То не черная туча по небу плыла и не ханское войско по степи скакало, это обязательная регистрация баз персональных данных надвинулась на украинское бизнес-сообщество...
«Скорее регистрируйте все свои базы данных до 1 января, а то не успеете и заплатите штраф! Зарегистрируем „под ключ" ваши базы персональных данных, дешево! Скорее! Быстрее! Оштрафуют!»
На поверку вся эта массированная информационная кампания, свалившаяся на голову предпринимателей, непомерно раздута и имеет мало общего с действительностью. Не так страшен черт, как его малюют. Проанализируем в виде тезисов ключевые моменты этой законодательной новеллы и особенности ее применения на практике. Внимание, бесплатная юридическая консультация! :-)
Соответствующие изменения в законодательство о защите персональных данных были приняты довольно давно и поэтапно вступали в силу, с 1 января 2012 года вступили в силу положения касательно обязанности субъектов хозяйственной деятельности регистрировать свои базы персональных данных и санкции за нарушение этой обязанности в виде значительных штрафов.
Однако, не все так просто (а в данном случае — не все так плохо для нас с вами, уважаемые друзья) по целому ряду причин.
Во-первых, оштрафовать Вас можно не "по щучьему велению, по моему хотению", а в четко установленном порядке — лишь установив факт административного правонарушения и зафиксировав его соответствующим протоколом. Для этого уполномоченное лицо, а именно инспектор Государственной службы защиты персональных данных, должен к Вам явиться и такой протокол составить. Ни один другой орган — ни налоговая инспекция, ни фонды социального страхования, ни кто-либо иной такими полномочиями не наделен.
Сами понимаете, что у новой Госслужбы инспекторов маловато и охватить все предпринимательское сообщество им будет трудновато. Если и доберутся с проверкой, то нескоро. Кстати, проверка ведь тоже проводится не с бухты-барахты, а на основании соответствующего наряда и направления инспектора, подписанного руководством Госслужбы с гербовой печатью. То есть, если к вам в офис явится подозрительного вида личность, представляющаяся инспектором и предъявляющая служебное удостоверение с целью провести проверку — вежливо выставите ее за дверь (или вообще не пускайте), а ежели будет угрожать и буянить — вызывайте милицию. Как говорится, утром — стулья, то есть наряд-направление на проверку, вечером — деньги… то есть, сама проверка.
Второе. Следует помнить, что инспектор может составить лишь протокол о нарушении (наличии незарегистрированной базы данных), который передается в районный суд по месту нахождения предприятия, и именно суд [не] выносит постановление о наложении штрафа, которое к тому же подлежит апелляционному обжалованию. Суды такие вопросы рассматривают довольно долго, а за это время установленный Кодексом Украины про административные правонарушения граничный срок привлечения к административной ответственности запросто может истечь. В таком случае дело подлежит автоматическому закрытию.
Кстати, вовсе необязательно, что суд встанет на сторону инспектора, ведь шансы доказать отсутствие в ваших действиях состава административного правонарушения (обязательная слагающая — субъективная сторона, то есть умысел) довольно высоки.
Это чисто процедурные, процессуальные моменты. Но существует и веское материально-правовое подспорье. Законом предусмотрена обязанность юридических лиц и физических лиц-предпринимателей регистрировать базы персональных данных физических лиц, поскольку объектом правовой охраны в данном случае выступают именно персональные данные физического лица. Это значит, что обязанность регистрировать такие данные возложена только на того, чьим контрагентом (поставщиком, клиентом) является физическое лицо-предприниматель или просто физическое лицо. Никакого расширенного толкования закон в данном случае не предусматривает: работаете с ФОП-ами (СПД-шниками) — регистрируйте, не работаете — регистрировать нечего.
Далее. Очень важно понимать, что персональные данные и база персональных данных — не одно и то же! Законом предусмотрена обязанность регистрировать базы персональных данных, то есть их совокупность, упорядоченную и систематизированную в электронном виде или в виде картотеки. Что считать базой данных, то есть их упорядоченной системой? Здесь мнения расходятся, Госслужба считает, то любые персональные данные являются базой и подлежат регистрации, но такая позиция — полный абсурд и в комментариях не нуждается. Доверь коту сметану охранять...
Четкое определение понятия «базы персональных данных» содержит закон и далеко не все персональные данные «дотягивают» до базы. Этот аргумент можно использовать, если к вам все-таки пожаловал инспектор на законных к тому основаниях.
И наконец — регистрации подлежат не все базы данных, а лишь существующие в электронном виде или в виде картотеки. Что такое картотека и что считать картотекой? Являются ли папки в шкафу, даже прошитые, картотекой? Нет. В случае, когда законодательство не содержит определения того или иного понятия, используется общепринятое, которое находится… правильно, в Толковом словаре живого великорусского языка В.И. Даля, а точнее у Великому тлумачному словнику української мови.
Для поддержания интриги определения понятия картотеки я здесь приводить не буду, посмотрите сами. Скажу лишь, что картотека подразумевает обязательное наличие пронумерованных учетных карточек. Хорошо, а как же электронные базы данных? Но ведь для того, чтобы установить их наличие, инспектору нужно мало того что на законных основаниях явиться для проведения проверки, но и получить доступ к вашим компьютерам и найти на них соответствующие файлы. А компьютер-то может быть запаролирован, файлы находиться в зашифрованной папке и т.д. Ну не будет инспектор целый день сидеть за Вашим компьютером, а полномочий проводить обыски, выемки и прочие следственные действия у него нет.
И последнее. По закону использование персональных данных физического лица, а значит и их регистрация в виде базы, возможно только с согласия такого лица. А давать согласие, не давать егоили простозабыть его предоставить — это право физического лица-Вашего контрагента. Догадываетесь?
Все перечисленные юридические тонкости необходимо использовать и максимально полно изложить в протоколе, который инспектор будет обязан вам предоставить для изложения своих возражений и подписи. Изложите свое несогласие грамотно и полно — выиграете суд и не будете платить никаких штрафов. Думаете, что адвокат решил поумничать, а суровая проза жизни другая? Ничего подобного! Не верите мне — верьте Министерству юстиции Украины, чье недавнее разъяснение практически полностью ложится в канву этой заметки.
Вместо эпилога. Я не саботирую государственную политику и не призываю не регистрировать базы данных, я обращаю внимание на то, что закон можно и должно применять с умом. Крупным предприятиям с большим информационным потоком и значительной бюрократизацией/формализацией управленческого процесса действительно нужно зарегистрировать свои основные базы, но для среднего и особенно малого бизнеса этот вопрос вовсе не так однозначен. Думайте и решайте сами, но помните — регистрируя свои базы, вы автоматически попадаете в поле зрения упомянутой Госслужбы, а значит, фиксируете свою обязанность всегда регистрировать все свои базы и демонстрируете свое гостеприимство для прихода проверки...
| 