14.06.2012
На жаль чи на щастя, людська цивілізація не досягла тієї стадії розвитку, коли правові норми працюють без загрози застосування примусу в разі їх порушення. Захист персональних даних, наскільки б прогресивним та націленим на євроінтеграцію цей крок не був, не виняток. Хто і як перевіряє дотримання вимог законодавства про захист персональних даних та наскільки реальними є штрафи за порушення в цій сфері?
Михайло ВИШНЕВСЬКИЙ, економіст-аналітик Видавничого будинку «Фактор»
Перевірки Держслужби з питань захисту персональних даних
Чи проводить Держслужба перевірки дотримання суб’єктами господарювання законодавства щодо захисту БПД? Якщо так, то в якому порядку?
Перше, що маємо зазначити: Закон України «Про основні засади державного нагляду (контролю) у сфері господарської діяльності» від 05.04.2007 р. № 877-V на здійснення заходів щодо контролю у сфері захисту персональних даних навряд чи можна поширити, оскільки ця сфера відносин не є видом господарської діяльності.
На сьогодні законодавче регулювання порядку проведення перевірок у сфері захисту персональних даних обмежується однією статтею Закону № 2297 (згідно зі ст. 22 контроль за дотриманням законодавства про захист персональних даних у межах повноважень, передбачених законом, здійснює уповноважений державний орган з питань захисту персональних даних) та декількома приписами в Положенні № 390. Так, зокрема Положенням передбачено, що Держслужба здійснює держнагляд та контроль за дотриманням законодавства про захист персональних даних, розробляє та затверджує плани перевірок володільців баз персональних даних, проводить у межах своїх повноважень виїзні та невиїзні перевірки, видає обов’язкові для виконання приписи щодо усунення порушень законодавства про захист персональних даних, складає адмінпротоколи про виявлені порушення законодавства.
Слід звернути увагу на те, що і Закон № 2297, і Положення № 390 вказують на необхідність установлення наглядових повноважень на рівні закону. Поки що порядку проведення перевірок немає не лише в законі, а й у підзаконних нормативних актах. Утім, це не зашкодило Держслужбі затвердити план проведення перевірок на IV квартал 2011 року (до нього ввійшло тільки 9 суб’єктів господарювання), а в подальшому і на I квартал 2012 року (до нього «пощастило» потрапити трьом суб’єктам господарювання). Слід зазначити, що на сьогодні правомірність проведення перевірок Державною службою з питань захисту персональних даних в умовах відсутності порядку їх здійснення викликає запитання. Проте через їх нечисленність це питання, найімовірніше, гостро так і не постане.
Сьогодні існує розроблений Держслужбою з питань захисту персональних даних проект порядку проведення перевірок. Ним передбачено «стандартний» набір перевірок: планові та позапланові, виїзні та невиїзні. Цікаво, що повідомлення про перевірку направляється суб’єкту господарювання не менше ніж за 10 днів незалежно від того, яка перевірка проводитиметься — планова чи позапланова. При цьому строк проведення перевірки не може перевищувати 10 робочих днів. Щоправда, можливе продовження перевірки, але не більше ніж на 5 робочих днів.
Проектом передбачено розподіл суб’єктів господарювання за ступенем ризику здійснюваної ними діяльності на три категорії, залежно від яких визначається періодичність планових перевірок. Наприклад, до високого ступеня ризику пропонується відносити діяльність у сфері адміністративного та допоміжного обслуговування, фінансову та страхову діяльність, охорону здоров’я (перевірки планується проводити не частіше ніж раз на три роки). Діяльність у сфері телекомунікацій потрапить до групи із середнім ступенем ризику (частота перевірок — раз на чотири роки). Найбільша кількість видів діяльності потрапила до категорії з незначним ступенем ризику. Це, наприклад, оптова та роздрібна торгівля, транспорт, тимчасове розміщення та організація харчування тощо (перевірки можуть проводитися не частіше ніж раз на п’ять років). Ті види діяльності, які в жодну з груп не потрапили, судячи з усього, плановими перевірками не охоплюватимуться.
Запитання, що виникають у перевіряючих під час перевірки
На що в першу чергу звертають увагу перевіряючі при проведенні перевірки дотримання законодавства із захисту персональних даних?
Базовий перелік питань для перевірки працівниками Державної служби України з питань захисту персональних даних дотримання суб’єктами перевірок вимог законодавства про захист персональних даних уключає такі пункти:
1. Наявність у суб’єкта перевірки факту обробки персональних даних: з’ясування сфери діяльності, категорій суб’єктів персональних даних та категорій персональних даних, що обробляються.
2. Наявність документів, що регламентують діяльність суб’єкта перевірки:
— для органів державної влади: Указ Президента України про створення та про затвердження відповідних положень; свідоцтва про державну реєстрацію, інших нормативних документів, що регулюють діяльність;
— для суб’єктів підприємницької діяльності: виписка з ЄДР або інший документ про держреєстрацію, установчі документи та свідоцтво про сплату єдиного податку (якщо особа є платником єдиного податку).
3. Статус суб’єкта перевірки: належність до володільців/розпорядників бази персональних даних або до третьої особи.
4. У разі наявності в розпорядника бази персональних даних, володільцем якої є орган державної влади або орган місцевого самоврядування, — перевірка його належності до державної або комунальної форми власності, що належить до сфери управління цього органу.
5. Наявність у суб’єкта перевірки документів, що підтверджують реєстрацію баз персональних даних або копій документів стосовно їх направлення для реєстрації до ДСЗПД.
6. Правові підстави для здійснення обробки персональних даних у базі персональних даних:
— на підставі дозволу, наданого відповідно до законодавства України виключно для здійснення повноважень володільця БПД;
— на підставі згоди, наданої суб’єктом персональних даних на обробку його персональних даних.
7. У разі надання дозволу на обробку персональних даних відповідно до закону виключно для здійснення повноважень суб’єкта господарювання перевіряється відповідність конкретним положенням кожного акта (пункт, частина, стаття), які передбачають право на обробку суб’єктом перевірки персональних даних фізичних осіб, а також установлення відповідності процедур обробки персональних даних положенням акта, яким було передбачено право на обробку персональних даних.
8. За наявності згоди суб’єкта персональних даних як правової підстави для обробки персональних даних перевіряється та визначається повнота охоплення наданою згодою всіх установлених суб’єктом перевірки процесів обробки персональних даних.
9. Наявність нормативно-правового акта, установчого чи іншого документа, що регулює діяльність суб’єкта перевірки, який містить чи затверджує мету обробки персональних даних.
10. Перевірка відповідності мети обробки персональних даних цілям, установленим нормативно-правовими актами, установчими чи іншими документами, а також меті, яку було вказано суб’єктом перевірки в заяві на реєстрацію бази персональних даних.
11. Перевірка відповідності визначеній або встановленій меті складу та змісту персональних даних, що містяться у відповідній базі персональних даних.
12. Установлення джерел отримання відомостей про фізичну особу (первинні джерела у вигляді підписаних фізичною особою документів, відомості, які фізична особа надає про себе, або загальнодоступні джерела, що передбачені законодавством).
13. Наявність у суб’єкта перевірки персональних даних, щодо яких установлено особливі вимоги для їх обробки, а також перевірка наявності відповідних правових підстав для їх обробки.
14. Наявність однозначно наданої згоди суб’єкта персональних даних на обробку персональних даних, щодо яких установлено особливі вимоги для їх обробки.
15. Законність здійснення суб’єктом перевірки обробки персональних даних відповідно до законодавства:
— повідомлення суб’єкта персональних даних протягом десяти робочих днів із дня включення його персональних даних до відповідної бази персональних даних;
— забезпечення суб’єктом перевірки цілісності персональних даних та відповідного режиму доступу до них;
— перевірка строків обробки персональних даних у формі, що допускає ідентифікацію фізичної особи, та правові підстави для встановлення саме таких строків обробки персональних даних;
— наявність та законність процедур розповсюдження персональних даних (правові підстави, забезпечення захисту персональних даних при їх передачі, додержання стороною, якою здійснювалася передача персональних даних, відповідних гарантій виконання вимог законодавства);
— законність процедур знищення персональних даних;
— наявність повідомлення суб’єкта персональних даних про включення до бази персональних даних, про його права, визначені Законом, мету збору даних та осіб, яким передаються його персональні дані;
— відповідність даних та відомостей, поданих суб’єктом перевірки для реєстрації баз персональних даних фактичному стану обробки персональних даних у суб’єкта перевірки;
— законність установленого в суб’єкта перевірки порядку доступу до персональних даних.
16. Наявність у суб’єкта перевірки документів, що встановлюють процедури обробки персональних даних та пов’язані зі збором, реєстрацією, накопиченням, зберіганням, адаптацією, зміною, оновленням, використанням та розповсюдженням (поширенням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу.
17. Установлення суб’єктом перевірки:
— порядку внесення, зміни, оновлення, використання, розповсюдження, знеособлення, знищення персональних даних у базі персональних даних;
— порядку захисту персональних даних, у тому числі від незаконної обробки та незаконного доступу до них;
— поширення на всі дії суб’єкта перевірки вимог щодо захисту персональних даних від незаконної обробки, а також від незаконного доступу до них.
18. Наявність у суб’єкта перевірки — володільця бази персональних даних розпорядника бази. У разі наявності розпорядника перевіряється:
— документальне підтвердження факту укладення договору в письмовій формі між володільцем та розпорядником баз персональних даних;
— відповідність умов обробки розпорядником бази персональних даних умовам, що визначені у відповідному договорі з володільцем баз персональних даних (зокрема, відповідність цілям, складу, змісту, обсягу тощо). А також з’ясування, чи не надано розпоряднику бази персональних даних більше повноважень з обробки персональних даних, ніж у володільця.
19. Порядок доступу до персональних даних, які обробляються суб’єктом перевірки, з боку третіх осіб.
20. Наявність передачі персональних даних іноземним суб’єктам відносин, пов’язаних з персональними даними. У разі наявності — установлення відповідних процедур.
21. Наявність документа про визначення структурного підрозділу чи відповідальної особи, які організують роботу, пов’язану із захистом персональних даних при їх обробці, а також документів, що регламентують його діяльність.
22. Виконання структурним підрозділом або відповідальною особою завдань щодо організації роботи, пов’язаної із захистом персональних даних при їх обробці.
23. Ведення суб’єктом перевірки обліку фактів надання та позбавлення працівників права доступу до персональних даних та їх обробки, а також спроб та фактів несанкціонованих та/або незаконних дій з обробки персональних даних.
24. Розмежування режимів доступу працівників до обробки персональних даних у базі персональних даних відповідно до їх професійних, трудових чи службових обов’язків.
25. Організація обробки суб’єктом перевірки персональних даних у складі інформаційної (автоматизованої) системи, в якій забезпечується захист персональних даних відповідно до законодавства.
26. Виконання суб’єктом перевірки вимог щодо впровадження організаційних та технічних заходів захисту персональних даних при їх обробці в формі картотек.
Відповідальність за порушення у сфері захисту персональних даних
Які передбачені штрафи за порушення у сфері захисту ПД? У якому порядку та ким вони накладаються?
Самому підприємству нічого не загрожує. А от його посадовим особам є чого побоюватися. Розміри штрафів більш ніж значні:
— за неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних (у тому числі працівника) про його права у зв’язку з уключенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються, може бути накладено штраф на посадових осіб, фізосіб-підприємців — від 300 до 400 неоподатковуваних мінімумів доходів громадян (тобто від 5100 до 6800 грн.), на фізосіб-роботодавців, які не мають статусу підприємця, — від 200 до 300 нмдг (від 3400 до 5100 грн.);
— за неповідомлення або несвоєчасне повідомлення Держслужби про зміну відомостей, що подаються для державної реєстрації бази персональних даних, на посадових осіб підприємства або на фізособу-підприємця може бути накладено штраф від 200 до 400 нмдг (від 3400 до 6800 грн.), на фізосіб-роботодавців, які не мають статусу підприємця, — від 100 до 200 нмдг (від 1700 до 3400 грн.);
— за ухилення від державної реєстрації бази персональних даних передбачено штраф на громадян, які не мають статусу підприємця, від 300 до 500 нмдг (від 5100 до 8500 грн.), на посадових осіб, фізосіб-підприємців — від 500 до 1000 нмдг (від 8500 до 17000 грн.).
На складання адмінпротоколів уповноважені посадові особи Державної служби із захисту персональних даних. Розглядають справи та накладають штрафи суди.
Кримінальна відповідальність наставатиме за незаконний збір, зберігання, використання, знищення, розповсюдження конфіденційної інформації про працівника або незаконну зміну такої інформації у вигляді штрафу від 500 до 1000 нмдг (від 8500 до 17000 грн.) або виправних робіт на строк до двох років, або у вигляді арешту на строк до шести місяців, або обмеження волі на строк до трьох років.
Нагадаємо: норми про відповідальність запрацюють з 1 липня 2012 року. При цьому Держслужба визнає, що направлення їй заяви про реєстрацію БПД є достатнім для того, щоб посадових осіб суб’єкта господарювання або підприємця не було притягнуто до відповідальності за ухилення від реєстрації (http://zpd.gov.ua/dszpd/uk/publish/article/36511). Такий висновок Держслужби взяли на озброєння й інші державні органи. Наприклад, МОЗ у Методрекомендаціях від 01.12.2011 р. № 11-02-09/10-299 приписав установам, що перебувають у сфері його управління, вжити заходів щодо реєстрації баз даних до набуття чинності нормами про відповідальність, що дозволить уникнути штрафів.
Наслідки неподання заяви про реєстрацію БПД до 01.07.2012 р.
Якщо заяву так і не буде подано до 01.07.2012 р., чи неминуче настане відповідальність у цьому випадку?
Скажемо прямо, шансів бути оштрафованими в посадових осіб суб’єкта господарювання і в цьому випадку небагато. Пояснимо, чому.
Сьогодні всі зусилля ДСЗПД, як уже зазначалося, спрямовані на реєстрацію заяв, що вже надійшли. Більше того, досі немає механізму здійснення перевірок: порядок їх проведення є лише у вигляді проекту, територіальних органів у ДСЗПД немає. Тому з перевіркою дотримання вимог законодавства про захист персональних даних на підприємство якщо і прийдуть, то дуже нескоро.
Отже, у тих суб’єктів господарювання, які збираються реєструвати БПД, але до 01.07.2012 р. зробити цього не встигнуть, певний час ще є. Припустимо, заяву буде подано до ДСЗПД 25.07.2012 р. Далі відбувається таке. До 25.07.2012 р. посадові особи суб’єкта господарювання або фізособа-підприємець вважаються такими, що вчинюють таке триваюче порушення, як ухилення від реєстрації БПД. З моменту подання заяви про реєстрацію порушення вважається таким, що припинилося, а оскільки накладати штрафи за його вчинення уповноважені суди (на підставі складених протоколів ДСЗПД), то згідно зі ст. 38 Кодексу про адміністративні правопорушення строк давності складає три місяці. Це означає, що до 26.10.2012 р. не лише має бути проведено перевірку, складено та направлено до суду протокол про адмінправопорушення, а й суд повинен встигнути розглянути справу та винести постанову про накладення штрафу.
Такий варіант розвитку подій сьогодні є малоймовірним.