Теми статей
Обрати теми

Бази персональних даних у підприємця: ситуація на сьогодні

Редакція ВД
Стаття

Бази персональних даних у підприємця: ситуація на сьогодні

 

Як відомо, на початку цього року загроза потрапити під штрафи за нереєстрацію баз персональних даних тимчасово минула у зв’язку з тим, що їх дію відклали до 1 липня 2012 року. Проте підприємцям, які володіють даними про сторонніх фізосіб, давно потрібно було подати заяву до Державної служби з питань захисту персональних даних для реєстрації баз персональних даних.

Незважаючи на те що цього року законодавці активно обговорювали, наскільки доцільно реєструвати бази в тому чи іншому випадку, а також можливість відкласти застосування штрафів на 2013 рік, поки всі ці обговорення не вилилися в офіційний документ. Верховна Рада розгляд законопроектів, пов’язаних з питаннями реєстрації баз персональних даних, теж відклала на період «після канікул».

Таким чином, з 1 липня 2012 року над підприємцями знову нависла загроза подібних штрафів. У зв’язку з цим ми вважаємо за доцільне ще раз згадати основні моменти цієї теми та уточнити, коли підприємцям потрібно реєструвати бази персональних даних, з урахуванням останніх роз’яснень Мін’юсту.

Маргарита СМИРНОВА, консультант газети «Власне Діло»

 

Законопроекти про бази персональних даних

Буквально до останнього моменту залишалася надія на те, що підприємці ще деякий час зможуть не хвилюватися про незареєстровані бази персональних даних (далі — БПД).

Такий привід давали три законопроекти, які вносили зміни до законодавства у сфері захисту персональних даних: законопроекти № 9790, № 10472-1, № 10570.

Фактично інтерес законодавців було привернуто лише до законопроекту № 10472-1. Хоч його і не було прийнято, але є підстави вважати, що саме ним займуться парламентарі. Основний позитивний момент цього документа в тому, що він передбачає, зокрема, звільнення володільця персональних даних від реєстрації БПД, пов’язаної із забезпеченням та реалізацією трудових відносин, тобто щодо працівників.

Ще більш довгоочікуваним для підприємців було прийняття законопроекту № 10570 про перенесення строку набуття чинності санкціями на 1 лютого 2013 року, але він також не був прийнятий, і тому з 1 липня 2012 року санкції все-таки можуть застосувати до підприємців, особливо враховуючи, що з’явилися правила перевірок збереження персональних даних, про основні нюанси яких ми розповімо далі.

З огляду на цю обставину тема БПД стає актуальною, а отже, ми ще раз наголосимо на деяких моментах.

 

Які БПД можуть бути у підприємця

Перш за все нагадаємо основні поняття, пов’язані із захистом персональних даних (детально на цю тему ми писали у «ВД», 2011, № 23, с. 32, 2012, № 1, с. 11).

1. Персональні дані — це відомості або сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована, тобто всі ті дані, які підприємець отримує від фізичних осіб, з якими має справу під час своєї діяльності.

2. Сукупність упорядкованих за певною ознакою персональних даних в електронній формі та у формі картотек і буде БПД.

Картотеки є саме впорядкованими даними, тобто коли вони згруповані за певними критеріями, наприклад за абеткою. Тому далеко не кожна сукупність документів, у яких є ті чи інші відомості про фізичних осіб, може вважатися БПД, лише згадки тих чи інших даних фізичної особи (навіть якщо вони дозволяють ідентифікувати таку особу) недостатньо, щоб вважалося, що на підприємстві є БПД.

Наприклад, підприємець укладає цивільно-правові договори з фізособами і формує їх у папки в хронологічному порядку. Такий спосіб упорядкування інформації не свідчить про наявність БПД, оскільки в її основі лежать не відомості про фізособу, а дата укладеного з ним договору.

Якби підприємець, наприклад, формував папки в алфавітному порядку за прізвищами фізосіб, з якими укладено договори, була б підстава вказувати на наявність БПД.

Зауважимо, що більшість підприємців не заводять упорядковані картотеки щодо працівників, проте, поки що не можна однозначно стверджувати, що реєструвати БПД «Працівники» їм не потрібно, оскільки на реєстрації цієї бази наполягає і Мін’юст, і Державна служба з питань захисту персональних даних (далі — ДСЗПД).

3. У розумінні Закону № 2297 підприємець, який працює з фізособами, є володільцем бази персональних даних, а фізособи — її суб’єктами. Використання даних фізосіб у розумінні Закону № 2297 позначено терміном обробка персональних даних.

4. Реєстрація БПД пов’язана лише з персональними даними, які є у підприємця про сторонніх фізичних осіб (як підприємців, так і звичайних громадян): працівників (кадрова документація), постачальників, пацієнтів тощо.

У той же час, якщо у підприємця зазначені вище дані не накопичуються і не зберігаються, то подавати заяву і реєструвати БПД йому не потрібно. Не вважаються БПД відомості (лист Мін’юсту від 08.11.2011 р. № 17304-0-33-11/61) лише про одного контрагента.

Також не потрібно реєструвати БПД за даними, які підприємці збирають для «себе» в особисті довідники, тощо. Додамо, що в роз’ясненні Мін’юсту про застосування Закону № 2297 від 21.12.2011 р. йдеться про те, що підприємці самостійно визначають, чи володіють вони БПД в розумінні Закону № 2297.

 

Приклади БПД, які можна не реєструвати

Вище ми сказали, що простої наявності тих чи інших відомостей про фізичну особу недостатньо, щоб говорити про те, що підприємець використовує БПД.

Ще раз звернемо увагу, що сукупність відомостей про фізосіб повинна вважатися БПД лише у тому разі, коли їх обробка здійснюється автоматизовано або коли оброблені дані розміщуються чи призначені для розміщення в картотеках. При цьому в таких картотеках або автоматизованих каталогах забезпечено легкий доступ до відповідних персональних даних.

Тому, якщо підприємець не систематизує інформацію в розрізі засновників, клієнтів, фізосіб-контрагентів тощо, вважатися БПД вона не повинна.

Утім, якщо раптом хтось із суб’єктів господарювання вирішить перестрахуватися і зареєструвати БПД, а надалі перевіряючі дійдуть висновку, що такі відомості БПД не утворюють, негативні наслідки для суб’єкта господарювання наставати не повинні.

 

Чи може вважатися БПД візитниця підприємця

Досить часто підприємці мають зібрану контактну інформацію про представників партнерських фірм, постачальників, клієнтів тощо у візитниці. Тому виникає запитання, чи вважається вона БПД, яку потрібно зареєструвати?

Відповідь на це запитання не так проста, як здається. Адже за формальними ознаками відомості у візитниці (як правило, це прізвище та ім’я або прізвище, ім’я, по батькові, посада чи рід занять, контактні дані) можна віднести до поняття БПД, оскільки це впорядкована сукупність відомостей про фізичних осіб, причому структурована так, щоб полегшити отримання даних про них при зверненні до неї.

З іншого боку, фізособи розповсюджують свої візитки добровільно, тому інформація, що розміщується на них, передбачає її загальнодоступність, а тому не може належати до інформації, що «захищається» законом, не підлягає розголошенню. Слід пригадати, що захист персональних даних передбачає далеко не лише реєстрацію БПД, але й отримання у суб’єкта персональних даних згоди на їх використання, а також його повідомлення про надані йому права, що у випадку з візиткою, як уже було сказано, є явно завищеною вимогою.

У той же час, якщо підприємець зареєстрував БПД «Контрагенти», то він автоматично передав інформацію про відомості, що є у візитниці.

 

Чи вважається БПД інформація про користувачів сайта підприємця

Досить часто підприємці мають власні сайти, на яких відвідувачі проходять реєстрацію. Причому вони можуть зазначати не свої справжні дані, а вигадані імена (ніки). Чи потрібно в такому разі реєструвати БПД з інформацією про відвідувачів сайта?

На думку представників ДСЗПД, така інформація охоплюється визначенням персональних даних. Проте, якщо розібратися, то у тому випадку, коли для реєстрації достатньо ніка та пароля, фізособа фактично жодних персональних даних не надає, а отже, на такі відносини Закон № 2297 у принципі поширюватися не повинен.

Проте погляньмо на іншу ситуацію, коли для реєстрації на форумі або сайті необхідно заповнити певну реєстраційну форму, в якій просять зазначити прізвище та ім’я, дату народження, рід діяльності, місце проживання тощо. Ця інформація безумовно належить до персональних даних. У цьому випадку, щоб у представників ДСЗПД не виникало запитань щодо надмірності запрошуваних відомостей, підприємцям доведеться або відмовитися від подібних пунктів у реєстраційних формах, або зробити їх заповнення добровільним.

Крім того, представники ДСЗПД наполягають на тому, що на таких сайтах потрібно отримати згоду фізосіб на обробку персональних даних. Наприклад, проставити галочку (інший знак) навпроти пункту «Підтвердження надання згоди на обробку персональних даних у базі персональних даних».

Зауважимо, що за бажання з подібними вимогами можна посперечатися. Річ у тім, що дані, які надаються при реєстрації на сайті (форумі), не підпадають під визначення персональних даних у розумінні Закону № 2297, оскільки вони мають бути достовірними і точними. У ситуації з реєстрацією на сайті перевірити точність та достовірність інформації, як правило, не можна (як, власне, і при заповненні анкети клієнтом).

Можна навести додатковий аргумент. Згідно з частиною 4 статті 6 Закону № 2297 первинними джерелами відомостей про фізичну особу є:

— видані на її ім’я документи;

— підписані такою особою документи;

— відомості, які особа надає про себе.

За ситуації, коли має місце реєстрація на сайті:

— особа не може бути ідентифікована достовірно;

— особа не надає документи, видані на її ім’я;

— особа не проставляє особистий підпис;

— відомості, які особа надає про себе, не можуть бути перевірені на предмет достовірності.

 

Реєстрацію БПД «Працівники» можуть скасувати

Зауважимо, що на сьогодні в парламенті зареєстровано кілька законопроектів, мета яких — унести зміни до Закону № 2297. Найбільша кількість шансів на прийняття — у законопроекту, запропонованого Кабміном, яким, зокрема, передбачено звільнення від необхідності реєстрації БПД, «пов’язаних із трудовими відносинами», тобто для більшості підприємців узагалі відпаде необхідність реєстрації БПД.

Якщо зазначені законодавчі зміни будуть прийняті і набудуть чинності, підприємці, які на той час уже зареєструють БПД «Працівники», будь-які додаткові дії (наприклад, щодо скасування реєстрації) робити не зобов’язані.

Є й інші пропозиції законодавчих змін. Так, законопроектом від 06.02.2012 р. № 9790 пропонується поширити Закон № 2297 виключно на «діяльність суб’єктів господарювання зі створення баз персональних даних та обробки персональних даних у цих базах, які здійснюють (надають послуги):

— фінансову та страхову діяльність;

— діяльність у сфері інформації та телекомунікації;

— водопостачання; послуги каналізації, поводження з відходами;

— постачання електроенергії, газу, пари та кондиційованого повітря;

— діяльність у сфері охорони здоров’я (крім лікарняних та медичних закладів державної та комунальної форми власності);

— діяльність у сфері бухгалтерського обліку й аудиту;

— діяльність у сфері права;

— діяльність у сфері освіти (крім навчальних (виховних) закладів державної та комунальної форми власності);

— авіаційного транспорту;

— діяльність туристичних агентств, туристичних операторів, надання інших послуг бронювання та пов’язану з цим діяльність;

— тимчасове розміщування;

— оптову та роздрібну торгівлю, ремонт автотранспортних засобів і мотоциклів — із застосуванням системи дисконтних карт;

— діяльність ресторанів, надання послуг мобільного харчування — із застосуванням системи дисконтних карт».

 

Згода та повідомлення працівників на обробку БПД

Згоду на обробку даних потрібно одержувати від будь-яких фізосіб, у тому числі контрагентів, клієнтів тощо.

Формами надання згоди суб’єкта персональних даних (фізичної особи) є:

— документ на паперовому носії з реквізитами, що дозволяють ідентифікувати цей документ та фізичну особу. Добровільне волевиявлення суб’єкта персональних даних посвідчується його підписом;

— електронний документ, включаючи обов’язкові реквізити документа, що дозволяють ідентифікувати цей документ та фізичну особу. Добровільне волевиявлення фізичної особи про надання дозволу на обробку її персональних даних посвідчується електронним підписом суб’єкта персональних даних;

— відмітка на електронній сторінці документа або в електронному файлі, що обробляється в інформаційній системі на основі документованих програмно-технічних рішень.

Зразок згоди на обробку персональних даних ми наводили у «ВД», 2012, № 1, с. 16.

Якщо такими особами не надана згода на обробку їхніх персональних даних , то підприємець не зможе з ними співпрацювати, адже такими діями вони не дозволяють використовувати їхні персональні дані. Крім того, контрагенти — фізичні особи мають бути повідомлені про внесення їхніх персональних даних до відповідної БПД. Аналогічної думки дотримується і Мін’юст у своєму роз’ясненні щодо застосування Закону № 2297 від 21.12.2011 р. (http://www.minjust.gov.ua/0/38266).

Усі фізичні особи, як працівники, так і контрагенти, повинні протягом 10 робочих днів з дня включення їхніх даних до БПД, після отримання їх згоди (прийняття на роботу, укладення договору тощо) бути повідомлені про цілі збору даних та про їх права у зв’язку з обробкою у письмовій формі (приклад повідомлення див. нижче).

На практиці це зручно робити на момент укладення трудового або ЦП-договору з фізичною особою.

Що стосується інтернет-магазинів, які збирають достовірні дані про клієнтів, то ДСЗПД їм рекомендовано на сайті (мається на увазі на сайті самого інтернет-магазину) розробити певний вид повідомлення (наприклад, віконце), в якому буде перелічено всю інформацію, необхідну для отримання згоди на обробку даних від фізичних осіб — клієнтів. Фізична особа, наприклад, натискаючи «ОК», дає свою згоду на обробку її персональних даних. У такому форматі необхідно створити і повідомлення про внесення персональних даних фізичної особи до відповідної БПД.

 

Примірна форма
Повідомлення про включення
наданих відомостей
до Бази персональних даних

Повідомлення
про включення наданих відомостей
до Бази персональних даних

Повідомляємо, що надані Вами відомості включено до бази персональних даних «____________»
(зазначити назву бази персональних даних), володільцем якої є _______________________________
(зазначити назву підприємства або дані про фізичну особу — підприємця) з метою __________________________
(зазначити мету обробки персональних даних, яка вказується в заяві на реєстрацію такої бази персональних даних).

Інформуємо Вас також, що згідно зі ст. 8 Закону України «Про захист персональних даних» суб’єкт персональних даних має право:

1) знати про місцезнаходження бази даних, що містить його персональні дані, її призначення та найменування, місцезнаходження її володільця або розпорядника;

2) отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані, що містяться в базі персональних даних;

3) на доступ до своїх персональних даних, що містяться у відповідній базі персональних даних;

4) отримувати не пізніше ніж за 30 календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи зберігаються його персональні дані у відповідній базі персональних даних, а також отримувати зміст його персональних даних, що зберігаються;

5) пред’являти мотивовану вимогу із запереченням проти обробки своїх персональних даних органами державної влади, органами місцевого самоврядування при здійсненні їх повноважень, передбачених законом;

6) пред’являти мотивовану вимогу про зміну або знищення своїх персональних даних будь-яким володільцем і розпорядником цієї бази, якщо ці дані обробляються незаконно або є недостовірними;

7) на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним прихованням, ненаданням або несвоєчасним їх наданням, а також на захист від надання відомостей, які є недостовірними або плямують честь, гідність та ділову репутацію фізичної особи;

8) звертатися з питань захисту своїх прав щодо персональних даних до органів державної влади, органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних;

9) застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних.

Я _________________________ (зазначити прізвище, ім’я, по батькові суб’єкта персональних даних), посвідчую, що отримав повідомлення про включення інформації про мене до бази персональних даних (зазначити назву бази персональних даних), володільцем якої є __________________________ (зазначити назву підприємства або дані про фізичну особу — підприємця), а також відомості про мої права, визначені Законом України «Про захист персональних даних».

«___» _________ ______ р.                       ____________ (____________________)

 

Порядок реєстрації, подання, заповнення заяви

Законодавством не передбачено конкретні строки для подання заяви та реєстрації БПД. Проте, враховуючи, що з 01.07.2012 р. набудуть чинності зміни до КУпАП та ККУ, якими передбачено великі штрафні санкції, зробити це краще до зазначеної дати.

Зареєструвати базу персональних даних можна як особисто, так і через представника (до заяви в паперовій формі просять додавати електронну копію) за адресою: 02660 м. Київ, вул. М. Раскової, 15, каб. 1205 (тел: (044) 517-81-68). Також можна надіслати рекомендований лист з описом вкладеного або електронний документ з електронним цифровим підписом (ЕЦП) на електронну пошту ДСЗПД (e-mail: register@zpd.gov.ua). Проте зробити це можуть лише ті підприємці, які є клієнтами акредитованих центрів сертифікації ключів, їх список наведено на сайті ДСЗПД (http://zpd.gov.ua/indexServices.html).  

Альтернативним варіантом є реєстрація баз даних через Інтернет на офіційному сайті ДСЗПД: https://rbpd.informjust.ua (ЗЕЦП).

Заява на реєстрацію бази подається українською мовою, за формою, затвердженою наказом № 1824, і повинна, зокрема, містити:

— інформацію про володільця бази персональних даних, для фізособи: П.І.Б., ІПН, адресу місця проживання;

— інформацію про найменування та місцезнаходження бази персональних даних;

— інформацію про мету обробки персональних даних у базі персональних даних, сформульовану відповідно до вимог ст. 6 7 Закону № 2297 (слід зазначати всі цілі, з якими використовується база персональних даних).

При заповненні заяв вибрані ознаки позначаються символом «х», дати заповнюються арабськими цифрами у форматі — день, місяць, рік.

Щодо кожної БПД, яка є у володінні заявника, повинна подаватися окрема заява про реєстрацію.

ДСЗПД повідомляє заявника не пізніше наступного робочого дня з дня надходження заяви про її отримання. У повідомленні зазначаються дата та реєстраційний номер запису про заяву в Реєстрі, а також дата звернення за отриманням свідоцтва або повідомлення про відмову в реєстрації.

Відмовити в реєстрації БПД можуть, якщо заява про реєстрацію не відповідає вимогам частини третьої статті 9 Закону № 2297 або у разі, якщо надані відомості є неповними або недостовірними.

Протягом 10 робочих днів з дня надходження відповідної заяви приймається рішення про реєстрацію БПД шляхом видачі її володільцю свідоцтва про державну реєстрацію БПД або повідомлення про відмову в реєстрації.

Цілями обробки персональних даних, зазначених у заяві, зокрема, є забезпечення реалізації відносин:

— трудових;

— адміністративно-правових (у тому числі у сфері державного управління), податкових та у сфері бухгалтерського обліку;

— у сфері управління людськими ресурсами, зокрема, кадровим потенціалом;

— у сфері економічних, фінансових послуг та страхування;

— у сфері реклами та збору персональних даних у комерційних цілях;

— у сфері телекомунікаційних послуг;

— у сфері суспільної, політичної та релігійної діяльності, культури, дозвілля, спортивної та соціальної діяльності;

— у сфері освіти;

— у сфері охорони здоров’я;

— у сфері безпеки, включаючи питання приватних розслідувань, побудови системи приватної безпеки та приватної охорони;

— у сфері транспорту;

— у сфері науки, історичних досліджень та статистики тощо.

 

Як виправити помилку, допущену в заяві

Можливі помилки умовно можна розподілити на дві категорії: ті, що можуть стати причиною відмови в реєстрації заяви (наприклад, незазначення обов’язкової для заповнення інформації тощо), і ті, які до відмови в реєстрації бази персональних даних не призведуть, але в результаті в Державному реєстрі баз персональних даних буде зазначено недостовірну інформацію.

Такої спеціальної процедури, як виправлення помилок у заяві про реєстрацію бази персональних даних, ані Закон № 2297, ані підзаконні нормативно-правові акти не пропонують, тому наведемо свій варіант виправлення.

Отже, якщо виявлено помилку, яка, як можна передбачити, скоріш за все, призведе до відмови в реєстрації бази персональних даних, варіантів подальших дій два:

1. Надіслати повторну заяву про реєстрацію бази персональних даних (до неї можна додати пояснювальну записку, складену в довільній формі, в якій пояснити причину направлення такої повторної заяви).

2. Дочекатися рішення ДСЗПД за результатами розгляду попередньої заяви і якщо буде отримано відмову, надіслати нову заяву, виправивши зазначені недоліки. На нашу думку, загрози притягнення до відповідальності за ухилення від державної реєстрації БПД у цьому випадку не буде, оскільки підприємець не приховував інформацію про те, що він використовує певну БПД.

Інша ситуація складається в тому разі, якщо заяву оформлено правильно, але в ній, як з’ясувалося вже після її подання, було зазначено помилкові відомості (наприклад, щодо володільця бази або її місцезнаходження). Ця ситуація законодавством також не врегульована. Ми, зі свого боку, можемо, запропонувати два можливі варіанти дій:

1. Якщо БПД ще не зареєстровано, надіслати «навздогін» правильно заповнену заяву, обов’язково зазначивши в пояснювальній записці до неї підстави повторного подання заяви з проханням вважати раніше подану заяву відкликаною.

2. Дочекатися рішення за попередньо поданою заявою (не виключено, що в ній усе-таки будуть виявлені недоліки і в реєстрації буде відмовлено). Якщо за нею БПД буде зареєстрована, то, на наш погляд, найбільш правильним буде надіслання заяви про внесення змін до відомостей Державного реєстру БПД (форму відповідної заяви затверджено тим же наказом Мін’юсту від 08.07.2011 р. № 1824/5).

 

Як дізнатися, чи зареєстровано БПД згідно з поданою заявою?

Відповідно до Закону № 2297 ДСЗПД повинна провести реєстрацію БПД у строк 10 робочих днів з дня надходження заяви на реєстрацію, про що володільцю видається свідоцтво затвердженого зразка. Проте, враховуючи значну кількість заяв, ДСЗПД у встановлені строки вкластися не може і проводить реєстрацію в невизначені строки.

Тому відстежувати долю поданої заяви можна таким чином:

— після реєстрації заяви, якщо вона складалася на сайті Реєстру, просто на сайті відображається відповідне повідомлення з реєстраційним номером заяви та кодом доступу для наступного пошуку заяви та отримання інформації про стан її обробки; якщо заява надсилалася електронною або звичайною поштою із зазначенням електронної адреси заявника, то на таку електронну адресу також має бути надіслано реєстраційний номер та код доступу до інформації про заяву;

— за реєстраційним номером можна отримати інформацію про один із таких станів обробки заяви:

а) «Зареєстровано» (заяву зареєстровано в Реєстрі);

б) «Відмовлено» (прийнято рішення про відмову в реєстрації БПД; при цьому на поштову адресу надсилається лист із зазначенням причин відмови в реєстрації);

в) «Прийнято рішення про реєстрацію» (видається Свідоцтво про реєстрацію БПД, яке, якщо в заяві про реєстрацію було зроблено відповідну відмітку, надсилається на поштову адресу суб’єкта господарювання — володільця БПД, якщо відмітку проставлено не було — то за Свідоцтвом уповноваженому співробітнику суб’єкта господарювання доведеться завітати до ДСЗПД особисто).

Додаткова контактна інформація Державної служби з питань захисту персональних даних (начальник управління реєстрації баз персональних даних Кривда Світлана Геннадіївна): тел: (044) 517-81-68, e-mail: register@zpd.gov.ua, поштова адреса: 02660 м. Київ, вул. М. Раскової, 15, каб. 1205.

Відповідальність за порушення у сфері захисту даних

Правом проводити планові та позапланові перевірки підприємств, організацій, фізичних осіб — підприємців наділено ДСЗПД. За результатами перевірок вона може давати розпорядження щодо усунення порушень, а також накладати штрафні санкції на порушників.

З 1 липня 2012 року, як уже зазначалося, до порушників Закону № 2297 застосовуватимуться санкції як адміністративного, так і кримінального характеру. Наведемо їх у таблиці.

Тим суб’єктам господарювання, які подали заяви про реєстрацію БПД понад 10 робочих днів тому, але інформацію про те, що БПД зареєстровано, так і не отримали, хвилюватися не варто. Ця ситуація зумовлена значною завантаженістю ДСЗПД через велику кількість заяв про реєстрацію, що визнає сама служба. Тому на сьогодні самого факту подання заяви достатньо, щоб вважалося: суб’єкт господарювання не ухиляється від реєстрації БПД.

Також звернемо увагу, що за роз’ясненнями ДСЗПД відповідальність не настає автоматично. Санкції застосовуються тільки у разі доведеного порушення прав громадян у сфері захисту персональних даних і лише за результатами перевірок (контрольних заходів) ДСЗПД.

Механізм їх проведення встановлено Порядком № 947/5, відповідно до нього ДСЗПД проводить планові та позапланові перевірки, які можуть бути виїзними та безвиїзними.

Перед початком проведення перевірки ДСЗПД надсилає повідомлення разом з копією наказу про проведення перевірки за місцезнаходженням або місцем проживання суб’єкта перевірки рекомендованим листом за 10 днів до початку її проведення.

Строк проведення перевірки не може перевищувати 10 робочих днів. За поданням голови комісії продовження строку проведення перевірки здійснюється уповноваженою посадовою особою ДСЗПД, що прийняла рішення про проведення перевірки, але не більше ніж на 5 робочих днів.

Порядок № 947/5 набув чинності з дня його офіційного опублікування — 16 липня 2012 року.

 

Норма

Склад порушення

Санкція

1

2

3

Стаття 18839 КУпАП

Неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних про його права у зв’язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються

Штраф на громадян у розмірі 3400 — 5100 грн.;
на посадових осіб, громадян-підприємців — 5100 — 6800 грн.

Неповідомлення або несвоєчасне повідомлення спеціально уповноваженого центрального органу з питань захисту персональних даних про зміну відомостей, що подаються для державної реєстрації бази персональних даних

Штраф на громадян у розмірі 1700 — 3400 грн.;
на посадових осіб, громадян-підприємців — 3400 — 6800 грн.

Повторне протягом року вчинення аналогічного порушення особою, яку вже було піддано адміністративній відповідальності

Штраф на громадян у розмірі 5100 — 8500 грн.;
на посадових осіб, громадян-підприємців — 6800 — 11900 грн.

Ухилення від державної реєстрації бази персональних даних

Штраф на громадян у розмірі 5100 — 8500 грн.;

на посадових осіб, громадян-підприємців — 8500 — 17000 грн.

 

Недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних,
що призвело до незаконного доступу до них

Штраф у розмірі 5100 — 17000 грн.

Стаття 18840 КУпАП

Невиконання законних вимог посадових осіб спеціально уповноваженого центрального органу з питань захисту персональних даних щодо усунення порушень законодавства про захист персональних даних

Штраф на посадових осіб, громадян та суб’єктів підприємницької діяльності у розмірі 1700 — 3400 грн.

Стаття 182 ККУ

Незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації
про особу або незаконна зміна такої інформації, крім випадків, передбачених іншими статтями ККУ

Штраф 8500 — 17000 грн.,
або виправні роботи строком
до 2 років, або арешт строком
до 6 місяців, або обмеження свободи строком до 3 років

Ті самі дії, вчинені повторно, або якщо вони заподіяли істотну шкоду охоронюваним законом правам, свободам та інтересам особи

Арешт строком від 3 до 6 місяців, або обмеженням волі на строк від 3 до 5 років, або позбавленням волі на той самий строк

Примітка. Істотною шкодою у цій статті, якщо вона полягає у заподіянні матеріальних збитків, вважається така шкода, яка в 100 і більше разів перевищує неоподатковуваний мінімум доходів громадян.

 

Документи консультації

КУпАП — Кодекс України про адміністративні правопорушення від 07.12.84 р. № 8073-Х.

ККУ — Кримінальний кодекс України від 05.04.2001 р. № 2341-III.

Закон № 2297 — Закон України «Про захист персональних даних» від 01.06.2010 р. № 2297-VI.

Наказ № 1824 — наказ Міністерства юстиції України «Про затвердження форм заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних і порядку їх надання» від 08.07.2011 р. № 1824/5.

Порядок № 947/5 Порядок здійснення Державною службою України з питань захисту персональних даних державного контролю за додержанням законодавства про захист персональних даних, затверджений наказом Міністерства юстиції України від 22.06.2012 р. № 947/5.

App
Завантажуйте наш мобільний додаток Factor

© Factor.Media, 1995 -
Всі права захищені

Використання матеріалів без узгодження з редакцією заборонено

Ознайомитись з договором-офертою

Приєднуйтесь
Адреса
м. Харків, 61002, вул. Сумська, 106а
Ми приймаємо
ic-privat ic-visa ic-visa

Ми використовуємо cookie-файли, щоб зробити сайт максимально зручним для вас та аналізувати використання наших продуктів та послуг, щоб збільшити якість рекламних та маркетингових активностей. Дізнатися більше про те, як ми використовуємо ці файли можна тут.

Дякуємо, що читаєте нас Увійдіть і читайте далі