Базы персональных данных: что год 2014-й нам готовит
Совсем недавно законодательство сферы защиты персональных данных претерпело очередные изменения, которые придется изучить в том числе и предпринимателям. Действовать они начнут нескоро — с 01.01.2014 г., поэтому времени для ознакомления будет достаточно. Одно из главных нововведений состоит в том, что теперь большинство контрольных полномочий в этой сфере перейдет от Государственной службы по вопросам защиты персональных данных к Уполномоченному ВР Украины по правам человека.
Подробнее о моментах, на которые нужно обратить внимание предпринимателям, мы расскажем в этой статье.
Оксана ХМЕЛЕВСКАЯ, консультант газеты «Собственное Дело»
Базы персональных данных у предпринимателя
Прежде всего напомним предпринимателям об основных понятиях Закона № 2297, который регулирует вопросы, связанные с базами персональных данных (далее — БПД).
Итак, персональные данные (далее — ПД) — это сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано. Проще говоря, все те данные, которые предприниматель получает от физических лиц, с которыми имеет дело в ходе своей деятельности.
Совокупность упорядоченных по определенному признаку ПД в электронной форме и/или в форме картотек и будет являться БПД. Картотеки — это именно упорядоченные данные, т. е. сгруппированные по определенным критериям, например, по алфавиту, поэтому не каждый набор ПД может быть БПД. Приведем примеры.
Пример 1. Предприниматель заключает гражданско-правовые договоры с физлицами и формирует их в папки в хронологическом порядке. Такой способ упорядочивания информации не говорит о наличии БПД, поскольку в его основе лежат не сведения о физлице, а дата заключенного с ним договора.
Пример 2. Этот же предприниматель формирует папки в алфавитном порядке по фамилиям физлиц, с которыми заключены договоры. В этом случае у него действительно есть картотека, по которой легко осуществить поиск ПД физлица. Данный факт указывает на наличие БПД.
Предприниматель, работающий с физлицами, является владельцем БПД, а физлица — субъектами ПД. Использование данных физлиц в понимании Закона № 2297 обозначено термином «обработка ПД».
Понятия, о которых говорилось выше, останутся и в новой редакции Закона № 2297, т. е. с 1 января 2014 года. Далее мы поговорим уже о намечающихся изменениях.
Регистрация БПД в настоящее время и после 01.01.2014 г.
На сегодняшний день (до 01.01.2014 г.) БПД с данными о сторонних физических лицах (как предпринимателях, так и обычных гражданах) нужно зарегистрировать. Для этого в специальный орган — Государственную службу по вопросам защиты персональных данных (далее — ГСЗПД) подается заявление, а спустя определенное время предприниматель получает свидетельство о регистрации БПД.
О регистрации БПД нужно позаботиться тогда, когда у предпринимателя накапливаются и формируются в картотеку сведения о поставщиках, пациентах, контрагентах и т. д.
Не нужно регистрировать:
— БПД по данным, которые предприниматели собирают для себя в личные справочники и т. д.;
— БПД работников (это исключение появилось в Законе № 2297 с 20.12.2012 г.);
— сведения только об одном контрагенте (не образуют БПД).
Тем же, кто до 20.12.2012 г. успел зарегистрировать БПД работников, никаких действий по отмене регистрации предпринимать не нужно, тем более что процедура аннулирования регистрации БПД Законом № 2297 не предусмотрена.
А те, кто подали заявления о регистрации БПД работников до 20.12.2012 г. и еще не получили Свидетельство о регистрации БПД, могут направить письмо в произвольной форме об отзыве заявления о ее регистрации.
Теперь о важном нововведении с 01.01.2014 г. С этой даты будет отменена регистрация БПД.
В то же время, если обработка полученных ПД будет представлять особенный риск для прав и свобод физлиц, то владельцу БПД придется уведомлять об этом Уполномоченного ВР Украины по правам человека (далее — Уполномоченный). Такое уведомление нужно будет направить ему в течение 30 рабочих дней со дня начала обработки ПД. Информация, предоставленная Уполномоченному, будет публиковаться на его сайте.
Виды обработки ПД, которая потребует уведомления, должен будет утвердить Уполномоченный. Если сведения, о которых уведомляли, изменятся, то об этом нужно будет в течение 10 рабочих дней также проинформировать Уполномоченного.
Владельцы ПД, которые на 01.01.2014 г. уже осуществляют обработку ПД, требующую уведомить Уполномоченного, должны сделать это в течение 6 месяцев со дня вступления в силу Закона № 383, т. е. до 01.07.2014 г. (пункт 2 раздела ІІ «Заключительные и переходные положения» Закона № 383).
Обратите внимание: если предприниматель не зарегистрирует существующие у него до 01.01.2014 г. БПД, это будет считаться нарушением законодательства. Хотя в случае его выявления после 01.01.2014 г. ответственность ему не грозит.
Согласие на обработку ПД и уведомление об этом физлиц
В настоящее время и после 01.01.2014 г. право обрабатывать ПД возникает у предпринимателя либо после согласия физлица, либо в ряде других случаев, среди которых можно выделить (статья 11 Закона № 2297):
— разрешение на обработку ПД, которое предоставлено владельцу ПД в соответствии с законом исключительно для осуществления его полномочий (т. е., грубо говоря, возможность обрабатывать ПД в силу требований закона);
— заключение и исполнение сделки, стороной которой выступает физлицо, или для осуществления мероприятий, предшествующих ее заключению.
То есть не нужно получать согласие субъекта ПД, например, в случае если обработка сведений о нем осуществляется на основании требований трудового законодательства. Это не потребуется делать и в случае заключения гражданско-правового договора с физлицом, поскольку заключение договора само по себе уже является основанием для обработки ПД физлица.
В то же время в большинстве остальных случаев получение согласия физлица на обработку его ПД является обязательным. Оформляется такое согласие в форме заявления.
Конкретную форму согласия физлица на обработку его ПД каждый субъект хозяйствования разрабатывает самостоятельно. К примеру, можно разработать трафаретные формы согласия для разных категорий физлиц (клиентов, контрагентов и т. д.).
Кроме того, в настоящее время физические лица должны быть в течение 10 рабочих дней уведомлены о внесении их ПД в соответствующую БПД.
После 01.01.2014 г. контрагентов также придется уведомлять о владельце ПД, составе и содержании собранных данных, правах такого субъекта, цели сбора ПД и лицах, которым передаются эти данные. При этом согласно обновленной части 2 статьи 12 Закона № 2297 уведомление осуществляется:
1) если такие данные собираются у субъекта ПД — в момент сбора ПД;
2) в других случаях — в течение 30 рабочих дней со дня сбора ПД.
Новый контролер в сфере защиты ПД
Начиная с 01.01.2014 г. вопросами защиты ПД, в том числе с использованием предпринимателями БПД, будет заниматься Уполномоченный.
Большинство его функций и полномочий такие же, как и у действующего сейчас специального органа — ГСЗПД, они определены в обновленной статье 23 Закона № 2297. В частности, Уполномоченный будет:
— проводить плановые и внеплановые проверки соблюдения законодательства по защите ПД;
— составлять протоколы об административной ответственности и подавать их на рассмотрение в суд;
— разрабатывать нормативно-правовые акты в сфере защиты ПД;
— получать доступ к любой информации (документам) владельцев ПД (например, предпринимателей, у которых есть картотеки с данными физлиц), необходимой для осуществления контроля за защитой ПД.
Ответственность с 01.01.2014 г.
Выше мы уже сказали, что проводить проверки в этой сфере и составлять протоколы об административных правонарушениях — теперь компетенция Уполномоченного и его представителей (пункт 1 части 1 статьи 255 КУоАП). Приведем новые основания и размеры штрафных санкций в таблице.
Админответственность за нарушения в сфере защиты ПД
| Нарушение | Размер штрафа, налагаемого на должностных лиц предприятий и предпринимателей (норма КУоАП) |
| Неуведомление или несвоевременное уведомление Уполномоченного об обработке ПД или изменении сведений, подлежащих уведомлению в соответствии с законом, сообщение неполных или недостоверных сведений | — от 3400 до 6800 грн. (часть первая статьи 18839 КУоАП); |
| Невыполнение законных требований (предписаний) Уполномоченного или определенных им должностных лиц секретариата Уполномоченного по предотвращению или устранению нарушений законодательства по защите ПД | — от 5100 до 17000 грн. (часть вторая статьи 18839 КУоАП); |
| Несоблюдение установленного законодательством по защите ПД порядка защиты ПД, приведшего к незаконному доступу к ним или нарушению прав субъекта ПД | — от 5100 до 17000 грн. (часть четвертая статьи 18839 КУоАП); |
| Невыполнение законных требований Уполномоченного или его представителей | — от 1700 до 3400 грн. (статья 18840 КУоАП) |
Заметим, что с 01.01.2014 г. не предусмотрен штраф за неуведомление субъекта ПД об обработке его данных. Что касается несоблюдения установленного порядка защиты ПД, то санкции последуют только в том случае, если это привело к незаконному доступу или нарушению прав субъекта ПД.
Выводы
У предпринимателя, работающего с физлицами, как правило, формируются БПД. Он считается владельцем БПД, физические лица — субъектами ПД, а использование ПД в понимании Закона № 2297 обозначено термином «обработка ПД».
На сегодняшний день (до 01.01.2014 г.) БПД с данными о сторонних физических лицах (как предпринимателях, так и обычных гражданах) нужно зарегистрировать в ГСЗПД.
Не нужно регистрировать:
— БПД по данным, которые предприниматели собирают для себя в личные справочники и т. д.;
— БПД работников (это исключение появилось в Законе № 2297 с 20.12.2012 г.);
— сведения только об одном контрагенте (не образуют БПД).
С 01.01.2014 г. будет отменена регистрация БПД. В то же время, если обработка полученных ПД будет представлять особенный риск для прав и свобод физлиц, то владельцу БПД придется уведомлять об этом Уполномоченного, который будет заниматься этими вопросами вместо ГСЗПД.
В настоящее время и после 01.01.2014 г. право обрабатывать ПД возникает у предпринимателя на основании согласия физлица, норм законодательства или других случаев, предусмотренных статьей 11 Закона № 2297. Вместе с тем по-прежнему придется уведомлять субъектов ПД, чьи данные будут обрабатываться, о цели их сбора, составе, содержании и т. д.
Также с 01.01.2014 г. изменятся размеры админштрафов за нарушения в сфере обработки и защиты ПД.
Документы консультации
КУоАП — Кодекс Украины об административных правонарушениях от 07.12.84 г. № 8073-X.
Закон № 2297 — Закон Украины «О защите персональных данных» от 01.06.2010 г. № 2297-VI.
Закон № 383 — Закон Украины «О внесении изменений в некоторые законодательные акты Украины относительно усовершенствования системы защиты персональных данных» от 03.07.2013 г. № 383-VII.
