Теми статей
Обрати теми

Реєстрація баз персональних даних — устигнути до нового 2012 року!

Редакція БК
Стаття

Реєстрація баз персональних даних — устигнути до нового 2012 року!

img 1

У зв’язку з тим, що з 01.01.2011 р. набрав чинності Закон України «Про захист персональних даних» від 01.06.2010 р. № 2297-VI (далі — Закон № 2297), тема використання і захисту персональних даних фізичних осіб набула особливої актуальності. Цей Закон було прийнято з метою адаптації законодавства України до міжнародних норм після ратифікації Конвенції Ради Європи про захист осіб у зв’язку з автоматизованою обробкою персональних даних і Додаткового протоколу до цієї Конвенції щодо органів нагляду і транскордонних потоків даних. Він регулює відносини, пов’язані із захистом персональних даних під час їх обробки. Доволі неприємним моментом у цьому Законі є значний розмір відповідальності за недотримання його норм, що діятиме починаючи з 01.01.2012 р. Тому метою цього матеріалу є пояснення підприємствам основних моментів, пов’язаних з реєстрацією, зберіганням та роботою з базами персональних даних, за новими законодавчими нормами.

Юлія КАМІНСЬКА, консультант «Б & К»

 

ПОНЯТТЯ БАЗИ ПЕРСОНАЛЬНИХ ДАНИХ

Відповідно до ст. 2 Закону № 2297 персональними даними є будь-яка інформація про фізичну особу, що дозволяє ідентифікувати таку особу, зокрема, це ім’я, дата і місце народження, місце роботи і проживання, освіта тощо. Персональними даними також можуть бути відомості про національність, освіту, сімейний стан, релігійні переконання, стан здоров’я тощо.

Мета обробки персональних даних має відповідати цілям діяльності власника бази персональних даних, зафіксованим у його засновницьких документах та/або передбаченим законодавством України, що регулює його діяльність.

Типовими цілями обробки персональних даних є забезпечення реалізації відносин:

— трудових;

— адміністративно-правових (у тому числі у сфері державного управління), податкових та у сфері бухгалтерського обліку;

— у сфері управління людськими ресурсами, зокрема кадровим потенціалом;

— у сфері економічних, фінансових послуг і страхування;

— у сфері реклами та збирання персональних даних з комерційною метою;

— у сфері телекомунікаційних послуг;

— у сфері громадської, політичної та релігійної діяльності, культури, дозвілля, спортивної та соціальної діяльності;

— у сфері освіти;

— у сфері охорони здоров’я;

— у сфері безпеки, уключаючи питання приватних розслідувань, побудови системи приватної безпеки та приватної охорони;

— у сфері транспорту;

— у сфері науки, історичних досліджень і статистики тощо.

Відповідно до п. 5.1 Закону № 2297 об’єктами захисту є лише ті персональні дані, що обробляються та вносяться до бази персональних даних.

Згідно зі ст. 2 Закону № 2297 база персональних даних — це іменована сукупність упорядкованих персональних даних в електронному вигляді та/або у вигляді картотек персональних даних. Тому бухгалтерські бази з персональною інформацією про працівників підприємства, контрагентів — фізичних осіб, клієнтів, фізичних осіб — СПД, а також інші подібні бази є базами персональних даних.

У зв’язку з наведеними вище нормами виникає запитання про те, з якої мінімальної кількості осіб може складатися така база. Відповідаючи на це запитання, необхідно враховувати таке:

1) база персональних даних — це сукупність відомостей про фізичних осіб;

2) персональні дані навіть однієї фізичної особи мають охоронятися законом.

Таким чином, можна зробити висновок, що наявність у підприємства персональної інформації хоча б про одну особу вже є базою даних, яку необхідно реєструвати.

На сайті Служби реєстратора (http://www.zpd.gov.ua) наводяться роз’яснення стосовно того, які відомості можуть бути базами персональних даних. Ці відомості поділяються на такі категорії:

1. За природою відомостей:

— об’єктивні відомості про фізичну особу (біометричні дані, стан банківського рахунку тощо);

— суб’єктивні відомості про фізичну особу (автобіографія, характеристика, матеріали атестації, опис особистих якостей фізичної особи, досьє тощо).

2. За джерелами відомостей: відомості, що містяться в первинних та інших джерелах про фізичну особу.

3. За способом обробки відомостей:

— в алфавітно-цифровому форматі;

— у графічному форматі;

— відомості у фото-, кіно-, аудіо- та відеоформаті тощо.

4. За формою обробки відомостей на таких носіях:

• паперових;

• електронних;

• магнітних;

• оптичних тощо.

5. За вимогами до обробки даних:

— відомості, щодо яких застосовуються загальні вимоги обробки відповідно до Закону № 2297;

— відомості, щодо яких згідно зі ст. 7 Закону № 2297 застосовуються особливі вимоги обробки (расове чи етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях і професійних спілках, а також відомості, що стосуються здоров’я або статевого життя, тощо).

6. За зв’язком із фізичною особою: відомості безпосередньо про фізичну особу (реєстраційний запис про право власності на об’єкт нерухомого майна, записи відеоспостереження у громадських місцях, записи на обслуговування автомобіля тощо).

Із цього випливає, що, як мінімум, одна база персональних даних фізичних осіб є в кожного роботодавця незалежно від виду його господарської діяльності. Зокрема, у кожного підприємства такою базою є база даних з інформацією про найманих працівників, що формується при оформленні їх кадрових справ.

Відповідно до абз. 3 ст. 2 Закону № 2297 власниками бази персональних даних є фізичні або юридичні особи, яким за законом або за згодою суб’єкта персональних даних надано право на обробку цих даних, що визначає мету обробки даних у цій базі даних та установлює склад цих даних та процедури їх обробки, якщо інше не встановлено законом.

Згідно із Законом № 2297 усі суб’єкти, які обробляють, уносять до баз або використовують персональні дані фізичних осіб, мають зареєструвати такі бази персональних даних у встановленому законом порядку.

Слід звернути увагу на зміст ст. 7 Закону № 2297, яка певною мірою суперечить Кодексу законів про працю України від 10.12.71 р. (далі — КЗпП). Наприклад, не забороняється обробка персональних даних без згоди суб’єкта персональних даних (працівника) у разі, коли обробка персональних даних необхідна для здійснення прав та виконання обов’язків у сфері трудових правовідносин відповідно до закону.

Однак відповідно до ч. 2 ст. 24 КЗпП при укладенні трудового договору громадянин зобов’язаний надати паспорт або інший документ, що засвідчує особу, а у випадках, передбачених законодавством, — також документ про освіту, спеціальність або кваліфікацію і документ про медичний стан для деяких категорій працівників.

Інших документів, необхідних для оформлення трудових відносин, а також для оформлення переведення (якщо немає медичних показань) та звільнення, трудове законодавство не передбачає.

 

ПРОЦЕДУРА РЕЄСТРАЦІЇ БАЗИ ПЕРСОНАЛЬНИХ ДАНИХ

Порядок реєстрації бази персональних даних передбачено ст. 9 Закону № 2297. Положення про Державний реєстр баз персональних даних і порядок його ведення затверджено постановою Кабінету Міністрів України від 25.05.2011 р. № 616 (далі — Положення № 616).

Для реєстрації бази персональних даних уповноваженому державному органу подається заява встановленого зразка.

Заява має містити інформацію про власника та розпорядників бази персональних даних, базу даних та її місцезнаходження, а також підтвердження зобов’язань щодо виконання вимог законодавства із захисту персональних даних. При цьому на кожну базу даних, що перебуває у володінні заявника, подається окрема заява.

Про кожну зміну зазначених вище відомостей не пізніше ніж через десять робочих днів з дня настання такої зміни власник бази персональних даних зобов’язаний повідомляти уповноважений державний орган з питань захисту персональних даних шляхом подання заяви про внесення змін до відомостей Державного реєстру баз персональних даних.

Заява подається в паперовій формі або у формі електронного документа відповідно до вимог законів України «Про електронні документи та електронний документообіг» від 22.05.2003 р. № 851-IV та «Про електронний цифровий підпис» від 22.05.2003 р. № 852-IV. Така заява складається на кожну базу окремо. Форму заяви та порядок її подання затверджено наказом Мін’юсту від 08.07.2011 р. № 1824/5.

Повноваження реєстратора баз персональних даних належать Державній службі України з питань захисту персональних даних (далі — Служба).

Указом Президента України від 06.04.2011 р. № 390/2011 було затверджено Положення про Державну службу України з питань захисту персональних даних (далі — Положення). Відповідно до Положення діяльність Служби спрямовується та координується Кабінетом Міністрів України через Міністра юстиції України.

До функцій Служби належать реєстрація баз персональних даних, ведення Державного реєстру баз персональних даних, а також контроль у цій сфері.

Зауважимо, що реєстрація баз персональних даних не передбачає їх передачу до Служби персональних даних фізичних осіб, які було передано останніми тим чи іншим підприємствам, організаціям або фізичним особам. До Служби передаються лише загальні дані про таку базу, зокрема відомості про мету збирання інформації, передбачувану кількість осіб, які надали (або можуть надати в майбутньому) таку інформацію, як зберігатиметься персональна інформація, чи може вона передаватися третім особам тощо.

Нагадаємо, що згідно з Положенням № 616 реєстрація баз персональних даних здійснюється за результатами розгляду заяв власників баз починаючи з 01.07.2011 р. Згідно зі ст. 9 Закону № 2297 база персональних даних підлягає державній реєстрації шляхом унесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних.

 

ОРГАНІЗАЦІЯ РОБОТИ З ПЕРСОНАЛЬНИМИ ДАНИМИ ФІЗИЧНИХ ОСІБ НА ПІДПРИЄМСТВІ

Розглянемо два важливі напрямки в організації роботи з персональними даними, до яких підприємства повинні будуть унести зміни у зв’язку з набуттям чинності Законом № 2297:

1. Зміна внутрішньої політики та процедур.

2. Зміна процедур добору та прийняття на роботу персоналу.

Стосовно першого пункту. У разі якщо на підприємстві чи в організації збираються та обробляються персональні дані фізичних осіб (клієнтів, працівників тощо), воно зобов’язане дотримуватись вимог, зазначених у Законі № 2297. Причому головним завданням власників баз персональних даних є забезпечення вимог законодавства до збирання та обробки таких даних.

У ст. 24 Закону № 2297 визначено, що держава гарантує захист персональних даних фізичних осіб. Тому суб’єкти правовідносин, пов’язані з персональними даними, зобов’язані забезпечити захист цих даних від незаконної обробки, а також від незаконного доступу до них. Забезпечення захисту персональних даних у базі персональних даних покладається саме на власника такої бази.

Власникам (розпорядникам) бази персональних даних, на наш погляд, необхідно розробити внутрішні корпоративні документи, в яких буде врегульовано такі питання та вирішено такі завдання:

— процес обробки персональних даних;

— порядок обробки та реєстрації персональних даних;

— порядок передачі письмових повідомлень;

— умови зберігання і доступу до баз персональних даних.

Для виконання зазначених завдань необхідно призначити відповідальну особу, на яку буде покладено обов’язки щодо забезпечення захисту персональних даних, а також реєстрації баз персональних даних.

Також необхідно створити спеціальні умови для зберігання баз персональних даних і визначити процедуру використання таких даних. Для цього підприємству потрібно розробити низку внутрішніх нормативно-правових документів, зокрема:

— положення про бази персональних даних;

— наказ про створення бази даних;

— наказ про призначення відповідальної особи;

— посадову інструкцію такої особи;

— положення про таємну та конфіденційну інформацію;

— розписку про нерозголошення таємної та конфіденційної інформації;

— заяву про згоду на обробку персональних даних тощо.

Що саме потрібно змінити у процедурі добору та прийняття на роботу персоналу? Насамперед підприємство має отримати письмову згоду фізичних осіб на використання їх персональних даних, наприклад, шляхом уключення відповідного пункту до договору компаній з клієнтами.

У разі прийняття на роботу нового працівника, крім звичайних кадрових документів (анкета, автобіографія, заява про прийняття на роботу, посадова інструкція), які він заповнюватиме та підписуватиме, підприємство має підписати з ним угоду про згоду на обробку його персональних даних, а також дотримання комерційної таємниці щодо персональних даних компанії, з якими він працюватиме, у разі прийняття на відповідну посаду.

Примірну форму заяви про згоду на обробку персональних даних наведено нижче.

img 2 

 

КОНТРОЛЬ ЗА ДОТРИМАННЯМ НОРМ ЗАКОНОДАВСТВА ПРО ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ

Як уже згадувалося, контроль у сфері захисту персональних даних покладено на Державну службу України з питань захисту персональних даних. Для здійснення цієї функції у складі Служби діє відділ контролю за дотриманням законодавства про захист персональних даних (далі — відділ контролю). Цей підрозділ уповноважений реагувати на скарги громадян.

Цей відділ у межах своєї компетенції:

— розглядає пропозиції, запити, звернення, вимоги та скарги фізичних і юридичних осіб, органів;

— здійснює державний нагляд і контроль за дотриманням законодавства про захист персональних даних;

— розробляє та затверджує плани перевірок власників та (або) розпорядників баз персональних даних стосовно дотримання ними вимог законодавства у сфері захисту персональних даних;

— здійснює у межах своїх повноважень виїзні та невиїзні перевірки власників та (або) розпорядників баз персональних даних;

— складає адміністративні протоколи про виявлені порушення законодавства у сфері захисту персональних даних;

— передає правоохоронним органам матеріали про виявлені порушення у сфері захисту персональних даних;

— здійснює контроль за дотриманням правил передачі персональних даних іноземним суб’єктам відносин, пов’язаних з персональними даними.

Служба створює робочі групи (або комісії) з перевірки, які провадять планові та позапланові перевірки підприємств, організацій, фізичних осіб — підприємців і за їх результатами застосовують штрафні санкції до порушників. У разі виявлених порушень складаються приписи, обов’язкові для виконання.

Звертаємо вашу увагу на те, що до 01.01.2012 р. відділ контролю може тільки реагувати на скарги громадян у разі їх надходження, тобто здійснювати позапланові перевірки. До повного спектра виконання своїх функцій він приступить, починаючи з нового року.

 

ВІДПОВІДАЛЬНІСТЬ ЗА ПОРУШЕННЯ ЗАКОНОДАВСТВА У СФЕРІ ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ

А тепер перейдемо до розгляду найнеприємнішого моменту — фінансової та кримінальної відповідальності, що застосовуватиметься за недотримання норм Закону № 2297 починаючи з 01.01.2012 р. Так, для унесення змін до чинного законодавчого поля було прийнято Закон України «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» від 02.06.2011 р. № 3454-VI.

Зокрема, цим Законом було внесено істотні зміни до Кодексу України про адміністративні правопорушення від 07.12.84 р. № 8073-X (далі — КУпАП) та Кримінального кодексу України від 05.04.2001 р. № 2341-III (далі — ККУ).

Види порушень, а також розмір відповідальності за порушення законодавства про захист персональних даних наведено нижче в таблиці.

 

Відповідальність за порушення законодавства у сфері захисту персональних даних,
що застосовуватиметься з 01.01.2012 р.

Вид порушення

Нормативне регулювання

Розмір відповідальності

1

2

3

Неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних про його права у зв’язку із включенням його даних до бази персональних даних;
про мету збирання даних, а також осіб,
яким передаються персональні дані

Частина 1 ст. 18839 КУпАП

Штраф:

для посадових осіб та громадян-СПД — від 5100 до 6800 грн. (від 300 до 400 нмдг);

для громадян — від 3400 до 5100 грн.
(від 200 до 300 нмдг)

Неповідомлення або несвоєчасне повідомлення Державної служби з питань захисту персональних даних про зміну відомостей, що подаються для державної реєстрації бази персональних даних

Частина 2 ст. 18839 КУпАП

Штраф:

для посадових осіб та громадян-СПД — від 3400 до 6800 грн. (від 200 до 400 нмдг);

для громадян — від 1700 до 3400 грн.
(від 100 до 200 нмдг)

Повторне протягом року вчинення зазначених вище порушень (передбачених частиною 1 або 2 цієї статті), за які вже було застосовано адміністративне стягнення

Частина 3 ст. 18839 КУпАП

Штраф:

для посадових осіб та громадян-СПД — від 6800 до 11900 грн. (від 400 до 700 нмдг);

для громадян — від 5100 до 8500 грн.
(від 300 до 500 нмдг)

Ухилення від державної реєстрації бази персональних даних

Частина 4 ст. 18839 КУпАП

Штраф:

для посадових осіб та громадян-СПД — від 8500 до 17000 грн. (від 500 до 1000 нмдг);

для громадян — від 5100 до 8500 грн.
(від 300 до 500 нмдг)

Недотримання законодавчо встановленого порядку захисту персональних даних у базі персональних даних, що призвело
до незаконного доступу до них

Частина 5 ст. 18839 КУпАП

Штраф від 5100 до 17000 грн.
(від 300 до 1000 нмдг)

Невиконання законних вимог посадових осіб Державної служби з питань захисту персональних даних про усунення порушень законодавства про захист персональних даних

Ст. 18840 КУпАП

Штраф для посадових осіб, громадян-СПД — від 1700 до 3400 грн. (від 100 до 200 нмдг)

Порушення недоторканності приватного життя: незаконне збирання, зберігання, використання, знищення, розповсюдження конфіденційної інформації про особу
чи незаконна зміна такої інформації

Частина 1 ст. 182 ККУ

Штраф від 500 до 1000 нмдг, або виправні роботи на строк до 2 років, або арешт на строк до 6 місяців, або обмеження волі на строк
до 3 років

Повторне вчинення зазначеного вище порушення або якщо воно призвело
до заподіяння істотної шкоди правам, свободам та інтересам особи

(істотною шкодою в цьому випадку вважається завдання матеріальних збитків на суму, що перевищує 1700 грн.)

Частина 2 ст. 182 ККУ

Арешт на строк від 3 до 6 місяців, або обмеження волі на строк від 3 до 5 років,
або позбавлення волі на такий самий строк

 

Ураховуючи такі серйозні санкції, що застосовуватимуться до суб’єктів господарювання всіх форм власності, рекомендуємо обов’язково зареєструвати до 01.01.2012 р. бази персональних даних
та отримати відповідні свідоцтва, оскільки Державна служба з питань захисту персональних даних може розглядати заяву про реєстрацію бази до 10 днів. Сподіваємося, що цей матеріал допоможе вам полегшити процедуру реєстрації.

App
Завантажуйте наш мобільний додаток Factor

© Factor.Media, 1995 -
Всі права захищені

Використання матеріалів без узгодження з редакцією заборонено

Ознайомитись з договором-офертою

Приєднуйтесь
Адреса
м. Харків, 61002, вул. Сумська, 106а
Ми приймаємо
ic-privat ic-visa ic-visa

Ми використовуємо cookie-файли, щоб зробити сайт максимально зручним для вас та аналізувати використання наших продуктів та послуг, щоб збільшити якість рекламних та маркетингових активностей. Дізнатися більше про те, як ми використовуємо ці файли можна тут.

Дякуємо, що читаєте нас Увійдіть і читайте далі