Прошлись по базам

Депутаты взялись редактировать Закон "О защите персональных данных". В первом чтении правительственные правки к документу были приняты на первой осенней пленарной неделе. Новации призваны сократить перечень баз данных, которые предприятиям необходимо регистрировать в обязательном порядке, что, соответственно, уменьшит затраты субъектов хозяйствования на эту процедуру.

Впрочем, некоторые эксперты уверяют, что, взявшись переписывать закон, Кабмин руководствовался не только заботой о бизнесе.

Все на регистрацию

Формально Закон "О защите персональных данных" вступил в силу еще в январе прошлого года, но в действительности так и не заработал. Причиной тому стала масса погрешностей и неточностей в формулировках, оставленных народными избранниками впопыхах.

В свое время документ в срочном порядке принимался по требованию Евросоюза: подписанное с ЕС соглашение "Матрица сотрудничества" среди прочего оговаривало ратификацию и имплементацию в украинское законодательство Конвенции о защите персональных данных.

К тому же без этого европейцы наотрез отказывались обсуждать возможность обмена данными, которые необходимы контролирующим органам. К примеру, до конца нынешнего года должен быть подготовлен проект документа об обмене таможенной информацией между Еврокомиссией и Киевом, который позволит ГТСУ получать данные о реальной стоимости товаров, импортируемых в нашу страну.

Одной из самых спорных норм Закона "О защите персональных данных" стало положение, обязывающее всех владельцев баз данных — субъектов хозяйственной деятельности вне зависимости от формы собственности зарегистрировать имеющиеся у них базы данных в специально создаваемом Государственном реестре.

Проблема заключалась в том, что из-за размытости приведенного в законе определения "база персональных данных" к таковой смело можно отнести даже визитницу. Иными словами, каждое отечественное предприятие (на 1 августа в Украине их зарегистрировано около 1,34 млн) имеет как минимум несколько баз данных.

"Например, вы — частный предприниматель, у которого работает до 20 человек. Тогда вам нужно зарегистрировать базу данных своих кадров и, скажем, своих контрагентов", — поясняет вице-президент УСПП по вопросам IT Иван Петухов. У некоторых компаний (рекламный бизнес, колл-центры, дата-центры) количество таких баз может измеряться сотнями. И все их, согласно требованиям закона, необходимо зарегистрировать. За игнорирование этого требования предпринимателям грозит штраф от 5100 до 8500 грн.

Осознав масштабы предстоящей работы, Государственная служба по вопросам защиты персональных данных пролоббировала продление сроков регистрации баз сначала до 1 января, а затем до июля текущего года. Однако и к этому сроку выполнить законодательные требования не удалось.

"К 10 сентября в реестр внесены 20,805 тыс. баз данных, тогда как на регистрацию подано более 2 млн заявок. Сейчас мы обрабатываем заявления, поданные 10–15 декабря 2011 года. Пока не завершена регистрация, мы не можем полноценно контролировать исполнение закона. Нами проведены проверки только 17 владельцев и распорядителей баз персональных данных, 14 из них предписано устранить обнаруженные нарушения. Штрафы не налагались вообще. По закону санкции вводятся только по решению суда. Но ни одно дело по проверкам до суда еще не доходило", — рассказала "ДС" главный специалист управления юридического обеспечения Госслужбы по вопросам защиты персональных данных Александра Чиковани.

Согласно поддержанным депутатами законодательным правкам от обязательной регистрации освобождены базы персональных данных, ведение которых связано с обеспечением трудовой деятельности, а также базы членов общественных и религиозных организаций, политических партий и профсоюзов.

Без лишних вопросов

Другая неудобная для бизнеса норма закона требует от компаний получать согласие граждан на обработку информации о них, содержащейся в базе данных. И дело даже не в том, что, к примеру, при выставлении счета на оплату интернет-услуг оператор должен получать согласие клиента на обработку данных о нем. Главная проблема — хранение доказательств получения согласия многочисленных клиентов на обработку информации о них.

"Подготовленные правительством законодательные правки расширяют перечень оснований для обработки персональных данных, то есть операций, при которых не потребуется получать от субъекта базы данных дополнительного согласия. К ним отнесены действия по выполнению договора, заключенного с субъектом базы данных, защита его жизненно важных интересов, выполнение владельцем базы данных взятых на себя обязательств перед клиентами", — пояснил заместитель министра юстиции Дмитрий Ворона.

Предприниматели говорят: чтобы не делать лишней работы самим и не создавать ненужных сложностей для уполномоченной госструктуры, в законе необходимо ранжировать базы данных по так называемой "чувствительности", обязав регистрировать лишь те, которые содержат расширенную или конфиденциальную информацию о гражданине. Именно так решен этот вопрос в развитых странах.

Депутаты считают, что поработать нужно и над самими законодательными правками, которые предложил Кабмин. "В действующей редакции закона предусмотрено: субъект персональных данных — физлицо имеет право узнать, какие сведения и из каких источников собраны на него. В изменениях к закону эта норма исчезла. То есть теперь я как физическое лицо не могу потребовать сообщить, какие данные обо мне собираются и на каком основании. Это является прямым нарушением Конституции, запрещающей урезать уже имеющиеся у граждан права. Я считаю, что это еще один серьезный кирпич в построение полицейского государства", — говорит первый заместитель председателя комитета ВР по правосудию Юрий Кармазин.

Скептики не исключают, что именно ради этой правки правительство взялось переписывать закон, приправив ее положительными для бизнеса новациями.