Пугало персональных данных
Скоро год как вступил в силу Закон Украины «О защите персональных данных», но за этот год почти никто по-настоящему не вник в его содержание. А когда законодатель ввел ответственность за нарушение этого закона, времени вникать в его хитросплетения практически не осталось. Результат – обычный страх.
Правильно сказал наш абсолютно искренний в своих намерениях премьер-министр: - Один из трех вечных инстинктов - это страх, и он должен работать.
Спешу доложить господин премьер: - Работает!
Мнение всех коллег, с которыми мне пришлось пообщаться по поводу данного закона, сводится к одному: всем юридическим лицам и физическим лицам - предпринимателям необходимо обязательно зарегистрироваться. Иначе грозят крупные штрафные санкции.
Так ли это на самом деле?
Не претендуя на истину в последней инстанции, хочу обратить внимание на некоторые положении закона, которые позволяют усомниться в правильности подобной точки зрения.
Для того, чтобы ответить на вопрос о том, обязано ли ваше предприятие регистрировать базу персональных данных, нужно уяснить само понятие – база персональных данных.
В статье 2 Закона приведены значения понятий, которые в нем применяются.
В соответствии с указанной нормой, база персональных данных - именуемая совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных.
Как видим, в этом понятии применяются несколько других понятий, без уяснения сущности которых, невозможно правильно ответить на поставленный вопрос.
Понятие персональных данных приведено в этой же норме закона и именно оно магически действует на всех настоящих и мнимых владельцев баз персональных данных.
Однако само по себе владение персональных данных не является основанием считать, что вы являетесь владельцем базы персональных данных, поскольку наличие базы, как упоминалось выше, предполагает несколько качественных характеристик той совокупности персональных данных, которыми вы владеете.
Это именованная совокупность упорядоченных данных, а также хранение их в электронной форме либо в форме картотеки.
Что такое электронная форма подавляющему большинству уже известно. Однако если совокупность персональных данных, содержащаяся в электронной форме, не является именованной и упорядоченной, то такая совокупность не может считаться базой персональных данных.
Известно, что почти каждый предприниматель обладает персональными данными своих контрагентов (поставщиков, покупателей товаров, работ, услуг), а также своих работников. Однако далеко не каждый предприниматель систематизирует имеющиеся у него данные в том виде, который указан в ст.2 Закона.
Понятие картотеки в законе вообще не приведено, поэтому для ответа на вопрос о том, является ли совокупность имеющейся у вас информации, зафиксированной в ином виде, нежели в электронном, картотекой, придется обратиться к толковым словарям.
Итак, согласно словарю Ушакова, картотека - собрание карточек, систематизированных в каком-нибудь отношении. Библиотечная картотека. Биографическая картотека. Каталог в форме картотеки.
Согласно словарю Ефремовой, картотека - систематизированное собрание карточек, содержащих сведения справочного или учетного характера.
И наконец, Большая Советская Энциклопедия содержит следующее определение картотеки: картотека - совокупность определенного количества карточек - носителей информации, объединенных, систематизированных и размещенных в определенном порядке, например по алфавиту, темам, срокам.
Таким образом, наличие у предприятия не систематизированных, не упорядоченных персональных данных, не дает основания делать вывод о том, что эта информация представляет собой базу персональных данных.
На мой взгляд, ошибаются те, кто полагает, что любая имеющаяся у предпринимателя информация о своих работниках, содержащаяся в виде заявлений о приеме на работу, приказов, трудовых книжек, должностных инструкций, договоров о полной материальной ответственности и т.п. информация, представляет собой базу персональных данных. Тоже относится и к персональным данным контрагентов.
На крупных предприятиях, особенно государственных, имеются базы персональных данных, и руководителям этих предприятий придется провести определенную работу по организации надлежащего оформления этой базы, отношений с субъектами персональных данных, а также по регистрации базы в соответствующем реестре.
Остальным, я полагаю, следует основательно подумать, прежде чем «на всякий случай» подавать заявления о регистрации персональных данных.
Следует обратить внимание, что, зарегистрировав мнимую базу в государственном реестре, предприниматель добровольно становиться объектом для проверок и применения финансовых санкций.
До такой регистрации, вы еще можете доказывать, что у вас отсутствует как таковая база данных. В тоже время субъект властных полномочий вынужден будет доказать, что такая база имеет место и вы уклоняетесь от ее регистрации. Для него это будет непростой задачей.
При этом, необходимо отметить, что законом не предусмотрена ответственность за недопущение контролирующего органа к проведению проверки субъекта предпринимательской деятельности.
Не хочу, чтобы данную публикацию воспринимали как призыв к нарушению закона. Я лишь пытаюсь обратить внимание на некоторые принципиальные аспекты этого закона, а также на его недостатки.