Про бази персональних даних
Лист Державної служби України з питань захисту персональних даних від 20.08.2012 р. № 10/3905-12
Державна служба України з питань захисту персональних даних розглянула ваше звернення <...> щодо окремих питань, пов’язаних з обробкою персональних даних, та в межах компетенції повідомляє таке.
З урахуванням термінів , наведених у статті 2 Закону України «Про захист персональних даних» (далі — Закон), персональні дані — це відомості або сукупність відомостей про фізичну особу, яку ідентифіковано або може бути конкретно ідентифіковано. Тобто персональні дані — це будь-яка інформація, за якою фізичну особу може бути ідентифіковано безпосередньо чи опосередковано, зокрема прізвище, ім’я, по батькові, адреса проживання, контактний телефон, дата народження, IP-адреса тощо.
Первинними джерелами відомостей про фізичну особу є: видані на її ім’я документи; підписані нею документи; відомості, які особа надає про себе (частина четверта статті 6 Закону).
Володілець бази персональних даних — фізична або юридична особа, якій законом або за згодою суб’єкта персональних даних надано право на обробку цих даних, що затверджує мету обробки персональних даних у цій базі даних, установлює склад цих даних та процедури їх обробки, якщо інше не визначено законом (стаття 2 Закону).
Іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних, щодо якої здійснюється дія або сукупність дій, пов’язаних зі збиранням, реєстрацією, накопиченням, зберіганням, адаптацією, зміною, відновленням, використанням та розширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичних осіб (контрагентів, працівників, клієнтів тощо), може становити одну базу персональних даних або декілька баз персональних даних залежно від мети такої обробки, категорій персональних даних та суб’єктів, чиї персональні дані обробляються.
Однак володілець бази персональних даних самостійно приймає рішення про те, чи є та або інша сукупність персональних даних фізичних осіб, що перебуває в його володінні, базою персональних даних.
Усі бази персональних даних згідно зі статтею 9 Закону підлягають державній реєстрації в порядку, установленому Положенням про Державний реєстр баз персональних даних та порядок його ведення, затвердженим постановою Кабінету Міністрів України від 25.05.2011 р. № 616 , та наказом Міністерства юстиції України від 08.07.2011 р. № 1824/5 «Про затвердження форм заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних і порядку їх подання», зареєстрованим у Міністерстві юстиції України 19.07.2011 р. за № 890/19628.
У разі якщо володільцем бази персональних даних не здійснюється обробка відомостей про інших фізичних осіб (контрагентів, працівників, клієнтів тощо), у нього відсутня база персональних даних.
У такому разі подавати заяву про реєстрацію бази персональних даних, у тому числі надавати відомості про володільця бази персональних даних, який не здійснює обробку персональних даних інших фізичних осіб, не вимагається Законом.
Голова Служби О. Мервинський
КОМЕНТАР
Якщо дотримуватись, так би мовити, букви закону, то реєструвати БПД повинні всі суб’єкти господарювання (юридичні особи та фізичні особи — підприємці), котрі так чи інакше ведуть у себе кадрову документацію, статистичну, податкову та іншу звітність в електронній формі та/або у формі карток, що обробляється роботодавцем і містить персональні дані працівників, як базу персональних даних або складову частину бази персональних даних.
Винятком у цьому випадку є: фізичні особи — громадяни, які використовують дані виключно для непрофесійних особистих чи побутових потреб; журналісти — у зв’язку з виконанням ними службових чи професійних обов’язків; професійні творчі працівники — для здійснення творчої діяльності.
Докладно цю тему ми вже розглядали на сторінках нашого видання: «Реєстрація баз персональних даних за електронкою» // «ББ», 2011, № 24, с. 41.
Цікавою, на наш погляд, є думка Державної служби України з питань захисту персональних даних (далі — ДСЗПД). Так, у листі, що коментується, вона вказала на два ключові моменти:
1) володілець бази персональних даних самостійно приймає рішення про те, чи є та або інша сукупність персональних даних фізичних осіб, що перебуває в його володінні, базою персональних даних;
2) якщо володілець бази персональних даних не здійснює обробку відомостей про інших фізичних осіб (контрагентів, працівників, клієнтів тощо), у нього відсутня база персональних даних. Отже, й реєструвати таку базу персональних даних немає необхідності.
І все було б добре… Але тут слід пам’ятати про відповідальність, що покладається на таких володільців даних: їх можуть притягти до адміністративної і навіть до кримінальної відповідальності.
Адміністративна відповідальність наставатиме за:
— неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних (у тому числі працівника) про його права у зв’язку із включенням його персональних даних до бази персональних даних, мету збирання цих даних та осіб, яким ці дані передаються, у вигляді штрафу на посадових осіб, фізичних осіб — підприємців — від 300 до 400 неоподатковуваних мінімумів доходів громадян (тобто від 5100 до 6800 грн.), на фізичних осіб — роботодавців, які не мають статусу підприємця, — від 200 до 300 нмдг (від 3400 до 5100 грн.);
— неповідомлення або несвоєчасне повідомлення ДСЗПД про зміну відомостей, що подаються для державної реєстрації бази персональних даних, у вигляді штрафу на посадових осіб, фізичних осіб — підприємців від 200 до 400 нмдг (від 3400 до 6800 грн.), на фізичних осіб — роботодавців, які не мають статусу підприємця, — від 100 до 200 нмдг (від 1700 до 3400 грн.);
— за ухилення від державної реєстрації бази персональних даних у вигляді штрафу на громадян, котрі не мають статусу підприємця, — від 300 до 500 нмдг (від 5100 до 8500 грн.), на посадових осіб, фізичних осіб — підприємців — від 500 до 1000 нмдг (від 8500 до 17000 грн.).
Кримінальна відповідальність наставатиме за незаконне збирання, зберігання, використання, знищення, розповсюдження конфіденційної інформації про працівника або незаконну зміну такої інформації у вигляді штрафу від 500 до 1000 нмдг (від 8500 до 17000 грн.) або виправних робіт на строк до двох років, або у вигляді арешту на строк до шести місяців, або обмеження волі на строк до трьох років.
Як бачимо, штрафи за порушення реєстраційної процедури та ведення БПД загрожують чималі, зокрема, за нереєстрацію такої БПД до громадян застосовується штраф від 5100 до 8500 грн., а до посадових осіб та фізичних осіб — підприємців — від 8500 до 17000 грн.
Докладно про те, як проводиться перевірка ДСЗПД, що саме перевірятиме ДСЗПД і як вона виявить порушення, розглянуто у статті « Захист персональних даних в Україні: відповіді на запитання та практичні поради» // «ББ», 2012, № 3, с. 20.
Анастасія Романова
