Актуальні новини:


середа, 9 листопада 2011 р.

Бази персональних даних, або Увага: штрафи вже близько!

З 1 липня 2011 р. почав працювати відділ реєстрації баз персональних даних однойменного управління. Верховна Рада України 1 червня 2010 р. прийняла Закон "Про захист персональних даних", а 6 липня 2010 р. ратифікувала Конвенцію про захист осіб у зв’язку з автоматизованою обробкою персональних даних та Додатковий протокол до Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних щодо органів нагляду та транскордонних потоків даних.

Для чого потрібна реєстрація баз персональних даних?

Реєстрація баз персональних даних є простим способом збору інформації контролюючими органами та інструментом застосування адміністративних санкцій до суб’єктів відносин, пов’язаних із персональними даними.

Реєстрація баз персональних даних є:
  • корисною для суб’єктів персональних даних, оскільки аналіз записів у Державному реєстрі може стати відправною точкою для подання суб’єктом персональних даних скарги до компетентних органів та позовних заяв; 
  • корисною для уповноваженого державного органу з питань захисту персональних даних, оскільки дозволяє здійснювати аналіз записів, проводити виїзні та безвиїзні перевірки з метою застосування санкцій. 
Санкції


З 1 січня 2012 р. почнуть діяти зміни до Кодексу України про адміністративні правопорушення. Згідно із цими змінами неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних про його права у зв’язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються, тягнуть за собою накладення штрафу на громадян у розмірі 3400–5100 грн. і на посадових осіб, громадян — суб’єктів підприємницької діяльності у розмірі 5100–6800 грн.

Неповідомлення або несвоєчасне повідомлення спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних про зміну відомостей, що подаються для державної реєстрації бази персональних даних, тягнуть за собою накладення штрафу на громадян у розмірі 1700–3400 грн. і на посадових осіб, громадян — суб’єктів підприємницької діяльності у розмірі 3400–6800 грн.

Повторне протягом року вчинення порушення тягне за собою накладення штрафу на громадян у розмірі 5100–8500 грн. і на посадових осіб, громадян — суб’єктів підприємницької діяльності у розмірі 6800–11900 грн.

Ухилення від державної реєстрації бази персональних даних тягне за собою накладення штрафу на громадян у розмірі 5100–8500 грн. і на посадових осіб, громадян — суб’єктів підприємницької діяльності у розмірі від 8500 грн.

Недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них, тягне за собою накладення штрафу у розмірі 5100–17 тис. грн.

Невиконання законних вимог посадових осіб спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних щодо усунення порушень законодавства про захист персональних даних тягне за собою накладення штрафу на посадових осіб, громадян — суб’єктів підприємницької діяльності у розмірі 170–3400 грн.

Починаючи з 1 січня 2012 р. вступить у силу ст. 182 Кримінального кодексу України, яка передбачає такі санкції:
  • незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації, крім випадків, передбачених іншими статтями цього Кодексу, караються штрафом у розмірі 8500–17 тис. грн., або виправними роботами на строк до двох років, або арештом на строк до шести місяців, або обмеженням волі на строк до трьох років; 
  • ті самі дії, вчинені повторно, або якщо вони заподіяли істотну шкоду охоронюваним законом правам, свободам та інтересам особи, караються арештом на строк від трьох до шести місяців, або обмеженням волі на строк від трьох до п’яти років, або позбавленням волі на той самий строк. 
Істотною шкодою у цій статті, якщо вона полягає у заподіянні матеріальних збитків, вважається така шкода, яка в сто і більше разів перевищує неоподатковуваний мінімум доходів громадян.


Що таке персональні дані?

Відповідно до ст. 2 Закону України "Про захист персональних даних" персональні дані — це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.

Відповідно до Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних термін "персональні дані" означає будь-яку інформацію, яка стосується конкретно визначеної особи або особи, що може бути конкретно визначеною.

Тлумачення зазначеного терміна настільки широке, що достатньо прізвища, адреси і номера телефону, щоб вважати дані персональними.

Кого це стосується?

Відповідно до ст. 2 Закону України "Про захист персональних даних" суб’єктом персональних даних є фізична особа, стосовно якої відповідно до закону здійснюється обробка її персональних даних;

Відповідно до ст. 4 Закону України "Про захист персональних даних" суб’єктами відносин, пов’язаних із персональними даними, є:
  • суб’єкт персональних даних; 
  • володілець бази персональних даних; 
  • розпорядник бази персональних даних; 
  • третя особа; 
  • уповноважений державний орган з питань захисту персональних даних; 
  • інші органи державної влади та органи місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних. 
Володільцем чи розпорядником бази персональних даних можуть бути підприємства, установи і організації всіх форм власності, органи державної влади чи органи місцевого самоврядування, фізичні особи — підприємці, які обробляють персональні дані відповідно до закону.

Підприємства, установи, організації та особи, які здійснюють незалежну професійну діяльність, мають привести свої процеси та процедури обробки персональних даних у відповідність до Закону України "Про захист персональних даних" вже з 1 січня 2011 р.

Які відомості належать до персональних даних?

Згідно із Положенням про Державний реєстр баз персональних даних та порядок його ведення персональні дані можна класифікувати так:



Чи потрібно підприємствам, установам і організаціям відповідно до ч. 5 ст. 6 Закону України "Про захист персональних даних" отримувати від фізичних осіб (найманих працівників) документовану згоду для цілей обробки документації при здійсненні діяльності? Відповідно до п. 1 ст. 11 Закону України "Про захист персональних даних" підставами виникнення права на використання персональних даних є: згода суб’єкта персональних даних на обробку його персональних даних. Суб’єкт персональних даних має право при наданні згоди внести застереження стосовно обмеження права на обробку своїх персональних даних або дати володільцю бази персональних даних дозвіл на їх обробку відповідно до закону виключно для здійснення його повноважень.

Отримання згоди працівника підприємства, установи, організації щодо надання дозволу на обробку його персональних даних відповідно до сформульованої мети їх обробки є підставою для виникнення права на обробку персональних даних найманих працівників.

Чи вважатиметься паперова документація, що використовується в діяльності підприємств, установ та організацій і містить певним чином структуровані персональні дані найманих працівників, базою персональних даних у розумінні Закону України "Про захист персональних даних"? Згідно із Законом України "Про захист персональних даних" персональними даними є відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Документація підприємств, установ та організацій в електронній формі та/або у формі картотек, що містить певним чином структуровані персональні дані найманих працівників, підпадає під визначення "база персональних даних" відповідно до ст. 2 Закону України "Про захист персональних даних".

Реєстрація баз персональних даних

Відповідно до ст. 9 Закону України "Про захист персональних даних" "база персональних даних підлягає державній реєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних".

Реєстрація баз персональних даних та внесення змін до відомостей Державного реєстру баз персональних даних здійснюються відповідно до Закону України "Про захист персональних даних" від 01.06.2010 р. № 2297-VI, Положення про Державний реєстр баз персональних даних та порядок його ведення, затвердженого Постановою Кабінету міністрів України від 25.05.2011 р. № 616, за формами та згідно з Порядком подання заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних, що затверджені наказом Міністерства юстиції України від 08.07.2011 р. № 1824/5.

Державній реєстрації підлягають усі бази персональних даних в електронному вигляді та/або в картотеках, у яких обробляються персональні дані, незалежно від обсягу та форми їх застосування, виду діяльності. При цьому щодо кожної бази даних, яка перебуває у володінні заявника, подається окрема заява.

Юрій ЛЕВЧУК | Правовий тиждень №42-43, 3 листопада 2011

Похожие материалы:

Немає коментарів :