О базах персональных данных
Письмо Государственной службы Украины по вопросам защиты персональных данных от 20.08.2012 г. № 10/3905-12
Государственная служба Украины по вопросам защиты персональных данных рассмотрела Ваше обращение <...> относительно отдельных вопросов, связанных с обработкой персональных данных, и в пределах компетенции сообщает следующее.
С учетом терминов, приведенных в статье 2 Закона Украины «О защите персональных данных» (далее — Закон), персональные данные — это сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано. То есть персональные данные — это любая информация, по которой физическое лицо может быть идентифицировано непосредственно или опосредованно, в частности фамилия, имя, отчество, адрес проживания, контактный телефон, дата рождения, IP-адрес и т. п.
Первичными источниками сведений о физическом лице являются: выданные на его имя документы; подписанные им документы; сведения, которые лицо предоставляет о себе (часть четвертая статьи 6 Закона).
Владелец базы персональных данных — физическое или юридическое лицо, которому законом или с согласия субъекта персональных данных дано право на обработку этих данных, которое утверждает цель обработки персональных данных в этой базе данных, устанавливает состав этих данных и процедуры их обработки, если иное не определено законом (статья 2 Закона).
Именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных, в отношении которой осуществляется действие или совокупность действий, связанных со сбором, регистрацией, накоплением, хранением, адаптированием, изменением, восстановлением, использованием и расширением (распространением, реализацией, передачей), обезличиванием, уничтожением сведений о физических лицах (контрагентах, работниках, клиентах и т. п.), может составлять одну базу персональных данных или несколько баз персональных данных в зависимости от цели такой обработки, категорий персональных данных и субъектов, чьи персональные данные обрабатываются.
Однако владелец базы персональных данных самостоятельно принимает решение о том, является ли та или иная совокупность персональных данных физических лиц, которая находится в его владении, базой персональных данных.
Все базы персональных данных согласно статье 9 Закона подлежат государственной регистрации в порядке, установленном Положением о Государственном реестре баз персональных данных и порядке его ведения, утвержденным постановлением Кабинета Министров Украины от 25.05.2011 № 616, и приказом Министерства юстиции Украины от 08.07.2011 № 1824/5 «Об утверждении форм заявлений о регистрации базы персональных данных и о внесении изменений в сведения Государственного реестра баз персональных данных и порядка их представления», зарегистрированным в Министерстве юстиции Украины 19.07.2011 под № 890/19628.
В случае если владельцем базы персональных данных не осуществляется обработка сведений о других физических лицах (контрагентах, работниках, клиентах и т. п.), у него отсутствует база персональных данных.
В таком случае подавать заявление о регистрации базы персональных данных, в том числе представлять сведения о владельце базы персональных данных, который не осуществляет обработку персональных данных других физических лиц, не требуется Законом.
Председатель службы А. Мервинский
КОММЕНТАРИЙ
Если следовать, как говорится, букве закона, то регистрировать БПД должны все субъекты хозяйствования (юрлица и физлица-предприниматели), кто так или иначе ведет у себя кадровую документацию, статистическую, налоговую и другую отчетность в электронной форме и/или в форме карточек, которая обрабатывается работодателем и содержит персональные данные работников базой персональных данных или составной частью базы персональных данных.
Исключением в данном случае являются: физлица-граждане, использующие данные исключительно для непрофессиональных личных или бытовых потребностей; журналисты — в связи с выполнением ими служебных или профессиональных обязанностей; профессиональные творческие работники — для осуществления творческой деятельности.
Подробно эту тему мы уже рассматривали на страницах нашего издания: «Регистрация баз персональных данных по электронке» // «СБ», 2011, № 24, с. 41.
Интересным, на наш счет, является мнение Государственной службы Украины по вопросам защиты персональных данных (далее— ГСЗПД). Так, в комментируемом письме он указал на 2 ключевых момента:
1) владелец базы персональных данных самостоятельно принимает решение о том, является ли та или иная совокупность персональных данных физических лиц, которая находится в его владении, базой персональных данных;
2) если владелец базы персональных данных не осуществляет обработку сведений о других физических лицах (контрагентах, работниках, клиентах и т. п.), у него отсутствует база персональных данных. Следовательно, и регистрировать такую базу персональных данных нет необходимости.
И все было бы хорошо... Но здесь нужно помнить об ответственности, которая ложится на плечи таких собственников данных. Ведь за это их (владельцев баз персональных данных. — Примеч. ред.) могут привлечь к административной и даже к уголовной ответственности.
Административная ответственность будет наступать за:
— неуведомление или несвоевременное уведомление субъекта персональных данных (в том числе работника) о его правах в связи с включением его персональных данных в базу персональных данных, цели сбора этих данных и лицах, которым эти данные передаются в виде штрафа на должностных лиц, физлиц-предпринимателей — от 300 до 400 не облагаемых налогом минимумов доходов граждан (т. е. от 5100 до 6800 грн.), на физлиц-работодателей, не имеющих статуса предпринимателя, — от 200 до 300 ннмдг (от 3400 до 5100 грн.);
— неуведомление или несвоевременное уведомление ГСЗПД об изменении сведений, которые подаются для государственной регистрации базы персональных данных в виде штрафа на должностных лиц, физлиц-предпринимателей от 200 до 400 ннмдг (от 3400 до 6800 грн.), на физлиц-работодателей, не имеющих статуса предпринимателя, — от 100 до 200 ннмдг (от 1700 до 3400 грн.);
— за уклонение от государственной регистрации базы персональных данных в виде штрафа на граждан, не имеющих статуса предпринимателя, от 300 до 500 ннмдг (от 5100 до 8500 грн.), на должностных лиц, физлиц-предпринимателей — от 500 до 1000 ннмдг (от 8500 до 17000 грн.).
Уголовная ответственность будет наступать за незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о работнике или незаконное изменение такой информации в виде штрафа от 500 до 1000 ннмдг (от 8500 до 17000 грн.) либо исправительных работ на срок до двух лет, либо в виде ареста на срок до шести месяцев, либо ограничения свободы на срок до трех лет.
Как видим, штрафы за нарушение регистрационной процедуры и ведения БПД грозят немалые, в частности, за нерегистрацию такой БПД к гражданам применяется штраф от 5100 до 8500 грн., а к должностным лицам и физлицам-предпринимателям — от 8500 до 17000 грн.
Подробно о том, как проводится проверка ГСЗПД, что именно будет проверять ГСЗПД и как он выявит нарушения, рассмотрено в статье «Защита персональных данных в Украине: ответы на вопросы и практические советы» // «СБ», 2012, № 3, с. 20.
Анастасия Романова
