистрировать БПД должны все субъекты хозяйствования (юрлица и физлица — предприниматели) , кто так или иначе ведет у себя кадровую документацию, статистическую, налоговую и другую отчетность в электронной форме и/или в форме карточек, которая обрабатывается работодателем и содержит персональные данные работников. Исключением в данном случае являются: физлица — граждане, использующие данные исключительно для непрофессиональных личных или бытовых потребностей; журналисты — в связи с выполнением ими служебных или профессиональных обязанностей; профессиональные творческие работники — для осуществления творческой деятельности.
По мнению ГСЗПД, «каждое предприятие (организация) является владельцем как минимум двух баз персональных данных, а именно базы персональных данных работников, которая ведется с целью обеспечения требований трудового законодательства, реализации налоговых отношений и отношений в сфере бухгалтерского учета и аудита, и базы персональных данных клиентов либо других лиц, персональные данные которых обрабатываются в целях хозяйственной деятельности». В то же время «разные типы отчетов и форм, содержащие в себе определенную совокупность сведений о физлицах, отобранных из баз персональных данных владельца и периодически передаваемых в органы госвласти, — не рассматриваются как отдельные базы персональных данных».
Более того, регистрация БПД осуществляется по заявочному принципу путем уведомления. Суть заявочного принципа заключается в том, что основным является подача владельцем БПД заявления о регистрации БПД, а не получение свидетельства о государственной регистрации БПД. Следовательно, ключевым и определяющим является факт внесения соответствующей записи Государственной службой Украины по вопросам защиты персональных данных в Государственный реестр БПД, а не получения соответствующего свидетельства. Об этом указано в разъяснении Министерства юстиции Украины «Некоторые вопросы практического применения Закона Украины «О защите персональных данных» от 21.12.2011 г.
Таким образом, моментом выполнения требований Закона № 2297 по регистрации БПД является факт подачи заявления на регистрацию в Государственную службу Украины по вопросам защиты персональных данных.
2. Теперь перейдем ко второй части нашего ответа — штрафные санкции.
Приближается 1 июля , а это значит, что с этой даты ко всем предприятиям и физлицам-предринимателям может применяться штраф за нарушение требований законодательства о защите персональных данных. Это связано с тем, что 1 июля 2012 года вступает в силу Закон Украины «О внесении изменений в некоторые законодательные акты Украины по усилению ответственности за нарушение законодательства о защите персональных данных» от 02.06.2011 г. № 3454-VI.
Итак, с указанной даты (если до 1 июля ГСЗПД не издаст дополнительных разъяснений на этот счет в виде «отсрочки даты» и т. п.) к нарушителям уже может быть применена административная или даже уголовная ответственность.
Административная ответственность будет наступать за:
— неуведомление или несвоевременное уведомление субъекта персональных данных (в том числе работника) о его правах в связи с включением его персональных данных в базу персональных данных, цели сбора этих данных и лицах, которым эти данные передаются в виде штрафа на должностных лиц, физлиц-предпринимателей — от 300 до 400 не облагаемых минимумов доходов граждан (т. е. от 5100 до 6800 грн.), на физлиц-работодателей, не имеющих статуса предпринимателя, — от 200 до 300 ннмдг (от 3400 до 5100 грн.);
— неуведомление или несвоевременное уведомление ГСЗПД об изменении сведений, которые подаются для государственной регистрации базы персональных данных в виде штрафа на должностных лиц, физлиц-предпринимателей от 200 до 400 ннмдг (от 3400 до 6800 грн.), на физлиц-работодателей, не имеющих статуса предпринимателя, — от 100 до 200 ннмдг (от 1700 до 3400 грн.);
— уклонение от государственной регистрации базы персональных данных в виде штрафа на граждан, не имеющих статуса предпринимателя, от 300 до 500 ннмдг (от 5100 до 8500 грн.), на должностных лиц, физлиц-предпринимателей — от 500 до 1000 ннмдг (от 8500 до 17000 грн.).
Уголовная ответственность будет наступать за незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о работнике или незаконное изменение такой информации в виде штрафа от 500 до 1000 ннмдг (от 8500 до 17000 грн.) либо в виде исправительных работ на срок до двух лет, либо в виде ареста на срок до шести месяцев, либо в виде ограничения свободы на срок до трех лет.
Как видим, штрафы за нарушение регистрацонной процедуры и ведения БПД грозят немалые, в частности, за нерегистрацию такой БПД к гражданам применяется штраф от 5100 до 8500 грн., а к должностным лицам и физлицам-предпринимателям — от 8500 до 17000 грн.
Мы настоятельно рекомендуем всем просмотреть свои БПД на предмет их регистрации в ГСЗПД, так как при проверке указанным органом эти вопросы могут вплыть на поверхность, а выявить нарушения для ГСЗПД не так уж и трудно. Подробно о том, как проводится проверка ГСЗПД, что именно будет проверять ГСЗПД и как он выявит нарушения, рассмотрено в статье «Защита персональных данных в Украине: ответы на вопросы и практические советы» // «СБ», 2012, № 3, с. 20.
О малейших изменениях в законодательстве по БПД, которые, возможно, появятся в будущем, мы будем оперативно информировать вас в следующих номерах нашего издания.
Анастасия Романова
