Аналитика

Как известно, в начале прошлого года вступил в силу Закон Украины «О защите персональных данных» (далее – «Закон о ПД»), который и сегодня продолжает активно обсуждаться в бизнес среде. Закон вызвал немало вопросов, многие из которых так и остались открытыми. Одним из «темных пятен» закона является вопрос соотношения его положений с требованиями по проведению финансового мониторинга согласно Закону Украины «О предотвращении и противодействии легализации (отмыванию) доходов, полученных преступным путем, или финансированию терроризма» (далее – «Закон о ФМ»). Этот вопрос уже поднимался в прессе ранее, но ввиду предстоящего (с 1 июля 2012 года) вступления в силу норм, устанавливающих значительную ответственность за несоблюдение Закона о ПД, полагаем актуально обратиться к нему еще раз.

Идентификация клиента – какие данные считать персональными

В ходе первичного финмониторинга его субъект должен, среди прочего, осуществить идентификацию своего клиента, а именно, собрать определенный объем данных о клиенте, и в дальнейшем периодически их обновлять. Минимальный объем данных установлен законом (ч. 11 и 12 ст. 9 Закона о ФМ). Идентифицировать необходимо как физических, так и юридических лиц.

С квалификацией данных физлиц-клиентов, собранных в порядке идентификации последних, проблем не возникает – такие данные являются персональными «по определению», поскольку согласно ст. 2 Закона о ПД персональные данные (далее – «ПД») – это ведомости или совокупность ведомостей о физическом лице, которое идентифицировано или может быть конкретно идентифицировано.

Что же касается идентификации юридических лиц, то здесь тоже могут «обнаружиться» персональные данные. При идентификации юрлиц-клиентов требуется собрать информацию о ряде физических лиц, имеющих определенное отношение к такому юридическому лицу. Согласно Закону о ФМ информация о клиентах-юрлицах должна, среди прочего, включать ведомости об органах управления юридических лиц-клиентов и составе таких органов; данные, идентифицирующие лиц, имеющих право распоряжаться счетами и имуществом юридических лиц; ведомости о собственниках существенного участия в юридических лицах; ведомости о контролерах (контролирующих лицах) юридического лица. Государственная служба по вопросам защиты персональных данных (далее – «Служба») в письме от 06.12.2011 г. №09/1312-11 разъясняет, что персональными данными считается любая информация, по которой физическое лицо может быть идентифицировано непосредственно или опосредованно, среди прочего, имя/фамилия и место работы. Поэтому представляется значительным риск, что данные о физлицах, собранные для идентификации клиента-юрлица, будут признаны достаточными для идентификации самих физлиц, и, соответственно, будут считаться персональными.

Очевидно, что такой подход многократно увеличивает объем работы субъекта ФМ по выявлению персональных данных и соблюдению связанных с ними формальностей.

«Работают» ли при финмониторинге ограничения, связанные с персональными данными?

Совокупность персональных данных, в том числе собранных в ходе финмониторинга, образует базу персональных данных («БПД»), как определено в ст. 2 Закона о ПД. Обработка (в частности, сбор, хранение, изменение, использование и распространение) персональных данных в рамках БПД требует соблюдения ряда формальностей, таких, например, как обязательная регистрация такой базы в Службе (ст. 9 Закона о ПД). Кроме регистрации базы, Закон о ПД предусматривает также и другие формальности для обработки персональных данных, обусловливающие обязанности для владельцев БПД. Среди них можно выделить:

• необходимость получить согласие лица на обработку данных о нем (ч. 5 и 6 ст. 6, ч. 1 ст. 11 Закона о ПД);
• обязанность в письменной форме уведомить лицо о его правах относительно персональных данных, цели сбора последних и лицах, которым передаются данные (ч. 2 ст. 12 Закона о ПД);
• обязанность (вытекающая из соответствующих прав субъекта персональных данных) предоставлять лицу по его запросу персональные данные о нем, хранящиеся в БПД, а также информацию об условиях предоставления доступа к данным, в частности информацию о третьих лицах, которым передаются его персональные данные (пп. 2-4 ч. 2 ст. 8 Закона о ПД).

Между тем, выполнение таких обязанностей не только налагает дополнительное организационное бремя на соответствующего владельца БПД, но еще и подвергает его риску нарушить нормы другого закона (Закона о ФМ) в случае, если персональные данные собираются им для целей финмониторинга. Так, согласно п. 14 ч. 2 ст. 6 Закона о ФМ субъект ФМ обязан принимать меры по предотвращению разглашения (в частности проверяемым лицам) информации, которая подается Госфинмониторингу, а также другой информации по вопросам финансового мониторинга (в том числе о факте предоставления такой информации Госфинмониторингу или получения запроса от последнего). Более того, за разглашение в любом виде информации, которая предоставляется Госфинмониторингу, или факта ее предоставления (получения) предусмотрена административная, а, в определенных случаях, и уголовная ответственность.

Очевидно, что в такой ситуации нормы Законов о ПД и ФМ не могут применяться «в отрыве» друг от друга, и должны быть соотнесены между собой с целью выработки правомерной модели поведения.

Ч. 1 ст. 11 Закона о ПД устанавливает, что кроме согласия лица, основанием для права на использование ПД может являться «разрешение на обработку ПД, предоставленное владельцу БПД в соответствии с законом исключительно для осуществления его полномочий». Формулировка довольно расплывчата и не раскрывает природу такого «разрешения». Вместе с тем, не видим оснований не рассматривать в качестве «разрешения» предписание, которое содержится непосредственно в законе. Таким законом может считаться и Закон о ФМ в части установления обязанности идентифицировать клиентов для целей финмониторинга, которая (обязанность) в законе не обусловлена необходимостью получать от них на это согласие. Соответственно, есть аргументы полагать, что согласие физического лица на обработку его персональных данных в соответствующей БПД не требуется, если такая обработка осуществляется субъектом ФМ в целях финмониторинга на основании Закона о ФМ.

Стоит упомянуть и об исключениях относительно других формальностей, связанных с обработкой ПД. Согласно ст. 25 Закона о ПД ограничение прав, предусмотренных ст.ст. 8, 11 и 17 Закона о ПД, осуществляется лишь в интересах, в частности, национальной безопасности, экономического благосостояния и прав человека, а также с целью борьбы с преступностью. В то же время в преамбуле Закона о ФМ установлено, что он направлен на защиту прав и законных интересов граждан, общества и государства путем определения правового механизма противодействия легализации (отмыванию) доходов, полученных преступным путем (что является преступлением по ст. 209 Уголовного кодекса Украины). Исполнение Закона о ФМ, следует полагать, служит тем же целям, что делает возможным ограничение прав, предусмотренных ст. 8, 11 и 17 Закона о ПД, среди прочего, права физического лица-субъекта ПД:

• знать о местонахождении БПД с данными о нем, назначении и наименовании такой БПД;
• получать информацию о предоставлении доступа к ПД, в частности, информацию о третьих лицах, которым передаются его ПД;
• получать ответ хранятся ли его ПД в соответствующей БПД и получать содержание таких ПД;
• получать доступ к своим ПД, хранящимся в соответствующей БПД.

Тем не менее, снова вынуждены констатировать очевидную скупость и размытость формулировок закона относительно «ограничения прав». Закон ни словом не упоминает о механизме такого ограничения (в частности, требуется ли специальная оговорка в законодательстве для каждого случая ограничения или можно ограничивать «на свое усмотрение», исходя из общих признаков, указанных в ст. 25 Закона о ПД) и не определяет субъектов, уполномоченных его осуществлять. Тем самым создается благодатная почва для неоднозначных трактовок нормы и риски для владельцев БПД, желающих применить ограничение. Склонны все же полагать, что несовершенная редакция нормы не препятствует возможности ее практического применения. Другими словами, с непредвзятой точки зрения, этой нормы (совокупно с нормами Закона о ФМ) достаточно для того, чтобы ограничить соответствующие права физических лиц-субъектов ПД при проведении финмониторинга. Это необходимо и для того, чтобы избежать недопустимой ситуации, когда любой из двух возможных вариантов поведения может быть расценен как «нарушение закона» (либо Закона о ПД, либо Закона о ФМ).

В то же время, не видим достаточных законных оснований для освобождения владельца БПД, сформированной для целей финмониторинга, от обязанности осуществить регистрацию такой БПД в Службе (ст. 9 Закона о ПД не содержит каких-либо исключений из общего правила).

Предсказуемо, что точка зрения Службы по рассмотренным вопросам может отличаться от вышеописанной (быть более консервативной относительно соблюдения обязанностей, предусмотренных Законом о ПД), что только подтвердит несогласованность указанных законов и неудовлетворительное состояние правового регулирования вопроса на сегодня, равно как и связанные с этим риски.

Концептуальные дефекты

Рассматривая проблемы, связанные с применением Законов о ПД и ФМ, нельзя обойти вниманием вопрос целесообразности и разумности ограничений, установленных как Законом о ПД, так и Законом о ФМ (с учетом значительного расширения круга субъектов ФМ в соответствии с новой редакцией Закона о ФМ, принятой в 2010 году, в результате чего в числе таких субъектов с удивлением обнаружили себя, среди прочих: юридические фирмы, адвокаты, аудиторы, нотариусы, риэлторы и даже розничные торговцы). Помимо отмеченных уже дефектов законодательной техники, оба закона имеют и сугубо концептуальные недостатки, несмотря на то, что оба они приняты с задекларированной целью адаптации украинского законодательства к общеевропейскому (как обычно, «подвела» реализация).

С одной стороны, имеем Закон о ПД, предписывающий «по общему правилу» соблюдать множество формальностей при работе с персональными данными и при этом, не дающий ни четких критериев для отмежевания персональных данных от «неперсональных» (недостаточных для идентификации), ни четкого понимания сути предусмотренных исключений из такого «общего правила». С другой стороны, есть Закон о ФМ, который обязывает многочисленных субъектов «мониторить» своих клиентов – конечно же, втайне от самих клиентов, но при этом не коррелирует свои требования с правовой системой страны с тем, чтобы исключить для финмониторинга действие обязанностей по раскрытию клиенту соответствующей информации, если предусмотрено другими законами (тем же Законом о ПД). При этом каждый из законов, разумеется, «вооружен» жесткими санкциями за нарушение его норм.

Состав информации, которую обязаны собирать субъекты ФМ при идентификации клиентов, также вызывает недоумение. Значительная часть такой информации находится в открытом доступе (в Едином государственном реестре юрлиц и физлиц-предпринимателей), а потому очевидна бесполезность ее принудительного сбора (дублирования) субъектом ФМ, да еще и с необходимостью выполнять формальности, связанные с персональными данными (в частности, регистрацией БПД).

В итоге, налицо – совершенно несбалансированная, «обрывочная» политика государства по администрированию бизнеса, где каждая «административная инициатива» живет собственной жизнью. Очевидно, что целью является не борьба с легализацией преступных средств и терроризмом, и не защита персональных данных, а отвлечение времени предпринимателей на сбор ненужной информации, совершение бесполезных процедур. При полном соблюдении всех установленных формальностей времени на собственно деловую активность остается все меньше. Уместно упомянуть об известном рейтинге «Doing Business 2012», подготовленном Всемирным Банком, в котором Украина находится на малопочетном 152 месте по совокупности условий для ведения бизнеса. Не теряем надежду, что в том числе и благодаря авторитету рейтинга, ситуация будет меняться к лучшему и неадекватные формальности будут упразднены.

Определенные основания для умеренного оптимизма дает недавно поданный народными депутатами О.Б. Шевчуком, Я.М. Сухим и В.С. Курило законопроект «О внесении изменений в некоторые законодательные акты Украины относительно защиты персональных данных», зарегистрированный 15.05.2012 г. под №10472. Указанный проект, в случае принятия, решит некоторые из поднятых авторами статьи проблем, в частности, окончательно снимет вопрос по поводу разрешения лица на обработку его ПД, а также его уведомления после включения данных в БПД в случае обработки ПД для целей финмониторинга. Остальные же проблемы, к примеру, касательно обязанности регистрировать БПД и подавать информацию по запросу субъекта ПД, к сожалению, проектом, не решены или решены не лучшим образом, в связи с чем очевидно, что он нуждается в существенной доработке.

Кроме того, есть еще один правительственный законопроект, направленный на изменение Закона о ПД, который зарегистрирован несколько позже – 28.05.2012 г. под №10472-1. К сожалению, изменения, предполагаемые этим законопроектом, дают очень незначительное «облегчение» – после предоставления согласия лица на обработку его ПД отпадает необходимость уведомления о его правах относительно ПД, цели их сбора и лицах, которым передаются данные.

Обращаем Ваше внимание на то, что приведенный выше комментарий не является консультацией и предлагается в информационных целях. В конкретных ситуациях рекомендуется получение полной профессиональной консультации.

С уважением,

© ООО «КМ Партнеры», 2012

Прокомментировать