Не зареєстрували базу персональних даних: що загрожує?
Ми одержали лист від ради підприємців про необхідність реєстрації бази персональних даних до 16 грудня 2011 року, в іншому разі посадовим особам загрожує штраф у розмірі від 8500 до 17000 грн. Проте до зазначеної дати зареєструвати базу ми вже не встигли. Чи дійсно тепер потрібно готуватися до штрафів?
(м. Тернопіль)
Інформація про необхідність подання заяви про реєстрацію баз персональних даних (далі — БПД) до Державної служби з питань захисту персональних даних до 16.12.2011 р. поширювалася досить активно не лише радами підприємців на місцях, а й багатьма ЗМІ, у результаті чого здійняла хвилю занепокоєння серед суб'єктів господарювання.
Як можна припустити, висновок про зазначену дату було зроблено на підставі таких міркувань: з 01.01.2012 р. починають діяти законодавчі норми, що передбачають серйозні штрафи за ухилення від реєстрації бази персональних даних, при цьому ДСЗПД за Законом України «Про захист персональних даних» від 01.06.2010 р. № 2297-VI (далі — Закон № 2297) реєструє БПД протягом 10 робочих днів із дня отримання заяви. Отже, якщо від 01.01.2012 р. відлічити 10 робочих днів назад, то отримуємо 16.12.2011 р. як останній день подання заяви про реєстрацію БПД.
Проте таку арифметику ми не вважаємо правильною. По суті, сьогодні для суб'єктів господарювання, які не зареєстрували бази персональних даних, найгостріше стоїть питання про те, за яких умов є загроза застосування до їх посадових осіб штрафів. Нагадаємо, санкції передбачені, зокрема, за ухилення від державної реєстрації бази персональних даних у вигляді штрафу на громадян, які не мають статусу підприємця, від 300 до 500 нмдг (від 5100 до 8500 грн.), на посадових осіб, фізосіб-підприємців — від 500 до 1000 нмдг (від 8500 до 17000 грн.). Як бачимо, штраф установлено не за нереєстрацію, а за ухилення від реєстрації. Отже, навіть якщо БПД не зареєстрована, але заяву про її реєстрацію подано, вважати, що має місце ухилення від реєстрації, вже не можна, оскільки особа вчинила всі активні дії, що залежали від неї, щодо реєстрації БПД.
Отже, як ми і зазначали в наших попередніх публікаціях (див. зокрема «Податки та бухгалтерський облік», 2011, № 90, с. 45; № 97, с. 26; № 99, с. 43; № 101, с. 32), щоб почуватися впевнено, суб'єкту господарювання достатньо встигнути направити заяву про реєстрацію БПД, за її наявності в нього, до 31.12.2011 р. включно (останній день зазначеного строку припадає на суботу, але якщо в суб'єкта господарювання збережеться підтвердження направлення заяви, датоване 31.12.2011 р., це буде достатнім доказом для уникнення застосування штрафів).
Такий висновок підтверджує і сама ДСЗПД у роз'ясненні, розміщеному на сайті Служби (http://www.zpd.gov.ua/). Узяли його на озброєння й інші державні органи. Наприклад, МОЗ у Методрекомендаціях від 01.12.2011 р. № 11-02-09/10-299 наказало установам, що перебувають у сфері його управління, вжити заходів щодо реєстрації баз даних до 01.01.2012 р., що дозволить уникнути штрафів.
Слід зауважити: тим суб'єктам господарювання, які подали заяви про реєстрацію бази даних більше 10 робочих днів тому, але інформацію про те, що БПД зареєстрована, так і не отримали, хвилюватися не варто. Річ у тім, що ДСЗПД не справляється з напливом великої кількості заяв про реєстрацію, який зумовлено переважно її ж роз'ясненнями щодо наявності в кожного суб'єкта господарювання, як мінімум, двох баз персональних даних («Працівники» та «Клієнти»). Сьогодні на розгляді ДСЗПД перебувають десятки тисяч заяв, за якими щодня встигають зареєструвати всього до двадцяти БПД.
Але припустимо іншу ситуацію: заяву так і не буде подано до 01.01.2012 р. Чи неминуче настане відповідальність у цьому випадку?
Скажемо прямо, шансів бути оштрафованими в посадових осіб суб'єкта господарювання і в цьому випадку небагато. Пояснимо, чому.
Наразі всі зусилля ДСЗПД, як уже зазначалося, спрямовано на реєстрацію заяв, що вже надійшли. Більше того, досі немає механізму здійснення перевірок: порядок їх проведення є лише у вигляді проекту, територіальних органів у ДСЗПД немає. Тому з перевіркою дотримання вимог законодавства про захист персональних даних на підприємство якщо і прийдуть, то дуже нескоро.
Отже, у тих суб'єктів господарювання, які збираються зареєструвати БПД, але до 01.01.2012 р. зробити це не встигнуть, час ще є. Припустимо, заяву буде подано до ДСЗПД 25.01.2012 р. Далі відбуватиметься таке. До 25.01.2012 р. посадові особи суб'єкта господарювання або фізособа-підприємець вважаються такими, що вчинюють таке триваюче порушення, як ухилення від реєстрації БПД. Із моменту подання заяви про реєстрацію порушення вважається таким, що припинилося, а оскільки накладати штрафи за його вчинення уповноважені суди (на підставі складених протоколів ДСЗПД), то згідно зі ст. 38 Кодексу про адміністративні правопорушення строк давності становитиме три місяці. Це означає, що до 26.04.2012 р. не лише має бути проведено перевірку, складено та направлено до суду протокол про адмінправопорушення, а й суд повинен встигнути розглянути справу та винести постанову про накладення штрафу.
Такий варіант розвитку подій сьогодні виглядає малоймовірним.
Утім, не секрет, що чимало суб'єктів господарювання, узявши до уваги ситуацію, що склалася, схильні вибрати більш радикальний варіант поведінки: відмовитися від реєстрації БПД. У цьому випадку їм краще заздалегідь підготувати аргументи для обґрунтування того, що жодної бази персональних даних у них немає. Так, для цього слід наполягати на тому, що:
1) Закон № 2297 не поширюється на будь-яку інформацію, яку отримує суб'єкт господарювання під час своєї діяльності та за допомогою якої можна ідентифікувати фізособу. Отримання таких відомостей, як прізвище, ім'я, по батькові та паспортні дані, посада, найчастіше продиктовано спеціальними вимогами законодавства. Крім свого безпосереднього призначення (ідентифікації особи, з якою суб'єкт господарювання вступає у правовідносини), ця інформація не використовується, не впорядковується та не систематизується, а тому під визначення бази персональних даних підпадати не повинна;
2) ідея міжнародних стандартів (під які було прийнято Закон № 2297) — установити вимоги щодо дій, спеціально спрямованих на створення та використання деяких баз даних про фізичних осіб (телефонний довідник, довідник адрес, перелік адрес електронної пошти тощо). Із наведеного в Законі № 2297 поняття бази персональних даних як «іменованої сукупності впорядкованих персональних даних в електронній формі або у формі картотеки» вказує на те, що одного факту наявності в підприємства даних, що дозволяють ідентифікувати фізособу, недостатньо, щоб вважати, що підприємство володіє базою персональних даних, оскільки це має бути:
а) іменована; б) упорядкована сукупність даних;
в) в електронній формі або у формі картотеки;
3) базою персональних даних сукупність відомостей про фізосіб повинна вважатися тільки у випадку, коли обробка таких відомостей є автоматизованою або коли оброблені дані розміщуються чи призначені для розміщення в картотеках, структурованих за певними критеріями, що стосуються фізичних осіб, для забезпечення легкого доступу до відповідних персональних даних.
Олена Уварова, юрист
