С 1 июля вступили в силу нормы о штрафных санкциях за нарушение Закона о защите персональных данных. Теперь нарушение закона карается штрафом от 8,5 тысяч до 17 тысяч гривен и более 53 тысяч гривен при повторном нарушении. К штрафам не готовы ни чиновники, ни бизнес.
Не успели обработать
1 июля вступили в силу штрафные санкции за нарушение Закона о защите персональных данных. Закон, напомним, действует в Украине с 1 января 2011 года. Теперь нарушение закона карается штрафом от 8,5 тысяч до 17 тысяч гривен и более 53 тысяч гривен при повторном нарушении. Законом также предусмотрена ответственность в виде исправительных работ до двух лет или ограничения свободы сроком до трех лет и пяти лет при повторном нарушении.
Предприниматели в первом полугодии массово подавали документы в Госслужбу по защите персональных данных. “Компании защищают персональные данные своих пользователей не потому ,что есть закон, а потому что окажись эта информация в руках конкурентов или разглашена, придется не сладко. Это может означать конец бизнеса”, — считает Егор Анчишкин, директор сервиса по доставке готовых блюд zakaz.ua.
“Насколько я владею информацией, нарушение закона касается штрафных санкций в отношении тех компаний, которые до 1 июля 2012 года не уведомили государственные органы о том, что они используют в своей работе персональные данные своих клиентов. То есть не подали заявку на регистрацию базы персональных данных”, — говорит Олег Витенко, генеральный директор книжного интернет-магазина Bookshop.ua и добавляет, что его компания вовремя и без проблем подала заявку в Службу.
В Госслужбу поступило около 2 миллионов заявлений о регистрации баз персональных данных. Служба смогла обработать всего 30 тысяч заявок В самой Службе не справились с потоком заявлений. Как рассказал журналисту ЛІГАБізнесІнформ Владимир Козак, заместитель главы Госслужбы по защите персональных данных, в его ведомство поступило около 2 миллионов заявлений о регистрации баз персональных данных. Служба смогла обработать всего 30 тысяч заявок. “Несмотря на готовность Службы осуществлять мгновенное реагирование на жалобы субъектов персональных данных, обеспечить в надлежащем порядке регистрацию баз персональных данных ей не удалось. Заявки, поданные нами еще в декабре 2011 года, до сих пор не рассмотрены, но при этом уже есть соответствующие предписания, направленные в адрес предприятия”, — сетуют в юридической службе интернет-холдинга Allegro Group Ukraine.
Обещают не штрафовать сразу
В Госслужбе заверили, что нет никаких оснований применять штрафные санкции к руководителям предприятий, чьи заявления о регистрации баз персональных данных ведомство не успело обработать. По словам Козака, регистрация — это одна из многих обязанностей, которую должно выполнить предприятие. В ведомство каждый день поступает около 10 жалоб, на их основании проводятся проверки предприятий, по их результатам пишутся предписания на устранение нарушений законодательства. “Предписания в установленные сроки предприятие должно выполнить. В обратном случае, будут применяться меры. В том числе, административные протоколы после следующей проверки – передаваться в суд”, — пояснил чиновник.
Чаще всего граждане жалуются, что предприятия, не предоставляют информацию о том, как обрабатываются персональные данные. Вторая распространенная жалоба — передача личных данных граждан из одной организации в другую.
У бизнеса все же существуют серьезные опасения по поводу того, что штрафные санкции начнут применять необоснованно, поскольку закон еще сыроват. “Нормы самого закона требуют существенной доработки и установление санкций на данном этапе преждевременно”, — считает Сергей Енко, директор по правовым вопросам компании Воля.
“Закон о защите персональных данных — это очередной пример экстремального непонимания того, как работает современный информационный мир”, — уверен Анчишкин из zakaz.ua. Связь между доменным именем и физическим/юридическим лицом устанавливается через записи в базе регистраторов доменных имен. “Следовательно, при попытке “наехать” на любой из сайтов он будет становиться “неукраинским” за одну ночь”, — отметил директор zakaz.ua. По мнению Анчишкина, защита персональных данных напоминает протекционизм с пошлинами и таможенными союзами. “Почему компания Amazon.com не должна регистрировать базы данных, а pupkin.ua должна?”, — вопрошает он.
Почему компания Amazon.com не должна регистрировать базы данных, а pupkin.ua должна?
“О данном законе никто последние полгода и не вспоминает. На мой взгляд, это была очередная идея для наполнения дырявого бюджета, которая лопнула, как мыльный пузырь. Думаю, что об этом законе мы не услышим еще долго, ведь накануне выборы”, — считает Витенко.
Есть и более сдержанные оценки. Как отметили в компании МТС-Украина, Закон Украины “О защите персональных данных” должен был оказать положительное влияние на рынок, поскольку устанавливает общие нормы в части защиты этих данных. “Предполагалось, что под него будут разработаны нормативные подзаконные акты — процедуры, позволяющие предприятиям работать в четко очерченном правовом поле. Но в действительности ситуация оказалась другой — документов на данный момент разработано мало, они сложны в применении. Как результат, предприятиям приходится самостоятельно, методом проб и ошибок, подстраиваться под требования Закона, во многом перестраховываясь, ведь за нарушение требований предусмотрены серьезные санкции”, — считает Ольга Дейнега, начальник юридического департамента “МТС Украина”.
Ольга Дейнега обратила внимание на некоторые нормы закона, требующие доработок:.
1. Не понятно, кто является третьим лицом, которому осуществляется передача персональных данных (ПД) в соответствии с законом. Также неясно, в соответствии с каким законом им можно передавать эти данные.
2. Формулировка нормы о трансграничной передаче ПД позволяет передавать их иностранным субъектам при условии обеспечения надлежащей защиты, при наличии соответствующего разрешения, в случаях и в порядке, установленными законом или международным договором. При этом не ясно, какой уровень защиты признается надлежащим, какое разрешение необходимо, и на основании каких законов возможна такая передача.
3. Владелец баз ПД обязан уничтожить ПД физлица по его требованию. Но не понятно, как действовать в случаях, когда с данным физлицом подписан договор – ведь, согласно нормативным актам, хранить первичную документацию необходимо несколько лет.
4. Закон не дает ответа на вопрос, что делать, если сотрудник отказывается подписывать согласие на обработку ПД. Ведь его нельзя и уволить – трудовое законодательство не предусматривает такого основания для увольнения.
Есть надежда на отсрочку
Оградить предпринимателей от штрафных санкций попытались депутаты Ирина Горина (Партия регионов) и Ксения Ляпина (НУ-НС). Они предложили внести изменение в заключительные положениям закона Украины “О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных” (№10570). Предлагается перенести сроки введения в действия закона с 1 июля 2012 года на 1 февраля 2013 года.
В Службе скептически относятся к попытке депутатов в очередной раз сдвинуть сроки введения санкций за нарушение закона о персональных данных. “Это ничего не поменяет. Законопроект — это попытка поднять проблему на щит. Проблема не в том, что штрафы сейчас введутся или позже. Для службы это не имеет большого значения”, — считает Козак. По его мнению, есть более важные вопросы, на которые необходимо обратить внимание. Основная проблема в том, что в Украине за нарушение закона о персональных данных наказывают гривной не предприятие, а его сотрудника. “Во всех странах штрафуются предприятия, и штрафуются очень сильно. Штрафы достигают 300-500 тысяч евро”, — отметил он.
По мнению юристов, инициатива депутатов может временно спасти бизнес от штрафов. “В случае если законопроект 10570 примут после 1 июля 2012, он будет отменять ту ответственность, которая предусмотрена, вступившим в силу законом. Это означает, что в соответствии со ст. 58 Конституции Украины данный закон будет иметь обратную силу и освобождать от ответственности лиц нарушивших нормы законодательства о защите персональных данных”, — пояснил Андрей Пархоменко, юрист, специалист ИТ-права юридической компании Юскутум.
Ольга Дидух
ЛIГАБiзнесIнформ
Информационное агентство
www.liga.net
