Новини: Реєстрація баз персональних даних фізичних осіб

Останнім часом тема використання і захисту персональних даних фізичних осіб набула особливої ​​актуальності. Як відомо, не так давно України ратифікувала Конвенцію Ради Європи про захист осіб у зв'язку з автоматизованою обробкою персональних даних та Додатковий протокол до цієї Конвенції щодо органів нагляду та транскордонних потоків даних.
   
   Виконуючи взяті зобов'язання, з метою адаптації українського законодавства до міжнародних норм, 1 червня 2010 року Верховна Рада Україна прийняла Закон України «Про захист персональних даних» № 2297-VI (далі - Закон № 2297-VI). Цей Закон набрав чинності з 1 січня 2011 року і практично відразу ж стали формуватися державні органи, які уповноважені здійснювати реєстраційні процедури та контроль у цій сфері. На даний момент такі повноваження отримала Державна служба України з питань захисту персональних даних (далі - Служба). До функцій Служби відносяться реєстрація баз персональних даних, ведення Державного реєстру баз персональних даних, а також контроль в даній сфері. З початку липня цього року Служба почала активну діяльність.
   
   Бази персональних даних фізичних осіб
   
   Відповідно до чинного законодавства персональними даними є будь-яка інформація про фізичну особу, яка дозволяє його ідентифікувати, зокрема про: імені, дату та місце народження, місце роботи і проживання, освіту і т.д. Персональними даними також можуть бути відомості про: національності, освіті, сімейний стан, релігійність, стан здоров'я та ін
   
   Відповідно до Закону № 2297-VI об'єктами захисту є лише ті персональні дані, які обробляються та вносяться в базу персональних даних.
   
   Статтею 2 зазначеного Закону визначено, що база персональних даних - це іменована сукупність упорядкованих персональних даних в електронному вигляді та / або у вигляді картотек персональних даних. Слід зазначити, що як мінімум одна база персональних даних фізичних осіб є в кожного роботодавця. Це база найманих працівників, яка формується при оформленні їх кадрових справ.
   
   Говорячи про бази персональних даних, виникає питання про те, з якого мінімальної кількості осіб може складатися База персональних даних. Відповідаючи на це питання необхідно враховувати два важливих моменти. По-перше, база персональних даних - це сукупність відомостей про фізичних осіб. Тобто, формально це можуть бути відомості навіть про двох фізичних осіб. По-друге, персональні дані навіть однієї фізичної особи вже повинні охоронятися. Тому фахівці радять Служби реєструвати Бази персональних даних, починаючи з появи першої особи в цій базі. Найближчим часом планується внести зміни до Закону № 2297-VI, відповідно до яких юридичні особи та фізичні особи-підприємці повинні будуть реєструвати Бази персональних даних ще до створення такої бази та внесення перших даних.
   
   Баз персональних даних на одному підприємстві чи в організації може бути декілька. Нерідко одні й ті ж дані дублюються в електронному та паперовому вигляді (наприклад, картотека). Однак, якщо мета обробки відомостей, які обробляються в електронному вигляді та у вигляді картотек, одна і та ж, то це і буде одна база даних. Просто спосіб обробки даних в даному випадку змішаний.
   
   Власниками бази персональних даних є фізичні або юридичні особи, яким законом або за згодою суб'єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не встановлено законом.
   Відповідно до Закону № 2297-VI всі суб'єкти, які обробляють, вносять до бази або використовують персональні дані фізичних осіб, повинні реєструвати такі бази персональних даних у встановленому законом порядку.
   
   Процедура реєстрації бази персональних даних
   
   Існуюча сьогодні процедура реєстрації баз персональних даних не передбачає передачу у спеціально уповноважений державний орган (Службу) персональних даних фізичних осіб, які були передані останніми тим чи іншим підприємствам, організаціям або фізичним особам. Фактично в Службу передаються лише загальні дані про таку базі (картотеці) зокрема інформація про: цілі збору інформації, передбачувану кількість осіб, які надали (або можуть надати в майбутньому) таку інформацію, яким чином персональна інформація буде зберігатися, чи може вона передаватися третім особам та ін Такі відомості вказуються в заяві встановленого зразка. Форма такої заяви передбачає досить докладну інформацію не тільки про саму базу, а й про осіб, відповідальних за збір, обробку, зберігання і видачу таких даних.
   
   Зареєструвати базу персональних даних можна як особисто, так і через представника (документи необхідно подавати безпосередньо до Служби, яка знаходиться в м. Києві). На перший погляд, процедура не складна, проте вже сьогодні близько 20% заявників вже отримали відмову в реєстрації баз персональних даних.
   
   Державний контроль за дотриманням норм законодавства про захист персональних даних
   
   Відповідно до Закону № 2297-VI спеціально уповноваженим державним органом з питань захисту персональних даних фізичних осіб є саме Державна служба України з питань захисту персональних даних. Указом Президента України від 6 квітня 2011 № 390/2011 було затверджено Положення про Державну службу України з питань захисту персональних даних (далі - Положення). Відповідно до Положення діяльність Служби спрямовується і координується Кабінетом Міністрів України через міністра юстиції України. Як уже згадувалося, в число повноважень Служби входить і контроль над дотриманням вимог відповідного законодавства щодо захисту персональних даних.
   У складі Служби вже діє Відділ контролю над дотриманням законодавства про захист персональних даних (далі - Відділ контролю). Цей підрозділ уповноважена проводити планові та позапланові перевірки підприємств, організацій, фізичних осіб-підприємців і за їх результатами давати приписи про усунення порушень, а також накладати штрафні санкції на порушників.
   
   Поки (до 1 січня 2012 року) Відділ контролю може лише реагувати на скарги громадян у разі їх надходження, тобто проводити позапланові перевірки. У разі виявлених порушень складаються приписи, обов'язкові для виконання, а матеріали перевірки можуть бути віддані і в прокуратуру. Слід зазначити, що сьогодні повноваження Відділу контролю ще не повністю визначені. У вересні - жовтні 2011 року має бути затверджено Порядок проведення перевірок, в якому буде визначено їх періодичність, підстави, процедура проведення та повноваження посадових осіб органу контролю. З 1 січня 2012 року повноваження у Відділу контролю будуть істотно розширені, а до порушників будуть застосовуватися санкції як адміністративного, так і кримінального характеру.
   
   На початку липня 2011 Служба вже здійснила перевірку в одному з відомих торгових центрів м. Києва, за результатами якої було оформлено припис
   
   Юридична відповідальність за порушення законодавства у сфері захисту персональних даних
   
   Яке ж покарання очікує порушників законодавства про захист персональних даних фізичних осіб? Відповідь на це питання зазначений у Законі Україні «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» від 02.06.2011 р. № 3454-VI. Даний закон установив досить серйозні санкції адміністративної та кримінальної відповідальності, які вказані в нових статтях Кодексу України про адміністративну відповідальність (188-39 і 188-40 КУпАП) і в зміненій ст. 182 Кримінального кодексу Україні (далі - КК України).
   
   Відповідно до ст. 188-39 КУпАП неповідомлення або несвоєчасне повідомлення суб'єкту персональних даних про його права у зв'язку з включенням його персональних даних у базу персональних даних, або цілі збору цих даних і осіб, яким ці дані передаються, - тягнуть за собою накладення штрафу на посадових осіб, громадян -суб'єктів підприємницької діяльності - від трьохсот до чотирьохсот (від 5100 грн. до 6800 грн.) неоподатковуваних мінімумів доходів громадян (НМДГ). Тобто, фізична особа повинна ОБОВ'ЯЗКОВО підписати письмову згоду на включення обробку його даних у базу. Причому в медустанові або салоні це стосується не тільки пацієнтів (клієнтів), а й найнятих працівників підприємства, організації чи фізичної особи-підприємця, якщо вони працевлаштовані після 1 січня 2011 року.
   
   Ухилення від державної реєстрації бази персональних даних - тягне за собою накладення штрафу на посадових осіб, громадян-суб'єктів підприємницької діяльності - від п'ятисот до тисячі НМДГ (від 8500 до 17000 грн.).
   Недотримання встановленого законодавством порядку захисту персональних даних у базі персональних даних, яке призвело до незаконного доступу до них, тягне за собою накладення штрафу від трьохсот до тисячі НМДГ (від 5100 до 17000 грн.).
   
   Стаття 182 КК України передбачає кримінальну відповідальність, в т.ч. санкції у вигляді обмеження або позбавлення волі за незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу.
   З огляду на настільки серйозні санкції суб'єктам господарювання всіх форм власності рекомендується обов'язково зареєструвати до 1 січня 2012 року бази персональних даних. Причому слід пам'ятати, що на підприємстві може бути кілька таких баз.
   
   Як правильно організувати роботу з персональними даними фізичних осіб на підприємстві чи в організації
   
   Якщо на підприємстві або в організації збираються і обробляються персональні дані фізичних осіб, то вони зобов'язані дотримуватися вимоги, зазначені в Законі № 2297-VI. Для цього необхідно не тільки зареєструвати базу персональних даних. Ще до реєстрації бази необхідно встановити мету обробки вхідних в неї даних, призначити відповідальну особу, на яку покласти обов'язки щодо забезпечення захисту персональних даних, забезпечити одержання у письмовій формі згоди від фізичних осіб на обробку їх персональних даних. Поки нормативно чітко не встановлені вимоги до таких процедур, кожен суб'єкт самостійно визначає, що саме потрібно зробити для того, щоб привести свої бази персональних даних у відповідність до чинного законодавства.
   
   Стаття 24 Закону № 2297-VI визначає, що держава гарантує захист персональних даних. Усі суб'єкти правовідносин, пов'язаних з персональними даними, зобов'язані забезпечити захист таких даних від незаконної обробки, і також від незаконного доступу до них. Причому забезпечення захисту таких даних у базі персональних даних покладається на власника цієї бази.
   Фахівці Служби для забезпечення захисту на підприємстві (в організації) персональних даних рекомендують оформити ряд документів, зокрема таких як: Положення про бази персональних даних, Наказ про створення Бази персональних даних, Наказ про призначення відповідальної особи, Посадової інструкції відповідальної особи, Положення про конфіденційну інформації, Угода про нерозголошення конфіденційної інформації та ін