Базы персональных данных (12 марта 2012г.)

С 01 января 2011 года вступил в силу Закон Украины «О защите персональных данных» (далее Закон). Этот Закон был принят во исполнение условий Конвенции о защите лиц в связи с автоматизированной обработкой персональных данных от 28.01.1981 года (ратифицирована Украиной 06.07.2010 года).

Данным Законом «О защите персональных данных» были введены обязанности юридических лиц (всех форм собственности), физических лиц-предпринимателей, самозанятых лиц в отношении обращений с персональными данными.

персональные данные – сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано;

 

Исходя из анализа Закона к персональным данным относятся:

по природе сведений: объективные сведения о физическом лице (биоматематические данные, состояние банковского счета и тому подобное); субъективные сведения о физическом лице (автобиография,  характеристика, материалы аттестации, описание личных качеств физического лица, досье, и тому подобное);

по источникам сведений: сведения, которые содержатся в первичных и других источниках о физическом лице;

по способам обработки сведений: сведения в алфавитно-цифровом формате; сведения в графическом формате; сведения в фото- и кино-, аудио- и видеоформате и тому подобное;

по форме обработки сведений: сведения на бумажных носителях; сведения на электронных носителях; сведения на магнитных носителях; сведения на оптических носителях и тому подобное;

по связи с физическим лицом: сведения, которые касаются физического лица непосредственно (личное дело работника, запись в базе данных медицинского заведения, банковский счет  физического лица и тому подобное);

сведения, которые касаются физического лица опосредствовано (регистрационная запись о праве собственности на объект недвижимого имущества, записи видеонаблюдения в общественных местах, записи о техническом обслуживании автомобиля и тому подобное).

по требованиям к обработке сведений:

сведения, относительно которых применяются общие требования обработки в соответствии с Законом (фамилия, имя и отчество, дата и место рождения, гражданство, местожительство, личные сведения (возраст, пол, семейное положение, и тому подобное), состав семьи, образование, профессия, финансовая информация, электронные идентификационные данные, запись изображений (фото, видео) и тому подобное);

сведения, относительно которых согласно  статье 7 Закона  применяются особые требования обработки (расовое или этническое происхождение, политические,   религиозные или мировоззренческие убеждения, членство, в политических партиях и профессиональных союзах, а также сведения, которые касаются здоровья или половой жизни и тому подобное);

Запрещается обработка персональных данных о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членство в политических партиях и профессиональных союзах, а также данных, которые касаются здоровья или половой жизни.

Это правило не применяется, если обработка персональных данных:

1) осуществляется при условии предоставления субъектом персональных данных однозначного согласия на обработку таких данных;

2) необходима для осуществления прав и выполнения обязанностей в сфере трудовых правоотношений в соответствии с законом;

3) необходима для защиты интересов субъекта персональных данных или другого лица в случае недееспособности или ограничения гражданской дееспособности субъекта персональных данных;

4) осуществляется религиозной организацией, общественной организацией мировоззренческой направленности, политической партией или профессиональным союзом, что созданные в соответствии с законом, при условии, что обработка касается исключительно персональных данных членов этих объединений или лиц, которые поддерживают постоянные контакты с ними в связи с характером их деятельности, и персональные данные не передаются третьему лицу без согласия субъектов персональных данных;

5) необходима для обоснования, удовлетворения или защиты правовых требований;

6) необходима в целях здравоохранения, для обеспечения заботы или лечения при условии, что такие данные обрабатываются медицинским работником или другим лицом заведения здравоохранения, на которого возложены обязанности относительно обеспечения защиты персональных данных;

7) касается обвинений в совершении преступлений, приговоров суда, осуществления государственным органом полномочий, определенных законом, относительно выполнения заданий оперативно – розыскной или контрразведывательной деятельности, борьбы с терроризмом;

8.) касается данных, которые были обнародованы субъектом персональных данных.

В соответствии с Законом Украины «О защите персональных данных» (дальше – Закон) владелец базы  персональных данных –  физическое или юридическое лицо,  которому законом или по согласию  субъекта  персональных данных предоставлено  право  на  обработку этих данных,  которая утверждает цель обработки персональных данных в этой базе данных, устанавливает состав этих данных и процедуры их обработки, если другое не определенно законом.

Владелец  базы  персональных данных может поручить обработку персональных данных распорядителю базы персональных в соответствии с договором в письменной форме.  Распорядитель базы  персональных данных –  физическое или юридическое лицо, которому владельцем базы персональных данных, на основании договора в письменной форме, или законом предоставлено право обрабатывать эти данные.

В соответствии с требованиями Закона обработка персональных данных должна осуществляться для конкретных и законных целей, определенных при согласии субъекта персональных данных, или в случаях, предусмотренных законами Украины, в порядке установленном законодательством. Кроме того, владелец базы/баз персональных данных должен:

•           определить и утвердить цель обработки персональных данных в базах персональных данных,

•           установить состав персональных данных,

•           установить процедуру обработки персональных данных.

•           определить ответственное лицо/структурное подразделение, ответственное за организацию процессов по обработки персональных данных,

•           осуществить регистрацию баз персональных  данных.

 

Регистрация база персональных данных:

База персональных данных подлежит государственной регистрации путем внесения соответствующей записи уполномоченным государственным органом по вопросам защиты персональных данных к Государственному реестру баз персональных данных.

Положение о Государственном реестре баз персональных данных и порядок его ведения утверждаются Кабинетом Министров Украины (ПКМУ № 616 от 25.05.2011 г.)

Регистрация баз персональных данных осуществляется по заявочному принципу путем сообщения.

Заявление о регистрации базы персональных данных подается владельцем базы персональных данных к уполномоченному государственного органа по вопросам защиты персональных данных (ГОЗПД).

Образец заполнения заявления на регистрацию базы персональных данных приведен http://zpd.gov.ua/dszpd/uk/publish/category/32518

Заявление должно содержать:

обращение о внесении базы персональных данных в Государственный реестр баз персональных данных;

информацию о владельце базы персональных данных;

информацию о наименовании и местонахождении базы персональных данных;

информацию о цели обработки персональных данных в базе персональных данных, сформулированную в соответствии с требованиями статей 6 и 7 данного Закона;

информацию о других распорядителях базы персональных данных;

подтверждение обязательства относительно выполнения требований защиты персональных данных, установленных законодательством о защите персональных данных.

После внесения в Реестр сведений о заявлении ей автоматически (с использованием программного обеспечения Реестра) присваивается регистрационный номер. При этом фиксируются дата и время регистрации заявления.

ГОЗПД сообщает заявителю не позже следующего рабочего дня со дня поступления заявления о ее получении. В сообщении указываются дата и регистрационный номер записи о заявлении в Реестре, а также дата обращения за получением свидетельства или сообщения об отказе в регистрации.

ГОЗПД принимает в течение 10 рабочих дней со дня поступления соответствующего заявления решения о регистрации базы персональных данных путем издания ее владельцу свидетельства о государственной регистрации базы персональных данных или сообщения об отказе в регистрации, о чем вносит запись в Реестр.

 

Владелец базы персональных данных обязан сообщать ГОЗПД о каждом изменении сведений, необходимых для регистрации соответствующей базы, не позднее чем в течение десяти рабочих дней со дня наступления таких изменений.

 

Ответственность:

 

Законом Украины № 4343-vi от 13.-1.2012 года срок вступления в силу изменений в Кодекс Украины об административных правонарушениях, которыми устанавливалась ответственность в сфере персональных данных, был перенесен на 01.07.2012 года.

Вид ответственности Суть правонарушения Санкция
Административная Несообщение или несвоевременное сообщение субъекта персональных данных о его правах в связи с включением его персональных данных в базу персональных данных, цель сбора этих данных и лиц, которым эти данные передаются штраф на граждан от двухсот до трехсот н. м.д.г (от 3400 грн. до 5100 грн.)на должностные лица, граждан – субъектов предпринимательской деятельности – от трехсот до четырехсот н.м.д.г (от 5100 грн. до 6800 грн.)
Административная Несообщение или несвоевременное сообщение специально уполномоченного центрального органа исполнительной власти по вопросам защиты персональных данных об изменении сведений, которые подаются для государственной регистрации базы персональных данных штраф на граждан от ста до двухсот н.м.д.г (от 1700 грн. до 3400 грн.)на должностные лица, граждан – субъектов предпринимательской деятельности – от двухсот до четырехсот н.м.д.г (от 3400 грн. до 6800 грн.)
Административная Повторное нарушение (любое из указанных выше) на протяжении года штраф на граждан от трехсот до пятисот н.м.д.г (от 5100 грн. до 8500 грн.)на должностные лица, граждан – субъектов предпринимательской деятельности – от четырехсот до семисот н.м.д.г (от 6800 грн. до 11900 грн.)
Административная Уклонение от государственной регистрации базы персональных данных штраф на граждан от трехсот до пятисот н.м.д.г (от 5100 грн. до 8500 грн.)на должностные лица, граждан – субъектов предпринимательской деятельности – от пятисот до тысячи н.м.д.г (от 8500 грн. до 17000 грн.)
Административная Несоблюдение установленного законодательством о защите персональных данных порядка защиты персональных данных в базе персональных данных, что привело к незаконному доступу к ним штрафа от трехсот до тысячи н.м.д.г (от 5100 грн. до 17000 грн.)
Административная Невыполнение законных требований должностных лиц специально уполномоченного центрального органа исполнительной власти по вопросам защиты персональных данных относительно устранения нарушений законодательства о защите персональных данных штраф на должностные лица, граждан – субъектов предпринимательской деятельности от ста до двухсот н.м.д.г (от 1700 грн. до 3400 грн.)
Уголовная Незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о лице или незаконное изменение такой информации штраф от пятисот к одной тысяче н.м.д.г. или исправительными работами сроком до двух лет, или арестом сроком до шести месяцев, или ограничением воли сроком до трех лет
Уголовная Те же действия, совершенные повторно, или если они причинили существенный вред охраняемым законом правам, свободам и интересам лица арест на срок от трех до шести месяцев или ограничением воли на срок от трех до пяти лет, или лишением свободы на тот же срок.

 

Велта Ивина, адвокат.

Если у вас после прочтения возникли вопросы, замечания или пожелания, пишите на адрес v.ivina@kim.kharkov.ua