Медведь с блокнотом

О том, что такое на самом деле закон "О защите персональных данных", и как проттиводействовать его необоснованному применению

     Есть анекдот, ключевым моментом которого является такая ситуация. Медведь с блокнотом в руках останавливает зайца и говорит ему: «Заяц, я тебя записываю на обед. Приходи ко мне в полдень, я тебя съем». Заяц спрашивает «А можно не приходить?». Медведь отвечает: «Не хочешь? Ну тогда я тебя вычеркиваю!!!».

    Этот анекдот я вспомнил, когда впервые столкнулся с проблемой применения Закона Украины «О защите персональных данных» (далее будем его называть для краткости ЗЗПД). Что удивляет – эта тематика уже успела обрасти достаточным количеством весьма явных инсинуаций, причем удивляет заведомая готовность выполнять не только то, что закон обязывает, но и то, чего нет и в помине.

     Попробуем разобраться -  кто здесь медведь, и где его блокнот.

     Для начала следует уяснить, что же является основным «камнем преткновения» данного закона. Если практическое применение понятия «персональные данные»  не вызывает особых проблем, то с понятием «база персональных данных» связана и необходимость ее регистрации, и ответственность за уклонение от таковой.  Читаем ст.2 ЗЗПД: «база персональних даних - іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних», при этом ключевое словосочетание здесь – упорядоченных (!) данных. То есть, по логическому содержанию этой фразы в целом, персональные данные должны содержаться в определенном порядке, отсутствие которого одновременно исключает применение понятия «база данных». Что из этого следует? Если на вашем предприятии имеются личные дела работников, содержащие персональные данные – этого мало, чтобы они в совокупности именовались «база данных», необходимо, чтобы они были хотя бы расставлены по алфавиту. А если смотреть на эту норму ЗЗПД более широко  - то без наличия соответствующего подзаконного акта (или отраслевого стандарта)  вообще непонятно, чем база данных отличается от НЕ базы данных, то есть какая степень (или  какие признаки) этой самой «упорядоченности» требуется, чтобы просто набор разнокалиберной информации вдруг совершил качественный скачок, и приобрел гордое наименование ««база персональних данных». По моему личному мнению, без такого официального разъяснения ЗЗПД в этой части является «мертвой» нормой права. Не менее интересной является и презюмированная обязанность держателей базы данных ее регистрировать – соответствующая ст.9 ЗЗПД сформулирована юридически некорректно, поскольку не содержит ключевого слова «обязаны», а значит - допускает возможность делать это только добровольно, поскольку согласно ст.19 Конституции Украины никто не обязан делать то, что не предусмотрено законодательством.  

     Теперь – о более интересных вещах, а именно о последствиях неявки к медведю на обед. Полномочия уполномоченного государственного органа (ДСЗПД Украины), описанные в ст.23  ЗЗПД, содержат право на осуществление контроля за соблюдением законодательства о защите персональных данных, но не описывают виды такого контроля. Согласно все той же ст.19 Конституции Украины,  органы государственной власти действуют только  на основаниях, в пределах полномочий и способом, предусмотренными законом. Так вот способа-то и нет! О праве на проведение инспектирования, ревизий или проверок – ни намека! На всякий случай, сразу хочу оговориться: нормы «рамочного» закона «Про основные принципы государственного надзора (контроля) в сфере хозяйственной деятельности» не корреспондируются с ЗЗПД – ни по сфере применения, ни по субъектам регулирования, ни по наличию взаимных ссылок. Поэтому возникает резонный вопрос: как будем устанавливать наличие нарушений? Единственный правильный ответ, как я думаю – только путем добровольного признания факта неисполнения норм ЗЗПД, все другие способы на сегодня являются заведомо противозаконными.

     И наконец – самое забавное. Допустим, со временем все-таки издадут подзаконный нормативный акт, которым будет урегулирована процедура проведения проверок (хотя легитимность такого акта будет сомнительной -  поскольку ЗЗПД не содержит такого права),  но откуда проверяющие будут брать необходимую информацию, доказывающую факт нарушений? Ведь наличие (или отсутствие) базы данных «снаружи» не видно! То есть достаточно будет проверяющим сказать, что никакие базы персональных данных не ведутся – и на этом все. А для подстраховки на случай, если база данных все-таки попадет в чужие руки (например, сотрудники милиции очередной раз «по беспределу» изымут компьютер), я бы рекомендовал просто зашифровать соответствующие файлы – и проблем нет. 

     Вот так бывает, если подойти «творчески» к головотяпству законодателей. Так что, идем к медведю на обед, или пусть вычеркивает из блокнота?