В связи с тем, что с 1 января вступают в силу нормы законодательства, предусматривающие ответственность за невыполнение требований закона «О защите персональных данных», клиенты все чаще обращаются с вопросами относительно необходимости регистрации своих «баз данных». Некоторые комментарии в прессе вызвали шквал вопросов о регистрации «баз персональных данных» сотрудников предприятия (в том числе в системе 1С). Актуальными являются и вопросы регистрации баз данных о контрагентах предприятия.
На сегодняшний день у юристов-практиков не существует единой позиции по вопросу регистрации баз персональных данных. Исходя из позиции некоторых специалистов, базой персональных данных может считаться и записная книга мобильного телефона с номерами и ФИО абонентов, если при этом такие сведения используются в профессиональных целях. Однако мы считаем, что законодатель, принимая такой закон, не ставил перед собой цель создания дополнительных обременений бизнесу. Идеей закона был контроль над использованием баз данных определенными субъектами в их хозяйственной деятельности. Поэтому, к вопросу регистрации баз данных следует подходить с позиции здравого смысла.
По нашему мнению, базу данных о работниках в 1С регистрировать не нужно.
В данной статье мы не будем подробно раскрывать цель принятия закона о защите персональных данных, кому адресованы нормы закона, какова европейская и мировая практика в данном вопросе. Отметим лишь, что некоторые общественные организации и специалисты направили субъектам законодательной инициативы обращения относительно внесения изменений в закон, текущая редакция которого является следствием непрофессионализма авторов. Ниже мы прокомментируем только ряд норм закона, которыми можно оперировать при принятии решения относительно регистрации баз данных.
В соответствии с требованиями Закона Украины «О защите персональных данных» база персональных данных подлежит государственной регистрации путем внесения соответствующей записи уполномоченным государственным органом по вопросам защиты персональных данных в Государственный реестр баз персональных данных.
Базой персональных данных является именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных. Исходя из определения, база данных должна быть именованной, т.е. иметь определенное имя, которое бы позволяло ее идентифицировать. Следующим важным признаком базы данных является то, что она должна быть упорядоченной совокупностью данных. Т.е. данные в базе должны быть логически размещены и представлять собой определенную систему.
База данных, не соответствующая указанным выше признакам (именованная упорядоченная совокупность данных о сотрудниках), не подлежит регистрации. Данные в базе персональных данных должны быть логически связаны между собой. Так база данных о сотрудниках в 1С не является базой персональных данных, а является инструментом (программой) обработки данных, в т.ч. и о работниках предприятия.
Кроме того, ключевым в данном случае является вопрос о цели обработки персональных данных. А именно, согласно Закону Украины «О защите персональных данных», цель обработки персональных данных должна быть сформулирована в законах, иных нормативно-правовых актах, положениях, учредительных или иных документах, которые регулируют деятельность владельца базы персональных данных, и соответствовать законодательству о защите персональных данных. Таким образом, если цель обработки персональных данных не сформулирована в нормативно-правовых актах, не закреплена в учредительных документах предприятия, то и требования о регистрации на такую информацию не распространяется.