Суворі тепер зими. Здається, і морозу особливого немає, і сніг можна частіше побачити на екрані телевізора, ніж на вулиці, але все одно зимова пора дається багатьом непросто. Епідемія? Проходили, було. Що ж тоді?

Подарунки.

Так, подарунки. Шановні, отримуйте новий презент у вигляді перевірок від Державної служби з питань захисту персональних даних (далі - ДСЗПД). Для тих, хто не в курсі або забув, незайвим буде нагадати, що з 1 січня 2011 року вступив у дію Закон України "Про захист персональних даних". Вступив і вступив, тисячі їх. Насправді ж цей нормативний акт став основою для імплементації в Україні положень Конвенції Ради Європи "Про захист фізичних осіб при автоматизованій обробці персональних даних". Головною метою підписавшихся сторін є захист громадян від незаконного використання їх персональної інформації. Благородно. Україна теж піклується про своїх громадян: Президент Указом від 6 квітня 2011 № 390/2011 затвердив Положення про ДСЗПД, прийнято низку інших документів. Чудово, нарешті заживемо по-людськи! Але багато хто чомусь запідозрили підступ з боку дбайливої держави. А чи не призведе все це до чергових "Покращеннь"? Відповідь дізнаємося у дракона, точніше рік дракона розставить крапки над "і", адже 1 січня 2012 настане година відповідальності. Не для влади, звичайно ж, а для тих, кому адресований Закон України "Про внесення змін до деяких законодавчих актів України щодо порушень законодавства про захист персональних даних", тобто - для нас.

Перевірки ДСЗПД: кого, де, коли?

ДСЗПД повинна стати правоохоронцем на захист персональних даних фізичних осіб в Україні, саме тому серед інших повноважень їй доручили проведення виїзних і безвиїзних перевірок власників та розпорядників баз персональних даних. Браво! Зірвано масові акції по незаконному використанню чужої інформації, які готувалися по всій країні. Або не готувалися? У будь-якому випадку ні у бізнесу, ні в інших суб'єктів немає можливості відмовитися від подарунка. Жереб кинуто. Можна не посміхатися, не дякувати, але слід готуватися до прийому перевіряльників.

 Розуміння допустимих меж дій з боку працівників ДСЗПД - ключ до успіху. Стаття 19 Основного закону говорить, що органи державної влади, їх посадові особи зобов'язані діяти лише на підставі, в межах повноважень та у спосіб, що передбачені Конституцією та законами України. Таким чином, знаючи відповідні положення законодавства, можна убезпечити себе від незаконних дій перевіряючого органу. Так знайте, що не існує нормативно-правових актів, що регулюють порядок проведення перевірок ДСЗПД. Миттєва радість, оскільки підготовлений проект наказу Міністерства юстиції "Про затвердження Положення про порядок здійснення ДСЗПД державного контролю над дотриманням законодавства про захист персональних даних" (далі - проект Положення). У найближчому майбутньому цей документ стане нормативно-правовим актом, покликаним врегулювати порядок проведення перевірок ДСЗПД. Незважаючи на неофіційність тексту проекту Положення, він заслуговує на увагу, адже громадське обговорення і наступні фази прийняття наказу залишать все, як є. Хто б сумнівався.

Імовірно з 1 січня 2012 року всі власники або розпорядники баз персональних даних (далі - БПД) можуть стати суб'єктами перевірки. Неоднозначне формулювання: маються на увазі тільки ті, хто зареєстрував свої БПД, або ж всі, хто обробляє персональні дані в професійних цілях? Ймовірно, ДСЗПД у своїй діяльності буде використовувати негласну презумпцію про те, що будь-яка особа може бути власником і / або розпорядником БПД незалежно від факту державної реєстрації таких. Представники цього органу вже заявляли, що на кожному підприємстві є хоча б БПД працівників, а в більшості випадків - також контрагентів (клієнтів). Не варто забувати і про те, що ухилення від державної реєстрації БПД скоро стане адміністративним проступком, хоча, з іншого боку, "не спійманий - не злодій". А якщо й спійманий, то представникам ДСЗПД в суді треба буде довести факти існування БПД та її використання порушником в професійних цілях, що дуже непросто. Взагалі, нехай кожен вирішує для себе дилему реєстрації самостійно. Але пам'ятайте, що закон є закон, і покладатися на випадок - не кращий вибір.

Так що крім свят, січень ознаменується формальним початком виїзних і безвиїзних перевірок ДСЗПД. Перші будуть здійснюватися за місцезнаходженням суб'єкта перевірки та / або БПД, другі - при неможливості та / або відсутності необхідності проведення перевірки за місцезнаходженням. Логічно, хоча трохи бентежить використання оціночних понять. Напевно, вимірювач "неможливості" і "необхідності" відразу вбудований в новоспечений контролюючий орган.

Як виїзні, так і безвиїзні перевірки будуть плановими і позаплановими. Наказ про затвердження квартальних та річного планів перевірок шукайте на сайті ДСЗПД. У подібних списках будь-який суб'єкт перевірки має право розраховувати бачити себе не частіше одного разу на п'ять років. Позапланові ж візити співробітники ДСЗПД будуть проводити при наявності однієї з наступних підстав:

• про проведення перевірки отримано судове рішення чи постанову слідчого, прокурора у кримінальній справі;

• за заявою самого власника чи розпорядника БПД;

• у разі неподання протягом десяти робочих днів з дня отримання письмового запиту ДСЗПД пояснень та документального підтвердження відсутності порушень, зазначених у скарзі на суб'єкт перевірки;

• виявлено недостовірність (навіть ймовірна) у відомостях, наданих суб'єктом перевірки за письмовим запитом ДСЗПД, або отримані дані не дозволяють оцінити виконання вимоги законодавства;

• якщо суб'єкт перевірки посилається на недосліджені обставини у запереченнях до акта перевірки або скаргу на прийняте за її результатами рішення з вимогами про повний або частковий перегляд результатів перевірки або скасування відповідного рішення, і об'єктивний їх розгляд, який неможливий без проведення перевірки;

• закінчився термін виконання суб'єктом перевірки раніше виданого припису ДСЗПД про усунення порушень законодавства у сфері захисту персональних даних;

• отримано звернення органів державної влади відповідно до їх повноважень, визначених законодавством, про необхідність ініціювання ДСЗПД перевірки відповідної особи.

Багато тексту, багато підстав, а висновок один - перевіряти зможуть дуже часто. Це на тлі розпливчастих формулювань про предмет перевірки, який звучить як "перелік питань дотримання суб'єктом перевірки вимог законодавства про захист персональних даних". Стривайте, а де власне предмет? Відколи визначення меж перевірки здійснюється шляхом повної невизначеності? Автори проекту замість використання незрозумілого формулювання якраз повинні вказати цей перелік питань. В іншому випадку суди довго будуть розбиратися, що вважати питанням дотримання вимог законодавства про захист персональних даних, а що - ні.

Показово, в наказах ДСЗПД, на підставі яких будуть проводитися перевірки, також не буде конкретного переліку питань перевірки. Весело. До того ж копія цього документа при планових візитах повинна бути спрямована особі не менш ніж за 10 календарних днів до її початку. У разі непланової виїзної перевірки наказ вручатиметься під особистий підпис безпосередньо перед початком проведення перевірки разом з відповідним напрямком, а при безвиїзно - спрямовуватися суб'єкту перевірки разом із запитом ДСЗПД цінним листом з повідомленням про вручення.

Нове - добре забуте старе, або як працюватимуть "трійки"

Переміщатися групами безпечніше. До цього прислухалися і в ДСЗПД. У проекті Положення пропонують здійснювати перевірки комісіями у складі не менше трьох посадових осіб. При необхідності склад комісії може бути змінений і будь-які обмеження такої заміни відсутні, що породжує чергові підозри в майбутніх зловживаннях. Мабуть, ніхто не збирається возитися з фахівцями з "особливою думкою". Простіше замінити.

Тривалість перевірок не буде перевищувати десяти робочих днів. У разі необхідності такий термін може бути продовжений наказом ДСЗПД, але не більше ніж ще на десять робочих днів.

А от тепер саме головне! Суб'єкт перевірки повинен буде забезпечити необхідні умови для проведення перевірки, зобов'язаний на вимогу членів комісії організувати доступ до приміщень, де здійснюється обробка персональних даних, а також у разі необхідності надавати комісії письмові пояснення по обробці ним персональних даних. Більш того, при проведенні перевірки комісія має право знімати копії з будь-яких документів, необхідних для проведення перевірки і документування (фіксації) порушень, і вимагати їх посвідчення у встановленому законодавством порядку. Багато хто захоче дати доступ практично до всієї документації? Уявіть чисте полотно художника - це закінчена картина із зображенням всіх бажаючих.

Так само цікаво виглядає в проекті Положення нагадування про відповідальність, передбачену законодавством за ухилення від участі у проведенні перевірки. Бланкетна норма відсилає в нікуди, адже відповідальності за це діяння прямо не передбачено.

Кінець - справі вінець. Оформлення результатів перевірки і методи реагування

За результатами перевірки комісія у довільній формі буде складати акт. Пильнуйте, оскільки викладені в ньому порушення повинні мати посилання на конкретні пункти, статті, розділи нормативно-правових актів, які порушені, крім того, при складанні акта довільне тлумачення положень законодавства не допускається. В Україну чули про "не довільне" тлумачення положень законодавства податкової. На черзі тлумачні "перли" від ДСЗПД?

Акт повинен буде містити висновок або про відсутність порушень, або про їх виявлення. При цьому він складається у двох примірниках і підписується в останній день перевірки всіма членами комісії та суб'єктом перевірки або уповноваженою ним особою. У кожного члена комісії є право на окрему думку, а особа, щодо якого здійснювалась перевірка, може викласти зауваження щодо фактів та висновків в акті. Якщо від особи, що перевіряється акт ніхто не підписує, то про це робиться відповідний запис, який підтверджується підписами членів комісії. Залишається сподіватися, що це не стане способом відходу від зауважень перевіряючим. У будь-якому випадку копія акта повинна бути надана суб'єкту протягом п'яти днів після закінчення перевірки.

Важливо, що проект Положення передбачає заборону на розповсюдження будь-якої інформації, що стала відомою під час проведення перевірок. Акт, копії документів та інші матеріали можуть бути передані третім особам лише у випадках, передбачених законодавством. Одним з таких є проведення позапланової перевірки, призначеної на підставі звернення органу державної влади. Ініціатор може отримати всі матеріали перевірки у п'ятиденний строк після її закінчення.

Боротися з порушеннями ДСЗПД планує за допомогою приписів, які будуть складатися протягом п'яти днів з дня завершення перевірки. У цей же термін один з двох екземплярів цього документа повинен бути наданий суб'єкту перевірки чи його уповноваженій особі. Адресат зобов'язаний протягом певного терміну приписом вжити заходів щодо усунення зазначених недоліків, порушень і письмово подати ДСЗПД інформацію про це разом із підтверджуючими документами. Але що ми все про квіточки? Справжні ягідки - штрафи! Бійтеся, 1 січня 2012 ДСЗПД отримує повноваження щодо складання протоколів про адміністративні правопорушення. Напевно, найприємніша частина роботи будь-якого держоргану. "Утримання" від штрафування триває майже рік. Хіба не схоже на затишшя перед бурею? Судячи з розмірів штрафів - наслідки можуть бути ще ті.

Все погано ...

ВИСНОВОК:

Маємо те, що маємо. Проект Положення про перевірки, м'яко кажучи, сируватий, але вже зараз проглядається можливість перетворення ДСЗПД в завсідника кошмарних снів підприємців. Невизначеність предмета контролю, довгий перелік підстав для проведення позачергових перевірок, а також високі штрафи - побічні ефекти нововведень, які зведуть нанівець старання сподобатися Європі.

Невідомо, персональні дані скількох громадян захистять комісії-"трійки". Ясно одне, що робота бізнесу точно не спроститься, адже повноваження ДСЗПД можна буде використовувати як новий, більш "елегантний" інструмент тиску з боку держави (без прямого втручання правоохоронних органів).

За матеріалами: ЮРИСТ & ЗАКОН № 51, 27 грудня 2011 | Володимир ДЗЬОБАН