Корпорація рішень

Закону «Про захист персональних даних» надали роз’яснення

22.12.2011

Мін’юст роз’яснив деякі питання практичного застосування Закону України «Про захист персональних даних». Як відомо, Закон набрав чинності з 1 січня 2011 року, а вже з 1 січня 2012 року набирає чинності ще один Закон «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних». Тож, за порушення законодавства про захист персональних даних суб’єкти підприємницької діяльності притягуватимуться до адміністративної, а в деяких випадках, і до кримінальної відповідальності.

Відповідно до роз’яснень Міністерства юстиції, персональними даними є відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Законодавство України не встановлює чіткого переліку відомостей про фізичну особу, які є персональними даними. На думку парламентарів, це дозволить застосовувати Закон до різних ситуацій, які можуть виникнути при обробці персональних даних в майбутньому, у зв’язку зі зміною в технологічній, соціальній, економічній та інших сферах суспільного життя. В той же час, відсутність інформації про те, яка мінімальна сукупність відомостей дає можливість конкретно ідентифікувати особу та складає собою суть визначення «персональні дані» робить практичне застосування цього Закону проблемним. А, отже, відкриває можливість застосування до підприємців штрафних санкцій.

Так, неповідомлення або несвоєчасне повідомлення суб‘єкта персональних даних про включенням його персональних даних до бази, а також  мету збору цих даних та осіб, яким ці дані передаються – на громадян накладаються штрафи від двохсот до трьохсот неоподатковуваних мінімумів доходів громадян (НМДГ) а на посадових осіб і громадян – суб’єктів підприємницької діяльності – від трьохсот до чотирьохсот НМДГ.

Згідно із документом, недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них, – тягне за собою накладення штрафу відтрьохсот до тисячі НМДГ. Крім того, накладається штраф у разі «неповідомлення або несвоєчасне повідомлення спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних про зміну відомостей, що подаються для державної реєстрації бази персональних даних». У такому випадку на громадян накладається штраф від ста до двохсот НМДГ, а на посадових осіб і громадян – суб’єктів підприємницької діяльності – від двохсот до чотирьохсот НМДГ.

Ухилення від державної реєстрації бази персональних даних, – тягне за собою накладення штрафу на громадян від трьохсот до п‘ятисот НМДГ, а на посадових осіб і громадян – суб’єктів підприємницької діяльності від п‘ятисот до тисячі НМДГ.

Тож є привід замислитись та приділити увагу рекомендаціям Мін’юсту щодо практичного застосування цього Закону. Переглянемо найважливіші.

База персональних даних

«База персональних даних» – це іменована сукупність упорядкованих персональних даних в електронній формі або у формі картотек персональних даних (другий абзац статті 2 Закону). Тобто сукупність логічно пов’язаних даних про фізичних осіб, які зберігаються та обробляються відповідним програмним забезпеченням в електронній формі, або на паперових носіях інформації у формі картотек. При цьому картотекою персональних даних вважається будь-який структурований масив персональних даних, незалежно від того, чи є такий масив централізованим, децентралізованим або розділеним на функціональних або географічних засадах.

Наприклад, відповідно до статті 24 Кодексу законів про працю України громадянин при укладенні трудового договору зобов’язаний подати паспорт або інший документ, що посвідчує особу, трудову книжку, а у випадках, передбачених законодавством, – також документ про освіту (спеціальність, кваліфікацію), про стан здоров’я та інші документи. Таким чином, інформація про найманих працівників є базою персональних даних, оскільки, особові справи, трудові книжки, копії паспортів, документів про освіту зберігаються та (на підставі статті 24 Кодексу законів про працю України) обробляються роботодавцем.

Не є базою персональних даних

Дія Закону поширюється на всі види діяльності, пов’язані зі створенням баз персональних даних та їх обробкою, за винятком діяльності:

Фізичні особи-підприємці та самозайняті особи на власний розсуд визначають чи володіють вони базами персональних даних у сенсі Закону. У випадку, якщо фізичні особи – підприємці укладають договори виконання робіт або надання послуг з фізичними особами, такі договори також не є базою персональних даних та не підлягають державній реєстрації.

Володілець та розпорядник бази персональних даних

Володільцем бази персональних даних згідно з абзацом третім статті 2 Закону є фізична або юридична особа, якій законом або за згодою суб’єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних та процедуру їх обробки, якщо інше не визначене законом. «Практичним прикладом можуть бути відносини між юридичними особами та їх представництвами, філіями, відділеннями тощо. Так, у сенсі Закону ці представництва, філії, відділення виступатимуть розпорядниками баз персональних даних, володільцем яких є юридична особа», – зазначено у роз’ясненні мін’юсту.

Реєструвати чи ні

Відповідно до статті 9 Закону база персональних даних підлягає державній реєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних.

У випадку, якщо юридична особа, фізична особа – підприємець, самозайнята особа встановлює, що вона не обробляє персональні дані, обов’язок реєструвати базу персональних даних в такої особи відсутній.

Указ Президента України «Про затвердження Положення про Державну службу України з питань захисту персональних даних» від 6 квітня 2011 року визнає уповноваженим державним органом з питань захисту персональних даних – Державну службу України з питань захисту персональних даних. Одним із основних її завдань є також реєстрація баз персональних даних.

Як реєструвати

Реєстрація бази персональних даних здійснюється володільцем бази персональних даних за заявочним принципом. Суть цього принципу полягає в тому, що основним є подання заяви про реєстрацію бази персональних даних, а не отримання свідоцтва про державну реєстрацію. Тож, ключовим та визначальним є факт внесення відповідного запису Державною службою України з питань захисту персональних даних до Державного реєстру баз персональних даних.

Сайт Державного реєстру баз персональних даних https://rbpd.informjust.ua, на якому є можливість слідкувати за ходом державної реєстрації заяви в режимі он-лайн.

Оформлення заяви про реєстрацію

Заява про реєстрацію бази персональних даних подається володільцем такої бази або уповноваженим представником в паперовій або електронній формі. Вимоги до заповнення та порядок подання якої визначені постановою Кабінету Міністрів України «Про затвердження Положення про Державний реєстр баз персональних даних та порядок його ведення» від 25 травня 2011 року № 616 та наказом Міністерства юстиції України «Про затвердження форм заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних і порядку їх подання» від 8 липня 2011 року № 1824/5. Ознайомитися із вказаним наказом в електронному вигляді можна на сайті Верховної Ради України: http://zakon2.rada.gov.ua/laws/show/z0890-11.

Зокрема заява про реєстрацію бази персональних даних, що подається в електронній формі, повинна відповідати вимогам Законів України «Про електронний цифровий підпис» та «Про електронні документи та електронний документообіг». А саме: така заява повинна містити електронний підпис, що є обов’язковим реквізитом електронного документа та який накладається володільцем бази персональних даних для його ідентифікації Державною службою України з питань захисту персональних даних. Також заява про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних, повинна містити інформацію про мету обробки персональних даних з визначенням категорії їх обробки.

Категорія обробки персональних даних визначається володільцем бази персональних даних в залежності від вимог до обробки персональних даних, що встановлені статтями 6, 7 Закону та яких володілець бази персональних даних зобов’язаний дотримуватися.

Важливі моменти

Додаткової уваги потребує те, що володілець реєструє базу персональних даних, а саме надає відомості про неї, які включаються до Державного реєстру баз персональних даних, однак не передає Державній службі України з питань захисту персональних даних наявні в ній персональні дані.

Згідно частини 4 статті 9 Закону володілець бази персональних даних зобов’язаний повідомляти Державну службу України з питань захисту персональних даних про кожну зміну відомостей, необхідних для реєстрації бази персональних даних не пізніш ніж протягом 10 робочих днів з дня настання такої зміни.

Володілець бази персональних даних надсилає Державній службі України з питань захисту персональних даних заяву про внесення змін до відомостей необхідних для реєстрації, за формою встановленою наказом Міністерства юстиції України «Про затвердження форм заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних і порядку їх подання» від 8 липня 2011 року № 1824/5. Володілець позначає «видалити» тих відомостей заяви, які змінились. На заміну ним шляхом позначення «додати» володілець подає нові відомості.

Свідоцтво про внесення змін до відомостей, необхідних для реєстрації бази персональних даних не надається. Натомість, Державна служба приймає рішення про внесення змін до відомостей, необхідних для реєстрації бази персональних даних шляхом надсилання володільцю бази персональних даних листа, в якому повідомляє про прийняте рішення.

Для видалення бази персональних даних з Державного реєстру баз персональних даних, володілець такої бази направляє в Державну службу захисту персональних даних заяву про внесення змін до відомостей Державного реєстру баз персональних даних та позначає «вилучити» всі поля відомостей, які були внесені.

Чи потрібна згода суб’єкта персональних даних

Обробка персональних даних відповідно до частини 5 статті 6 Закону здійснюється за згодою суб’єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством.

Так, відповідно до абзацу п’ятого статті 2 Закону згодою суб’єкта персональних даних є будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки.

Обробка даних про фізичну особу без її згоди не допускається, крім випадків, визначених Законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

Згода повинна містити

Згідно з вимогами Закону згода суб’єкта персональних даних на обробку персональних даних повинна містити інформацію щодо:

Чи повідомляти суб’єкта про збір персональних даних

Однією зі складових процесу обробки персональних даних є їх збирання, що передбачає дії з підбору чи впорядкування відомостей про фізичну особу та внесення їх до бази персональних даних.

Так, згідно зі статтею 12 Закону володілець бази персональних даних протягом десяти робочих днів з дня включення персональних даних до бази персональних даних, що є дією зі збирання персональних даних, зобов’язаний повідомити суб’єкта персональних даних, виключно в письмовій формі, про його права, що визначені статтею 8 Закону, мету збору даних, яка визначається володільцем бази персональних даних, та осіб, яким будуть передаватися персональні дані.

Володілець бази звільняється від виконання вказаного обов’язку лише у разі, якщо персональні дані збираються ним із загальнодоступних джерел. Під визначенням «загальнодоступні джерела інформації», зокрема, розуміються друковані засоби масової інформації, засоби телерадіомовлення, інтернет-портали, публічні виступи та інші джерела інформації, до яких фізичні та юридичні особи мають вільний, необмежений чинним законодавством, доступ.

Обробка персональних даних фізичними особами-підприємцями та самозайнятими особами

Частиною 1 статті 24 Закону визначено, що фізичні особи-підприємці, у тому числі лікарі, які мають відповідну ліцензію, адвокати, нотаріуси особисто забезпечують захист персональних даних, якими вони володіють згідно з вимогами закону.

Контроль за додержанням законодавства про захист персональних даних

Здійснення контролю за додержанням законодавства про захист персональних даних відповідно до статті 23 Закону покладено на Державну службу України з питань захисту персональних даних.

Так, відповідно до підпункт 14 пункту 3 Положення про Державну службу України з питань захисту персональних даних, затвердженого Указом Президента України від 6 квітня 2011 року № 390, Державна служба України з питань захисту персональних даних здійснює контроль за додержанням законодавства про захист персональних даних шляхом проведення виїзних та безвиїзних перевірок володільців та (або) розпорядників баз персональних даних.

Також відповідно до підпункту 16 пункту 3 цього Положення Державна служба України з питань захисту персональних даних складає адміністративні протоколи про виявленні порушення законодавства у сфері захисту персональних даних.

Справи про адміністративні правопорушення у сфері захисту персональних даних розглядаються згідно зі статтею 221 Кодексу України про адміністративні правопорушення виключно районними, районними у місті, міськими чи міськрайонними судами.

Відповідальність за порушення законодавства

З метою забезпечення виконання громадянами, органами державної влади та місцевого самоврядування, підприємствами, установами організаціями незалежно від форми власності вимог Закону 2 червня 2011 року Верховною Радою України було прийнято Закон України «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних», яким доповнено Кодекс України про адміністративні правопорушення ст.188-39 і 188-40 та  який набирає чинності з 1 січня 2012 року.

Відповідно до цього закону громадяни, посадові особи, громадяни – суб’єкти підприємницької діяльності притягуються до адміністративної відповідальності за вчинення таких правопорушень:

1) неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних про його права у зв’язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються;

2) неповідомлення або несвоєчасне повідомлення спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних про зміну відомостей, що подаються для державної реєстрації бази персональних даних;

3) ухилення від державної реєстрації бази персональних даних;

4) недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них;

5) невиконання законних вимог посадових осіб спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних щодо усунення порушень законодавства про захист персональних даних.

За порушення недоторканості приватного життя, а саме за незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації винна особа притягується до кримінальної відповідальності.

 

Читайте також: