Подарки.

Да, подарки. Уважаемые, получайте новый презент в виде проверок от Государственной службы по вопросам защиты персональных данных (далее - ГСЗПД). Для тех, кто не в курсе или забыл, нелишним будет напомнить, что с 1 января 2011 года вступил в действие Закон Украины "О защите персональных данных". Вступил и вступил, тысячи их. На самом же деле этот нормативный акт стал основой для имплементации в Украине положений Конвенции Совета Европы "О защите физических лиц при автоматизированной обработке персональных данных". Главной целью подписавшихся сторон является защита граждан от незаконного использования их персональной информации. Благородно. Украина тоже заботится о своих гражданах: Президент Указом от 6 апреля 2011 года № 390/2011 утвердил Положение о ГСЗПД, принят ряд других документов. Отлично, наконец-то заживем по-человечески! Но многие почему-то заподозрили подвох со стороны заботливого государства. А не приведет ли все это к очередным "покращенням"? Ответ узнаем у дракона, точнее год дракона расставит точки над "і", ведь 1 января 2012 года наступит час ответственности. Не для власти, конечно же, а для тех, кому адресован Закон Украины "О внесении изменений в некоторые законодательные акты Украины относительно нарушений законодательства о защите персональных данных", то есть - для нас.

Проверки ГСЗПД: кого, где, когда?

ГСЗПД должна стать стражем на защите персональных данных физических лиц в Украине, именно поэтому среди прочих полномочий ей поручили проведение выездных и безвыездных проверок владельцев и распорядителей баз персональных данных. Браво! Сорваны массовые акции по незаконному использованию чужой информации, которые готовились по всей стране. Или не готовились? В любом случае ни у бизнеса, ни у других субъектов нет возможности отказаться от подарка. Жребий брошен. Можно не улыбаться, не благодарить, но следует готовиться к приему проверяющих.

Понимание допустимых пределов действий со стороны работников ГСЗПД - ключ к успеху. Статья 19 Основного закона гласит, что органы государственной власти, их должностные лица обязаны действовать лишь на основании, в пределах полномочий и способом, которые предусмотрены Конституцией и законами Украины. Таким образом, зная соответствующие положения законодательства, можно обезопасить себя от незаконных действий проверяющего органа. Так знайте, что не существует нормативно-правовых актов, регулирующих порядок проведения проверок ГСЗПД. Сиюминутная радость, поскольку подготовлен проект приказа Министерства юстиции "Об утверждении Положения о порядке осуществления ГСЗПД государственного контроля над соблюдением законодательства о защите персональных данных" (далее - проект Положения). В ближайшем будущем этот документ станет нормативно-правовым актом, призванным урегулировать порядок проведения проверок ГСЗПД. Невзирая на неофициальность текста проекта Положения, он заслуживает внимания, ведь общественное обсуждение и последующие фазы принятия приказа оставят все, как есть. Кто бы сомневался.

Предположительно с 1 января 2012 года все владельцы или распорядители баз персональных данных (дальше - БПД) могут стать субъектами проверки. Неоднозначная формулировка: имеются в виду только те, кто зарегистрировал свои БПД, или же все, кто обрабатывает персональные данные в профессиональных целях? Вероятно, ГСЗПД в своей деятельности будет использовать негласную презумпцию о том, что любое лицо может быть владельцем и/или распорядителем БПД независимо от факта государственной регистрации таковых. Представители этого органа уже заявляли, что на каждом предприятии есть хотя бы БПД работников, а в большинстве случаев - также контрагентов (клиентов). Не стоит забывать и о том, что уклонение от государственной регистрации БПД скоро станет административным проступком, хотя, с другой стороны, "не пойман - не вор". А если и пойман, то представителям ГСЗПД в суде надо будет доказать факты существования БПД и ее использования нарушителем в профессиональных целях, что весьма непросто. Вообще, пускай каждый решает для себя дилемму регистрации самостоятельно. Но помните, что закон есть закон, и полагаться на случай - не лучший выбор.

Так что кроме праздников, январь ознаменуется формальным началом выездных и безвыездных проверок ГСЗПД. Первые будут осуществляться по местонахождению субъекта проверки и/или БПД, вторые - при невозможности и/или отсутствии необходимости проведения проверки по местонахождению. Логично, хотя немного смущает использование оценочных понятий. Наверное, измеритель "невозможности" и "необходимости" сразу встроен в новоиспеченный контролирующий орган.

Как выездные, так и безвыездные проверки будут плановыми и внеплановыми. Приказ об утверждении квартальных и годичного планов проверок ищите на сайте ГСЗПД. В подобных списках любой субъект проверки вправе рассчитывать видеть себя не чаще одного раза в пять лет. Внеплановые же визиты сотрудники ГСЗПД будут проводить при наличии одного из следующих оснований:

• о проведении проверки получено судебное решение или постановление следователя, прокурора по уголовному делу;

• по заявлению самого владельца или распорядителя БПД;

• в случае непредставления на протяжении десяти рабочих дней со дня получения письменного запроса ГСЗПД объяснений и документального подтверждения отсутствия нарушений, указанных в жалобе на субъект проверки;

• выявлена недостоверность (даже вероятная) в сведениях, предоставленных субъектом проверки по письменному запросу ГСЗПД, или полученные данные не позволяют оценить исполнение требования законодательства;

• если субъект проверки ссылается на неисследованные обстоятельства в возражениях к акту проверки или жалобе на принятое по ее результатам решение с требованиями о полном или частичном пересмотре результатов проверки или отмены соответствующего решения, и объективное их рассмотрение невозможно без проведения проверки;

• закончился срок исполнения субъектом проверки ранее выданного предписания ГСЗПД об устранении нарушений законодательства в сфере защиты персональных данных;

• получено обращение органов государственной власти в соответствии с их полномочиями, определенными законодательством, о необходимости инициирования ГСЗПД проверки соответствующего лица.

Много текста, много оснований, а вывод один - проверять смогут очень часто. Это на фоне расплывчатых формулировок о предмете проверки, который звучит как "перечень вопросов соблюдения субъектом проверки требований законодательства о защите персональных данных". Постойте, а где, собственно, предмет? С каких пор определение границ проверки осуществляется путем полной неопределенности? Авторы проекта вместо использования непонятной формулировки как раз должны указать этот перечень вопросов. В ином случае суды долго будут разбираться, что считать вопросом соблюдения требований законодательства о защите персональных данных, а что - нет.

Показательно, в приказах ГСЗПД, на основании которых будут проводиться проверки, также не будет конкретного перечня вопросов проверки. Весело. К тому же копия этого документа при плановых визитах должна быть направлена лицу не менее чем за 10 календарных дней до ее начала. В случае неплановой выездной проверки приказ будет вручаться под личную подпись непосредственно перед началом проведения проверки вместе с соответствующим направлением, а при безвыездной - направляться субъекту проверки вместе с запросом ГСЗПД ценным письмом с уведомлением о вручении.

Новое - хорошо забытое старое, или как будут работать "тройки"

Перемещаться группами безопаснее. К этому прислушались и в ГСЗПД. В проекте Положения предлагают осуществлять проверки комиссиями в составе не менее трех должностных лиц. При необходимости состав комиссии может быть изменен и любые ограничения такой замены отсутствуют, что порождает очередные подозрения в будущих злоупотреблениях. Видать, никто не собирается возиться со специалистами с "особым мнением". Проще заменить.

Продолжительность проверок не будет превышать десяти рабочих дней. В случае необходимости такой срок может быть продлен приказом ГСЗПД, но не более чем еще на десять рабочих дней.

А вот теперь самое главное! Субъект проверки должен будет обеспечить необходимые условия для проведения проверки, обязан по требованию членов комиссии организовать доступ в помещения, где осуществляется обработка персональных данных, а также в случае необходимости предоставлять комиссии письменные объяснения по обработке им персональных данных. Более того, при проведении проверки комиссия вправе снимать копии с любых документов, необходимых для проведения проверки и документирования (фиксации) нарушений, и требовать их удостоверения в установленном законодательством порядке. Многие захотят дать доступ практически ко всей документации? Представьте чистый холст художника - это оконченная картина с изображением всех желающих.

Так же интересно выглядит в проекте Положения напоминание об ответственности, предусмотренной законодательством за уклонение от участия в проведении проверки. Бланкетная норма отсылает в никуда, ведь ответственности за это деяние прямо не предусмотрено.

Конец - делу венец. Оформление результатов проверки и методы реагирования

По результатам проверки комиссия в произвольной форме будет составлять акт. Бдите, поскольку изложенные в нем нарушения должны иметь ссылки на конкретные пункты, статьи, разделы нормативно-правовых актов, которые нарушены, кроме того, при составлении акта произвольное толкование положений законодательства не допускается. В Украине наслышаны о "не произвольном" толковании положений законодательства налоговой. На очереди толковые "перлы" от ГСЗПД?

Акт должен будет содержать вывод или об отсутствии нарушений, или об их выявлении. При этом он составляется в двух экземплярах и подписывается в последний день проверки всеми членами комиссии и субъектом проверки или уполномоченным им лицом. У каждого члена комиссии есть право на особое мнение, а лицо, в отношении которого осуществлялась проверка, может изложить замечания относительно фактов и выводов в акте. Если от проверяемого лица акт никто не подписывает, то об этом делается соответствующая запись, которая подтверждается подписями членов комиссии. Остается надеяться, что это не станет способом ухода от замечаний проверяемого. В любом случае, копия акта должна быть предоставлена субъекту на протяжении пяти дней после окончания проверки.

Важно, что проект Положения предусматривает запрет на распространение любой информации, ставшей известной при проведении проверок. Акт, копии документов и другие материалы могут быть переданы третьим лицам только в случаях, предусмотренных законодательством. Одним из таких является проведение внеплановой проверки, назначенной на основании обращения органа государственной власти. Инициатор может получить все материалы проверки в пятидневный срок после ее окончания.

Бороться с нарушениями ГСЗПД планирует с помощью предписаний, которые будут составляться на протяжении пяти дней со дня завершения проверки. В этот же срок один из двух экземпляров этого документа должен быть предоставлен субъекту проверки или его уполномоченному лицу. Адресат обязан в течение определенного предписанием срока принять меры по устранению указанных недостатков, нарушений и письменно представить ГСЗПД информацию об этом вместе с подтверждающими документами. Но что мы все о цветочках? Настоящие ягодки - штрафы! Бойтесь, 1 января 2012 года ГСЗПД получает полномочия по составлению протоколов об административных правонарушениях. Наверное, самая приятная часть работы любого госоргана. "Удержание" от штрафования продолжается почти год. Разве не похоже на затишье перед бурей? Судя по размерам штрафов - последствия могут быть еще те.

Все плохо...

Заключение

Имеем то, что имеем. Проект Положения о проверках, мягко говоря, сыроват, но уже сейчас просматривается возможность превращения ГСЗПД в завсегдатая кошмарных снов предпринимателей. Неопределенность предмета контроля, длинный перечень оснований для проведения внеочередных проверок, а также высокие штрафы - побочные эффекты нововведений, которые сведут на нет старания понравиться Европе.

Неизвестно, персональные данные скольких граждан защитят комиссии-"тройки". Ясно одно, что работа бизнеса точно не упростится, ведь полномочия ГСЗПД можно будет использовать как новый, более "элегантный" инструмент давления со стороны государства (без прямого вмешательства правоохранительных органов).

"ЮРИСТ & ЗАКОН" от 27.12.2011, № 51