Украинские власти не перестают удивлять бизнесменов «приятными» сюрпризами. Очередной из них – это Закон Украины «О защите персональных данных», вступивший в силу с 1 января. Закон был принят в рамках выполнения обязательств Украины перед ЕС и должен регулировать отношения, связанные с защитой персональных данных во время их обработки.

На самом же деле, как утверждают предприниматели, этот документ реально не защищает права граждан, сведения о которых находятся в базах данных, и при этом создает немало проблем бизнесу. По словам вице-президента Украинского союза промышленников и предпринимателей Валерия Пекара (УСПП), предприниматели в целом не против этого закона, но в нынешней редакции он может привести к усилению коррупции и давления со стороны госорганов, а поэтому требует значительных изменений.

Эксперты подчеркивают, что под действие данного закона попадает любой предприниматель, работающий с клиентами, но в первую очередь пострадают банкиры, страховщики, компании, специализирующиеся на рекламе и маркетинге, интернет-провайдеры, издатели, рекламисты. Поэтому представители 23 отраслевых объединений обратились к Президенту, главе Верховной Рады и премьер-министру с просьбой внести изменения в данный закон. Соответствующий законопроект уже подготовлен.

Кроме того, предприниматели просят власти не вводить штрафные санкции за невыполнение этого закона до устранения всех его недостатков и разработки необходимых подзаконных актов. Ниже рассмотрим основные спорные моменты Закона «О защите персональных данных».

Объять необъятное

Одна из основных проблемных норм данного закона – его всеохватываемость. Так, согласно документу, персональными данными считаются «сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано». Исходя из такого толкования этого термина, можно утверждать, что база персональных данных есть у каждого предпринимателя (к примеру, под это определение попадают набор визиток или адресная книга в электронной почте). В то же время в европейских странах персональные данные делятся на общие (ФИО, дата и место рождения, гражданство, место жительства) и «чувствительные» данные о состоянии здоровья – история болезни и диагнозы, этническая принадлежность, отношение к религии, кредитная история, идентификационные коды и др.). Именно к «чувствительным» данным в Европе относится запрет собирать, хранить, использовать и распространять их без согласия субъекта данных.

По словам главы правления Интернет-ассоциации Украины Татьяны Поповой, в Министерство юстиции было направлено письмо с просьбой объяснить, какая именно минимальная совокупность (или несколько совокупностей) данных о личности может считаться персональной и требует защиты. А тем временем представители отраслевых организаций предлагают заменить определение этого термина в законе более точным: «Персональные данные – это сведения о физическом лице, которые в своей совокупности дают возможность идентифицировать такое лицо. Минимальной совокупностью сведений, которые дают возможность идентифицировать лицо (идентифицирующими данными) являются: фамилия, имя и отчество лица вместе с датой рождения или домашним, почтовым или электронным адресом, или номером телефона, или регистрационным номером учетной карты налогоплательщика».

Непонятный госреестр

Второй спорный момент закона -- регистрация баз персональных данных. Как уже говорилось, в нынешней редакции закон четко не определяет, какие именно данные входят в состав базы, которую необходимо регистрировать в госорганах. По подсчетам специалистов, если не внести в закон соответствующие изменения, то реестр таких баз может насчитывать 3-4 млн. позиций – примерно столько записей сейчас включает в себя реестр ЕГРПОУ. Создание такого реестра чревато огромными финансовыми затратами как для контролирующего органа (новосозданная Госслужба по защите персональных данных), так и для предпринимателей, на которых по закону можно возложить часть расходов.

По словам президента Украинской ассоциации директ-маркетинга Валентина Калашника, сейчас в госреестре нужно регистрировать перечень баз данных, которые находятся в распоряжении предприятия. При этом в европейских странах нет такого всеохватывающего реестра, который планируется сделать у нас. «Мы предлагаем заменить реестр баз персональных данных на реестр владельцев этих баз. В таком случае предприниматели не должны будут регистрировать сотни, а то и тысячи своих баз, нужно будет просто зарегистрироваться как владелец базы персональных данных», -- говорит юридический советник ассоциации Дмитрий Йовдий.

Еще одним неприятным моментом для предпринимателей является то, что по закону они будут обязаны письменно сообщить человеку о включении его в базу данных, что опять же повлечет за собой большие расходы, говорит юрист.

За что отвечать?

Примечательно, что закон, вступивший в силу с 1 января, на сегодня не имеет ни одного нормативно-правового акта, который бы регламентировал его исполнение. По словам Татьяны Поповой, этот закон носит рамочный характер, и под него необходимо разработать около 30 таких актов. Из-за отсутствия нормативно-правовой базы многие положения закона непонятны не только для предпринимателей и для простых граждан, но и даже самих госорганов, которые должны его выполнять. Например, МинЖКХ уже начало разрабатывать анонимные бланки на оплату коммунальных услуг. «Поскольку нормативно-правовая база отсутствует, закон действительно формально обязывает делать такие вещи. Это не исполнение закона, а имитация его исполнения», -- говорит Дмитрий Йовдий.

При этом предпринимателей настораживает другое: хотя нормы закона фактически выполнить невозможно, поскольку нет нормативно-правовых актов, за его неисполнение уже предлагается установить ответственность. В Верховной Раде зарегистрирован законопроект № 7355 «О внесении изменений в некоторые законодательные акты Украины относительно нарушения законодательства о защите персональных данных», который предусматривает административную и уголовную ответственность за нарушение Закона «О защите персональных данных». Например, штраф за уклонение от регистрации базы данных составляет от 300 до 500 необлагаемых минимумов; за передачу персональных данных третьим лицам предусмотрен штраф в размере от 500 до 1000 необлагаемых минимумов, или исправительные работы до двух лет, или арест до трех месяцев; за нарушение установленных законом требований к защите информации о лице, которое привело к несанкционированному распространению или искажению этой информации и нанесло значительный вред лицу, -- штраф от 800 до 2000 необлагаемых минимумов, или исправительные работы (либо ограничение свободы) до двух лет, или арест до шести месяцев. Следствием такой ситуации может стать рост коррупции: контролирующий орган будет требовать исполнения закона, но как его исполнять – неизвестно, говорит Дмитрий Йовдий.

Отметим, что если предприятия, даже не по своей воле нарушившие этот закон, понесут весьма серьезную ответственность, то для недобросовестных субъектов персональных данных, наоборот, в законе предусмотрены «лазейки». Так, в законе прописано право человека требовать удаления его данных из базы по формальным причинам (ошибка в данных). Этой нормой можно воспользоваться, чтобы избежать ответственности по гражданско-правовым договорам (например, недобросовестные заемщики под этим предлогом могут отказаться от выплаты кредита банку), считают юристы отраслевых ассоциаций.

Поставили козла капусту охранять

Пожалуй, наибольшее негодование у предпринимателей вызывает неограниченная власть, которой наделяется Госслужба по защите персональных данных. «Предоставление права контролирующему органу беспрепятственно входить в помещения, где, по его мнению, обрабатываются персональные данные, создает шикарную обитательную среду для коррупции. Это несет угрозу работе всей предпринимательской системы. Мы подозреваем, что защита персональных данных может рассматриваться контролирующими органами лишь как повод для начала проверок на предприятии», -- говорит Валентин Калашник.

А по мнению замдиректора юрдепартамента Лиги страховых организаций Василия Телицкого, создание очередного госоргана, который будет осуществлять проверки, противоречит заявлениям Президента и правительства о необходимости дерегуляции рынков. «Никто не против таких проверок, главное – чтобы они были максимально прозрачными», – говорит он.

В европейской практике предметом госконтроля является факт нарушения предприятием законодательства о персональных данных, объясняет Дмитрий Йовдий. Поэтому контролирующий орган должен иметь право проводить проверку лишь в том случае, если к нему поступило заявление о конкретном нарушении данного закона. Такая проверка должна осуществляться исключительно на основании решения руководителя этого органа.

Ирина Ревчук