Актуальні новини:


середа, 21 грудня 2011 р.

Нужно ли создавать базы персональных данных в соответствии с Законом № 2297, с какой целью и в каком порядке?

Чи потрібно створювати бази персональних даних відповідно до Закону № 2297, з якою метою та в якому порядку?

Відповідно до ст. 1 Закону України «Про захист персональних даних» від 01.06.2010 р. № 2297-VI (далі – Закон № 2297) цей Закон регулює відносини, пов'язані із захистом персональних даних під час їх обробки. При цьому об'єктами захисту є персональні дані, які обробляються в базах персональних даних (ст. 5). Як бачимо, йдеться не про персональні дані загалом, які є в розпорядженні володільця таких даних, а лише про ті, які потрапили до бази персональних даних.

Згідно із ст. 2 Закону № 2297 база персональних даних – це іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних.

Тобто наявність у підприємства будь-яких персональних даних – це ще недостатній критерій для визнання їх як бази даних, потрібно, щоб ці дані були упорядковані в іменовану сукупність (до речі, наявність трудових книжок, ще не є картотекою без ведення їх реєстру за встановленими правилами). З цього приводу буде доречним звернути увагу на п. 10 ст. 6 Закону № 2297, відповідно до якого типовий порядок обробки персональних даних у базах персональних даних затверджується уповноваженим державним органом з питань захисту персональних даних. На сьогодні таким органом є Державна служба України з питань захисту персональних даних, створена згідно з Указом Президента від 06.04.2011 р. № 390/2011. Нею був розроблений проект Типового порядку обробки персональних даних у базах персональних даних, який був поданий на затвердження Мін’юсту 23.05.2011 р., але досі не затверджений. Таким чином, на нашу думку, це є першою перепоною на шляху обов’язкового створення та реєстрації баз персональних даних.


Другою перепоною є відсутність чіткої мети створення бази персональних даних.

Починати обробляти персональні дані (створювати базу, яка потребує реєстрації), які є в розпорядженні володільця таких даних, потрібно з чітко визначеною метою. Статтею 6 Закону № 2297 встановлено, що мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця бази персональних даних, та відповідати законодавству про захист персональних даних. При цьому склад та зміст персональних даних мають бути відповідними та ненадмірними стосовно визначеної мети їх обробки. На даний момент жоден законодавчий документ (крім проекту Типового порядку обробки персональних даних у базах персональних даних) чітко не встановлює таких цілей. А це означає відсутність обов’язку щодо створення такої бази (але й не позбавляє права її добровільної реєстрації).

Наведемо приклад. У ст. 24 КЗпП говориться про те, що при укладенні трудового договору громадянин зобов'язаний подати паспорт або інший документ, що посвідчує особу, трудову книжку, а у випадках, передбачених законодавством, – також документ про освіту (спеціальність, кваліфікацію), про стан здоров'я та інші документи. Укладений у письмовій формі трудовий договір повинен бути зареєстрований у державній службі зайнятості у визначеному порядку.

При цьому в даній статті не міститься жодного натяку на те, що отримані роботодавцем персональні данні, для визначених цілей та за згодою працівника потребують обробки чи реєстрації у встановленому законодавством порядку.

І останнє, на що хотілось би звернути увагу, – права суб'єкта персональних даних (фізичної особи, стосовно якої відповідно до закону здійснюється обробка її персональних даних).

Такі права насамперед закріплені в Конституції України, відповідно до ст. 32 якої не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини. Кожному гарантується судовий захист права спростовувати недостовірну інформацію про себе і членів своєї сім'ї та права вимагати вилучення будь-якої інформації, а також право на відшкодування матеріальної і моральної шкоди, завданої збиранням, зберіганням, використанням та поширенням такої недостовірної інформації. Таким чином, включення наданих фізичною особою персональних даних до будь-якої бази без її згоди може бути розцінено як порушення прав такої особи.

Крім того, відповідно до норм Закону № 2297 обсяг персональних даних, які можуть бути включені до бази персональних даних, визначається умовами згоди суб'єкта персональних даних або відповідно до закону. Не допускається обробка даних про фізичну особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини. Обробляти персональні дані без згоди суб'єкта персональних даних можна, якщо обробка персональних даних є необхідною для захисту життєво важливих інтересів суб'єкта персональних даних. Відповідно до ст. 8 Закону № 2297 суб'єкт персональних даних має повне право (наприклад, з посиланням на ст. 32 Конституції) відмовитись від оброки даних про нього для цілей Закону № 2297, що також унеможливлює створення та реєстрацію бази персональних даних.

Але в разі коли ви все ж таки вирішили добровільно, в якомусь порядку та з якоюсь метою, створити та зареєструвати свою базу персональних даних, не забувайте про нову ст. 18839 КпАП, яка передбачає ряд штрафних санкцій за порушення у сфері захисту персональних даних і яка почне діяти з 01.01.2012 р.

Таким чином, в разі реєстрації бази персональних даних, на момент перевірки Держслужбою із захисту персональних даних володілець такої бази повинен мати згоду від кожного суб’єкта захисту персональних даних.

Крім того, не слід забувати і про відповідальність за несвоєчасне повідомлення про зміни відомостей у зареєстрованій базі. А про те, що новостворена Держслужба збирається пильно виконувати свої обов’язки, свідчить план перевірок, розміщений на її сайті.

Володимир Дорошенко
АФ «АЛДІА»

Дата підготовки 16.12.2011
© Інформаційно-аналітичний центр «ЛІГА»
© ТОВ «ЛІГА ЗАКОН»

____________

Всеукраїнська мережа ЛІГА:ЗАКОН
www.ligazakon.ua

Похожие материалы:

1 коментар :

Анонім сказав...

Закон мутный и не понятный.