Соответствующие положения Кодекса Украины об административных правонарушениях вступают в силу с 1 января 2012 года и предусматривают немалые штрафные санкции за уклонение от регистрации баз персональных данных и нарушение порядка их ведения. Кроме этого, предусмотрена также уголовная ответственность за нарушение неприкосновенности частной жизни в виде незаконного сбора, использования, уничтожения или распространение конфиденциальной информации о лице.

Закон Украины «О защите персональных данных», вступивший в силу 1 января 2011 года, предусматривает регистрацию в Государственной службе Украины по вопросам защиты персональных данных тех баз данных о гражданах, которые формируются в процессе деятельности юридических лиц или предпринимателей в электронной форме или в форме картотек. В отношении религиозных организаций, прежде всего речь идет о базах персональных данных наемных работников. Для тех религиозных общин, в которых уставом предусмотрено фиксированное членство, – также актуален вопрос регистрации базы данных ее членов в случае наличия такой базы (статья 7).

Однако Закон имеет много проблемных положений, в том числе в сфере их практической реализации. Одной из проблем является слишком широкое применение Закона. Например, контактные данные контрагентов или благотворителей, указанные на их визитках, могут считаться базой данных в форме картотеки, которой служит визитница. Или подобно перечень лиц с должностями и почтовыми адресами, которых религиозная организация планирует поздравить на Рождество, если эти адреса получены не из общедоступных источников. Однако понятия этих источников Закон не растолковывает, поэтому не известно, можно ли к таким источникам отнести Интернет, те же визитки или какие-либо справочники.

В этом контексте стоит обратить внимание на несколько практических советов и разъяснений.

1. Регистрации подлежат не сами персональные данные, а только их описание – то есть в Госслужбу направляется уведомление о факте сбора определенных данных для цели, определенной законами (например, Кодексом законов о труде), уставом или другими документами организации.

2. Уведомление не осуществляется, если персональные данные собираются из общедоступных источников (статья 12). Но, к примеру, можно ли считать Интернет или визитку общедоступным источником?

3. Сбору и обработке таких данных должно предшествовать документированное согласие со стороны лица. Если данные были уже собраны до вступления в силу Закона, то граждане (в том числе наемные работники) под подпись информируются о порядке использования данных о них.

4. Госслужба и ее органы имеют право составлять протоколы об административном нарушении по поводу уклонения от регистрации или по поводу нарушения порядка ведения баз данных. Однако само решение о взыскании штрафа принимается исключительно судом после соответствующего судебного рассмотрения с участием заинтересованных лиц.

5. Административные протоколы составляются на основании письменных жалоб граждан, которые заявляют о нарушении их права на защиту персональных данных с надлежащим документальным подтверждением.

Стоит отметить, что Госслужба на собственном сайте утверждает, что такие протоколы будут составляться лишь после игнорирования предварительно выданного предписания об устранении нарушений. Но проблема в том, что ни в законе, ни в подзаконных актах не определен четкий порядок проведения соответствующих проверок.

6. Кроме этого, поводом для протестов является также нечеткие и широкие полномочия Госслужбы по вопросам защиты персональных данных. Фактически на основании жалобы любого гражданина, чиновники могут организовать проверку и требовать доступ к базам персональных данных и к помещениям, где они хранятся. Безусловно, у правозащитников и самих верующих возникают оправданное беспокойство: не будут ли такие проверки использоваться как способ давления на ту или иную организацию.

* * *