Нюансы-ЗАПЕРДАНсы
Базы персональных данных: когда регистрировать,
как вносить изменения и как уничтожать
Письмо Государственной службы Украины
по вопросам защиты персональных данных
от 21.09.2012 г. № 10/4546-12
Относительно отдельных вопросов,
связанных с персональными данными *
Государственная служба Украины по вопросам защиты персональных данных (далее — Служба) рассмотрела Ваше обращение <...>, направленное письмом Управления по вопросам обращений граждан Администрации Президента Украины, и в пределах полномочий указывает следующее.
Относительно принадлежности
к базе персональных данных
Исходя из терминов, приведенных в статье 2 Закона Украины «О защите персональных данных» (далее — Закон), именованная совокупность упорядоченных сведений о физических лицах (клиентах, работниках, потребителях, контрагентах и т. п.) в электронной форме и/или в форме картотек персональных данных, в отношении которой осуществляется действие или совокупность действий, связанных со сбором, регистрацией, накоплением, хранением, адаптированием, изменением, восстановлением, использованием и расширением (распространением, реализацией, передачей), обезличиванием, уничтожением сведений о физических лицах, может составлять одну или несколько баз персональных данных в зависимости от цели такой обработки, категорий персональных данных и субъектов, чьи персональные данные обрабатываются.
Все базы персональных данных в соответствии со статьей 9 Закона подлежат государственной регистрации путем внесения соответствующей записи Службой в Государственный реестр баз персональных данных в порядке, установленном Положением о Государственном реестре баз персональных данных и порядке его ведения, утвержденным Постановлением Кабинета Министров Украины от 25.05.2011 № 616, и приказом Министерства юстиции Украины от 08.07.2011 № 1824/5 «Об утверждении форм заявлений о регистрации базы персональных данных и о внесении изменений в сведения Государственного реестра баз персональных данных и порядка их подачи», зарегистрированным в Министерстве юстиции Украины от 19.07.2011 за № 890/19628 (далее — приказ № 1824/5).
Относительно внесения изменений
в Государственный реестр
баз персональных данных и исключения
зарегистрированной базы персональных данных
Согласно пункту 11 приказа № 1824/5 заявитель уведомляет Службу о каждом изменении сведений, необходимых для регистрации базы персональных данных, не позднее чем в течение десяти рабочих дней со дня наступления такого изменения путем подачи соответствующего заявления. То есть заявитель обязан уведомлять Службу о каждом изменении сведений, необходимых для регистрации базы персональных данных, а именно: в случае изменения информации о владельце базы персональных данных, о названии и местонахождении базы персональных данных, цели обработки персональных данных, информации о распорядителях базы персональных данных.
В ходе процедуры ликвидации субъекта хозяйствования и в случае прекращения им всех действий по обработке персональных данных в базах персональных данных владельцу базы персональных данных необходимо уведомить Службу о прекращении функционирования базы персональных данных путем направления Заявления о внесении изменений в сведения Государственного реестра баз персональных данных (проставления отметки «Функционирование базы персональных данных прекращено»).
Попутно информируем, что на официальном сайте Службы (http://zpd.gov.ua) в разделе «Рекомендации» размещена информация о соблюдении требований законодательства о защите персональных данных при ликвидации юридического лица.
Относительно уничтожения персональных данных
Статьей 15 Закона определено, что персональные данные в базах персональных данных подлежат уничтожению в случае:
истечения срока хранения данных, определенного согласием субъекта персональных данных на обработку этих данных или законом;
прекращения правоотношений между субъектом персональных данных и владельцем или распорядителем базы, если иное не предусмотрено законом;
вступления в законную силу решения суда относительно изъятия данных о физическом лице из базы персональных данных.
При этом персональные данные в базах персональных данных уничтожаются в порядке, установленном в соответствии с требованиями закона.
Председатель Службы
А. Мервинский
От редакции
На ряд вполне конкретных вопросов Госслужба по вопросам ПД отреагировала простым цитированием норм Закона. Как, например, исполнить норму Закона о необходимости уничтожения персональных данных работника после его увольнения? Кто как не специализированное ведомство должно было прояснить ситуацию?! И если, к примеру, Минюсту (см. его письмо от 25.09.2012 г. № Н-18036/8.2 в «Бухгалтере» № 40’2012 на с. 21–23) или Государственной архивной службе Украины (см. ее письмо от 13.09.2012 г. № 01.2/2855 в «Бухгалтере» № 39’2012 на с. 34–35) еще можно было простить неосведомленность в данном вопросе, то молчание Госслужбы по вопросам ПД выглядит странным.
* Приводим вопросы, ответом на которые является это письмо:
«1. Если предприятие обнаружило ошибку в заявлении о регистрации БПД (неправильно указан контактный телефон и др.) уже после того, как заявление было отправлено, как именно исправить такую ошибку? Следует направить новое или повторное заявление?
2. В случае прекращения (ликвидации) предприятия, которое зарегистрировало БПД в декабре 2011 года,— необходимо ли осуществлять какие-либо действия (получать подтверждение, что БПД снята с учета или др.)?
3. Субъект хозяйствования является собственником сервисного центра по ремонту техники и получает данные клиентов, обозначенные в квитанциях (Ф. И. О., адрес и номер телефона), при этом в дальнейшем такая информация не систематизируется (квитанции просто накапливаются). Нужно ли в таком случае регистрировать базу данных «Клиенты»?
4. Являются структурированные папки с договорами с физическими лицами БПД или нет?
5. Если физическое лицо уволилось по собственному желанию, должно ли предприятие, принимая во внимание требования Закона от 01.06.2010 г. № 2297-VI «О защите персональных данных», уничтожить все данные о нем (в частности, согласно требованиям п. 2 ст. 15)? Но существуют ли требования других нормативных актов (кроме Закона № 2297) относительно срока хранения документов?
6. Адвокат заводит на каждого клиента отдельную папку, куда помещает сведения о таком клиенте, документы (или их копии), которые были получены во время ведения дела. Должен ли адвокат зарегистрировать базу персональных данных?».— Ред.