Базы персональных данных у предпринимателя: ситуация на сегодня
Как известно, в начале этого года угроза попасть под штрафы за нерегистрацию баз персональных данных временно миновала в связи с тем, что их действие отложили до 1 июля 2012 года. Тем не менее, предпринимателям, которые владеют данными о сторонних физлицах, давно требовалось подать заявление в Государственную службу по вопросам защиты персональных данных для регистрации баз персональных данных.
Несмотря на то что в этом году законодатели активно обсуждали то, насколько целесообразно регистрировать базы в том или ином случае, а также возможность отложить применение штрафов на 2013 год, пока все эти обсуждения не вылились в официальный документ. Верховная Рада рассмотрение законопроектов, связанных с вопросами регистрации баз персональных данных, тоже отложила на период «после каникул».
Таким образом, с 1 июля 2012 года над предпринимателями снова нависла угроза подобных штрафов. В связи с этим мы считаем целесообразным еще раз коснуться основных моментов этой темы и уточнить, когда предпринимателям нужно регистрировать базы персональных данных с учетом последних разъяснений Минюста.
Маргарита СМИРНОВА, консультант газеты «Собственное Дело»
Законопроекты о базах персональных данных
Буквально до последнего момента оставалась надежда на то, что предприниматели еще какое-то время смогут не волноваться о незарегистрированных базах персональных данных (далее — БПД).
Такой повод давали три законопроекта, которые вносили изменения в законодательство в сфере защиты персональных данных: законопроекты № 9790, № 10472-1, № 10570.
Фактически интерес законодателей был обращен только к законопроекту № 10472-1. Хотя он не был принят, но есть основания полагать, что именно им займутся парламентарии. Основной положительный момент этого документа в том, что он предусматривает, в частности, освобождение владельца персональных данных от регистрации БПД, связанной с обеспечением и реализацией трудовых отношений, т. е. по работникам.
Еще более долгожданным для предпринимателей было принятие законопроекта № 10570 о переносе срока вступления в силу санкций на 1 февраля 2013 года, но он также не был принят, и поэтому с 1 июля 2012 года санкции все-таки могут применить к предпринимателям, особенно учитывая, что появились правила проверок сохранности персональных данных, об основных нюансах которых мы расскажем ниже.
Учитывая данное обстоятельство, тема БПД становится актуальной, а следовательно, мы еще раз пробежимся по некоторым моментам.
Какие БПД могут быть у предпринимателя
Прежде всего напомним основные понятия, связанные с защитой персональных данных (подробно по этой теме мы писали в «СД», 2011, № 23, с. 32; 2012, № 1, с. 11).
1. Персональные данные — это сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано, т. е. все те данные, которые предприниматель получает от физических лиц, с которыми имеет дело в ходе своей деятельности.
2. Совокупность упорядоченных по определенному признаку персональных данных в электронной форме и/или в форме картотек и будет являться БПД.
Картотеки представляют собой именно упорядоченные данные, т. е. когда они сгруппированы по определенным критериям, например, по алфавиту. Поэтому, далеко не каждая совокупность документов, в которых встречаются те или иные сведения о физических лицах, может считаться БПД, только упоминания тех или иных данных физического лица (даже если они позволяют идентифицировать такое лицо) недостаточно, чтобы считалось, что на предприятии есть БПД.
Например, предприниматель заключает гражданско-правовые договоры с физлицами и формирует их в папки в хронологическом порядке. Такой способ упорядочить информацию не говорит о наличии БПД, поскольку в ее основе лежат не сведения о физлице, а дата заключенного с ним договора.
Если бы предприниматель, к примеру, формировал папки в алфавитном порядке по фамилиям физлиц, с которыми заключены договоры, было бы основание указывать на наличие БПД.
Заметим, что большинство предпринимателей не заводят упорядоченные картотеки на работников, тем не менее пока нельзя однозначно утверждать, что регистрировать БПД «Працівники» им не нужно, так как на регистрации этой базы настаивает и Минюст, и Государственная служба по вопросам защиты персональных данных (далее — ГСЗПД).
3. В понимании Закона № 2297 предприниматель, работающий с физлицами, является владельцем БПД, а физлица — ее субъектами. Использование данных физлиц в понимании Закона № 2297 обозначено термином «обработка персональных данных».
4. Регистрация БПД связана только с персональными данными, которые имеются у предпринимателя о сторонних физических лицах (как предпринимателях, так и обычных гражданах): работниках (кадровая документация), поставщиках, пациентах и т. д.
Вместе с тем если у предпринимателя указанные выше данные не накапливаются и не хранятся, то подавать заявление и регистрировать БПД ему не нужно. Не считаются БПД сведения (письмо Минюста от 08.11.2011 г. № 17304-0-33-11/61) только об одном контрагенте.
Также не нужно регистрировать БПД по данным, которые предприниматели собирают для «себя» в личные справочники и т. д. Добавим, что в разъяснении Минюста о применении Закона № 2297 от 21.12.2011 г. говорится о том, что предприниматели самостоятельно определяют, обладают ли они БПД в понимании Закона № 2297.
Примеры БПД, которые можно не регистрировать
Выше мы сказали, что простого наличия тех или иных сведений о физическом лице недостаточно, чтобы говорить о том, что предприниматель использует БПД.
Еще раз обратим внимание, что БПД совокупность сведений о физлицах должна считаться только в том случае, когда их обработка осуществляется автоматизировано либо когда обработанные данные размещаются или предназначены для размещения в картотеках. При этом в таких картотеках или автоматизированных каталогах обеспечен легкий доступ к соответствующим персональным данным.
Поэтому, если предприниматель не систематизирует информацию в разрезе учредителей, клиентов, физлиц-контрагентов и т. д., считаться БПД она не должна.
Впрочем, если вдруг кто-то из субъектов хозяйствования решит перестраховаться и зарегистрировать БПД, а в последующем проверяющие придут к выводу, что такие сведения БПД не образуют, негативные последствия для субъекта хозяйствования наступать не должны.
Может ли считаться БПД визитница предпринимателя
Довольно часто у предпринимателей собрана контактная информация о представителях партнерских фирм, поставщиках, клиентах и т. д. в визитнице. Поэтому возникает вопрос, считается ли она БПД, которую нужно зарегистрировать?
Ответ на данный вопрос не так прост, как кажется. Ведь по формальным признакам сведения в визитнице (как правило, это фамилия и имя либо фамилия, имя, отчество, занимаемая должность либо род занятий, контактные данные) можно отнести к понятию БПД, так как это упорядоченная совокупность сведений о физических лицах, причем структурированная таким образом, чтобы облегчить получение данных о них при обращении к ней.
С другой стороны, физлица распространяют свои визитки добровольно. Поэтому информация, размещаемая на ней, предполагает ее общедоступность, а потому не может относиться к «защищаемой» законом информации, не подлежащей разглашению. Следует вспомнить, что защита персональных данных предполагает далеко не только регистрацию БПД, но и получение у субъекта персональных данных согласия на их использование, а также его уведомление о предоставленных ему правах, что в случае с визиткой, как уже было сказано, является явно завышенным требованием.
Вместе с тем если предприниматель зарегистрировал БПД «Контрагенти», то он автоматически передал информацию о сведениях, находящихся в визитнице.
Является ли БПД информация о пользователях сайта предпринимателя
Довольно часто предприниматели имеют собственные сайты, на которых посетители проходят регистрацию. Причем они могут указывать не свои настоящие данные, а придуманные имена (ники). Нужно ли в таком случае регистрировать БПД с информацией о посетителях сайта?
По мнению представителей ГСЗПД, подобная информация охватывается определением персональных данных. Однако если разобраться, то в том случае, когда для регистрации достаточно ника и пароля, физлицо фактически никаких персональных данных не предоставляет, а значит — на такие отношения Закон № 2297 в принципе распространяться не должен.
Тем не менее взглянем на другую ситуацию, когда для регистрации на форуме или сайте необходимо заполнить некую регистрационную форму, в которой просят указать фамилию и имя, дату рождения, род деятельности, место проживания и т. п. Эта информация, безусловно, относится к персональным данным. В этом случае, чтобы у представителей ГСЗПД не возникало вопросов об излишнем характере запрашиваемых сведений, предпринимателям придется либо отказаться от подобных пунктов в регистрационных формах, либо сделать их заполнение добровольным.
Кроме того, представители ГСЗПД настаивают на том, что на таких сайтах нужно получить согласие физлиц на обработку персональных данных. Например, проставить галочку (иной знак) напротив пункта «Подтверждение предоставления согласия на обработку персональных данных в базе персональных данных».
Отметим, что при желании с подобными требованиями можно поспорить. Дело в том, что данные, предоставляемые при регистрации на сайте (форуме), не подпадают под определение персональных данных в понимании Закона № 2297, так как они должны быть достоверными и точными. В ситуации с регистрацией на сайте проверить точность и достоверность информации, как правило, нельзя (как, собственно, и при заполнении анкеты клиентом).
Можно привести дополнительный аргумент. Согласно части 4 статьи 6 Закона № 2297 первичными источниками сведений о физическом лице являются:
— выданные на его имя документы;
— подписанные таким лицом документы;
— сведения, которые лицо предоставляет о себе.
В ситуации, когда имеет место регистрация на сайте:
— лицо не может быть идентифицировано достоверно;
— лицо не предоставляет документы, выданные на его имя;
— лицо не проставляет личную подпись;
— сведения, которые лицо предоставляет о себе, не могут быть проверены на предмет достоверности.
Регистрацию БПД «Працівники» могут отменить
Отметим, что на данный момент в парламенте зарегистрировано несколько законопроектов, цель которых — внести изменения в Закон № 2297. Наибольшее количество шансов на принятие — у законопроекта, предложенного Кабмином, которым, в частности, предусмотрено освобождение от необходимости регистрации БПД, «связанных с трудовыми отношениями», т. е. для большинства предпринимателей вообще отпадет необходимость регистрации БПД.
Если указанные законодательные изменения будут приняты и вступят в силу, предприниматели, которые на тот момент уже зарегистрируют БПД «Працівники», какие-либо дополнительные действия (например, по отмене регистрации) предпринимать не обязаны.
Есть и другие предложения законодательных изменений. Так, законопроектом от 06.02.2012 г. № 9790 предлагается распространить Закон № 2297 исключительно на «деятельность субъектов хозяйствования по созданию баз персональных данных и обработке персональных данных в этих базах, которые осуществляют (предоставляют услуги):
— финансовую и страховую деятельность;
— деятельность в сфере информации и телекоммуникации;
— водоснабжение; услуги канализации, обращение с отходами;
— поставку электроэнергии, газа, пара и кондиционированного воздуха;
— деятельность в сфере охраны здоровья (кроме больничных и медицинских учреждений государственной и коммунальной формы собственности);
— деятельность в сфере бухгалтерского учета и аудита;
— деятельность в сфере права;
— деятельность в сфере образования (кроме учебных (воспитательных) заведений государственной и коммунальной формы собственности);
— авиационного транспорта;
— деятельность туристических агентств, туристических операторов, предоставление других услуг бронирования и связанную с этим деятельность;
— временное размещение;
— оптовую и розничную торговлю, ремонт автотранспортных средств и мотоциклов — с применением системы дисконтных карт;
— деятельность ресторанов, предоставление услуг мобильного питания — с применением системы дисконтных карт».
Согласие и уведомление работников на обработку БПД
Согласие на обработку данных нужно получать от любых физлиц, в том числе контрагентов, клиентов и т. д.
Формами предоставления согласия субъекта персональных данных (физического лица) являются:
— документ на бумажном носителе с реквизитами, позволяющими идентифицировать этот документ и физическое лицо. Добровольное волеизъявление субъекта персональных данных заверяется его подписью;
— электронный документ, включая обязательные реквизиты документа, позволяющие идентифицировать этот документ и физическое лицо. Добровольное волеизъявление физического лица о предоставлении разрешения на обработку его персональных данных заверяется электронной подписью субъекта персональных данных;
— отметка на электронной странице документа или в электронном файле, обрабатываемом в информационной системе на основе документированных программно-технических решений.
Образец согласия на обработку персональных данных мы приводили в «СД», 2012, № 1, с. 16.
Если такими лицами не предоставлено согласие на обработку их персональных данных , то предприниматель не сможет с ними сотрудничать, ведь такими действиями они не позволяют использовать их персональные данные. Кроме того, контрагенты — физические лица должны быть уведомлены о внесении их персональных данных в соответствующую БПД. Аналогичного мнения придерживается и Минюст в своем разъяснении относительно применения Закона № 2297 от 21.12.2011 г. (http://www.minjust.gov.ua/0/38266).
Все физические лица, как работники, так и контрагенты, должны в течение 10 рабочих дней со дня включения их данных в БПД, после получения их согласия (приема на работу, заключения договора и т. д.) быть уведомлены о цели сбора данных и об их правах в связи с обработкой в письменной форме (пример уведомления см. ниже).
На практике это удобно делать на момент заключения трудового или ГП-договора с физическим лицом.
Что касается интернет-магазинов, которые собирают достоверные данные о клиентах, то ГСЗПД им рекомендовано на сайте (имеется в виду на сайте самого интернет-магазина) разработать определенный вид сообщения (например, окошко), в котором будет перечислена вся информация, необходимая для получение согласия на обработку данных от физических лиц — клиентов. Физическое лицо, например, нажимая «ОК», дает свое согласие на обработку его персональных данных. В таком формате необходимо создать и уведомление о внесении персональных данных физического лица в соответствующую БПД.
Примерная форма
Уведомления о включении
предоставленных сведений
в Базу персональных данных
Уведомление
о включении предоставленных сведений
в Базу персональных данных
Сообщаем, что предоставленные Вами сведения включены в базу персональных данных «__________»
(указать название базы персональных данных) , владельцем которой является __________________________
(указать название предприятия или данные о физическом лице — предпринимателе) с целью __________________________
(указать цель обработки персональных данных, которая указывается в заявлении на регистрацию такой базы персональных данных) .
Информируем Вас также, что согласно ст. 8 Закона Украины «О защите персональных данных» субъект персональных данных имеет право:
1) знать о местонахождении базы данных, содержащей его персональные данные, ее назначение и наименование, местонахождение ее владельца или распорядителя;
2) получать информацию об условиях предоставления доступа к персональным данным, в частности информацию о третьих лицах, которым передаются его персональные данные, содержащиеся в базе персональных данных;
3) на доступ к своим персональным данным, содержащимся в соответствующей базе персональных данных;
4) получать не позднее чем за 30 календарных дней со дня поступления запроса, кроме случаев, предусмотренных законом, ответ о том, хранятся ли его персональные данные в соответствующей базе персональных данных, а также получать содержание его хранящихся персональных данных;
5) предъявлять мотивированное требование с возражением против обработки своих персональных данных органами государственной власти, органами местного самоуправления при осуществлении их полномочий, предусмотренных законом;
6) предъявлять мотивированное требование об изменении или уничтожении своих персональных данных любым владельцем и распорядителем этой базы, если эти данные обрабатываются незаконно или являются недостоверными;
7) на защиту своих персональных данных от незаконной обработки и случайной утраты, уничтожения, повреждения в связи с умышленным сокрытием, непредоставлением или несвоевременным их предоставлением, а также на защиту от предоставления сведений, которые являются недостоверными или позорят честь, достоинство и деловую репутацию физического лица;
8) обращаться по вопросам защиты своих прав относительно персональных данных в органы государственной власти, органы местного самоуправления, к полномочиям которых относится осуществление защиты персональных данных;
9) применять средства правовой защиты в случае нарушения законодательства о защите персональных данных.
Я, _________________________ (указать фамилию, имя, отчество субъекта персональных данных), удостоверяю, что получил уведомление о включении информации обо мне в базу персональных данных ___________________(указать название базы персональных данных), владельцем которой является __________________________ (указать название предприятия или данные о физическом лице — предпринимателе), а также сведения о моих правах, определенных Законом Украины «О защите персональных данных».
«___» _________ ______ г. ____________ (____________________)
Порядок регистрации, подачи, заполнения заявления
Законодательством не предусмотрены конкретные сроки для подачи заявления и регистрации БПД. Однако, учитывая то, что с 01.07.2012 г. вступят в силу изменения в КУоАП и УКУ, которыми предусмотрены большие штрафные санкции, сделать это лучше до указанной даты.
Зарегистрировать БПД можно как лично, так и через представителя (к заявлению в бумажной форме просят прилагать электронную копию) по адресу: 02660 г. Киев, ул. М. Расковой, 15, каб. 1205 (тел: (044) 517-81-68). Также можно отправить заказное письмо с описью вложения или электронный документ с электронной цифровой подписью (ЭЦП) на электронную почту ГСЗПД (e-mail: register@zpd.gov.ua). Однако сделать это могут только те предприниматели, которые являются клиентами аккредитованных центров сертификации ключей, их список приведен на сайте ГСЗПД (http://zpd.gov.ua).
Альтернативным вариантом является регистрация баз данных через Интернет на официальном сайте ГСЗПД: https://rbpd.informjust.ua (с ЭЦП).
Заявление на регистрацию базы подается на украинском языке, по форме, утвержденной приказом № 1824, и должно, в частности, содержать:
— информацию о владельце БПД, для физлица: Ф. И. О., ИНН, адрес места жительства;
— информацию о наименовании и местонахождении БПД;
— информацию о цели обработки персональных данных в БПД, сформулированную в соответствии с требованиями статей 6 и 7 Закона № 2297 (следует указывать все цели, с которыми используется БПД).
При заполнении заявлений выбранные признаки отмечаются символом «Х», даты заполняются арабскими цифрами в формате — день, месяц, год.
По каждой БПД, находящейся во владении заявителя, должно подаваться отдельное заявление о регистрации.
ГСЗПД уведомляет заявителя не позднее следующего рабочего дня со дня поступления заявления о его получении. В уведомлении указываются дата и регистрационный номер записи о заявлении в Реестре, а также дата обращения за получением свидетельства или уведомления об отказе в регистрации.
Отказать в регистрации БПД могут, если заявление о регистрации не соответствует требованиям части 3 статьи 9 Закона № 2297 или в случае, если представленные сведения являются неполными или недостоверными.
В течение 10 рабочих дней со дня поступления соответствующего заявления принимается решение о регистрации БПД путем выдачи ее владельцу свидетельства о государственной регистрации БПД или уведомления об отказе в регистрации.
Целями обработки персональных данных, указываемыми в заявлении, в частности, является обеспечение реализации отношений:
— трудовых;
— административно-правовых (в том числе отношений в сфере государственного управления), налоговых и в сфере бухгалтерского учета;
— в сфере управления человеческими ресурсами, в частности, кадровым потенциалом;
— в сфере экономических, финансовых услуг и страхования;
— в сфере рекламы и сбора персональных данных в коммерческих целях;
— в сфере телекоммуникационных услуг;
— в сфере общественной, политической и религиозной деятельности, культуры, досуга, спортивной и социальной деятельности;
— в сфере образования;
— в сфере здравоохранения;
— в сфере безопасности, включая вопросы частных расследований, построения системы частной безопасности и частной охраны;
— в сфере транспорта;
— в сфере науки, исторических исследований и статистики и т. п.
Как исправить ошибку, допущенную в заявлении
Возможные ошибки условно можно разделить на две категории: те, которые могут повлечь отказ в регистрации заявления (например, неуказание обязательной для заполнения информации и т. д.), и те, которые к отказу в регистрации БПД не приведут, но в результате в Государственном реестре баз персональных данных будет указана недостоверная информация.
Такой специальной процедуры, как исправление ошибок в заявлении о регистрации БПД ни Закон № 2297, ни подзаконные нормативно-правовые акты не предлагают, поэтому предложим свой вариант исправления.
Итак, если обнаружена ошибка, которая, как можно предположить, скорее всего, приведет к отказу в регистрации БПД, варианта дальнейших действий два:
1. Направить повторное заявление о регистрации БПД (к нему можно приложить пояснительную записку, составленную в произвольной форме, в которой объяснить причину направления такого повторного заявления).
2. Дождаться решения ГСЗПД по результатам рассмотрения первоначального заявления, и, если будет получен отказ, направить новое заявление, исправив указанные недочеты. По нашему мнению, угрозы привлечения к ответственности за уклонение от государственной регистрации БПД в этом случае не будет, поскольку предприниматель не скрывал информацию о том, что им используется определенная БПД.
Другая ситуация складывается в том случае, если заявление оформлено правильно, но в нем, как выяснилось уже после его подачи, были указаны ошибочные сведения (например, в отношении владельца базы либо в отношении ее местонахождения). Данная ситуация законодательством также не урегулирована. Мы, со своей стороны, можем, предложить два возможных варианта действий:
1. Если БПД еще не зарегистрирована, направить «вдогонку» правильно заполненное заявление, обязательно указав в пояснительной записке к нему основания повторной подачи заявления с просьбой считать ранее поданное заявление отозванным.
2. Дождаться решения по первоначально поданному заявлению (не исключено, что в нем все-таки будут выявлены недочеты и в регистрации будет отказано). Если по нему БПД будет зарегистрирована, то, на наш взгляд, наиболее правильным будет направление заявления о внесении изменений в сведения Государственного реестра БПД (форма соответствующего заявления утверждена тем же приказом Минюста от 08.07.2011 г. № 1824/5).
Как узнать, зарегистрирована ли БПД согласно поданному заявлению
В соответствии с Законом № 2297 ГСЗПД должна провести регистрацию БПД в срок в 10 рабочих дней со дня поступления заявления на регистрацию, о чем владельцу выдается свидетельство утвержденного образца. Однако учитывая наплыв заявлений, ГСЗПД в установленные сроки вложиться не может и проводит регистрацию в неопределенные сроки.
Поэтому отслеживать судьбу поданного заявления можно следующим образом:
— после регистрации заявления, если оно составлялось на сайте Реестра, прямо на сайте отражается соответствующее уведомление с регистрационным номером заявления и кодом доступа для дальнейшего поиска заявления и получения информации о состоянии его обработки; если заявление направлялось по электронной либо по обычной почте с указанием электронного адреса заявителя, то на такой электронный адрес также должны быть направлены регистрационный номер и код доступа к информации о заявлении;
— по регистрационному номеру можно получить информацию об одном из таких состояний обработки заявления:
а) «Зареєстровано» (заявление зарегистрировано в Реестре);
б) «Відмовлено» (принято решение об отказе в регистрации БПД; при этом на почтовый адрес направляется письмо с указанием причин отказа в регистрации);
в) «Прийнято рішення про реєстрацію» (выдается Свидетельство о регистрации БПД, которое, если в заявлении о регистрации была сделана соответствующая отметка, направляется на почтовый адрес субъекта хозяйствования — владельца БПД, если отметка проставлена не была — то за Свидетельством уполномоченному сотруднику субъекта хозяйствования придется явиться в ГСЗПД лично).
Дополнительная контактная информация Государственной службы по вопросам защиты персональных данных (начальник управления регистрации баз персональных данных Кривда Светлана Геннадиевна): тел: (044) 517-81-68, e-mail: register@zpd.gov.ua, почтовый адрес: 02660 г. Киев, ул. М. Расковой, 15, каб. 1205.
Ответственность за нарушения в сфере защиты данных
Правом проводить плановые и внеплановые проверки предприятий, организаций, физических лиц — предпринимателей наделена ГСЗПД. По их результатам она может давать предписания об устранении нарушений, а также налагать штрафные санкции на нарушителей.
С 1 июля 2012 года, как уже упоминалось, к нарушителям Закона № 2297 будут применяться санкции как административного, так и уголовного характера. Приведем их в таблице.
Тем субъектам хозяйствования, которые подали заявления о регистрации БПД более 10 рабочих дней назад, но информацию о том, что БПД зарегистрирована, так и не получили, волноваться не стоит. Дело в том, что ГСЗПД не справляется с наплывом заявлений о регистрации, что сама признает. Поэтому на данный момент одного факта подачи заявления достаточно, чтобы считалось, что субъект хозяйствования не уклоняется от регистрации БПД.
Также обратим внимание, что по разъяснениям ГСЗПД ответственность не наступает автоматически. Санкции применяются лишь в случае доказанного нарушения прав граждан в сфере защиты персональных данных и только по результатам проверок (контрольных мероприятий) ГСЗПД.
Механизм их проведения установлен Порядком № 947/5, в соответствии с ним ГСЗПД проводит плановые и внеплановые проверки, которые могут быть выездные и невыездные.
Перед началом проведения проверки ГСЗПД направляет уведомление вместе с копией приказа о проведении проверки по местонахождению или месту жительства субъекта проверки заказным письмом за 10 дней до начала ее проведения.
Срок проведения проверки не может превышать 10 рабочих дней. По представлению председателя комиссии продление срока проведения проверки осуществляется уполномоченным должностным лицом ГСЗПД, принявшим решение о проведении проверки, но не более чем на 5 рабочих дней.
Порядок № 947/5 вступил в силу со дня официального опубликования — 16 июля 2012 года.
| Норма | Состав нарушения | Санкция |
| 1 | 2 | 3 |
| Статья 18839 КУоАП | Неуведомление или несвоевременное уведомление субъекта персональных данных о его правах в связи с включением его персональных данных в базу персональных данных, о цели сбора этих данных и лицах, которым эти данные передаются | Штраф на граждан в размере 3400 — 5100 грн.; |
| Неуведомление или несвоевременное уведомление специально уполномоченного центрального органа по вопросам защиты персональных данных | Штраф на граждан в размере 1700 — 3400 грн.; | |
| Повторное на протяжении года совершение аналогичного нарушения лицом, уже привлекавшимся к административной ответственности | Штраф на граждан в размере 5100 — 8500 грн.; | |
|
| Уклонение от государственной регистрации базы персональных данных | Штраф на граждан в размере 5100 — 8500 грн.; |
| Несоблюдение установленного законодательством о защите персональных данных порядка защиты персональных данных в базе персональных данных, что привело к незаконному доступу к ним | Штраф в размере 5100 — 17000 грн. | |
| Статья 18840 КУоАП | Невыполнение законных требований должностных лиц специально уполномоченного центрального органа по вопросам защиты персональных данных по устранению нарушений законодательства о защите персональных данных | Штраф на должностных лиц, граждан и субъектов предпринимательской деятельности в размере 1700 — 3400 грн. |
| Статья 182 УКУ | Незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о лице или незаконное изменение такой информации, кроме случаев, предусмотренных другими статьями УКУ | Штраф 8500 — 17000 грн., или исправительные работы сроком до 2 лет, или арест сроком до 6 месяцев, или ограничение свободы сроком до 3 лет |
| Те же действия, совершенные повторно или если они причинили существенный вред охраняемым законом правам, свободам и интересам лица | Арест сроком от 3 до 6 месяцев, или ограничение свободы сроком от 3 до 5 лет, или лишение свободы на тот же срок | |
| Примечание. Существенным вредом в этой статье, если он заключается в причинении материального ущерба, считается вред, который в сто и более раз превышает необлагаемый минимум доходов граждан. | ||
Документы консультации
КУоАП — Кодекс Украины об административных правонарушениях от 07.12.84 г. № 8073-Х.
УКУ — Уголовный кодекс Украины от 05.04.2001 г. № 2341-III.
Закон № 2297 — Закон Украины «О защите персональных данных» от 01.06.2010 г. № 2297-VI.
Приказ № 1824 — приказ Министерства юстиции Украины «Об утверждении форм заявлений о регистрации базы персональных данных и о внесении изменений в сведения Государственного реестра баз персональных данных и порядка их предоставления» от 08.07.2011 г. № 1824/5.
Порядок № 947/5 — Порядок осуществления Государственной службой Украины по вопросам защиты персональных данных государственного контроля за соблюдением законодательства о защите персональных данных, утвержденный приказом Министерства юстиции Украины от 22.06.2012 г. № 947/5.
