Персональные данные с 2014 г.: вместо регистрации — уведомление, вместо ГСЗПД — омбудсмен

Персональные данные с 2014 г.: вместо регистрации — уведомление, вместо ГСЗПД — омбудсмен

Середина лета в этом году оказалась богатой не только на осадки, но и на законодательные новшества, в том числе в сфере защиты персональных данных — они внесены Законом Украины «О внесении изменений в некоторые законодательные акты Украины относительно усовершенствования системы защиты персональных данных» от 03.07.2013 г. № 383-VII (см. на с. 5). В данной статье мы рассмотрим наиболее заметные изменения, однако сразу же укажем, что в силу они вступят лишь с 01.01.2014 г.

Виталий СМЕРДОВ, экономист-аналитик Издательского дома «Фактор»

КУоАП — Кодекс Украины об административных правонарушениях от 07.12.84 г. № 8073-X.

Закон № 2297 — Закон Украины «О защите персональных данных» от 01.06.2010 г. № 2297-VI.

Закон № 383 — Закон Украины «О внесении изменений в некоторые законодательные акты Украины относительно усовершенствования системы защиты персональных данных» от 03.07.2013 г. № 383-VII.

С 01.01.2014 г. полномочия по контролю законодательства в сфере персональных данных от Госслужбы по вопросам защиты персональных данных (далее — ГСЗПД) будут переданы Уполномоченному ВРУ по правам человека (далее — Уполномоченный). К его компетенции будут отнесены, в частности: (1) осуществление проверок (на основании заявлений/по собственной инициативе, выездных/невыездных, плановых/внеплановых) владельцев и распорядителей персональных данных с обеспечением доступа к помещениям, в которых осуществляется обработка персональных данных (порядок их проведения должен будет утвердить Уполномоченный); (2) составление протоколов об административных правонарушениях и их направление в суд (см. об этом далее); (3) получение по требованию и наличие доступа к любой информации (документам) владельцев или распорядителей персональных данных, необходимой для осуществления контроля за обеспечением защиты персональных данных (при этом какого-либо порядка истребования и/или предоставления подобных сведений изменения к Закону № 2297 не предусматривают, что, в свою очередь, может «развязать руки» чиновникам); (4) утверждение нормативно-правовых актов в сфере защиты персональных данных (к слову, Уполномоченный будет обязан утвердить соответствующие подзаконные акты с января по март 2014 года включительно).

Также отметим, что ст. 22 Закона № 2297 с 01.01.2014 г. к числу контролирующих органов будет относить и суды, что, конечно же, некорректно. Главная и исключительная функция судов — осуществление правосудия, в том числе при рассмотрении дел на основании протоколов об административных правонарушениях, составленных Уполномоченным при выявлении нарушений в сфере защиты персональных данных. В свою очередь, контроль за соблюдением законодательства они не осуществляют (тем более что изменения в Законе № 2297 не предусматривают какого-либо механизма подобного контроля).

Что касается ГСЗПД, то ссылки на нее из Закона № 2297 будут исключены. Единственное указание на данное ведомство сохранится в ч. 10 ст. 6 Закона № 2297 (в отношении утверждения Типового порядка обработки персональных данных), однако здесь, мы полагаем, имеет место скорее недоработка, чем намеренный акт законодателя.

В данном вопросе, несмотря на исключение из ст. 1 Закона № 2297 отдельных положений (их перенесут в ст. 25), ничего не изменится. Как и в настоящее время, его требования не будут затрагивать обработку персональных данных:

1) физлицами исключительно для личных или бытовых нужд;

2) исключительно для журналистских и творческих целей — при условии обеспечения баланса между правом на уважение к личной жизни и правом на свободу выражения взглядов.

Как и в настоящее время, персональные данные должны будут обрабатываться (в частности, собираться, накапливаться, сохраняться и т. п.) для конкретных и законных целей, определенных по согласию субъекта персональных данных (т. е. лица, чьи персональные данные обрабатываются), или в определенных законами случаях. В этой связи необходимо сделать несколько замечаний:

1) из Закона № 2297 будет исключено определение того, что считать согласием на обработку персональных данных. Как результат, с указанной даты может возникнуть неопределенность в форме получения такого согласия. При этом вряд ли подобное исключение свидетельствует о том, что получать соответствующее согласие не придется, тем более что в других нормах Закона № 2297 ссылки на необходимость его получения сохранятся (например, в п. 1 ч. 1 ст. 11). Напомним, что в настоящее время согласие на обработку персональных данных может быть выражено в письменной форме или же в форме, предоставляющей возможность сделать вывод о его предоставлении (например, при помощи проставления соответствующих отметок на веб-сайте);

2) в число оснований для обработки персональных данных, кроме предусмотренных в настоящее время (ст. 11 Закона № 2297), будет включена и необходимость выполнения обязанности владельца персональных данных, предусмотренной законом. Должны заметить, что подобная формулировка должна однозначно снять вопрос в отношении необходимости получения согласия от работников на обработку их персональных данных — хотя, на наш взгляд, для этого достаточно и указания в п. 2 ч. 1 ст. 11 Закона № 2297, тем более что с подобным подходом в настоящее время соглашаются и контролеры.

Со вступлением в силу Закона № 383 регистрация будет отменена, при этом ей на смену придет уведомление Уполномоченного об обработке персональных данных. В этой связи заметим, что такое уведомление должно будет направляться владельцем базы персональных данных:

1) лишь в случае обработки персональных данных, которая представляет особенный риск для прав и свобод субъектов персональных данных. Виды обработки, осуществление которой требует уведомления, а также категории субъектов хозяйствования, обязанных осуществлять уведомление, должен будет утвердить Уполномоченный;

2) направляться в течение 30 рабочих дней со дня начала соответствующей обработки;

3) по форме и в порядке, установленным Уполномоченным. При этом ее принципиальным отличием является отсутствие необходимости получения документального подтверждения приема соответствующего заявления. Так что, судя по всему, законодатель учел печальную практику регистрации баз персональных данных (ввиду того, что ГСЗПД не справлялась с обработкой потока заявлений, регистрировались они, как правило, с задержками). Информация, предоставленная Уполномоченному, должна будет публиковаться на его сайте — на данный момент не совсем понятно, каким образом это будет реализовано, а потому остается ожидать принятия соответствующего порядка.

Персональные данные подлежат защите — от случайной потери или уничтожения, незаконной обработки, в том числе незаконного уничтожения или доступа к ним. С этой целью владельцы и распорядители персональных данных должны будут создать (определить) структурное подразделение или ответственное лицо, организующее работу в сфере защиты персональных данных (сведения о нем придется направить Уполномоченному). При этом в отличие от требований Закона № 2297 в настоящей редакции, подобная обязанность будет распространяться лишь на лиц, осуществляющих обработку персональных данных, которая подлежит уведомлению (см. выше). Возникает закономерный вопрос: нужно ли будет с 01.01.2014 г. осуществлять защиту персональных данных, при обработке которых уведомление Уполномоченного не требуется? Он обусловлен тем, что с формальной точки зрения субъекту, который будет сталкиваться лишь с такими персональными данными, не потребуется создавать (определять) для этой цели специальное структурное подразделение/ответственное лицо (в свою очередь, возлагать подобную обязанность на других работников оснований также нет). Остается надеяться, что ответ на него будет предоставлен чиновниками до вступления в силу соответствующих изменений.

Изменения были внесены не только в Закон № 2297, но и в КУоАП. В рамках последнего внимания заслуживает изложение в новой редакции ст. 188³⁹ КУоАП, которой будет предусмотрена ответственность (как для граждан, так и для должностных лиц и предпринимателей), в частности, за:

1) неуведомление или несвоевременное уведомление Уполномоченного об обработке персональных данных или об изменении сведений, которые подлежат уведомлению (см. выше, в том числе о сроках для уведомления), сообщение неполных или недостоверных сведений;

2) невыполнение законных требований (предписаний) Уполномоченного или определенных им должностных лиц секретариата Уполномоченного в отношении предотвращения или устранения нарушений законодательства о защите персональных данных (к слову заметьте, что данным нарушением не охватывается невыполнение соответствующих требований о предоставлении информации — за такое нарушение будут штрафовать по ст. 188⁴⁰ КУоАП, в которую также вносятся соответствующие изменения).

С полным перечнем изменений в части ответственности можно ознакомиться в тексте Закона № 383, мы же отметим, что, кроме прочего, из ст. 188³⁹ КУоАП исключили ответственность за неуведомление или несвоевременное уведомление субъекта персональных данных об обработке его персональных данных (хотя обязанность по такому уведомлению из Закона № 2297 не исключена). Кроме того, внимания заслуживает указание на возможность наложения штрафов не только на должностных лиц и предпринимателей, но и на граждан (на данный момент не совсем понятно, в каких случаях она может быть применена, однако, полагаем, речь может идти о журналистах и прочих лицах, собирающих персональные данные в профессиональных и других целях). В случае выявления соответствующего нарушения Уполномоченный или должностное лицо секретариата составит протокол об административном правонарушении, но непосредственное наложение штрафа, как и настоящее время, будет осуществляться по решению суда (ст. 221 КУоАП).

Здесь мы рассмотрим несколько вопросов, которые возникнут на стыке 2013 — 2014 гг.:

1) базы персональных данных зарегистрированы до 01.01.2014 г. Нужно ли будет осуществлять какие-либо действия с указанной даты? Все зависит от того, будет ли подпадать обработка таких персональных данных под категорию особого риска (см. выше). Если да, то владельцу персональных данных придется направить Уполномоченному уведомление до июня 2014 года включительно (данный 6-месячный срок прописан в п. 2 раздела II Закона № 383). В противном случае направлять уведомление не потребуется. Аналогичным образом должны будут поступать владельцы персональных данных, которые не зарегистрировали базы персональных данных до 01.01.2014 г. (в частности, при наличии персональных данных, но при отсутствии соответствующих баз, а также в случае неполучения соответствующего документа о регистрации базы персональных данных);

2) базы персональных данных образуются до 01.01.2014 г. Нужно ли их регистрировать? Да, несмотря на то, что требование о такой регистрации с 01.01.2014 г. отменяется, в настоящее время подобная обязанность все еще сохраняется, а потому ее несоблюдение будет расцениваться как нарушение законодательства (другое дело, что в случае его выявления с 01.01.2014 г. ответственность нарушителю не грозит);

3) сможет ли Уполномоченный налагать штрафы за нарушения, допущенные до 01.01.2014 г.? В общем случае нет — как минимум потому, что Уполномоченный сможет налагать штрафы лишь по действующим с 01.01.2014 г. ст. 188³⁹ и 188⁴⁰ КУоАП. Исключением из данного правила является несоблюдение порядка защиты персональных данных, которое привело к незаконному доступу к ним или нарушению прав субъекта персональных данных — в таком случае, если незаконный доступ или нарушение прав произойдет с 01.01.2014 г., у Уполномоченного будут все основания для наложения соответствующего штрафа.