Регистрация баз персональных данных — успеть
до нового 2012 года!
 | В связи с тем что с 01.01.2011 г. вступил в силу Закон Украины «О защите персональных данных» от 01.06.2010 г. № 2297-VI (далее — Закон № 2297), тема использования и защиты персональных данных физических лиц приобрела особую актуальность. Данный Закон был принят с целью адаптации украинского законодательства к международным нормам после ратификации Конвенции Совета Европы о защите лиц в связи с автоматизированной обработкой персональных данных и Дополнительного протокола к этой Конвенции относительно органов надзора и трансграничных потоков данных. Он регулирует отношения, связанные с защитой персональных данных во время их обработки. Достаточно неприятным моментом в данном Законе является значительный размер ответственности за несоблюдение его норм, которая будет действовать начиная с 01.01.2012 г. Поэтому целью данного материала является пояснение предприятиям основных моментов, связанных с регистрацией, хранением и работой с базами персональных данных по новым законодательным нормам. Юлия КАМИНСКАЯ, консультант «Б & К» |
Понятие базы персональных данных
В соответствии со ст. 2 Закона № 2297 персональными данными является любая информация о физическом лице, которая позволяет его идентифицировать, в частности это имя, дата и место рождения, место работы и проживания, образование и т. д. Персональными данными также могут быть сведения о: национальности, образовании, семейном положении, религиозности, состоянии здоровья и др.
Цели обработки персональных данных должны соответствовать целям деятельности владельца базы персональных данных, которые зафиксированы в его учредительных документах и/или предусмотрены законодательством Украины, регулирующим его деятельность.
Типичными целями обработки персональных данных является обеспечение реализации отношений:
— трудовых;
— административно-правовых (в том числе, в сфере государственного управления), налоговых и в сфере бухгалтерского учета;
— в сфере управления человеческими ресурсами, в частности, кадровым потенциалом;
— в сфере экономических, финансовых услуг и страхования;
— в сфере рекламы и сбора персональных данных в коммерческих целях;
— в сфере телекоммуникационных услуг;
— в сфере общественной, политической и религиозной деятельности, культуры, досуга, спортивной и социальной деятельности;
— в сфере образования;
— в сфере здравоохранения;
— в сфере безопасности, включая вопросы частных расследований, построения системы частной безопасности и частной охраны;
— в сфере транспорта;
— в сфере науки, исторических исследований и статистики и др.
В соответствии с п. 5.1 Закона № 2297 объектами защиты являются лишь те персональные данные, которые обрабатываются и вносятся в базу персональных данных.
В соответствии со ст. 2 Закона № 2297 база персональных данных — это именуемая совокупность упорядоченных персональных данных в электронном виде и/или в виде картотек персональных данных. Поэтому бухгалтерские базы с персональной информацией о работниках предприятия, контрагентах — физических лицах, клиентах, физических лицах — СПД, а также иные подобные базы являются базами персональных данных.
В связи с вышеприведенными нормами возникает вопрос о том, из какого минимального количества лиц может состоять такая база. Отвечая на этот вопрос, необходимо учитывать следующее:
1) база персональных данных — это совокупность сведений о физических лицах;
2) персональные данные даже одного физического лица должны охраняться законом.
Таким образом, можно сделать вывод, что наличие у предприятия персональной информации хотя бы об одном лице уже является базой данных, которую необходимо регистрировать.
На сайте Службы регистратора (http://www.zpd.gov.ua) приводятся разъяснения относительно того, какие сведения могут являться базами персональных данных. Такие сведения разделяются на следующие категории:
1. По природе сведений:
— объективные сведения о физическом лице (биометрические данные, состояние банковского счета и т. п.);
— субъективные сведения о физическом лице (автобиография, характеристика, материалы аттестации, описание личных качеств физического лица, досье и т. д.).
2. По источникам сведений: сведения, содержащиеся в первичных и других источниках о физическом лице.
3. По способу обработки сведений:
— в алфавитно-цифровом формате;
— в графическом формате;
— сведения в фото-, кино-, аудио- и видеоформате и т. п.
4. По форме обработки сведений:
— на бумажных носителях;
— на электронных носителях;
— на магнитных носителях;
— на оптических носителях и т. п.
5. По требованиям к обработке данных:
— сведения, касательно которых применяются общие требования обработки в соответствии с Законом № 2297;
— сведения, касательно которых согласно ст. 7 Закона № 2297 применяются особые требования обработки (расовое или этническое происхождение, политические, религиозные или мировоззренческие убеждения, членство в политических партиях и профессиональных союзах, а также сведения, касающиеся здоровья или половой жизни и т. п.).
6. По связи с физическим лицом: сведения, касающиеся физического лица непосредственно (регистрационная запись о праве собственности на объект недвижимого имущества, записи видеонаблюдения в общественных местах, записи на обслуживание автомобиля и т. п.).
Из этого следует, что как минимум одна база персональных данных физических лиц имеется у каждого работодателя независимо от вида его хозяйственной деятельности. В частности, у каждого предприятия такой базой является база данных с информацией о наемных работниках, которая формируется при оформлении их кадровых дел.
В соответствии с абз. 3 ст. 2 Закона № 2297 владельцами базы персональных данных являются физические или юридические лица, которым законом или по согласию субъекта персональных данных предоставлено право на обработку этих данных, которое утверждает цель обработки данных в этой базе данных, устанавливает состав этих данных и процедуры их обработки, если иное не определено законом.
Согласно Закону № 2297 все субъекты, которые обрабатывают, вносят в базы или используют персональные данные физических лиц, должны регистрировать такие базы персональных данных в установленном законом порядке.
Следует обратить внимание на содержание ст. 7 Закона № 2297, которое в некоторой степени противоречит Кодексу законов о труде от 10.12.71 г. (далее — КЗоТ). Например, не запрещается обработка персональных данных без согласия субъекта персональных данных (работника) в случае, когда обработка персональных данных необходима для осуществления прав и выполнения обязанностей в сфере трудовых правоотношений в соответствии с законом.
Однако в соответствии с ч. 2 ст. 24 КЗоТ при заключении трудового договора гражданин обязан подать паспорт или другой документ, удостоверяющий личность, а в случаях, предусмотренных законодательством, также документ об образовании, специальности или квалификации и документ о медицинском состоянии для некоторых категорий работников.
Других документов, необходимых для оформления трудовых отношений, а также для оформления перевода (если нет медицинских показаний) и увольнения трудовое законодательство не предусматривает.
Процедура регистрации базы персональных данных
Порядок регистрации базы персональных данных предусмотрен ст. 9 Закона № 2297. Положение о Государственном реестре баз персональных данных и порядок его ведения утверждены постановлением Кабинета Министров Украины от 25.05.2011 г. № 616 (далее — Положение № 616).
Для регистрации базы персональных данных уполномоченному государственному органу подается заявление установленного образца.
Заявление должно содержать информацию о владельце и распорядителях базы персональных данных, о самой базе данных и ее местонахождении, а также подтверждение обязательств по выполнению требований законодательства по защите персональных данных. При этом на каждую базу данных, которая находится во владении заявителя, подается отдельное заявление.
О каждом изменении вышеуказанных сведений не позднее чем через десять рабочих дней со дня наступления такого изменения владелец базы персональных данных обязан уведомлять уполномоченный государственный орган по вопросам защиты персональных данных путем подачи заявления о внесении изменений в сведения Государственного реестра баз персональных данных.
Заявление подается в бумажной форме или в форме электронного документа в соответствии с требованиями законов Украины «Об электронных документах и электронном документообороте» от 22.05.2003 г. № 851-IV и «Об электронной цифровой подписи» от 22.05.2003 г. № 852-IV. Такое заявление составляется на каждую базу отдельно. Форма заявления и порядок его подачи утверждены приказом Минюста от 08.07.2011 г. № 1824/5.
Полномочия регистратора баз персональных данных принадлежат Государственной службе Украины по вопросам защиты персональных данных (далее — Служба).
Указом Президента Украины от 06.04.2011 г. № 390/2011 было утверждено Положение о Государственной службе Украины по вопросам защиты персональных данных (далее — Положение). В соответствии с Положением деятельность Службы направляется и координируется Кабинетом Министров Украины через Министра юстиции Украины.
К функциям Службы относятся регистрация баз персональных данных, ведение Государственного реестра баз персональных данных, а также контроль в данной сфере.
Заметим, что регистрация баз персональных данных не предполагает их передачу в Службу персональных данных физических лиц, которые были переданы последними тем или иным предприятиям, организациям или физическим лицам. В Службу передаются только общие данные о такой базе, в частности, информация о: цели сбора информации, предполагаемом количестве лиц, которые предоставили (или могут предоставить в будущем) такую информацию, каким образом персональная информация будет храниться, может ли она передаваться третьим лицам и т. д.
Напомним, что согласно Положению № 616 регистрация баз персональных данных осуществляется по результатам рассмотрения заявлений владельцев баз, начиная с 01.07.2011 г. Согласно ст. 9 Закона № 2297 база персональных данных подлежит государственной регистрации путем внесения соответствующей записи уполномоченным государственным органом по вопросам защиты персональных данных в Государственный реестр баз персональных данных.
Организация работы с персональными данными физических лиц на предприятии
Рассмотрим два важных направления в организации работы с персональными данными, в которые предприятиями должны быть внесены изменения в связи со вступлением в силу Закона № 2297:
1. Изменение внутренней политики и процедур.
2. Изменение процедур подбора и приема на работу персонала.
Касательно первого пункта. В случае, если на предприятии или в организации собираются и обрабатываются персональные данные физических лиц (клиентов, сотрудников и т. д.), оно обязано соблюдать требования, указанные в Законе № 2297. Причем главной задачей владельцев баз персональных данных является обеспечение требований законодательства по сбору и обработке таких данных.
Согласно ст. 24 Закона № 2297 определено, что государство гарантирует защиту персональных данных физических лиц. Поэтому субъекты правоотношений, связанные с персональными данными, обязаны обеспечить защиту этих данных от незаконной обработки, а также от незаконного доступа к ним. Обеспечение защиты персональных данных в базе персональных данных возлагается именно на владельца такой базы.
Владельцам (распорядителям) базы персональных данных, на наш взгляд, необходимо разработать следующие внутренние корпоративные документы, в которых будут урегулированы такие вопросы и решены следующие задачи:
— процесс обработки персональных данных;
— порядок обработки и регистрации персональных данных;
— порядок передачи письменных сообщений;
— условия хранения и доступа к базам персональных данных.
Для выполнения вышеуказанных задач необходимо назначить ответственное лицо, на которое будут возложены обязанности по обеспечению защиты персональных данных, а также регистрации баз персональных данных.
Также необходимо создать специальные условия для хранения баз персональных данных и определить процедуру использования таких данных. Для этого предприятию необходимо разработать ряд внутренних нормативно-правовых документов, в частности:
— положение о базах персональных данных;
— приказ о создании базы данных;
— приказ о назначении ответственного лица;
— должностную инструкцию такого лица;
— положение о тайной и конфиденциальной информации;
— расписку о неразглашении тайной и конфиденциальной информации;
— заявление о согласии на обработку персональных данных и т. д.
Что касается изменений в процедуре подбора и приема на работу персонала, то предприятие прежде всего должно получить письменное согласие физических лиц на использование их персональных данных, например, путем включения соответствующего пункта в договор компаний с клиентами.
В случае приема на работу нового работника, помимо обычных кадровых документов (анкета, автобиография, заявление о приеме на работу, должностная инструкция), которые он будет заполнять и подписывать, предприятие должно подписать с ним соглашение о согласии на обработку его персональных данных, а также о соблюдении коммерческой тайны в отношении персональных данных компании, с которой он будет работать, в случае приема на соответствующую должность.
Примерная форма заявления о согласии на обработку персональных данных приведена ниже.
Контроль над соблюдением норм законодательства о защите персональных данных
Как уже было упомянуто выше, контроль в сфере защиты персональных данных возложен на Государственную службу Украины по вопросам защиты персональных данных. Для осуществления этой функции в составе Службы действует отдел контроля над соблюдением законодательства о защите персональных данных (далее — отдел контроля), уполномоченный реагировать на жалобы граждан.
Этот отдел в пределах своей компетенции:
— рассматривает предложения, запросы, обращения, требования и жалобы физических и юридических лиц, органов;
— осуществляет государственный надзор и контроль за соблюдением законодательства о защите персональных данных;
— разрабатывает и утверждает планы проверок владельцев и (или) распорядителей баз персональных данных относительно соблюдения ими требований законодательства в сфере защиты персональных данных;
— проводит в пределах своих полномочий выездные и невыездные проверки владельцев и (или) распорядителей баз персональных данных;
— составляет административные протоколы об обнаруженных нарушениях законодательства в сфере защиты персональных данных;
— передает правоохранительным органам материалы об обнаруженных нарушениях в сфере защиты персональных данных;
— осуществляет контроль за соблюдением правил передачи персональных данных иностранным субъектам отношений, связанных с персональными данными.
Служба создает рабочие группы по проверке (или комиссии), которые проводят плановые и внеплановые проверки предприятий, организаций, физических лиц — предпринимателей и по их результатами применяют штрафные санкции к нарушителям. В случае выявленных нарушений составляются предписания, обязательные для исполнения.
Обращаем ваше внимание на то, что до 01.01.2012 г. отдел контроля может только реагировать на жалобы граждан в случае их поступления, т. е. проводить внеплановые проверки.
К полному спектру выполнения своих функций он приступит, начиная с нового года.
Ответственность за нарушение законодательства в сфере защиты персональных данных
А теперь перейдем к рассмотрению самого неприятного момента — финансовой и криминальной ответственности, которая будет применяться за несоблюдение норм Закона № 2297 начиная с 01.01.2012 г. Так, для внесения изменений в действующее законодательное поле был принят Закон Украины «О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных» от 02.06.2011 г. № 3454-VI.
В частности, данным Законом были внесены существенные изменения в Кодекс Украины об административной ответственности от 07.12.84 г. № 8073-X (далее — КоАП) и Уголовный кодекс Украины от 05.04.2001 г. № 2341-III (далее — УК).
Виды нарушений, а также размер ответственности за нарушение законодательства о защите персональных данных приведены ниже в таблице.
Ответственность за нарушение законодательства в сфере защиты персональных данных, которая начнет действовать с 01.01.2012 г.
| Вид нарушения | Нормативное регулирование | Размер ответственности |
| 1 | 2 | 3 |
| Неуведомление или несвоевременное уведомление субъекта персональных данных о его правах в связи с включением его данных в базу персональных данных; о цели сбора данных, а также лицах, которым передаются персональных данных | Часть 1 ст. 18839 КоАП | Штраф: для должностных лиц и граждан-СПД — от 5100 до 6800 грн. (от 300 для граждан — от 3400 до 5100 грн. |
| Неуведомление или несвоевременное уведомление Государственной службы Украины по вопросам защиты персональных данных об изменении сведений, которые подаются для государственной регистрации базы персональных данных | Часть 2 ст. 18839 КоАП | Штраф: для должностных лиц и граждан-СПД — от 3400 до 6800 грн. (от 200 для граждан — от 1700 до 3400 грн. |
| Повторное в течение года совершение вышеуказанных нарушений (предусмотренных частями 1 или 2 этой статьи), за которые уже было применено административное взыскание | Часть 3 ст. 18839 КоАП | Штраф: для должностных лиц и граждан-СПД — от 6800 до 11900 грн. (от 400 для граждан — от 5100 до 8500 грн. |
| Уклонение от государственной регистрации базы персональных данных | Часть 4 ст. 18839 КоАП | Штраф: для должностных лиц и граждан-СПД — от 8500 до 17000 грн. для граждан — от 5100 до 8500 грн. (от 300 до 500 нмдг) |
| Несоблюдение законодательно установленного порядка защиты персональных данных в базе персональных данных, которое привело | Часть 5 ст. 18839 КоАП | Штраф от 5100 до 17000 грн. (от 300 |
| Невыполнение законных требований должностных лиц Государственной службы Украины по вопросам защиты персональных данных об устранении нарушений законодательства о защите персональных данных | Ст. 18840 КоАП | Штраф для должностных лиц, граждан-СПД — от 1700 до 3400 грн. |
| Нарушение неприкосновенности частной жизни: незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о лице или незаконное изменение такой информации | Часть 1 ст. 182 УК | Штраф от 500 до 1000 нмдг, |
| Повторное совершение вышеуказанного нарушения или если оно привело к причинению существенного вреда правам, свободам и интересам личности. (Существенным вредом в данном случае считается причинение материальных убытков на сумму, превышающую 1700 грн.) | Часть 2 ст. 182 УК | Арест на срок от 3 до 6 месяцев, или ограничение свободы на срок от 3 |
Учитывая столь серьезные санкции, которые будут применяться к субъектам хозяйствования всех форм собственности, рекомендуем обязательно зарегистрировать до 01.01.2012 г. базы персональных данных и получить соответствующие свидетельства, поскольку Государственная служба по вопросам защиты персональных данных может рассматривать заявление о регистрации базы до 10 дней. Надеемся, что данный материал поможет вам облегчить процедуру регистрации.
