ГлавнаяО насНовостиСтатьиРешенияКонтакты
Украинский интегратор защиты персональных данных

Данные персональные, а ответственность глобальная

Персональные данные

Нам представляется уместным начать с того, чтобы "понизить градус" и устранить излишний накал страстей, связанных с так называемым введением с 1 июля 2012 года уголовной и административной ответственности за нарушения законодательства в сфере защиты персональных данных.

Начнем с уголовной ответственности. Действительно, с 1 июля 2012 года (если вступление в силу Закона №3454-VI в очередной раз не будет отсрочено) уголовное наказание за незаконные сбор, хранение, изменение, использование, уничтожение, распространение конфиденциальной информации о лице будет наказываться штрафом от 8 500 до 17 000 гривен либо исправительными работами до двух лет, либо арестом сроком до шести месяцев, либо же ограничением свободы сроком до трех лет. В случаях если преступление совершено повторно или таковым причинен существенный вред (свыше 100 налоговых социальных льгот, установленных на 1 января года, для 2012 года – это 53 650 гривен) правам свободам и интересам лица, наказание может достичь пяти лет лишения свободы.

Однако стоит учесть, что статья 182 УК Украины "Нарушение неприкосновенности частной жизни" была и до принятия Закона Украины "О защите персональных данных", так что никакой концептуально новой уголовной ответственности с 1 июля не будет.

"Новая" ответственность за незаконный сбор и распространение конфиденциальной информации о лице была введена немногим более года назад, с 10 мая 2011 года, когда вступила в силу новая редакция Закона Украины "Об информации". Напомним, что в отличие от предыдущей редакции этого Закона, новая уже не содержала определения понятия "конфиденциальная информация" как ведомостей, которые находятся во владении, пользовании либо распоряжении отдельных физических или юридических лиц и распространяются по их желанию в соответствии с предусмотренными ими условиями. В связи с этим конфиденциальная информация о лице, даже будучи незаконно разглашенной, то есть более не находящейся во владении и распоряжении отдельных лиц, с 10 мая 2011 года не теряет статус конфиденциальной. В этом кроется существенное изменение, ведь попросту говоря, если раньше написанное мелом на заборе автоматически не могло иметь статус конфиденциальной информации, то теперь может.

Сейчас важно не то, находится ли информация во владении ограниченного круга лиц, а то, кого эта информация касается. С учетом Решения Конституционного Суда Украины от 20.01.2012 г. №2-рп/2012 под информацией о личной и семейной жизни лица следует понимать любые сведения или совокупность сведений о личных имущественных и неимущественных отношениях, о событиях и явлениях, отношениях, связанных с лицом или членами его семьи. Такая информация признается конфиденциальной.

Итак, законодательные изменения мая 2011 года и толкование Конституционным Судом понятия "информации о личной и семейной жизни" в совокупности уже полгода как позволяют усадить на скамью подсудимых любого, кто имеет документальное подтверждение существования других людей.

Придя в себя после осознания того, что общество состоит сплошь и рядом из нарушителей неприкосновенности личной жизни и эти нарушители чудом уже полгода избегают уголовной ответственности, можно тут же снова выйти из себя. Зачем? Затем, что быть в себе с 1 июля 2012 года (вернувшись, можно обнаружить там проверяющих), особенно если вы – должностное лицо предприятия или гражданин-СПД.

Государственная служба по вопросам защиты персональных данных (ГСЗПД) получает с 1 июля 2012 года законодательное подкрепление своим полномочиям в виде весьма значительных административных штрафов. Насколько значительными являются эти санкции, можно понять из простого сравнения.

За невыполнение законных требований должностного лица налоговой службы полагается штраф в размере от 85 до 170 гривен (статья 1633 КоАП).

Уклонение должностного лица от выполнения законных требований прокурора может вылиться в штраф от 34 до 85 гривен (статья 1858 КоАП).

За невыполнение же законных требований должностного лица ГСЗПД должностному лицу предприятия или гражданину-СПД грозит штраф в размере от 1 700 до 3 400 гривен (статья 18840 КоАП с 1 июля 2012 года).

Справедливости ради стоит отметить, что суровость санкций за невыполнение требований должностных лиц различных органов в КоАП установлены часто в размере, прямо не связанном с действительной значимостью для общества той сферы, в которой имеет место нарушение (другими словами, ГСЗПД не важнее прокуратуры в 40 раз). Скорее наоборот, чем меньше у определенного органа других рычагов воздействия на нарушителя, тем выше может быть административный штраф, применяемый к нему либо к его должностным лицам.

Кстати, за невыполнение законных требований должностного лица ГСЗПД вводится санкция только в отношении должностного лица и гражданина-СПД. Это весьма резонно, поскольку рядовые граждане вряд ли смогут примерить на себя роль нарушителя тех норм законодательства о защите персональных данных, за нарушения которых установлена административная ответственность. По этой же причине ниже мы рассматриваем административные санкции за прочие нарушения только в отношении должностных лиц и граждан-СПД.

Оставим невыполнение требований ГСЗПД. Основаниями для возможных санкций, не связанных с реакцией на запросы должностных лиц ГСЗПД, остаются:

НарушениеСанкция статьи 18839 КоАПКак не стать нарушителем?
Неуведомление либо несвоевременное уведомления субъекта персональных данных (физического лица, чьи данные обрабатываются) о его правах в связи с внесением его персональных данных в базу, о цели сбора этих данных и лицах, которым они передаютсяШтраф в размере 5 100-6 800 гривен (6 800-11 900 гривен при повторном в течение года нарушении)Уведомление (содержащее информацию о правах субъекта в связи с обработкой, цели сбора данных, лицах, которым будут передаваться данные) должно быть совершено в письменном виде в течение 10 рабочих дней после включения персональных данных в базу. Уведомление можно не осуществлять, если персональные данные собираются из общедоступных источников. Минюст под таковыми понимает печатные СМИ, средства телерадиовещания, интернет-порталы, публичные выступления и прочие источники информации, к которым лица имеют свободный, неограниченный законодательством доступ (разъяснение от 21.12.2011 г. "Некоторые вопросы практического применения Закона Украины "О защите персональных данных")
Неуведомление либо несвоевременное уведомления ГСЗПД об изменении ведомостей, которые подаются для государственной регистрации базы персональных данныхШтраф в размере 3 400-6 800 гривен (6 800-11 900 гривен при повторном в течение года нарушении)Уведомление осуществляется на протяжении 10 рабочих дней с даты изменений путем направления в ГСЗПД заявления, форма которого утверждена приказом Минюста №1824/5 от 8 июля 2011 года
Уклонение от государственной регистрации баз персональных данныхШтраф в размере 8 500-17 000 гривенПо мнению представителей ГСЗПД, об уклонении в условиях действующего законодательства может идти речь в случае, если по результатам проверки будет установлено наличие незарегистрированной базы персональных данных, после чего ГСЗПД издаст предписание об устранении нарушения, которое владелец базы неправомерно не удовлетворит. В этом случае возможно составление уполномоченным должностным лицом Службы протокола об административном нарушении, который далее подлежит направлению в местный суд для принятия решения о привлечении к ответственности
Несоблюдение установленного законодательством о защите персональных данных порядка защиты персональных данных в базе, которое повлекло незаконный доступ к нимШтраф в размере 5 100-17 000 гривенНекоторые требования к системе защиты персональных данных уже установлены Типовым порядком обработки персональных данных в базах персональных данных, утвержденным приказом Минюста №3659/5 от 30.12.2012 г.

Для обработки персональных данных в автоматизированной системе установлены требования авторизации и идентификации при допуске к обработке, обеспечение антивирусной защиты и бесперебойного питания элементов системы. Для обработки в картотеках предусмотрено их хранение в помещениях (шкафах, сейфах) под замком либо с контролем доступа.

Стоить учесть, что Типовой порядок обязывает создать условия для защиты персональных данных и не указывает, что если приведенные выше минимальные требования выполнены, то порядок защиты считается соблюденным. В случае несанкционированного доступа к персональным данным нарушение может считаться совершенным ввиду самой реализованной возможности несанкционированного доступа

Выводы

Как можно заметить, соблюсти условия, которые помогут не стать нарушителем, возможно. Пусть даже те, кому эти правила выполнять, в подавляющем большинстве своем не видят в них смысла и ценности. В условиях действия санкций за нарушения законодательства о защите персональных данных остается полагаться на благоразумие ГСЗПД и Министерства юстиции (которое уже несколько раз, пусть не системно, но разъяснило нормы законодательства, держась ближе к здравому смыслу, нежели к формально-логическому толкованию Закона).

Далее, надеемся, последуют законодательные изменения, направленные на усиление защиты так называемых уязвимых персональных данных, а не открытой информации о гражданах, которой мы обмениваемся ежедневно безо всяких регистраций, уведомлений и зачитывания друг другу прав.

Автор статьи: Константин Пильков


ЛИГА:ЗАКОН (21.06.2012 в 12:08) | вверх страницы | к списку статей

Общие вопросы:

Что нас ждет в 2011 году и о чем необходимо задуматься сегодня?
Что такое защита персональных данных?
Для чего это необходимо?
Если не выполнять требования Закона?
Типовые нарушения
Какие риски неисполнения требований законодательства?
Сколько потребуется времени и средств?
Что необходимо делать?
Кому доверить внедрение защиты персональных данных?
ГлавнаяО насНовостиСтатьиРешенияКонтакты
Контактная информация
© 2003-2012 ООО "Ди Эй Кей продакшн"