Відповідальність за порушення вимог щодо захисту БПД
Яка відповідальність загрожує підприємству за відсутність у нього зареєстрованої бази персональних даних?
Отже, свою відповідь ми побудуємо з двох частин: у першій нагадаємо загальний принцип реєстрації баз персональних даних (далі — БПД), у другій розповімо, в яких розмірах можуть застосовуватися штрафи за порушення такої реєстрації.
1. Перш за все нагадаємо, що з 1 січня 2011 року діє Закон України «Про захист персональних даних» від 01.06.2010 р. № 2297-VI (далі — Закон № 2297). Керуючись положеннями цього Закону, з 01.07.2011 р. Державна служба України з питань захисту персональних даних (далі — ДСЗПД) розпочала реєстрацію баз персональних даних у Держреєстрі баз персональних даних.
Згідно зі ст. 2 Закону № 2297 персональні дані — це відомості або сукупність відомостей про фізичну особу, яку ідентифіковано або може бути конкретно ідентифіковано, база персональних даних (далі — БПД) — іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних. Джерелами відомостей про фізичну особу є: видані на її ім'я документи; підписані нею документи; відомості, які особа надає про себе (ч. 4 ст. 6 Закону № 2297).
Який порядок реєстрації БПД, які вимоги до обробки персональних даних у БПД, які види персональних даних існують, які особливості захисту персональних даних фізичними особами — підприємцями, чи потрібно взагалі створювати БПД на підприємствах тощо — ми вже розглядали на сторінках нашого видання (див. статті «База персональних даних: коли та як зареєструвати?»// «ББ», 2012, № 1, с. 34; «Захист персональних даних в Україні: відповіді на запитання та практичні поради» // «ББ», 2012, № 3, с. 20)., тому сьогодні не зупинятимемося на розгляді цих питань. Відзначимо лише таке.
На сьогодні зареєструвати БПД повинні всі суб'єкти господарювання (юридичні особи та фізичні особи — підприємці) , хто так чи інакше веде в себе кадрову документацію, статистичну, податкову й іншу звітність в електронній формі та/або у формі карток, що обробляється роботодавцем і містить персональні дані працівників, як базу персональних даних або складову частину бази персональних даних. Винятком у цьому випадку є: фізичні особи — громадяни, які використовують дані виключно для непрофесійних особистих чи побутових потреб; журналісти — у зв'язку з виконанням ними службових або професійних обов'язків; професійні творчі працівники — для здійснення творчої діяльності.
На думку ДСЗПД, «кожне підприємство (організація) є володільцем, як мінімум, двох баз персональних даних, а саме бази персональних даних працівників, що ведеться з метою забезпечення вимог трудового законодавства, реалізації податкових відносин та відносин у сфері бухгалтерського обліку й аудиту, та бази персональних даних клієнтів чи інших осіб, персональні дані яких обробляються з метою господарської діяльності». Водночас «різні типи звітів та форм, що містять у собі певну сукупність відомостей про фізичних осіб, які відібрані з баз персональних даних володільця та періодично передаються до органів держвлади, не розглядаються як окремі бази персональних даних».
Більше того, реєстрація БПД здійснюється за заявочним принципом шляхом повідомлення. Суть заявочного принципу полягає в тому, що основним є подання володільцем БПД заяви про реєстрацію БПД, а не отримання свідоцтва про державну реєстрацію БПД. Отже, ключовим та визначальним є факт унесення відповідного запису Державною службою України з питань захисту персональних даних до Державного реєстру БПД, а не отримання відповідного свідоцтва. Про це вказано у роз’ясненні Міністерства юстиції України «Деякі питання практичного застосування Закону України «Про захист персональних даних» від 21.12.2011 р.
Таким чином, моментом виконання вимог Закону № 2297 щодо реєстрації БПД є факт відправлення заяви на реєстрацію до Державної служби України з питань захисту персональних даних.
2. Тепер перейдемо до другої частини нашої відповіді — штрафні санкції.
Наближається 1 липня , а це означає, що з цієї дати до всіх підприємств та фізичних осіб — підприємців може застосовуватися штраф за порушення вимог законодавства про захист персональних даних. Це пов'язане з тим, що 1 липня 2012 року набирає чинності Закон України «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» від 02.06.2011 р. № 3454-VI.
Отже, із зазначеної дати (якщо до 1 липня ДСЗПД не видасть додаткових роз'яснень із цього приводу у вигляді «відстрочення дати» тощо) до порушників уже може бути застосовано адміністративну або навіть кримінальну відповідальність.
Адміністративна відповідальність наставатиме за:
— неповідомлення або несвоєчасне повідомлення суб'єкта персональних даних (у тому числі працівника) про його права у зв'язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються у вигляді штрафу на посадових осіб, фізичних осіб — підприємців, — від 300 до 400 неоподатковуваних мінімумів доходів громадян (тобто від 5100 до 6800 грн.), на фізичних осіб — роботодавців, які не мають статусу підприємця, — від 200 до 300 нмдг (від 3400 до 5100 грн.);
— неповідомлення або несвоєчасне повідомлення ДСЗПД про зміну відомостей, що подаються для державної реєстрації бази персональних даних у вигляді штрафу на посадових осіб, фізичних осіб — підприємців від 200 до 400 нмдг (від 3400 до 6800 грн.), на фізичних осіб — роботодавців, які не мають статусу підприємця, — від 100 до 200 нмдг (від 1700 до 3400 грн.);
— за ухилення від державної реєстрації бази персональних даних у вигляді штрафу на громадян, які не мають статусу підприємця, від 300 до 500 нмдг (від 5100 до 8500 грн.), на посадових осіб, фізичних осіб — підприємців — від 500 до 1000 нмдг (від 8500 до 17000 грн.).
Кримінальна відповідальність наставатиме за незаконне збирання, зберігання, використання, знищення, розповсюдження конфіденційної інформації про працівника або незаконну зміну такої інформації у вигляді штрафу від 500 до 1000 нмдг (від 8500 до 17000 грн.) або виправних робіт на строк до двох років, або у вигляді арешту на строк до шести місяців, або обмеження волі на строк до трьох років.
Як бачимо, штрафи за порушення реєстраційної процедури та ведення БПД загрожують чималі, зокрема, за нереєстрацію такої БПД до громадян застосовується штраф від 5100 до 8500 грн., а до посадових осіб та фізичних осіб — підприємців — від 8500 до 17000 грн .
Ми настійно рекомендуємо всім переглянути свої БПД на предмет їх реєстрації в ДСЗПД, оскільки при перевірці зазначеним органом ці питання можуть виплисти на поверхню, а виявити порушення для ДСЗПД не надто важко. Докладно про те, як проводиться перевірка ДСЗПД, що саме перевірятиме ДСЗПД та як вона виявить порушення, розглянуто у статті «Захист персональних даних в Україні: відповіді на запитання та практичні поради» // «ББ», 2012, № 3, с. 20.
Про будь-які зміни в законодавстві щодо БПД, котрі, можливо, з'являться в майбутньому, ми оперативно інформуватимемо вас у наступних номерах нашого видання.
Анастасія Романова
