Цель этой статьи — ответить на вопрос, действительно ли необходимо каждому предприятию, организации и предпринимателю подавать заявление в госслужбу по вопросам защиты персональных данных заявление о регистрации баз персональных данных (БПД, бази персональних даних).
С 01.01.12 вступает в силу Закон Украины "О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных” от 02.06.2011 № 3454-VI. Законом предусмотрена административная ответственность (штрафы) за нарушения законодательства о защите персональных данных.
Виды нарушений и штрафы: Неуведомление (несвоевременное уведомление) субъекта персональных данных о его правах в связи с включением его персональных данных в базу, цель сбора данных и лиц, которым эти данные передаются — штраф до 300 НМДГ для граждан и от 300 до 400 — для должностных лиц и СПД; Неуведомление (несвоевременное уведомление) специально уполномоченного органа по вопросам защиты ПД об изменении ведомостей, которые подаются для гос-регистрации базы персональных данных — штраф от 100 до 200 НМДГ для граждан и от 200 до 400 НМДГ — для должностных лиц и СПД; Уклонение от регистрации базы персональных данных — штраф от 300 до 500 НМДГ для граждан и от 500 до 1000 НМДГ — для должностных лиц и СПД; Несоблюдение установленного законодательством порядка защиты ПД в базе, которое повлекло к незаконному доступу к ПД — от 300 до 1000 НМДГ; Невыполнение законных требований должностных лиц специально уполномоченного органа по вопросам защиты ПД — штраф от 100 до 200 НМДГ.
Соответствующие изменения внесены в ст. 188-39 и 188-40 КУоАП.
Для тех, на кого перечень штрафов произвел впечатление — в предыдущем сообщении приведена краткая инструкция по регистрации баз персональных данны: Вопрос регистрации баз персональных данных актуален сегодня для всех юридических лиц и физических лиц — СПД. Поэтому коротко и только о том, что необходимо сделать в первую очередь.
1. Какие базы необходимо регистрировать По мнению Госслужбы Украины по вопросам защиты персональных данных (которая является контролирующим органом в данной сфере в соответствии с Законом "О защите персональных данных” от 01.06.2010 № 2297-VI), каждое предприятие (предприниматель) или организация обязаны зарегистрировать как минимум две базы персональных данных:
1) базу персональных данных работников; Относительно прочей кадровой документации и отчетности: по мнению Госслужбы различные типы отчетов и форм, которые создаются на основании баз персональных данных и периодически подаются госорганам, не рассматриваются как отдельные базы персональных данных.
2) базу персональных данных клиентов. Отметим, что персональными данными являются данные только относительно физических лиц (включая СПД), поэтому клиенты – юридические лица в указанную базу не входят. Относительно необходимости получения согласия работников (клиентов) на обработку их персональных данных. В соответствии с Законом согласие субъекта персональных данных повторно не предоставляется, если владелец базы продолжает обработку данных в соответствии с правоотношениями на основании свободного волеизъявления физического лица, которые возникли до вступления в силу Закона (т.е. до 01.01.2011). Таким образом, получать согласие у работников и клиентов, правоотношения с которыми возникли до 01.01.2011 нет необходимости. Что касается лиц, правоотношения с которыми возникли после указанной даты, по мнению Госслужбы получение их согласия является обязательным. Относительно регистрации других баз персональных данных (БПД) необходимо учесть следующее. Согласно Закона владелец БПД (юр-лицо, физ-лицо – предприниматель) самостоятельно принимает решение о том, является ли та или иная совокупность персональных данных, которая находится в его владении, базой персональных данных. При этом следует исходить из определений персональных данных и базы персональных данных, приведенных в Законе: "персональні дані — відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована”; "база персональних даних — іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних”. Отметим, что согласно определению, база данных может существовать не только в электронной форме, но и в форме картотеки.
2. Как производится регистрация баз персональных данных в Украине Предусмотрено три способа, которыми производится регистрация баз персональных данных: 1. Отправка заявления в бумажной форме (образец заполнения) по адресу Госслужбы: 02660 м. Київ, вул. Марини Раскової, 15; 2. Отправка заявления по электронной почте register@zpd.gov.ua; 3. Заполнение заявления на сайте Госсреестра баз персональных данных — rbpd.informjust.ua. (см. инструкцию). При подаче заявления по электронной почте или через сайт Госсреестра необходимо соблюсти требования законодательства об электронной цифровой подписи. Получить сертификат ключа можно в аккредитованном центре сертификации ключей. Для тех, кто считает необходимым разобраться в вопросе защиты персональных данных глубже: см. FAQ на сайте Госслужбы Украины по вопросам защиты персональных данных. Телефон горячей линии Госслужбы Украины по вопросам защиты персональных данных: +38 044 517-89-66. По мнению автора, принимая взвешенное решение о том, следует ли вам подавать заявление о регистрации базы персональных данных, следует: Ответить на вопрос: являются ли имеющиеся в Вашем распоряжении персональные данные "іменованою сукупністю упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних";
Мнение автора: личные карточки работников еще не образуют картотеку. Название конечно созвучно, но понятия не тождественны. В случае, если ответ отрицательный: взвесить, хотите ли вы доказывать, а главное — способны ли вы доказать свою точку зрения в суде; В случае, если ответ положительный: дополнительно учесть, что по мнению госслужбы Украины по вопросам защиты персональных данных, каждое предприятие (предприниматель) или организация обязаны зарегистрировать как минимум две базы – базу работников и базу клиентов; Если вы изменили свою точку зрения: учесть, что регистрация базы персональных данных — это первый шаг для попадания в поле зрения еще одного проверяющего органа и первый шаг в для повышения риска быть привлеченным к ответственности по всем остальным пунктам ст. 188-39 и 188-40 КУоАП;
Примечание автора: если вы уже зарегистрировали БПД, у вас не остается шансов доказать, что персональные данные, находящиеся в вашем распоряжении, не образуют базу. Соответственно, у вас появляются обязанности уведомлять субъекта персональных данных (работника, клиента) о его правах, уведомлять госслужбу по вопросам защиты ПД об изменениях в регистрационных данных базы, обеспечивать защиту базы и выполнять законные требования должностных лиц госслужбы. И за невыполнение этих обязанностей предусмотрены санкции. Если вы еще раз изменили свою точку зрения: задуматься над тем, с какой целью написан закон, обязывающий (на первый взгляд) всех работодателей (имеющих более одного работника и компьютер) сообщать новому контролирующему органу совершенно очевидную и общеизвестную информацию.
Игорь Забута Есть ли жизнь после Налогового кодекса?
|