В яких випадках потрібна реєстрація баз персональних даних
Відповідно до ст.2 Закону України «Про захист персональних даних», база персональних даних (далі БПД) – це сукупність персональних даних в електронній або паперовій формі про фізичну особу, яка ідентифікована чи може бути конкретно ідентифікована. Такі відомості про фізичну особу можуть містити: П.І.Б, національність, місце і дату народження, релігійні, політичні переконання, інформацію про стан здоров’я, про склад сім’ї, майна, місце проживання, банківські рахунки, харектиристику.
Володілець бази персональних данних - фізична чи юридична особа, якій законом або за згодою суб’єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі персональних даних, встановлює склад цих даних та процедуру їх обробки, якщо інше не зазначено законом. Відповідно до визначення обробкою персональних даних можна вважати збір, реєстрацію, накопичення, зберігання, адаптування, зміни, відновлення, використання та розповсюдження (реалізація, передача), знищення відомостей про особу.
У відповідності до наданих роз’яснень Державною службою з питань захисту персональних даних кожен суб’єкт, який веде господарську діяльність, може мати базу персональних даних. В першу чергу це база працівників у роботодавців, тому що при працевлаштуванні працівник повідомляє роботодавцю свої паспортні данні, за допомогою яких можливо ідентифікувати особу. Також базою персональних баз даних може бути база клієнтів – фізичних осіб.
Відповідно до ч.6 ст. 6 Закону України «Про захист персональних даних» не допускається обробка даних про фізичну особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
Таким чином, навіть у випадку, якщо володілець бази даних не використовує вміщену в ній інформацію, а лише зберігає таку інформацію, він зобов’язаний отримати згоду на таку дію від людей, які є в базі .
РЕЄСТРАЦІЯ БАЗ ПЕРСОНАЛЬНИХ ДАНИХ
Відповідно до ч. 3 ст. 9 Закону України «Про захист персональних даних» реєстрації підлягають лише інформація про базу даних та її володільця, а не самі персональні дані.
В Положенні про Державний реєстр баз персональних даних та порядок його ведення, який був затверджений постановою Кабінету Міністрів України від 25 травня 2011 р. № 616 визначено, що до інформації про володільця бази персональних даних відноситься:
- найменування;
- резидент/нерезидент;
- код платника податків згідно з ЄДРПОУ або податковий номер (для резидента);
- місцезнаходження - для юридичних осіб, або прізвище, ім'я та по батькові;
- громадянство, номер, серія паспорта та орган, що його видав, а також для громадян України реєстраційний номер облікової картки платника податків;
- місце проживання - для фізичних осіб.
При реєстрації БПД необхідно зазначити:
- інформацію про найменування і місцезнаходження бази персональних даних;
- адреси фактичного розміщення - для баз даних у формі картотек;
- фактичних адрес зберігання носіїв інформації - для баз даних в електронній формі.
Особливу увагу при реєстрації баз персональних даних варто приділити інформації про мету обробки персональних даних у базі персональних даних з посиланням на нормативно-правові акти, положення, установчі чи інші документи, які регулюють діяльність володільця бази персональних даних, у тому числі про їх категорії та правові підстави такої обробки. Правильне зазначення мети обробки персональних даних є запорукою її державної реєстрації. Заявнику необхідно узгодити мету обробки даних із видами власної господарської діяльності. При внесенні інформації про особу до бази даних володілець зобов’язаний отримати згоду особи на таке внесення, для цього володілець повинен повідомити особі мету збору такої інформації. Мета збору інформації, яка повідомляється особі та мета, яка зазначається при реєстрації бази даних повинна бути однаковою. Задля цього володільцю перед реєстрацією бази персональних даних варто затвердити власні локальні акти по обробці такої інформації, а також сформувати порядок повідомлення такої мети особам.
Окрім інформації про володільця також необхідно вказати інформацію про розпорядників бази, тобто фізичну чи юридичну особу, яка є володільцем бази персональних даних або законом надано право обробляти ці дані.
Заявник також зазначає, що підтверджує зобов'язання стосовно виконання вимог законодавства щодо захисту персональних даних. Володільці баз персональних даних повинні розробити власні локальні акти, які детально визначають їх взаємовідносини із особами, чиї дані містяться в базах даних. Це, в першу чергу, необхідно для уникнення в подальшому проблем щодо незаконності обробки даних.
Реєстрація баз персональних даних є безкоштовною процедурою.
Слід пам’ятати, відповідно до вимог ст.7 Закону України «Про захист персональних даних» забороняється обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров'я чи статевого життя. Заборона на обробку персональних даних не застосовується за умов передбачених п.2 ст.7.
БПД реєструються в Державній службі з питань захисту персональних данних в Києві. Для реєстрації необхідно подати заяву про реєстрацію персональних баз даних до Державної служби з питань захисту персональних данних, затверджену наказом Міністерства юстиції від 08.07.11р. № 1824\5. Заяву можливо подати двома шляхами:
- В письмовому вигляді (заказним листом з описом вкладеного на поштову адресу: 02660, м.Київ, вул..Марини Раскової, 15);
- В електронному вигляді (в разі наявності електронного підпису згідно Закону України «Про електронний цифровий підпис»).
До заяви сама база персональних даних не додається, на кожну окрему БПД подається окрема заява. Про отримання заяви Державна служба з питань захисту персональних даних забов'язана сповістити заявника та видати свідоцтво на кожну БПД.
КОНТРОЛЮЮЧИЙ ОРГАН
Відповідно до Указу Президента України від 6 квітня 2011 року № 390 «Про Положення про Державну службу України з питань захисту персональних даних» центральним органом виконавчої влади, що забезпечує реалізацію державної політики у сфері захисту персональних даних – є Державна служба з питань захисту персональних даних.
Так відповідно до п.п.13,14 «Положення», Державна служба з питань захисту персональних даних наділена правом проводити планові та позапланові перевірки підприємств, організацій, фізичних осіб — підприємців і за їх результатами давати розпорядження щодо усунення порушень, а також накладати штрафні санкції на порушників.
ВІДПОВІДАЛЬНІСТЬ ЗА УХИЛЕННЯ ВІД РЕЄСТРАЦІЇ БАЗИ ПЕСОНАЛЬНИХ ДАНИХ
Адміністративна відповідальність
З 1 січня 2012 року набувають чинності зміни до Кодексу України про адміністративні правопорушення, які були внесені Законом України «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» № 3454-VI від 2 червня 2011 року.
Адміністративна відповідальність може наставати за наступні види діянь:
- неповідомлення або несвоєчасне повідомлення суб'єкта персональних даних про його права у зв'язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються;
- неповідомлення або несвоєчасне повідомлення спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних про зміну відомостей, що подаються для державної реєстрації бази персональних даних;
- ухилення від державної реєстрації бази персональних даних.
Таким чином, з 1 січня 2012 року відсутність реєстрації бази персональних даних є не лише порушенням встановленого обов’язку, але й адміністративним правопорушенням.
У випадку виявлення баз персональних даних, які не були зареєстровані на винних осіб може бути накладено штраф в розмірі від трьохсот до п'ятисот неоподатковуваних мінімумів доходів громадян (тобто від 5100 до 8500 грн.).
Інші розміри штрафних санкцій було визначено для посадових осіб юридичних осіб та фізичних-підприємців. Для такої категорії осіб розмір штрафних санкцій становить від п'ятисот до тисячі неоподатковуваних мінімумів доходів громадян, тобто від 8500 до 17000 грн.
Кримінальна відповідальність
Ст. 182 Кримінального кодексу України визначено, що незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації, крім випадків, передбачених іншими статтями цього Кодексу караються:
- штрафом від п'ятисот до однієї тисячі неоподатковуваних мінімумів доходів громадян (від 8500 до 17000грн) або;
- виправними роботами на строк до двох років;
- арештом на строк до шести місяців, або обмеженням волі на строк до трьох років.
Відповідно до ст.2 Закону України «Про захист персональних даних», база персональних даних (далі БПД) – це сукупність персональних даних в електронній або паперовій формі про фізичну особу, яка ідентифікована чи може бути конкретно ідентифікована. Такі відомості про фізичну особу можуть містити: П.І.Б, національність, місце і дату народження, релігійні, політичні переконання, інформацію про стан здоров’я, про склад сім’ї, майна, місце проживання, банківські рахунки, харектиристику.
Володілець бази персональних данних - фізична чи юридична особа, якій законом або за згодою суб’єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі персональних даних, встановлює склад цих даних та процедуру їх обробки, якщо інше не зазначено законом. Відповідно до визначення обробкою персональних даних можна вважати збір, реєстрацію, накопичення, зберігання, адаптування, зміни, відновлення, використання та розповсюдження (реалізація, передача), знищення відомостей про особу.
У відповідності до наданих роз’яснень Державною службою з питань захисту персональних даних кожен суб’єкт, який веде господарську діяльність, може мати базу персональних даних. В першу чергу це база працівників у роботодавців, тому що при працевлаштуванні працівник повідомляє роботодавцю свої паспортні данні, за допомогою яких можливо ідентифікувати особу. Також базою персональних баз даних може бути база клієнтів – фізичних осіб.
Відповідно до ч.6 ст. 6 Закону України «Про захист персональних даних» не допускається обробка даних про фізичну особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
Таким чином, навіть у випадку, якщо володілець бази даних не використовує вміщену в ній інформацію, а лише зберігає таку інформацію, він зобов’язаний отримати згоду на таку дію від людей, які є в базі .
РЕЄСТРАЦІЯ БАЗ ПЕРСОНАЛЬНИХ ДАНИХ
Відповідно до ч. 3 ст. 9 Закону України «Про захист персональних даних» реєстрації підлягають лише інформація про базу даних та її володільця, а не самі персональні дані.
В Положенні про Державний реєстр баз персональних даних та порядок його ведення, який був затверджений постановою Кабінету Міністрів України від 25 травня 2011 р. № 616 визначено, що до інформації про володільця бази персональних даних відноситься:
- найменування;
- резидент/нерезидент;
- код платника податків згідно з ЄДРПОУ або податковий номер (для резидента);
- місцезнаходження - для юридичних осіб, або прізвище, ім'я та по батькові;
- громадянство, номер, серія паспорта та орган, що його видав, а також для громадян України реєстраційний номер облікової картки платника податків;
- місце проживання - для фізичних осіб.
При реєстрації БПД необхідно зазначити:
- інформацію про найменування і місцезнаходження бази персональних даних;
- адреси фактичного розміщення - для баз даних у формі картотек;
- фактичних адрес зберігання носіїв інформації - для баз даних в електронній формі.
Особливу увагу при реєстрації баз персональних даних варто приділити інформації про мету обробки персональних даних у базі персональних даних з посиланням на нормативно-правові акти, положення, установчі чи інші документи, які регулюють діяльність володільця бази персональних даних, у тому числі про їх категорії та правові підстави такої обробки. Правильне зазначення мети обробки персональних даних є запорукою її державної реєстрації. Заявнику необхідно узгодити мету обробки даних із видами власної господарської діяльності. При внесенні інформації про особу до бази даних володілець зобов’язаний отримати згоду особи на таке внесення, для цього володілець повинен повідомити особі мету збору такої інформації. Мета збору інформації, яка повідомляється особі та мета, яка зазначається при реєстрації бази даних повинна бути однаковою. Задля цього володільцю перед реєстрацією бази персональних даних варто затвердити власні локальні акти по обробці такої інформації, а також сформувати порядок повідомлення такої мети особам.
Окрім інформації про володільця також необхідно вказати інформацію про розпорядників бази, тобто фізичну чи юридичну особу, яка є володільцем бази персональних даних або законом надано право обробляти ці дані.
Заявник також зазначає, що підтверджує зобов'язання стосовно виконання вимог законодавства щодо захисту персональних даних. Володільці баз персональних даних повинні розробити власні локальні акти, які детально визначають їх взаємовідносини із особами, чиї дані містяться в базах даних. Це, в першу чергу, необхідно для уникнення в подальшому проблем щодо незаконності обробки даних.
Реєстрація баз персональних даних є безкоштовною процедурою.
Слід пам’ятати, відповідно до вимог ст.7 Закону України «Про захист персональних даних» забороняється обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров'я чи статевого життя. Заборона на обробку персональних даних не застосовується за умов передбачених п.2 ст.7.
БПД реєструються в Державній службі з питань захисту персональних данних в Києві. Для реєстрації необхідно подати заяву про реєстрацію персональних баз даних до Державної служби з питань захисту персональних данних, затверджену наказом Міністерства юстиції від 08.07.11р. № 1824\5. Заяву можливо подати двома шляхами:
- В письмовому вигляді (заказним листом з описом вкладеного на поштову адресу: 02660, м.Київ, вул..Марини Раскової, 15);
- В електронному вигляді (в разі наявності електронного підпису згідно Закону України «Про електронний цифровий підпис»).
До заяви сама база персональних даних не додається, на кожну окрему БПД подається окрема заява. Про отримання заяви Державна служба з питань захисту персональних даних забов'язана сповістити заявника та видати свідоцтво на кожну БПД.
КОНТРОЛЮЮЧИЙ ОРГАН
Відповідно до Указу Президента України від 6 квітня 2011 року № 390 «Про Положення про Державну службу України з питань захисту персональних даних» центральним органом виконавчої влади, що забезпечує реалізацію державної політики у сфері захисту персональних даних – є Державна служба з питань захисту персональних даних.
Так відповідно до п.п.13,14 «Положення», Державна служба з питань захисту персональних даних наділена правом проводити планові та позапланові перевірки підприємств, організацій, фізичних осіб — підприємців і за їх результатами давати розпорядження щодо усунення порушень, а також накладати штрафні санкції на порушників.
ВІДПОВІДАЛЬНІСТЬ ЗА УХИЛЕННЯ ВІД РЕЄСТРАЦІЇ БАЗИ ПЕСОНАЛЬНИХ ДАНИХ
Адміністративна відповідальність
З 1 січня 2012 року набувають чинності зміни до Кодексу України про адміністративні правопорушення, які були внесені Законом України «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» № 3454-VI від 2 червня 2011 року.
Адміністративна відповідальність може наставати за наступні види діянь:
- неповідомлення або несвоєчасне повідомлення суб'єкта персональних даних про його права у зв'язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються;
- неповідомлення або несвоєчасне повідомлення спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних про зміну відомостей, що подаються для державної реєстрації бази персональних даних;
- ухилення від державної реєстрації бази персональних даних.
Таким чином, з 1 січня 2012 року відсутність реєстрації бази персональних даних є не лише порушенням встановленого обов’язку, але й адміністративним правопорушенням.
У випадку виявлення баз персональних даних, які не були зареєстровані на винних осіб може бути накладено штраф в розмірі від трьохсот до п'ятисот неоподатковуваних мінімумів доходів громадян (тобто від 5100 до 8500 грн.).
Інші розміри штрафних санкцій було визначено для посадових осіб юридичних осіб та фізичних-підприємців. Для такої категорії осіб розмір штрафних санкцій становить від п'ятисот до тисячі неоподатковуваних мінімумів доходів громадян, тобто від 8500 до 17000 грн.
Кримінальна відповідальність
Ст. 182 Кримінального кодексу України визначено, що незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації, крім випадків, передбачених іншими статтями цього Кодексу караються:
- штрафом від п'ятисот до однієї тисячі неоподатковуваних мінімумів доходів громадян (від 8500 до 17000грн) або;
- виправними роботами на строк до двох років;
- арештом на строк до шести місяців, або обмеженням волі на строк до трьох років.
