Темы статей
Выбрать темы

Защита персональных данных. «Что было вчера — позабыть мне пора»

Редакция БН
Статья

«Что было вчера — позабыть мне пора»

Мы уже информировали вас, что с этого года вопросы в сфере защиты персональных данных подведомственны Уполномоченному Верховной Рады Украины по правам человека. Теперь базы персональных данных не нужно регистрировать. Однако для некоторых особых случаев введено требование об уведомлении Уполномоченного. О том, как сейчас защищать персональные данные и защищаться самим, и поговорим сегодня.

Жанна СЕМЕНЧЕНКО, налоговый эксперт, bn@id.factor.ua

 

Чем теперь руководствуемся

По-прежнему основным документом в этой сфере является Закон о ПД. Однако в связи с тем, что с 1 января 2014 года вопросы персональных данных (ПД) подведомственны Уполномоченному ВРУ по правам человека (далее — Уполномоченный), минюстовская нормативка утратила силу. На смену ей пришли документы от Уполномоченного. Им разработан Приказ № 1/02, которым утверждены:

• Типовой порядок обработки персональных данных (далее — Типовой порядок);

• Порядок осуществления Уполномоченным контроля за соблюдением законодательства о защите персональных данных (далее — Порядок контроля);

• Порядок уведомления Уполномоченного об обработке персональных данных, которая представляет особый риск для прав и свобод субъектов персональных данных, о структурном подразделении или ответственном лице, которое организует работу, связанную с защитой персональных данных при их обработке, а также обнародование указанной информации (далее — Порядок уведомления).

Эти документы и разъяснения к ним вы можете найти на официальном сайте Уполномоченного http://www.ombudsman.gov.ua в разделе «Захист персональних даних».

 

Регистрации — нет, уведомлению — да

Повсеместная регистрация баз персональных данных (БПД) канула в Лету. Теперь в большинстве случаев о наличии у вас БПД никого оповещать не нужно.

Обратите внимание. Отмена регистрации БПД отнюдь не означает, что теперь можно ни о чем не беспокоиться. Как и раньше, владелец или распорядитель ПД обязан обеспечить защиту ПД от незаконного использования и/или распространения. За нарушение он несет ответственность, хотя санкции сейчас немного смягчены.

Уведомлять Уполномоченного нужно только об обработке тех ПД, которые представляют особый риск для прав и свобод субъектов ПД. Назовем их особыми ПД.

Важно! К особым ПД относятся сведения о:

• расовом, этническом и национальном происхождении;

• политических, религиозных или мировоззренческих убеждениях;

• членстве в политических партиях и/или организациях, профсоюзах, религиозных организациях или в общественных организациях мировоззренческой направленности;

• состоянии здоровья;

• половой жизни;

• биометрических, генетических данных;

• привлечении к административной или уголовной ответственности;

• применении мер в рамках досудебного расследования и преду­смотренных Законом Украины «Об оперативно-розыскной деятельности»;

• совершении в отношении лица насилия;

• местонахождении и/или пути передвижения лица.

Об обработке других (не особых) ПД уведомлять Уполномоченного не нужно.

Если вы обладаете особыми ПД, то, помимо общеустановленных требований к их защите (о чем в следующем подразделе статьи), вам придется выполнить ряд дополнительных действий:

• подать Уполномоченному заявление об обработке особых ПД по форме приложения 1 к Приказу № 1/02 в течение 30 рабочих дней со дня сбора ПД;

• уведомить Уполномоченного о создании структурного подразделения или назначении ответственного лица, которое организует работу, связанную с защитой ПД. Заявление подается по форме приложения 4 к Приказу № 1/02 в течение 30 дней с момента создания такого подразделения (назначения ответственного).

Внимание. Уполномоченный не выдает свидетельство или какой-либо другой документ, подтверждающий получение от вас заявления. Информация об этом размещается на его официальном сайте (http://www.ombudsman.gov.ua/) в разделах «Повідомлення про здійснення обробки персональних даних, що становить особливий ризик для прав і свобод суб’єктів персональних даних» или «Заяви, не прийняті до розгляду»*.

* Данные о непринятых заявлениях хранятся в течение 6 месяцев. Если у вас возникли вопросы, вы можете позвонить на горячую линию Уполномоченного по телефонам: (044) 253-11-35, 253-53-94, 253-81-94.

Важно! Есть перечень случаев, когда даже при наличии особых ПД уведомлять Уполномоченного не нужно. Среди них обработка особых ПД для реализации прав и выполнения обязанностей владельца ПД в сфере трудовых правоотношений в соответствии с законом. Следовательно, работодатель не докладывает Уполномоченному об обработке ПД своих работников, даже если они являются особыми.

 

Общие требования к защите ПД

Выше мы рассмотрели требования к особым ПД. Далее о том, что нужно делать всем владельцам/распорядителям ПД, обрабатывающим как особые, так и обычные ПД:

1. Разработать внутренний документ по защите ПД. Сейчас в соответствии с п. 2.1 Типового порядка владелец (распорядитель) в обязательном порядке должен определить базовые вопросы обработки ПД (категории субъектов ПД; состав, цель, основания и порядок обработки и т. п.). Такое требование было и до 01.01.14 г. Взяв из норм Типового порядка общие формулировки, вы сможете составить свой документ с учетом специ­фики вашей деятельности.

2. Принять технические и организационные меры по защите ПД. В организационном плане в первую очередь необходимо взять письменные обязательства с работников, которые имеют доступ к ПД, об их неразглашении (п. 3.7 Типового порядка). В техническом плане владелец должен подумать, как он может препятствовать несанкционированному доступу других лиц к ПД. Например, обеспечить хранение ПД в закрытом помещении и/или сейфе, установить персональные пароли доступа в электронные базы и т. п.

3. Обрабатывать ПД на законных основаниях. Основания для обработки перечислены в ст. 11 Закона о ПД:

1) согласие субъекта ПД;

2) разрешение на обработку ПД, предоставленное владельцу ПД в соответствии с законом исключительно для осуществления его полномочий;

3) заключение и выполнение правовой сделки, стороной которой является субъект ПД или которая заключена в пользу субъекта ПД или для осуществления мероприятий, предшествующих заключению правовой сделки по требованию субъекта ПД;

4) защита жизненно важных интересов субъекта ПД;

5) необходимость выполнения обязанностей владельца ПД, преду­смотренных законом;

6) необходимость защиты законных интересов владельца ПД или третьего лица, которому передаются ПД, кроме случаев, когда потребность защиты основополагающих прав и свобод субъекта ПД в связи с обработкой его данных превышает такие интересы.

Важно. Из перечня оснований видно, что далеко не во всех случаях от физлица нужно получать согласие. К примеру, обрабатывать данные о работнике можно без его согласия. Не нужно спрашивать согласие и у физлица (покупателя, заказчика, подрядчика и т. п.), если эти данные нужны для заключения и выполнения правовой сделки. Для заключения сделки физлицо добровольно предоставляет свои данные, что и подтверждает его согласие.

Сведения должны быть адекватными установленной цели их обработки. К примеру, при заключении договора аренды с физлицом его контрагенту (арендатору) не нужны сведения о семейном положении и состоянии здоровья такого арендодателя. Обработка излишних сведений о физлице может быть признана непропорциальной, а это — нарушение.

На заметку. Если у субъекта хозяйствования есть просто папка заключенных договоров с физлицами (клиентами, заказчиками, покупателями и т. п.), то это еще не значит, что он является владельцем ПД. Для такого признания сведения должны быть упорядочены в электронном виде или картотеке таким образом, чтобы по определенному критерию (алфавиту, идентификационному номеру, номеру паспорта и т. п.) можно было найти сведения о конкретном физлице. Такой вывод следует из определений картотеки и БПД, приведенных в Законе о ПД. Следовательно, вопрос с получением согласия в таких случаях вообще не возникает, так как нет факта обработки ПД.

Если иного законного основания, кроме как получение согласия от физлица, нет, получаем согласие. Примерная его форма приведена в п. 12 Разъяснения к Типовому порядку (см. ниже).

 

img 1

Примерная форма согласия физлица на обработку ПД

Внимание. Владелец при проверке должен предоставить убедительные доказательства того, что физлицо дало согласие на обработку его данных. При этом согласие может быть оформлено либо отдельным документом (см. выше) либо в одной из таких форм:

• соответствующее обозначение в электронном виде;

• одно из условий договора;

• любая другая форма, которая даст возможность сделать вывод о предоставлении согласия (заявление, анкета и т. п.).

4. Уведомлять физлиц об обработке их данных. В этом вопросе у нас две новости — хорошая и плохая.

Плохая, а вернее, не совсем понятная, заключается в том, что согласно Закону о ПД во всех случаях нужно уведомлять физлиц об обработке их данных. Причем владелец обязан хранить информацию (документы), которые подтверждают предоставление заявителю выше- упомянутой информации, в течение всего периода обработки ПД. Форма уведомления не установлена. Есть только сроки:

 в момент сбора ПД, если они собираются у субъекта ПД;

• в иных случаях — в течение 30 рабочих дней со дня сбора ПД.

Небольшую надежду на то, что уведомление нужно не во всех случаях, дает п. 2.9 Типового порядка. Здесь сказано, что это необходимо делать, кроме случаев, преду­смотренных законодательством Украины. Правда, не уточняется, о каких именно случаях идет речь. Нам представляется логичным, что когда было дано согласие на обработку, считается, что физлицо уведомлено об этом. При обработке ПД на иных законных основаниях, т. е. без согласия, уведомление, на наш взгляд, необходимо. Формы уведомления нет, поэтому тут может быть либо отдельный документ произвольной формы либо отметка об уведомлении в договоре, заявлении, анкете и т. п.

А теперь приятная новость. С 01.01.14 г. сам факт неуведомления субъекта ПД об обработке его данных не является основанием для наложения штрафа. Раньше это считалось нарушением с наложением штрафа от 5100 до 6800 грн. Теперь наказать владельца за неуведомление субъекта ПД могут на основании ч. 4 ст. 18839 КоАП (нарушение порядка защиты ПД), только если это привело к незаконному доступу к ПД или нарушению прав физлица — субъекта ПД (см. табл.).

 

Что грозит за плохую защиту ПД

Функции контроля в этой сфере переданы Уполномоченному. Его представители осуществляют проверки, составляют протоколы и передают их на рассмотрение в суд. Решение о наложении админсанкций принимает суд. Действующие на сегодняшний день нарушения и штрафы, а здесь есть изменения с 01.01.14 г., приведены в таблице ниже.

Таблица. Админответственность за нарушения в сфере защиты ПД

Нарушение

Размер штрафа

Неуведомление или несвоевременное уведомление Уполномоченного об обработке ПД или изменении сведений, подлежащих уведомлению в соответствии с законом, сообщение неполных или недостоверных сведений

• от 3400 до 6800 грн. (ч. 1 ст. 18839 КоАП);

• за повторное в течение года нарушение — от 8500 до 34000 грн. (ч. 3 ст. 18839 КоАП)

Невыполнение законных требований (предписаний) Уполномоченного или определенных им должностных лиц секретариата Уполномоченного по предотвращению или устранению нарушений законодательства по защите ПД

• от 5100 до 17000 грн. (ч. 2 ст. 18839 КоАП);

• за повторное в течение года нарушение — от 8500 до 34000 грн. (ч. 3 ст. 18839 КоАП)

Несоблюдение установленного законодательством по защите ПД порядка защиты ПД, приведшего к незаконному доступу к ним или нарушению прав субъекта ПД

• от 5100 до 17000 грн. (ч. 4 ст. 18839 КоАП);

• за повторное в течение года нарушение — от 17000 до 34000 грн. (часть пятая ст. 18839 КоАП)

Невыполнение законных требований Уполномоченного или его представителей

• от 1700 до 3400 грн. (ст. 18840 КоАП)

 

Как известно, «срок исковой давности» для наложения админсанкций зависит от того, разовое это нарушение или длящееся*. По разъяснению ГСЗПД в письме от 17.07.13 г. № 10/1892-13, разовым нарушением может быть неуведомление или несовременное уведомление субъекта ПД об обрабатываемых данных согласно Закону о ПД, разовое распространение ПД без надлежащих на то правовых оснований. Длящимся нарушением признается, к примеру, размещение (распространение) владельцем ПД списка должников по оплате за коммунальные услуги, который содержит ПД, факт которого был зафиксирован при проведении проверки.

* За разовое нарушение санкции можно наложить не позднее, чем через три месяца со дня его совершения (поскольку в данном случае решение выносит суд), а за длящееся – не позднее, чем через три месяца со дня его выявления (ч. 2 ст. 38 КоАП).

Что касается нарушений, которые до 01.01.14 г. были штрафо- опасны, а сейчас — нет, то санкции за них не должны налагаться в силу действия ст. 8 КоАП. Согласно ей законы, которые смягчают или отменяют ответственность за админправонарушения, имеют обратную силу, т. е. распространяются и на правонарушения, совершенные до издания данных законов.

Выводы 

  • С 1 января 2014 года вопросы в сфере защиты ПД подведомственны Уполномоченному.

  • Регистрация БПД отменена. С зарегистрированными до 01.01.14 г. БПД ничего дополнительно делать не нужно.

  • Уполномоченного нужно уведомлять только при обработке особых ПД. Это требование не распространяется на особые данные о работниках.

  • Во многих случаях обрабатывать ПД можно без письменного согласия физлиц.

  • С 01.01.14 г. смягчена ответственность в сфере защиты ПД.

Документы статьи

Приказ № 1/02 — приказ Уполномоченного Верховной Рады Украины «Об утверждении документов сфере защиты персональных данных» от 08.01.14 г. № 1/02-14.

Закон о ПД — Закон Украины «О защите персональных данных» от 01.06.10 г. № 2297-VI.

App
Скачайте наше мобильное приложение Factor

© Factor.Media, 1995 -
Все права защищены

Использование материалов без согласования с редакцией запрещено

Ознакомиться с договором-офертой

Присоединяйтесь
Адрес
г. Харьков, 61002, ул. Сумская, 106а
Мы принимаем
ic-privat ic-visa ic-visa

Мы используем cookie-файлы, чтобы сделать сайт максимально удобным для вас и анализировать использование наших продуктов и услуг, чтобы увеличить качество рекламных и маркетинговых активностей. Узнать больше о том, как мы используем эти файлы можно здесь.

Спасибо, что читаете нас Войдите и читайте дальше