956 0

Базы персональных данных: что делать предпринимателям, чтобы не попасть под штраф

06.12.11

Интересно, что в последнее время люди все больше стремятся поделиться информацией о себе с окружающими, например, с помощью всевозможных соцсетей.

Однако нормы международного законодательства требуют совершенно иного — конфиденциальности. И в связи с тем что Украина пытается интегрироваться в мировое сообщество, свое законодательство она активно «подгоняет» под европейское.

Например, с 1 января 2011 года вступил в силу Закон Украины «О защите баз данных», который обязывает всех субъектов, аккумулирующих у себя данные о физлицах, не разглашать их и сообщать о них в специальный госорган — Государственную службу Украины по вопросам защиты персональных данных (далее — ГСЗПД).

Предприниматели также входят в число субъектов, обязанных «оберегать» персональные данные, а следовательно, им придется выполнять ряд требований, о которых пойдет речь в данной статье. Тем более что с 1 января 2012 года за невыполнение требований по защите баз персональных данных грозят весьма внушительные штрафные санкции.

Документы статьи

КЗоТ — Кодекс законов о труде Украины от 10.12.71 г.

КУоАП — Кодекс Украины об административных правонарушениях от 07.12.84 г. № 8073-Х.

УКУ — Уголовный кодекс Украины от 05.04.2001 г. № 2341-III.

Закон № 2297 — Закон Украины «О защите персональных данных» от 01.06.2010 г. № 2297-VI.

Положение № 616 — Положение о Государственном реестре баз персональных данных и порядке его ведения, утвержденное постановлением Кабинета Министров Украины от 25.05.2011 г. № 616.

Приказ № 1824 — приказ Министерства юстиции Украины «Об утверждении форм заявлений о регистрации базы персональных данных и о внесении изменений в сведения Государственного реестра баз персональных данных и порядка их предоставления» от 08.07.2011 г. № 1824/5.

 

О чем пойдет речь

Прежде всего в общих чертах введем наших читателей в курс дела. Так, с 1 января 2011 г. вступил в силу Закон № 2297, который предписывает субъектам хозяйствования, в том числе предпринимателям, «оберегать» данные, полученные от физлиц, и информировать специальный госорган об обработке таких сведений.

Кроме того, лица, чьи данные попадают в «чужие руки» после 01.01.2011 г., неважно, установлено это законодательством или нет, должны быть уведомлены об этом факте и его целях.

Поскольку, как это часто бывает, подзаконные акты в сфере защиты данных появились только летом (процедура информирования стартовала с 1 июля 2011 года), да и угроза наказания за невыполнение требований над предпринимателями не висела, то никто не торопился следовать Закону № 2297.

Теперь же ситуация в корне изменилась. Так, КУоАП и УКУ с 01.01.2012 г. за нарушение норм Закона № 2297 предусмотрена административная и даже уголовная ответственность и в немалых размерах, поэтому предприниматели должны четко выполнить нормы «защиты баз данных».

Далее поговорим обо всем по порядку.

 

Что такое базы персональных данных?

В статье2 Закона № 2297 даны определения ключевых понятий, от которых нужно отталкиваться. Так, персональные данные трактуются как сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано.

Проще говоря, это все те сведения, которые предприниматель получает от физических лиц, с которыми имеет дело в ходе своей деятельности, в том числе и те, которые он обязан получить по законодательству в виде документов или их копий (источников данных).

Совокупность упорядоченных по определенному признаку персональных данных в электронной форме и/или в форме картотек и будет являться базой персональных данных.

В понимании Закона № № 2297 предприниматель, работающий с физлицами, является владельцем базы персональных данных, а физлица — ее субъектами.

Использование данных физлиц в понимании Закона № 2297 обозначено термином обработка персональных данных: любое действие или совокупность действий, осуществленных полностью или частично в информационной (автоматизированной) системе и/или в картотеках персональных данных, которые связаны со сбором, регистрацией, накоплением, хранением, адаптированием, изменением, возобновлением, использованием и распространением (распространением, реализацией, передачей), обезличением, уничтожением сведений о физическом лице.

Также Законом № 2297 предусмотрено, что владелец базы персональных данных может поручить обработку персональных данных распорядителю базы персональных данных в соответствии с договором в письменной форме.

Приведем примеры получения персональных данных.

 

Пример 1. При заключении и регистрации трудового договора (приеме на работу) физлицо предоставляет работодателю и в центр занятости паспорт, трудовую книжку, если у работника она заполнена на предыдущих местах работы (кроме трудоустройства по совместительству), справку ГНИ о присвоении ИНН (при наличии).

Копии паспорта и справки остаются у работодателя.

Также согласно статье 24 КЗоТ работодателю были предоставлены документы об образовании (специальности, квалификации), о состоянии здоровья, автобиография и т. д.

 

Пример 2. При заключении ГП-договора, в том числе для необложения подрядчика-предпринимателя на едином налоге НДФЛ и ЕСВ, предприниматель-заказчик получил от него копии страниц паспорта с данными (ксерокопию), справки ГНИ о присвоении ИНН, Свидетельства единоналожника и извлечения из госреестра.

 

К базе персональных данных можно также отнести любой упорядоченный список, где бы указывались данные из квалификационных или прочих документов работников, номеров телефонов, список поставщиков (физлиц), клиентов и т. д. Получается, что под «защищаемые» базы данных попадают любые сведения о работниках: возраст, дата и место рождения, место жительства, ИНН, социальный статус, льготы (одинокие матери, «чернобыльцы» и т. д.).

Согласно Международной конвенции о защите лиц в связи с автоматизированной обработкой персональных данных термин «персональные данные» означает любую информацию, касающуюся конкретно определенного лица или лица, которое может быть конкретно определено справка 1.

На практике любые сведения о конкретном физическом лице можно в полной мере считать персональными данными.

Добавим, что по рекомендациям ГСЗПД сюда относится и отчетность, обрабатываемая работодателем. Но, по видимому, регистрировать такие базы должны будут органы, в которые она подается.

 

Как создаются базы данных у предпринимателя

Как правило, все сведения о работниках систематизируются в кадровой документации, но, как известно, предприниматели-работодатели не обязаны ее вести.

Поскольку теперь обязательной стала регистрация баз данных, предпринимателям все же придется завести произвольный кадровый документооборот (систематизировать базы данных).

На наш взгляд, предприниматели могут ограничиться описью документов (сведений), полученных от работника или стороннего физлица, и заполнением на каждого личной карточки (за образец можно взять утвержденную кадровую форму № П-2 справка 2).

Кроме того, рекомендуется разработать (оформить):

— организационные документы, например, приказ (распоряжение) о создании базы персональных данных, приказ (распоряжение) о назначении ответственного лица, соглашение о неразглашении конфиденциальной информации и др.;

— внутренний документ (положение), которым регламентируются цели создания базы персональных данных и основные правила по ее созданию.

Так, типовые цели обработки персональных данных приведены в проекте Типового порядка обработки персональных данных в базах персональных данных, среди которых, в частности, определены такие, как обеспечение реализации:

— трудовых отношений;

— административно-правовых (в том числе отношений в сфере государственного управления), налоговых отношений и отношений в сфере бухгалтерского учета.

 

Уведомляем и получаем согласие на обработку

Обратите внимание, что обработка персональных данных, а попросту их использование, проводится только с согласия работников в соответствии со сформулированной целью их обработки (статья 2 Закона № 2297).

В проекте Типового порядка обработки персональных данных в базах персональных данных указано, что формами предоставления согласия субъекта персональных данных являются:

— документ на бумажном носителе с реквизитами, что дает возможность идентифицировать этот документ и физическое лицо, например, заявление. Добровольное волеизъявление субъекта персональных данных удостоверяется его подписью;

— электронный документ, включая обязательные реквизиты документа, предоставляющие возможность идентифицировать этот документ и физическое лицо. Добровольное волеизъявление физического лица о предоставлении разрешения на обработку его персональных данных удостоверяется электронной подписью субъекта персональных данных;

— отметка на электронной странице документа или в электронном файле, обрабатываемом в информационной системе на основании документируемых программно-технических решений.

Вместе с тем такое письменное согласие на обработку персональных данных нужно получить от каждого работника (физлица), зачисленного в штат после 01.01.2011 г. То есть по работникам, зачисленным в штат до 01.01.2011 г. (до вступления в силу Закона № 2297), обработка информации (персональных данных) может продолжать осуществляться без повторного получения согласия от них (ответ на сайте ГСЗПДпо адресу http://zpd.gov.ua/indexDovidkaInfo.html).

Тем не менее такое согласие потребуется, если изменится, например, цель использования данных или начнут собираться новые данные (например, по работнику начнут отслеживать его Интернет-трафик, телефонные переговоры и т. д.).

 

ФЛП Петренко П. П.

продавца Сидоренко С. С.

заявление.

Согласно Закону Украины «О защите персональных данных» даю согласие на обработку моих персональных данных из первичных источников (в том числе паспортные данные, сведения из выданных на мое имя документов (об образовании, семейном положении, составе семьи и т. д.), сведения, которые предоставляю о себе) с целью обеспечения реализации трудовых, административно-правовых и налоговых отношений.

17.11.2011 г.

Сидоренко С. С.

 

В соответствии со статьей 12 Закона № 2297 субъект персональных данных в течение 10 рабочих дней со дня включения его персональных данных в базу персональных данных уведомляется о его правах, цели сбора данных и лицах, которым передаются его персональные данные, исключительно в письменной форме.

 

ФЛП Петренко П. П.

Уведомление продавцу Сидоренко С. С. согласно Закону Украины
«О защите персональных данных»

Ваши персональные данные, согласие на обработку которых дано в заявлении от 17 ноября 2011 года, включены в базу персональных данных ФЛП Петренко П.П., содержащую личную карточку и сведения в программе «ЧП».

Обработка персональных данных осуществляется для реализации трудовых и налоговых отношений.

В соответствии со статьей 8 Закона Украины «О защите персональных данных» у Вас есть право:

1) знать о местонахождении базы персональных данных, ее назначении и наименовании, местонахождении владельца или распорядителя этой базы;

2) получать информацию об условиях предоставления доступа к персональным данным, в частности третьим лицам;

3) на доступ к своим персональным данным;

4) получать не позднее чем за 30 календарных дней со дня поступления запроса, кроме случаев, предусмотренных законом, ответ о том, сохраняются ли Ваши персональные данные в соответствующей базе персональных данных, а также получать содержание Ваших персональных данных, которые сохраняются;

5) предъявлять мотивируемое требование об изменении или уничтожении своих персональных данных любым владельцем и распорядителем этой базы, если эти данные обрабатываются незаконно или являются недостоверными;

6) на защиту своих персональных данных от незаконной обработки и случайной потери, уничтожения, повреждения в связи с преднамеренным укрывательством, непредоставлением или несвоевременным их предоставлением, а также на защиту от предоставления сведений, которые являются недостоверными или позорят честь, достоинство и деловую репутацию физического лица;

7) обращаться по вопросам защиты своих прав относительно персональных данных к органам государственной власти и местного самоуправления, к полномочиям которых принадлежит осуществление защиты персональных данных;

8) применять средства правовой защиты в случае нарушения законодательства о защите персональных данных.

ФЛП Петренко П. П.

Сидоренко С. С. ознакомлен

25 ноября 2011 г.

 

Регистрация баз персональных данных

Теперь поговорим об обязательной процедуре, несоблюдение которой может грозить предпринимателям штрафными санкциями. Так, согласно статье 9 Закона № 2297 базы персональных данных подлежат государственной регистрации путем внесения ГСЗПД соответствующей записи в Государственный реестр баз персональных данных (Положение № 616).

Причем передавать (регистрировать) сами данные (все сведения) не нужно. Фактически передаются лишь общие данные о базе (картотеке), в частности информация о: цели сбора информации, предполагаемом количестве лиц, которые предоставили (или могут предоставить в будущем) такую информацию, каким образом персональная информация будет храниться, может ли она передаваться третьим лицам и др. То есть регистрируется не содержание базы (не сами персональные данные), а информация об этой базе.

Государственной регистрации подлежат все базы персональных данных в электронном виде и в картотеках, в которых обрабатываются персональные данные, независимо от объема и формы их использования, вида деятельности (о работниках, контрагентах-физлицах и т. д.). При этом по каждой базе данных, находящейся во владении заявителя, подается отдельное заявление.

Зарегистрировать базу персональных данных можно как лично, так и через представителя (к заявлению в бумажной форме просят прилагать электронную копию) по адресу: 02660 г. Киев, ул. М. Расковой, 15, каб. 1205 (тел: (044) 517-81-68). Также можно отправить заказное письмо с описью вложения или электронный документ с электронной цифровой подписью (ЭПЦ) на электронную почту ГСЗПД (e-mail: register@zpd.gov.ua). Однако сделать это могут только те предприниматели, которые являются клиентами акредитированных центров сертификации ключей, их список приведен на сайте ГСЗПД (http://zpd.gov.ua/indexServices.html).

Альтернативным вариантом является регистрация баз данных через Интернет на официальном сайте ГСЗПД: https://rbpd.informjust.ua (ЭПЦ).

Заявление на регистрацию базы подается на украинском языке, по форме, утвержденной приказом № 1824, и должно, в частности, содержать:

— информацию о владельце базы персональных данных, для физлица: ФИО, ИНН, адрес места жительства;

— информацию о наименовании и местонахождении базы персональных данных;

— информацию о цели обработки персональных данных в базе персональных данных, сформулированную в соответствии с требованиями статьей 6 и 7 Закона № 2297 (следует указывать все цели, с которыми используется база персональных данных).

При заполнении заявлений выбранные признаки отмечаются символом «х», даты заполняются арабскими цифрами в формате — день, месяц, год.

Не позднее следующего рабочего дня после приема заявления ГСЗПД сообщает дату и регистрационный номер записи о заявлении в реестре, а также дату, когда можно обратиться за свидетельством о регистрации. Решение о регистрации или отказе принимается на протяжении 10 рабочих дней. Отказать в регистрации ГСЗПД может, если сведения в заявлении являются неполными или недостоверными.

 

Ответственность за нарушения в сфере защиты данных

Отметим, что ГСЗПД наделена правом проводить плановые и внеплановые проверки предприятий, организаций, физических лиц — предпринимателей и по их результатами давать предписания об устранении нарушений, а также налагать штрафные санкции на нарушителей.

С 1 января 2012 года, как уже упоминалось, к нарушителям Закона № 2297 будут применяться санкции как административного, так и уголовного характера. Приведем их в таблице.

 

Норма

Состав нарушения

Санкция

Статья 18839 КУоАП

Неуведомление или несвоевременное уведомление субъекта персональных данных о его правах в связи с включением его персональных данных в базу персональных данных, о цели сбора этих данных и лицах, которым эти данные передаются

Штраф на граждан в размере 3400 — 5100 грн.;
на должностных лиц, граждан-предпринимателей — 5100 — 6800 грн.

Неуведомление или несвоевременное уведомление специально уполномоченного центрального органа по вопросам защиты персональных данных об изменении сведений, представляемых для государственной регистрации базы персональных данных

Штраф на граждан в размере 1700 — 3400 грн.;
на должностных лиц, граждан-предпринимателей — 3400 — 6800 грн.

Повторное на протяжении года совершение аналогичного нарушения лицом, уже привлекавшимся к административной ответственности

Штраф на граждан в размере 5100 — 8500 грн.;
на должностных лиц, граждан-предпринимателей — 6800 — 11900 грн.

Уклонение от государственной регистрации базы персональных данных

Штраф на граждан в размере 5100 — 8500 грн.;
на должностных лиц, граждан-предпринимателей — 8500 — 17000 грн.

Несоблюдение установленного законодательством о защите персональных данных порядка защиты персональных данных в базе персональных данных, что привело к незаконному доступу к ним

Штраф в размере 5100 — 17000 грн.

Статья 18840 КУоАП

Невыполнение законных требований должностных лиц специально уполномоченного центрального органа по вопросам защиты персональных данных по устранению нарушений законодательства о защите персональных данных

Штраф на должностных лиц, граждан и субъектов предпринимательской деятельности в размере 1700 — 3400 грн.

Статья 182 УКУ

Незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о лице или незаконное изменение такой информации, кроме случаев, предусмотренных другими статьями УКУ

Штраф 8500 — 17000 грн., или исправительные работы сроком до 2 лет, или арест сроком до 6 месяцев, или ограничение свободы сроком до 3 лет

Те же действия, совершенные повторно или если они причинили существенный вред охраняемым законом правам, свободам и интересам лица

Арест сроком от 3 до 6 месяцев, или ограничение свободы сроком от 3 до 5 лет, или лишение свободы на тот же срок

 

Справочная информация (справка)

1 На данное время разработан проект Типового порядка обработки персональных данных в базах персональных данных, которым конкретизированы персональные данные. К ним, в частности, относятся:

— объективные сведения о физическом лице (биоматематические данные, состояние банковского счета и т. п.);

— субъективные сведения о физическом лице (автобиография, характеристика, материалы аттестации, описание личных качеств физического лица, досье и т. п.);

— сведения, содержащиеся в первичных и других источниках о физическом лице и т. п.

2 Типовая форма первичного учета № П-2 «Личная карточка работника» утверждена совместным приказом Государственного комитета статистики Украины и Министерства обороны Украины от 25.12.2009 г. № 495/656.

 

51529.GIF

51530.GIF

51531.GIF



Помітили помилку? Виділіть її та натисніть Ctrl+Enter, щоб повідомити нас про це
загрузка...
Коментарі (0)