Ни для кого не секрет, что с 01 января 2012 года вступают в силу новые статьи Уголовного кодекса и Кодекса Украины об административных правонарушениях относительно ответственности за нарушение требований Закона «О защите персональных данных».

Кто-то спросит: – А кому это вообще нужно?

Отвечаем: – Знать о базах персональных данных должны все, как руководители и собственники предприятий, так и простые граждане. Первым это необходимо, чтобы избежать драконовских штрафов и уголовной ответственности, вторым – чтобы знать свои права, передавая сведения о себе этим самым предприятиям. В любом случае, информация, изложенная в нашей статье, будет полезной, ведь, как говорится, «предупрежден – значит вооружен».

О чём этот Закон?

Если кратко, то этот закон призван упорядочить процедуру передачи, хранения и распространения персональных данных о человеке. Это означает, что данный Закон должен защитить интересы прежде всего физических лиц, граждан от несанкционированного распространения их персональных данных теми, кто в силу определённых обстоятельств такие данные получил.

Согласно Закону персональные данные – это сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано с помощью таких данных.

Совокупность сведений о физических лицах, собранных Вами в ходе ведения бизнеса, представляет собой уже не просто разрозненную информацию, а базу персональных данных.

Тут следует учесть, что требования закона не распространяются на сведения, которые собираются в личных, непрофессиональных целях, например, телефонный справочник, анкеты знакомых и т.д.

Владельцем базы персональных данных может быть как физическое лицо, так и юридическое лицо.

Если в числе Ваших клиентов есть физические лица, не важно, являются они предпринимателями или нет, то Вы уже являетесь владельцем одной базы данных, а именно – базы персональных данных своих контрагентов. Если Вы используете наёмный труд, то Вы становитесь владельцем ещё одной базы – базы персональных данных работников. Данные о работниках включают в себя сведения о возрасте, месте жительства, идентификационном номере и т.п. В ряде случаев, когда речь идет о хозяйственных обществах, учредителями (участниками) которых являются физически лица, предприятие обзаводится ещё одной базой данных – базой персональных данных учредителей (участников) предприятия.

Таким образом, юридическое лицо может владеть минимум тремя базами персональных данных. Физическое лицо двумя – базой контрагентов и базой работников.

Может статься так, что персональные данные будут храниться и в электронном, и в бумажном виде. В таком случае Закон указывает, что если цель сохранения сведений одна и та же, например, кадровый учёт, то, не взирая на способ хранения, совокупность таких сведений считается одной базой данных. Просто способ обработки данных в этой базе является смешанным.

Каждая база персональных данных подлежит государственной регистрации путем внесения соответствующей записи в Государственный реестр баз персональных данных. Никаких исключений по этому поводу Закон не содержит. Орган, призванный регистрировать базы данных называется Государственная служба Украины по вопросам защиты персональных данных. Она располагается по адресу 02660 г. Киев, ул. Марины Расковой, 15.

Непосредственно сама регистрация базы данных – это уже завершающий этап трудоемкой процедуры. Огромный массив работы должен быть проделан уже до подачи документов.

На сегодняшний день жёстких требований к таким «подготовительным» процедурам Закон не предъявляет и каждый вправе самостоятельно определить, что именно нужно сделать для того, чтобы привести свои базы персональных данных в соответствие с действующим законодательством.

Но, в целом, прежде чем регистрировать базы данных субъекты предпринимательской деятельности должны пройти ряд этапов.

Определить цели обработки персональных данных

Это надо сделать, поскольку они должны быть указаны при подаче заявления на регистрацию и, в связи с этим, определить количество баз персональных данных.

Законом предусмотрено, что цель обработки должна быть сформулирована в документах, которые регулируют деятельность владельца базы персональных данных. Такими документами являются нормативно-правовые акты, положения учредительных документов и т.д. В связи с этим, весьма вероятно появление требований внести в уставы предприятий специальные положения о базах персональных данных.

В таком случае вполне уместным будет издание руководителем предприятия приказа или принятие иного документа, которым будет определяться количество баз персональных данных, цель сбора таких данных, их содержание, объем и процедуру обработки. Необходимо будет также довести эти сведения до субъектов персональных данных, коими, как мы уже говорили, могут являться участники (учредители) предприятия, работники предприятия и контрагенты. Далее, следует получить от них предварительное письменное разрешение на обработку данных, которая может осуществляться в будущем, назначит работника – ответственное лицо, на которое будет возложена обязанность ведения и защиты созданных на предприятии баз персональных данных.

При этом, следует помнить, что в каждом случае изменения цели использования персональных данных, владелец базы должен повторно обратиться к субъекту персональных данных за получением согласия на использования информации о нем.

Решением вопроса может быть использование таких формулировок как, например, «с целью ведения хозяйственной деятельности», «с целью выполнения требований действующего законодательства», «для использования персональных данных в маркетинговых целях» и прочее.

Определить содержание персональных данных и процедуру их обработки

Содержание баз персональных данных должно соответствовать цели обработки таких данных. Персональные данные должны быть точными, достоверными и, в случае необходимости, обновляться. Объем персональных данных определяется условиями согласия субъекта персональных данных или в соответствии с законом.

Первичными источниками сведений о физическом лице являются выданные на его имя документы, подписанные им документы и сведения, которые о себе предоставляет лицо.

В определении процедуры обработки персональных данных важно уяснить вопросы, связанные с реализацией прав субъекта персональных данных и третьих лиц, а также организационные вопросы, такие как внедрение системы управления персональными данными, обеспечение текущего функционирования данной системы, оценка состояния обработки персональных данных и т.п.

Получение согласия субъектов персональных данных, будь-то работники или контрагенты на обработку их персональных данных в соответствии с уже определенной целью

Государственная служба по защите прав персональных данных настоятельно рекомендует потенциальным владельцам баз персональных данных получить письменное согласие работника/контрагента на использование его персональных данных. При этом такое согласие повторно не предоставляется, если владелец продолжает обрабатывать персональные данные субъекта данные им добровольно до вступления в силу Закона.

Иными словами, если трудовые или договорные отношения возникли до 01.01.2011, то после этой даты получать отдельное согласие работника/контрагента на использование его персональных данных нет необходимости. Получить согласие нужно только от тех работников, которые были приняты в 2011 году, и будут приниматься в последующем, а также от тех контрагентов, договоры с которыми были заключены в 2011 году, и будут заключаться в последующем.

Согласие работника может быть изложено в отдельном документе, составленном в произвольной форме, или путем указания об этом в заявлении о приеме на работу.

Обеспечение защиты персональных данных в соответствующей базе от незаконного доступа к ним и их незаконной обработки

Согласно Закону, защиту персональных данных обеспечивает государство, а также субъекты отношений, связанные с персональными данными, владельцы баз персональных данных, структурные подразделения или ответственные лица органов государственной власти, органов местного самоуправления, организаций, учреждений, предприятий всех форм собственности, физические лица-предприниматели, в том числе врачи, адвокаты, нотариусы.

Для обеспечения защиты персональных данных рекомендуем оформить ряд документов, таких как, Положение о базах персональных данных, Приказ о создании базы персональных данных, Приказ о назначении ответственного лица, Должностная инструкцию ответственного лица, Положение о конфиденциальной информации, Соглашение о неразглашении конфиденциальной информации и др. Составление указанных документов будет вполне логичным и достаточным поступком в свете требований нового Закона.

Регистрация баз в Государственном реестре баз персональных данных

С принятием Закона считается, что персональные данные даже одного физического лица уже должны охраняться. Поэтому, Государственная служба Украины по вопросам защиты баз персональных данных рекомендует регистрировать базы персональных данных, начиная с появлением первого лица в этой базе.

Существующая сегодня процедура регистрации баз персональных данных не требует и не предполагает передачи специально уполномоченному государственному органу самих персональных данных физических лиц.

При регистрации баз персональных данных не указывается информация о клиентах, персонале, контрагентах и т.д.

Фактически в Службу передаются лишь общие данные, такие как информация о цели сбора данных, предполагаемое количество лиц, которые предоставили или могут предоставить в будущем такую информацию, каким образом персональная информация будет храниться, может ли она передаваться третьим лицам и др. Такие сведения указываются в заявлении установленного образца. Форма заявления предполагает также довольно подробную информацию не только о самой базе, но и о лицах, ответственных за сбор, обработку, хранение и передачу таких данных.

Зарегистрировать базы персональных данных можно как лично, так и через своего представителя. Кроме того, документы можно направить ценным письмом с описью вложения. Однако обратите учтите, что отправка по почте заявления ещё не означает автоматической регистрацией базы данных.

Штрафы уже близко!

Начиная с 01 января 2012 года, законодательством предусматривается как административная, так и уголовная ответственность за нарушение законодательства в сфере защиты персональных данных.

Установлены довольно серьёзные административные штрафы – от 3 400,00 до 17 000,00 грн. Уголовная санкция также начинается со штрафов и оканчивается лишением свободы (!) на срок до 3-х лет.

Ответственность установлена за незаконный сбор, хранение, использование или распространение конфиденциальной информации о лице; незаконный сбор, регистрация, накопление, хранение, адаптация, изменение, восстановление, использование, уничтожение, распространение или передача конфиденциальной информации о лице третьим лицам с нарушением требований закона; уклонение от регистрации базы персональных данных, создание или работа с базами персональных данных до проведения регистрации таких баз данных; нарушение порядка доступа к персональным данным, которые обрабатываются в базах персональных данных, что повлекло разглашение этих данных или к их потере и другие нарушения.

Поскольку защита данных в базе персональных данных возлагается на владельца этой базы, то ответственность за нарушение данной обязанности будет возлагаться на него.

Учитывая столь серьезные санкции мы настоятельно рекомендуем Вам до 01 января 2012 отправить заявления о регистрации баз данных.

Как будет осуществляться контроль за соблюдением Закона?

В пределах своих полномочий Государственная служба Украины по вопросам защиты персональных данных имеет право проводить плановые и внеплановые проверки и по их результатами выдавать предписания об устранении нарушений, а также налагать штрафные санкции на нарушителей.

Таким образом, появился ещё один контролирующий орган, с которым предстоит познакомиться всем собственникам бизнеса, ведь, как ни крути, а минимум одну базу данных регистрировать всё же придется.

И в заключении хотелось бы сказать, что появление Закона «О защите баз персональных данных» несомненно усложнит жизнь всем, кто имеет хоть какое-то отношение к бизнесу, создаст массу конфликтных ситуаций. Характер нарушений, на наш взгляд, не соответствует тяжести предусмотренных наказаний. Излишняя строгость санкций может явиться косвенным, скрытым налогом на бизнес, что, безусловно, приведёт к росту коррупции и дополнительному напряжению в обществе и бизнес-среде.