Захист персональних даних: по-європейськи не вийшло...

З 1 січня 2012 практично всі організації України може захопити хвиля штрафів за недотримання Закону «Про захист персональних даних», оскільки механізми його впровадження на сьогодні не відпрацьовані... Кабмін просять відтермінувати введення реєстрації для ПП

З 1 січня 2012 року практично всі організації України може захопити нова хвиля, правда, цього разу не кризи, а штрафів. Вони будуть накладатися за недотримання Закону «Про захист персональних даних». І суми чималі - від 1,7 до 17 тисяч гривень. Такий стан речей є наслідком того, що механізми впровадження згаданого закону, який повинен запровадити в Україні цивілізований, європейський стандарт користування особистими даними жителів країни, на сьогодні не відпрацьовані. Особливо «не пощастило» Державній службі з питань захисту персональних даних. Створена указом Президента ще в грудні 2010 року, діяльність якої координується Кабміном, зокрема - через міністра юстиції, не в силах гарантувати своєчасну реєстрацію цих самих баз даних. Її «пропускна» можливість не дозволяє обслужити вал підприємств і організацій, які кинулися виконувати приписи.

*** 1 січня 2011 Верховна Рада прийняла закон «Про захист персональних даних», що передбачає відповідальність за поширення будь-яких персональних даних фізичних осіб, з якими працюють підприємства, організації, установи. Отримання, зберігання, передача і навіть знищення персональних даних, до яких належать ПІБ, адреса проживання, номер ідентифікаційного коду, тепер можливе лише з письмового дозволу їх власника. У червні 2011 року парламент прийняв закон про відповідальність за порушення у сфері захисту персональних даних. Даний документ набуде чинності з 1 січня наступного року. Тобто, банки, суди, держоргани ризикують бути оштрафовані за некоректне поводження з персональними даними громадян.

Ще на початку поточного року громадськість висловлювалася за доопрацювання законодавства в даній сфері, оскільки багато учасників ринків, наприклад, банкіри, не розуміли, яким чином будуть його дотримуватися, тому що залишалося неясним, яка тепер інформація підпадає під визначення "банківська таємниця". Проблемними також називали невиправдано завищені права суб`єктів баз персональних даних, норма про знищення баз даних тощо Про необхідність доопрацювання закону заявляв і заступник голови Державної служби з питань захисту персональних даних Володимир Козак: «Щодо порядку обробки персональних даних у банківській сфері, інформації, яка містить банківську таємницю, це питання поки на серйозному рівні не розпочато».

«Сирий» закон у дії

Практика створення та використання баз персональних даних (БПД) вже давно традиційна у світі. Головна мета - захистити від поширення певну інформацію про людину. Самі ж бази даних представляють собою будь-яку інформацію, згідно з якою можна ідентифікувати конкретну людину.

В Україні з прийняттям відповідного закону ідея цього механізму трохи викривлена. Але цього «трохи» виявилося достатньо, аби виникли серйозні проблеми з ефективністю використання принципів реєстрації БПД.

Справа в тому, що в документі, що діє з початку 2011 року, немає чіткого розмежування між «чутливою» інформацією - яка вимагає захисту, і ідентифікаційною - використання якої фактично не завдає шкоди фізособам. До «чутливої» належать дані з історії хвороби, про судимість, кредитні історії і т.д. «Саме ці персональні дані повинні бути захищені на високому рівні», - відзначає керуючий партнер юридичної компанії «Лігал асистанс груп» Дмитро Йовдій.

Ідентифікаційні дані - ім`я, прізвище, по батькові, місце роботи і т.д. «Це ідентифікуючі персональні дані, розголошення яких у більшості випадків не завдає шкоди будь-якій особі», - підкреслив експерт.

Відсутність згаданого розмежування в законодавстві призводить до того, що всі існуючі бази даних фізосіб необхідно реєструвати. Якщо взяти за приклад підприємства, пояснює Д.Йовдій, то виходить, що на сьогодні немає винятків щодо бази даних їх працівників, контрагентів, ділових партнерів, розголошення такої інформації не несе загрози. Тобто, немає сенсу реєструвати їх. «Якщо у стандартної юрособи баз даних може бути 2-3, то фактично у підприємств, для яких професійна діяльність - обробка ПД, їх може бути кілька сотень», - резюмує юрист.

Підганяти того, хто спішить, - законодавчий принцип

Напередодні введення штрафів за порушення закону про ЗПД, всі власники баз даних змушені оперативно реєструвати їх у Державній службі з питань захисту персональних даних. І тут проявилися дві крайності. Перша - величезні обсяги інформації, що надходять до служби, з обробкою яких вона не справляється. Друга - досить складно, швидше, практично неможливо, проконтролювати, чи порушує будь-яка компанія правила подачі інформації.

За словами віце-президента Українського союзу промисловців і підприємців (УСПП), члена громадської ради при Держслужбі з питань захисту персональної інформації Івана Пєтухова, «сьогодні в день приходить до 10 тисяч заяв на реєстрацію БЗ. У той же час, штат служби не перевищує 50 осіб. Чи можливо таким штатом відпрацювати такий обсяг кореспонденції?!».

У прес-службі Міністерства юстиції підтвердили: «З початку функціонування реєстру в Державну службу з питань захисту персональних даних приходила невелика кількість заяв на реєстрацію БПД, яка почала зростати, починаючи з кінця листопада 2011 року». З 1 липня до 21 листопада ц.р. було подано менше 2 тис. заяв. З кінця листопада ситуація різко змінилася. «Кількість поданих заяв за останні три тижні складає близько 100 тисяч. Вони обробляються в порядку черги», - відзначили в міністерстві.

Кого зроблять крайнім?

Між тим, проконтролювати виконання підприємствами законодавчої норми про реєстрацію БПД вкрай складно, вважає І.Пєтухов. «В Україні 6,5 млн. приватних підприємців. Здебільшого у них працює невелика кількість людей. Припустимо, один працівник. На цю людину оформлена трудова книжка - база даних, заробітна плата нараховується - друга база даних... Помножте на 6,5 млн.», - зазначає він.

Це стосується приблизно 300 підприємств, у яких, як мінімум, дві бази даних. «У нас скількись тисяч громадських організацій, мінімум на два треба множити. У нас є лікарні, школи, садки, бібліотеки, у нас є державні органи... Тобто, за найскромнішими підрахунками, 15 млн. баз даних. Я не думаю, що хтось когось зможе зараз проконтролювати...», - наголошує І.Пєтухов.

Д.Йовдій уточнює, що відповідальність настає не за відсутність факту реєстрації бази персональних даних, а за ухилення від реєстрації. Іншими словами, якщо заявка підприємства на реєстрацію подана в Держслужбу, але з якоїсь причини в цьому відмовлено, то дана ситуація не вважається фактом ухилення від реєстрації.

Експерти майже одностайно сходяться на думці, що установа Дердслужби не пов`язана з ідеєю створити чергову корупційну структуру.

Водночас, законодавство у сфері захисту персональних даних прописано таким чином, що можна за будь-яку дрібницю притягнути до відповідальності, навіть до кримінальної, зазначає Д.Йовдій. «Можливості завдяки цьому закону для корупції є, але поки будь-які натяки на те, що він буде використовуватися таким чином, відсутні», - підкреслив експерт. Але «формалізм і бюрократизм цього закону фактично не стільки захищають суб`єктів персональних даних, скільки створюють додаткові незручності для бізнесу, для будь-якої соціальної діяльності», вважає експерт.

Вихід із ситуації він вбачає у тому, щоб хоча б виписати в законі, що таке «чутливі» та ідентифікаційні персональні дані. Це дозволить скоротити кількість заявок, що надходять до служби.

Такої ж думки дотримується І.Пєтухов. «Для того аби цю ситуацію врегулювати, необхідно відсікти найбільший обсяг баз даних. Потрібно визнати, якщо таблиця складається з 30 співробітників, 50 співробітників, то вона не є суттєвою і такою, що може вплинути на ситуацію з персональними даними».

За словами І.Пєтухова, Держслужба звернеться до уряду з проханням врегулювати ситуацію. «Постараємося, можливо, щоб на рівні Кабінету Міністрів було прийнято якесь рішення, допустимо, щоб для приватних підприємців продовжили термін реєстрації до приблизно 2016 року. Або ж у терміновому порядку потрібно прийняти закон, який передбачає, що підприємства з певною чисельністю поки не будуть реєструвати бухгалтерію і кадри до такого-то року», - пояснив він.

Але поки достукаються до Кабміну, юридичним особам доведеться відповідати за промахи законодавців. В принципі, як завжди...

Юлія Інденко (УНІАН)

УНІАН в Google News