Базы персональных данных: ждать ли проверяющих
Госслужба по защите персональных данных наконец-то получила утвержденный Минюстом Порядок осуществления госконтроля. Впрочем, его отсутствие не мешало ей проводить проверки и раньше. Уже в IV квартале 2011 года Госслужба работала по утвержденному и размещенному на ее сайте (http://zpd.gov.ua) плану проведения проверок. Правда, в него вошло всего 9 субъектов хозяйствования. В плане проведения проверок на III квартал 2012 года и того меньше — лишь четыре юрлица, три из которых — коллекторские фирмы. Что касается внеплановых проверок, то пока субъектов хозяйствования, в отношении которых таковые были проведены, можно пересчитать по пальцам одной руки.
Объяснить такую низкую активность Госслужбы в проведении проверок можно сразу несколькими факторами: во-первых, у Госслужбы все еще нет территориальных органов, во-вторых, ее основные усилия направлены на обработку заявлений о регистрации баз персональных данных, основной поток которых пришелся на конец 2011 года и с которым до сих пор Госслужба справиться не может. На данный момент продолжают обрабатываться заявления, поступившие в Госслужбу в декабре 2011 года — январе 2012 года; при этом, к примеру, в первом квартале 2012 года было зарегистрировано 6427 баз персональных данных, а к числу необработанных заявлений за первый же квартал прибавилось еще 859765 заявлений. Как видим, в нормальный ритм работы Госслужба войдет еще нескоро.
Безусловно, неким сдерживающим обстоятельством был и факт отсутствия утвержденного Порядка проведения проверок, а также возможности применения санкций, если по результатам контрольного мероприятия выявлены нарушения действующего законодательства. Напомним, соответствующие админштрафы, размер которых в отдельных случаях может достигать 17000 грн, вступили в действие 1 июля 2012 года (подробно о базах персональных данных, порядке их регистрации и возможной ответственности, газета «Налоги и бухгалтерский учет» освещала в выпуске № 48 от 14.06.2012 г., а также на страницах нашего портала). Вынуждены оговориться: до проекта закона, которым Кабмин предлагал отменить необходимость регистрации баз персональных данных, связанных с трудовыми отношениями (фактически речь идет о БПД «Работники», которая, по мнению самой Госслужбы, есть у каждого субъекта хозяйствования с наемными сотрудниками), у парламентариев, которые ушли на каникулы до 4 сентября, дело так и не дошло.
В отношении самого Порядка проведения проверок следует обратить внимание на такие моменты:
1. Судя по всему, Минюст при его утверждении исходил из того, что Закон Украины «Об основных принципах государственного надзора (контроля) в сфере хозяйственной деятельности» от 05.04.2007 г. № 877-V на деятельность Госслужбы по защите персональных данных распространяться не должен. Как можно предположить, аргумент традиционный — вопросы защиты персональных данных с хозяйственной деятельностью не связаны, а потому и в сферу действия Закона не попадают.
2. Виды проверок, проводимых Госслужбой по защите персональных данных, привычные — плановые (выездные и безвыездные) и внеплановые (которые также могут осуществляться как с выездом по местонахождению БПД, так и без него). Непривычно другое: и о плановых, и о внеплановых проверках Госслужба обязана заблаговременно, а именно за 10 календарных дней, сообщить проверяемому субъекту путем направления уведомления о проверке с копией приказа о ее проведении. Кроме того, субъект хозяйствования может узнать о том, что его ждет плановый либо внеплановый визит Госслужбы по защите персональных данных (и о том, что стало для этого основанием), ознакомившись с размещаемыми на сайте Госслужбы планами проверок на квартал, а также приказами о проведении внеплановых проверок.
3. Проверки Госслужбы могут проводиться в том числе по месту проживания физических лиц (например, если оно было указано в заявлении о регистрации базы персональных данных в качестве места ее нахождения).
4. Срок проведения проверки (как плановой, так и внеплановой) не может превышать 10 рабочих дней с возможностью продления еще не более чем на 5 рабочих дней. В этой части наблюдаются сразу два противоречия комментируемого Порядка Закону № 877, который, во-первых, предусматривает сокращенную длительность проверок для субъектов малого предпринимательства (до 5 рабочих дней плановые проверки, до двух — внеплановые) и, во-вторых, запрещает продлевать внеплановые.
5. Наиболее неприятно выглядят полномочия, названные в пунктах 2.12 и 2.13 комментируемого Порядка. Речь в них идет о праве проверяющих получить «удостоверенные в установленном законодательством порядке копии документов (выписки из документов), справки, а также письменные пояснения, заверенные подписями руководителя либо лица, выполняющего его обязанности, или же руководителей соответствующих структурных подразделений предприятия», о праве доступа к местам хранения информации, в том числе к компьютерам (для ознакомления с электронными документами с экрана компьютера), магнитным носителям информации, возможности проверяющихполучать копии такой информации, а также о праве направлять субъектам хозяйствования письменный запрос о предоставлении документов в срок, указанный в запросе (законодательно такой срок не установлен). Причем перечень документов, которые могут истребовать проверяющие, по задумке, должен был быть ограничен документами, названными в п. 2.10. Но составители Порядка, видимо, тоже это понимая, решили завершить его фразой «другая информация, дающая возможность установить наличие либо отсутствие нарушений законодательства о защите персональных данных», развязывающей руки проверяющим.
Безусловно, каждая конкретная ситуация требует индивидуального подхода. Однако если требование о предоставлении тех или иных документов покажется субъекту хозяйствования неприемлемым, он может отказать представителям Госслужбы в его удовлетворении (рекомендуем делать это в письменной форме с пояснением причин отказа), учитывая, что, во-первых, согласно Закону Украины «О защите персональных данных» от 01.06.2010 г. № 2297-VI доступ к информации, связанной с обработкой персональных данных, и к помещениям, где осуществляется такая обработка, должен осуществляться согласно закону (т. е. такой порядок должен быть установлен на уровне закона, а не приказа Минюста), во-вторых, действующее законодательство не предусматривает штрафных санкций ни для самого предприятия, ни для его должностных лиц, ни для физлиц-предпринимателей в случае отказа от предоставления документов, испрашиваемых Госслужбой.
В случае получения проверяющими такого отказа последующее развитие событий может быть следующим: 1) субъект, в отношении которого проводится проверка, может получить письменное предписание об устранении требований законодательства о защите персональных данных в виде непредоставления истребуемой информации (иначе — штраф на должностных лиц либо физлицо-предпринимателя в размере от 100 до 200 не облагаемых налогомминимумов доходов граждан, т. е. от 1700 до 3400 грн), либо 2) Госслужба обратится в суд с требованием обязать предоставить ей необходимую информацию. Впрочем, в удовлетворении подобных требований, если они и будут поступать, суды, как можно предположить, будут отказывать, тем более что самим Порядком проведения проверок предусмотрен способ реагирования на отказ предоставить необходимые документы. Такой отказ служит основанием для проведения внеплановой проверки. Каждый новый отказ — новое основание для новой внеплановой проверки.
Впрочем, надеемся, что с необходимостью продумывать варианты реагирования на подобные требования Госслужбы по защите персональных данных субъекты хозяйствования столкнутся еще нескоро.
