Закон про захист персональних даних: на сторожі приватності чи тотального контролю?

29.12.2011, 13:55

Віднедавна багато бухгалтерів та керівників релігійних і інших організацій спантеличені звісткою про запровадження відповідальності у сфері використання персональних даних громадян. Однією з певних публічно заявила свої застереження Українська Православна Церква. Актуальність теми та невизначеність у багатьох її аспектах, яку Мінюст намагався певним чином усунути, спонукала детальніше вивчити ситуацію та висловити кілька юридичних порад.

Відповідні положення Кодексу України про адміністративні правопорушення набувають чинності з 1 січня 2012 року та передбачають чималі штрафні санкції за ухилення від реєстрації баз персональних даних та порушення порядку їх ведення. Крім цього, передбачена також кримінальна відповідальність за порушення недоторканності приватного життя стосовно незаконного збирання, використання, знищення чи поширення конфіденційної інформації про особу.

Закон України «Про захист персональних даних», що набув чинності 1 січня 2011 року, передбачає реєстрацію у Державній службі України з питань захисту персональних даних тих баз даних про громадян, які формуються в процесі діяльності юридичних осіб чи підприємців в електронній формі або у формі картотек. По відношенню до релігійних організацій насамперед мова йде про бази персональних даних найманих працівників. Для тих релігійних громад, в яких статутом передбачене фіксоване членство – також актуальним є реєстрація бази даних її членів у випадку її наявності (стаття 7).

Однак Закон має чимало проблемних положень, у тому числі в площині їх практичної реалізації. Однією із проблем є його надто широке застосування. Як приклад, контактні дані контрагентів чи благодійників, зазначені на їх візитках, можуть вважатися базою даних у формі картотеки, якою слугує візитниця. Або так само перелік осіб із посадами та поштовими адресами, яких релігійна організація планує привітати на Різдво, якщо ці адреси отримані не з загальнодоступних джерел. Однак поняття цих джерел Закон не розтлумачує, тому не відомо чи до таких джерел можна віднести Інтернет, ті самі візитки або якісь довідники.

У цьому контексті варто звернути увагу на кілька практичних порад та роз’яснень.

1. Реєстрації підлягають не самі персональні дані, а лише їх опис – тобто до Держслужби надсилається повідомлення про факт збору певних даних для мети, визначеної законами (наприклад, Кодексом законів про працю), статутом чи іншими документами організації.

2. Повідомлення не здійснюється, якщо персональні дані збираються із загальнодоступних джерел (стаття 12). Але, приміром, чи можна вважати Інтернет або візитку особи загальнодоступним джерелом?

3. Збору та обробці таких даних повинна передувати документована згода з боку особи. Якщо дані були вже зібрані до набуття чинності Закону, то громадяни (зокрема наймані працівники) під підпис інформуються про порядок використання даних про них.

4. Держслужба та її органи мають право складати протоколи про адміністративне порушення щодо ухилення від реєстрації або щодо ведення баз даних. Однак саме рішення про стягнення штрафу приймається виключно судом після відповідного судового розгляду за участі зацікавлених осіб.

5. Адміністративні протоколи складаються на підставі письмових скарг громадян, які заявляють про порушення їх права на захист персональних даних із належним документальним підтвердженням.

Слід зауважити, що Держслужба на власному сайті стверджує, що такі протоколи будуть складатись лише після ігнорування попередньо виданого припису про усунення порушень. Але проблема в тому, що ні в Законі, ні в підзаконних актах не визначено чіткого порядку проведення відповідних перевірок.

6. Крім цього, приводом для протестів є також нечіткі та широкі повноваження Держслужби з питань захисту персональних даних. Фактично на підставі скарги будь-якого громадянина, посадовці можуть організувати перевірку та вимагати доступу до баз персональних даних та до приміщень, де вони зберігаються. Безумовно, у правозахисників та самих віруючих виникають занепокоєння чи не будуть такі перевірки використовуватись як спосіб тиску на ту чи іншу організацію.

У такому короткому огляді неможливо висвітлити усі складнощі та небезпеки чинного Закону України «Про захист персональних даних», але вже очевидно, що для його найменшої користі до тексту потрібно внести чимало поправок і уточнень. Зокрема в частині самого поняття персональних даних, які підлягають державному захисту, а також відносно повноважень контролюючих органів та порядку проведення відповідних перевірок, процедури накладення стягнень. А поки Закон радше створює додаткові складнощі для усіх суб’єктів господарювання, ніж захищає право на приватність громадян.

Теги: #ІРС #Захист персональних даних