Новогодний подарок законодателей, или Что такое базы персональных данных и как с ними бороться

1617
23

Ни для кого не секрет, что с 01 января 2012 года вступают в силу новые статьи Уголовного кодекса и Кодекса Украины об административных правонарушениях относительно ответственности за нарушение требований Закона «О защите персональных данных».

Кто-то спросит: – А кому это вообще нужно?

Отвечаем: – Знать о базах персональных данных должны все, как руководители и собственники предприятий, так и простые граждане. Первым это необходимо, чтобы избежать драконовских штрафов и уголовной ответственности, вторым – чтобы знать свои права, передавая сведения о себе этим самым предприятиям. В любом случае, информация, изложенная в нашей статье, будет полезной, ведь, как говорится, «предупрежден — значит вооружен».

О чём этот Закон?

Если кратко, то этот закон призван упорядочить процедуру передачи, хранения и распространения персональных данных о человеке. Это означает, что данный Закон должен защитить интересы прежде всего физических лиц, граждан от несанкционированного распространения их персональных данных теми, кто в силу определённых обстоятельств такие данные получил.

Согласно Закону персональные данные – это сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано с помощью таких данных.

Совокупность сведений о физических лицах, собранных Вами в ходе ведения бизнеса, представляет собой уже не просто разрозненную информацию, а базу персональных данных.

Тут следует учесть, что требования закона не распространяются на сведения, которые собираются в личных, непрофессиональных целях, например, телефонный справочник, анкеты знакомых и т.д.

Владельцем базы персональных данных может быть как физическое лицо, так и юридическое лицо.

Если в числе Ваших клиентов есть физические лица, не важно, являются они предпринимателями или нет, то Вы уже являетесь владельцем одной базы данных, а именно – базы персональных данных своих контрагентов. Если Вы используете наёмный труд, то Вы становитесь владельцем ещё одной базы – базы персональных данных работников. Данные о работниках включают в себя сведения о возрасте, месте жительства, идентификационном номере и т.п. В ряде случаев, когда речь идет о хозяйственных обществах, учредителями (участниками) которых являются физически лица, предприятие обзаводится ещё одной базой данных – базой персональных данных учредителей (участников) предприятия.

Таким образом, юридическое лицо может владеть минимум тремя базами персональных данных. Физическое лицо двумя – базой контрагентов и базой работников.

Может статься так, что персональные данные будут храниться и в электронном, и в бумажном виде. В таком случае Закон указывает, что если цель сохранения сведений одна и та же, например, кадровый учёт, то, не взирая на способ хранения, совокупность таких сведений считается одной базой данных. Просто способ обработки данных в этой базе является смешанным.

Каждая база персональных данных подлежит государственной регистрации путем внесения соответствующей записи в Государственный реестр баз персональных данных. Никаких исключений по этому поводу Закон не содержит. Орган, призванный регистрировать базы данных называется Государственная служба Украины по вопросам защиты персональных данных. Она располагается по адресу 02660 г. Киев, ул. Марины Расковой, 15.

Непосредственно сама регистрация базы данных – это уже завершающий этап трудоемкой процедуры. Огромный массив работы должен быть проделан уже до подачи документов.

На сегодняшний день жёстких требований к таким «подготовительным» процедурам Закон не предъявляет и каждый вправе самостоятельно определить, что именно нужно сделать для того, чтобы привести свои базы персональных данных в соответствие с действующим законодательством.

Но, в целом, прежде чем регистрировать базы данных субъекты предпринимательской деятельности должны пройти ряд этапов.

Определить цели обработки персональных данных

Это надо сделать, поскольку они должны быть указаны при подаче заявления на регистрацию и, в связи с этим, определить количество баз персональных данных.

Законом предусмотрено, что цель обработки должна быть сформулирована в документах, которые регулируют деятельность владельца базы персональных данных. Такими документами являются нормативно-правовые акты, положения учредительных документов и т.д. В связи с этим, весьма вероятно появление требований внести в уставы предприятий специальные положения о базах персональных данных.

В таком случае вполне уместным будет издание руководителем предприятия приказа или принятие иного документа, которым будет определяться количество баз персональных данных, цель сбора таких данных, их содержание, объем и процедуру обработки. Необходимо будет также довести эти сведения до субъектов персональных данных, коими, как мы уже говорили, могут являться участники (учредители) предприятия, работники предприятия и контрагенты. Далее, следует получить от них предварительное письменное разрешение на обработку данных, которая может осуществляться в будущем, назначит работника – ответственное лицо, на которое будет возложена обязанность ведения и защиты созданных на предприятии баз персональных данных.

При этом, следует помнить, что в каждом случае изменения цели использования персональных данных, владелец базы должен повторно обратиться к субъекту персональных данных за получением согласия на использования информации о нем.

Решением вопроса может быть использование таких формулировок как, например, «с целью ведения хозяйственной деятельности», «с целью выполнения требований действующего законодательства», «для использования персональных данных в маркетинговых целях» и прочее.

Определить содержание персональных данных и процедуру их обработки

Содержание баз персональных данных должно соответствовать цели обработки таких данных. Персональные данные должны быть точными, достоверными и, в случае необходимости, обновляться. Объем персональных данных определяется условиями согласия субъекта персональных данных или в соответствии с законом.

Первичными источниками сведений о физическом лице являются выданные на его имя документы, подписанные им документы и сведения, которые о себе предоставляет лицо.

В определении процедуры обработки персональных данных важно уяснить вопросы, связанные с реализацией прав субъекта персональных данных и третьих лиц, а также организационные вопросы, такие как внедрение системы управления персональными данными, обеспечение текущего функционирования данной системы, оценка состояния обработки персональных данных и т.п.

Получение согласия субъектов персональных данных, будь-то работники или контрагенты на обработку их персональных данных в соответствии с уже определенной целью

Государственная служба по защите прав персональных данных настоятельно рекомендует потенциальным владельцам баз персональных данных получить письменное согласие работника/контрагента на использование его персональных данных. При этом такое согласие повторно не предоставляется, если владелец продолжает обрабатывать персональные данные субъекта данные им добровольно до вступления в силу Закона.

Иными словами, если трудовые или договорные отношения возникли до 01.01.2011, то после этой даты получать отдельное согласие работника/контрагента на использование его персональных данных нет необходимости. Получить согласие нужно только от тех работников, которые были приняты в 2011 году, и будут приниматься в последующем, а также от тех контрагентов, договоры с которыми были заключены в 2011 году, и будут заключаться в последующем.

Согласие работника может быть изложено в отдельном документе, составленном в произвольной форме, или путем указания об этом в заявлении о приеме на работу.

Обеспечение защиты персональных данных в соответствующей базе от незаконного доступа к ним и их незаконной обработки

Согласно Закону, защиту персональных данных обеспечивает государство, а также субъекты отношений, связанные с персональными данными, владельцы баз персональных данных, структурные подразделения или ответственные лица органов государственной власти, органов местного самоуправления, организаций, учреждений, предприятий всех форм собственности, физические лица-предприниматели, в том числе врачи, адвокаты, нотариусы.

Для обеспечения защиты персональных данных рекомендуем оформить ряд документов, таких как, Положение о базах персональных данных, Приказ о создании базы персональных данных, Приказ о назначении ответственного лица, Должностная инструкцию ответственного лица, Положение о конфиденциальной информации, Соглашение о неразглашении конфиденциальной информации и др. Составление указанных документов будет вполне логичным и достаточным поступком в свете требований нового Закона.

Регистрация баз в Государственном реестре баз персональных данных

С принятием Закона считается, что персональные данные даже одного физического лица уже должны охраняться. Поэтому, Государственная служба Украины по вопросам защиты баз персональных данных рекомендует регистрировать базы персональных данных, начиная с появлением первого лица в этой базе.

Существующая сегодня процедура регистрации баз персональных данных не требует и не предполагает передачи специально уполномоченному государственному органу самих персональных данных физических лиц.

При регистрации баз персональных данных не указывается информация о клиентах, персонале, контрагентах и т.д.

Фактически в Службу передаются лишь общие данные, такие как информация о цели сбора данных, предполагаемое количество лиц, которые предоставили или могут предоставить в будущем такую информацию, каким образом персональная информация будет храниться, может ли она передаваться третьим лицам и др. Такие сведения указываются в заявлении установленного образца. Форма заявления предполагает также довольно подробную информацию не только о самой базе, но и о лицах, ответственных за сбор, обработку, хранение и передачу таких данных.

Зарегистрировать базы персональных данных можно как лично, так и через своего представителя. Кроме того, документы можно направить ценным письмом с описью вложения. Однако обратите учтите, что отправка по почте заявления ещё не означает автоматической регистрацией базы данных.

Штрафы уже близко!

Начиная с 01 января 2012 года, законодательством предусматривается как административная, так и уголовная ответственность за нарушение законодательства в сфере защиты персональных данных.

Установлены довольно серьёзные административные штрафы — от 3 400,00 до 17 000,00 грн. Уголовная санкция также начинается со штрафов и оканчивается лишением свободы (!) на срок до 3-х лет.

Ответственность установлена за незаконный сбор, хранение, использование или распространение конфиденциальной информации о лице; незаконный сбор, регистрация, накопление, хранение, адаптация, изменение, восстановление, использование, уничтожение, распространение или передача конфиденциальной информации о лице третьим лицам с нарушением требований закона; уклонение от регистрации базы персональных данных, создание или работа с базами персональных данных до проведения регистрации таких баз данных; нарушение порядка доступа к персональным данным, которые обрабатываются в базах персональных данных, что повлекло разглашение этих данных или к их потере и другие нарушения.

Поскольку защита данных в базе персональных данных возлагается на владельца этой базы, то ответственность за нарушение данной обязанности будет возлагаться на него.

Учитывая столь серьезные санкции мы настоятельно рекомендуем Вам до 01 января 2012 отправить заявления о регистрации баз данных.

Как будет осуществляться контроль за соблюдением Закона?

В пределах своих полномочий Государственная служба Украины по вопросам защиты персональных данных имеет право проводить плановые и внеплановые проверки и по их результатами выдавать предписания об устранении нарушений, а также налагать штрафные санкции на нарушителей.

Таким образом, появился ещё один контролирующий орган, с которым предстоит познакомиться всем собственникам бизнеса, ведь, как ни крути, а минимум одну базу данных регистрировать всё же придется.

И в заключении хотелось бы сказать, что появление Закона «О защите баз персональных данных» несомненно усложнит жизнь всем, кто имеет хоть какое-то отношение к бизнесу, создаст массу конфликтных ситуаций. Характер нарушений, на наш взгляд, не соответствует тяжести предусмотренных наказаний. Излишняя строгость санкций может явиться косвенным, скрытым налогом на бизнес, что, безусловно, приведёт к росту коррупции и дополнительному напряжению в обществе и бизнес-среде.

Оставить комментарий

Комментарии | 23

  • Очень жаль что нет статьи за дискредитацию правовой системы. Авторы бы получили немалые сроки.

    UPD: авторы закона есесно

  • Фух, еле осилил. А что там с отсрочкой на полгода слышно?

  • Статья такая же общая, как и сам закон о базах персональных данных. Всю суть можно было бы уложить в пару абзацев: о системе штрафов и о том, что могло двигать авторами закона.

    • Одно слово — юристы. У них оплата почасовая — больше воды, больше бабла. Мне жена присылала «исследования» юристов их компании, там примерно то же самое. Слов много, смысла мало. ИМХО лучшая статья на эту тему была на AIN и вот тут (не реклама 🙂 ) 
      http://taxer.com.ua/blog/24

  • Непонятка с физлицами, например частное лицо (не СПД) владелец сайта где регистрируются пользователи им нужно что то подавать?

  • Клоуны. Закончится тем что все будут хранить базы в клаудах, притом в открытом виде 🙂

  • т.е. государство защищает личную информацию обычных людей, — так как это уже делают во всем мире -, а у нас это проф. юристы называют проблемами для бизнеса. Это не проблема для бизнеса, Илья! т.к. этот же закон защищает персональные данные собственников бизнеса.

  • Насколько я понял в статье, необходимо подавать данные с клиентами, то есть со всеми, кто производил хоть раз оплату на счет?

    • Нет, необходимо подать заявление о регистрации самой базы данных. Т.е. факта ее наличия. Без перечня сотрудников и контрагентов.

      Кратко:
      — Сообщаем, что по адресу такому-то находится база «Сотрудники», «Контрагенты» (это если говорить о среднестатистическом юрлице).
      — Сообщаем кто владелец базы (название юрлица), в общих чертах даем перечень того, что содержит база (ФИО, адрес проживания, номера телефонов, паспортные данные и прочее — это для базы «Сотрудники»). Это не значит, что необходимо передавать эти данные, это значит, что необходимо просто перечислить поля базы.

      Процедура регистрации факта наличия баз данных проста, и возможна в электронном виде, если есть ПО для установки цифровой подписи на документы (например MEDoc). Но таки да, все запутанно невероятно! При отсутствии того же «Медка», регистрировать базы выльется еще в тот геморрой.

  • Слати на йух і купувати зброю.

  • В общем, насколько я понял, если человек при регистрации на сайте указывает по желанию имя и фамилию, вводит логин, пароль и e-mail, и в дальнейшем эта информация используется исключительно в целях маркетинговых (например почтовая рассылка), то ничего делать не надо.

    • Желательно всё равно зарегистрировать так как нет конкретики в
      самом определении о «идентификации лиц», не указан перечень тех
      данных который определяет возможность идентификации человека. Если будет стоят
      цель признать нарушение то будут аргументировать такую возможность с помощью
      указанного логина, пароля, почты, прочее.
      Считаю что будет
      разумнее перестраховаться и зарегистрировать данного рода БПД.

    • Андрей, главное не забывать, что на ресурсе должно быть пользовательское соглашение, с которым пользователь должен соглашаться при регистрации. В виду того, что Закон  при обработке персональных данных обязывает получение согласия от физ. лица, то в таком пользовательском соглашении можно указать пункт, что при регистрации на ресурсе, регистрируемый пользователь дает свое согласие на обработку ПД в таких-то целях 😉
      А в отношение регистрации баз ПД, то соглашусь с Тарасом Прокопюком, лучше перестраховаться, а то в нашей стране проверяющим органам главное дать повод, а они там уже накажут без лишних слов и пыли 🙂
      Да, еще удивляет тот факт, что Автор статьи ничего не говорит о разъяснениях МинЮста в отношении практического применения Закона. А в этих разъяснениях указано, что «у випадку, якщо фізичні особи — підприємці укладають договори виконання робіт або надання послуг з фізичними особами, такі договори також не є базою персональних даних та не підлягають державній реєстрації». Таким образом, если вы физик и оказали услуги или выполнили работы физику, то на такие правоотношения не распространяется действие Закона и вы не обязаны создавать базы данных таких контрагентов и регистровать базы в предусмотренном порядке. 😉

Поиск