Лист Міністерства юстиції України від 08.11.2011 р. №17304-0-33-11/61
Ситуація з реєстрацією баз персональних даних, про яку ми багато писали в 2011 р.1 і збираємося писати й надалі, оскільки ця тема не втрачає своєї актуальності, тим часом обростає і новими нормативними актами, і роз'ясненнями контролюючих органів.
1 У зв'язку з тим, що відповідно до Закону України від 02.06.2011 р. №3454-VI «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» з 01.01.2012 р. за ухилення від реєстрації передбачається величезний штраф.
Оскільки проектом Закону України про внесення змін до Прикінцевих положень Закону №3454 передбачається не скасування штрафних санкцій за порушення у сфері захисту персональних даних, а лише перенесення їх на 01.07.2012 р.
Незважаючи на явну недоопрацьованість Закону №22971, Мін'юст підтримав позицію Служби захисту персональних даних з багатьох питань.
Так, у коментованому листі Мін'юст повідомив, що з його точки зору картотека з інформацією про найманих працівників фізичної особи — підприємця є такою самою базою персональних даних, як і в юросіб. Оскільки Закон №2297 не встановлює окремих правил визначення того, що таке «база персональних даних» у фізосіб чи юросіб, а також залежно від системи оподаткування, на якій вони перебувають. Правила ці єдині для всіх, однакова й відповідальність за порушення цих правил, оскільки чинним законодавством не встановлено звільнення від такої відповідальності або менші розміри санкцій для фізосіб-підприємців.
У чому погляди Мін'юсту і Служби захисту персональних даних (швидше за все — поки що) розійшлися, так це в тому, чи є базою персональних даних інформація про одну фізособу. До публікації коментованого листа Служба захисту персональних даних в усних консультаціях вимагала реєстрації бази персональних даних навіть у разі, якщо її володілець має персональні дані тільки про одну фізособу. Натомість Мін'юст зайняв протилежну позицію, посилаючись на ст. 2 Закону №2297. Проте зазначив при цьому, що, хоча бази персональних даних немає і реєструвати її не треба, особа, що володіє цими персональними даними, зобов'язана вживати заходів щодо їх збереження, які визначені Законом №2297 і Законом №26572.
1 Закон України від 01.06.2010 р. №2297-VI «Про захист персональних даних».
2 Закон України від 02.10.92 р. №2657-ХII «Про інформацію».
Чиє трактування Закону №2297 є правильнішим (точніше, яке з них використовуватиметься при перевірках, оскільки володільців баз персональних даних значно більше цікавить відповідь саме на це запитання), покаже час. Ми ж сподіваємося, що законодавці не зволікатимуть з обіцяними поправками до Закону №2297 і до 01.07.2012 р. вже буде зовсім зрозуміло, як і що слід реєструвати, зберігати та захищати.
Ганна БИКОВА, «Дебет-Кредит»