Головна / Статті / Регистрация БПД

Factor PRO

Неприбутковий звіт — 2025

Вікторія Матвєєва експерт з фінансових питань журналу «Бюджетна бухгалтерія»

03.02.25

3401 1

	Пн	Вт	Ср	Чт	Пт	Сб	Нд
05						01	02
06	03	04	05	06	07	08	09
07	10	11	12	13	14	15	16
08	17	18	19	20	21	22	23
09	24	25	26	27	28
10

06.07.12

2245 0

Друкувати

Обране

Регистрация БПД

Если субъект хозяйствования определился с тем, какие базы персональных данных им используются, он может приступить к следующему этапу — к их регистрации. Остановимся на тех вопросах, которые могут возникнуть во время его прохождения, подробнее.

Как подать заявление о регистрации БПД?

Какие существуют способы подачи заявления о регистрации базы персональных данных? Где можно взять бланк заявления о регистрации?

Для регистрации базы персональных данных необходимо подать заявление установленного образца в Государственную службу по вопросам защиты персональных данных. Форма заявления о регистрации базы персональныхданных утверждена приказом Минюста от 08.07.2011 г. № 1824/5 (см. на сайте www.nibu.factor.ua в разделе «Справочная» / «Нормативная база» / «Персональные данные»*).

* Если парламентом будет одобрен предложенный Кабмином законопроект (на что надеются практически все субъекты хозяйствования), скорее всего, изменится форма заявления о регистрации БПД, поскольку указанным законопроектом предусмотрена необходимость включения в него информации о составе обрабатываемых персональных данных, информации о третьих лицах, которым передаются персональные данные, информации о трансграничной передаче персональных данных.

Прежде всего отметим, что заполнение заявления о регистрации базы персональных данных не следует отождествлять с заполнением налоговой декларации либо налоговой накладной, где любое отступление от установленных в законодательстве правил либо рекомендаций налоговиков грозит непризнанием документа. Заявление о регистрации базы персональных данных носит исключительно информационный характер (чтобы с указанными в нем сведениями о владельце базы, ее наименовании и цели использования в последующем можно было ознакомиться в общедоступном Государственном реестре баз персональных данных https://rbpd.informjust.ua, задав наименование владельца базы либо ее регистрационный номер). Поэтому и к заполнению данного заявления предъявляются куда менее строгие требования, чем к налоговой отчетности и первичным документам. Но и к ним следует отнестись внимательно.

Утвержденный приказом Минюста от 08.07.2011 г. № 1824/5 Порядок подачи заявлений о регистрации базы персональных данных устанавливает такие требования:

— заявление заполняется на украинском языке разборчивыми печатными буквами и не должно содержать помарок, зачеркиваний и исправлений;

— при заполнении выбранный заявителем признак обозначается символом «х»;

— даты заполняются арабскими цифрами в формате — день, месяц, год;

— страницы заявлений нумеруются, на каждой странице указывается ее номер и общее количество страниц.

Подать заявление можно одним из следующих способов:

1. Заполнить заявление на сайте Государственного реестра баз персональных данных (https://rbpd.informjust.ua/), для этого необходимо:

— выбрать раздел «Створити заяву» (подраздел «Про реєстрацію БПД»);

— заполнить соответствующими сведениями все поля формы заявления, отмеченные звездочкой (*), остальные поля заполняются лишь в том случае, если заявитель хочет указать дополнительные сведения;

— как указывает сама Госслужба, для корректного ввода данных не следует использовать фрагменты текста, которые скопированы из других файлов. Вводить текст необходимо последовательно в поля веб-формы при помощи клавиатуры, используя для разграничения слов между собой клавишу «Space» («Enter») либо знаки «,», «.» и др.;

— внести контрольные символы с изображения, которое находится ниже всех полей формы заявления, и нажать кнопку «Сформувати заяву». Если указанные в форме заявления сведения являются корректными и контрольные символы с изображения внесены правильно, откроется страничка «Збереження файлу заяви» с уведомлением об успешном формировании файла заявления;

— на страничке «Збереження файлу заяви» нажать элемент «Зберегти файл заяви» (при этом сам файл заявления не открывайте) и сохранить файл заявления на локальном диске компьютера;

— подписать сохраненный на локальном диске компьютера файл заявления электронной цифровой подписью руководителя предприятия и сохранить подписанный файл заявления на локальном диске компьютера;

— выбрать пункт меню сайта «Подати заяву» и на открывшейся странице нажать на элемент «Подати заяву в електронному вигляді». Откроется новая страница, в которой при помощи кнопки «Обзор» необходимо указать путь на локальном диске и загрузить следующие файлы поочередно: сохраненный файл заявления (максимальный размер файла — 512 кБ, тип файла «Документ XML»); подписанный ЭЦП руководителя предприятия файл заявления (максимальный размер файла — 512 кБ, тип файла «Підписаний файл»); файл сертификата открытого ключа руководителя предприятия, предоставленный центром сертификации ключей (максимальный размер файла — 100кБ, тип файла «Сертифікат безпеки»);

— внести контрольные символы с изображения, которое находится ниже полей выбора файлов, и нажать кнопку «Подати заяву». Если указанные на странице файлы являются корректными и контрольные символы внесены правильно, заявление в электронном виде будет зарегистрировано в базе данных заявлений и передано Регистратору для рассмотрения.

Составленное на сайте заявление должно быть подписано с помощью электронной цифровой подписи (ЭЦП), полученной в одном из аккредитованных центров сертификации ключей.

2. Заполнить заявление в электронной форме (скачать форму заявления в удобном для заполнения формате можно на сайте Госслужбы, http://www.zpd.gov.ua/indexServices.html). Требования к подписанию заявления аналогичны приведенным выше правилам подписи заявления, заполненного на сайте Государственного реестра баз персональных данных. После заполнения файл заявления (тип файла «Документ XML»), подписанный ЭЦП руководителя предприятия файл заявления (тип файла «Підписаний файл»), файл сертификата открытого ключа руководителя предприятия, предоставленный центром сертификации ключей (тип файла «Сертифікат безпеки»), следует направить по адресу электронной почты register@zpd.gov.ua.

3. Заполнить электронную форму заявления и распечатать ее либо заполнить заявление от руки, после чего заявитель (это может быть руководитель либо иное уполномоченное им лицо) должен подписать каждую страницу заявления и скрепить ее печатью (при наличии). Составленное таким образом заявление направляется заказным письмом либо подается лично. Заявитель при этом должен быть готов предоставить сотрудникам Госслужбы документ, подтверждающий его полномочия.

Предупредим: некоторые из заявителей уже столкнулись с категорическими отказами сотрудников Госслужбы, не желающих перенабирать указанный в заявлениях текст, принимать заявления в бумажной форме без приложения к ним электронной копии. Безусловно, такие отказы ни на чем не основаны. Но, возможно, в данной ситуации более целесообразно пойти на уступки и вложить в конверт диск с заявлением в электронной форме (ЭЦП в данном случае не нужна) либо прихватить с собой флешку при подаче заявления лично.

Пример заполнения заявления см. в газете «Налоги и бухгалтерский учет», 2011, № 101, а также на сайте Госслужбы по защите персональных данных, где отдельно приведен пример заполнения заявления для юрлиц и отдельно для физлиц-предпринимателей (http://zpd.gov.ua/dszpd/uk/publish/category/32518).

Заполнение реквизитов заявления о регистрации БПД

На что обратить внимание при заполнении реквизитов заявления о регистрации базы персональных данных?

Заполняя раздел «Інформація про володільця бази персональних даних», следует обратить внимание на необходимость указания полного наименования юридического лица в соответствии с учредительными документами. В печатной форме заявления при указании кода ЕГРПОУ клеточки заполняются начиная с первой слева. Оставшиеся свободными клеточки прочеркиваются.

Реквизит «Реєстраційний номер облікової картки платника податків» предусмотрен на тот случай, если владельцем базы выступает физическое лицо, поэтому при подаче заявления юридическим лицом он не заполняется.

В реквизите «Місцезнаходження (для юридичної особи)/ місце проживання (для фізичної особи)» указывается место государственной регистрации, а не фактического местонахождения / места проживания. Фактическое местонахождение базы персональных данных, которое указывается отдельно, может как совпадать с местонахождением владельца базы, так и отличаться от него (к примеру, если фактически картотека либо электронная база персональных данных находятся в структурном подразделении юрлица).

При указании наименования базы персональных данных предприятие, как мы уже указывали, свободно в выборе любого наименования, которое будет в целом отражать характер тех персональных сведений, которые включены в такую базу. Предлагаемые Госслужбой варианты: «Працівники», «Клієнти», «Контрагенти» и прочее. Еще раз подчеркнем — приведенные варианты не являются обязательными для использования. Предприятие может указать любое удобное для использования в его деятельности наименование базы персональных данных.

Реквизит «Мета обробки персональних даних» предприятие также заполняет по своему усмотрению. Рекомендуемые Госслужбой формулировки мы приведем ниже.

Что касается реквизита «Правові підстави обробки персональних даних», то Государственная служба по вопросам защиты персональных данных указывает на необходимость указания в нем одного либо одновременно нескольких из следующих оснований:

1) согласие физического лица на использование его персональных данных;

2) разрешение на использование персональных данных, предоставленное владельцу базы нормативно-правовыми актами (указать, какими именно) для выполнения возложенных на него полномочий в пределах своей компетенции;

3) использование персональных данных в рамках правоотношений, возникших до вступления в силу Закона № 2297 на основании свободного волеизъявления физического лица.

На наш взгляд, если речь идет о базе персональных данных «Працівники», то в качестве правового основания использования персональных данных работников будет достаточно указать такие нормативно-правовые акты, как Кодекс законов о труде, Налоговый кодекс Украины, Закон о ЕСВ и другие акты законодательства, которые возлагают на работодателя обязанности, выполнение которых невозможно без использования персональных данных. Если работодатель не выходит при обработке персональных данных работников за пределы предоставленной ему компетенции, то получать отдельное разрешение от работников не обязательно. Впрочем, многие работодатели, учитывая настойчивые пожелания самой Госслужбы, берут со своих работников подписанные ими заявления о согласии на использование их данных в работе предприятия. Если предприятие заручилось подобным заявлением, то в качестве правовых оснований обработки персональных данных одновременно можно указать и согласие физического лица на использование его персональных данных, и разрешение на использование персональных данных, предоставленное владельцу базы нормативно-правовыми актами.

Большей части субъектов хозяйствования заполнять реквизит «Відомості про розпорядників бази персональних даних» не придется, поскольку использование персональных данных осуществляется ими, как правило, самостоятельно, без передачи сведений для обработки на договорных основаниях третьим лицам. Передача данных органам государственной власти (налоговой службе, органам Пенсионного фонда Украины и др.) либо местного самоуправления в рамках требований законодательства не считается предоставлением сведений распорядителю базы данных, а потому специального указания в заявлении не требует.

Вопросы вызывает такой реквизит, как «Відомості про заявника». Логично было бы указывать в нем информацию непосредственно о том лице, которое заявление подписывает и подает (если заявление подается в электронной форме, то информацию о директоре, если в бумажной — то о том лице, на которого возложена обязанность физически подать заявление в Госслужбу). Однако сама Госслужба в приведенном ею примере заполнения заявления в данном реквизите дублирует информацию о юридическом лице — владельце базы персональных данных. Причем, обратим внимание, что в данном реквизите есть отличия между формой заявления, размещенной на сайте Государственного реестра баз персональных данных (в ней требуется указать документ, которым лицо уполномочено на подачу заявления о регистрации), и бумажной формой заявления, в которой аналогичного требования нет.

Всего в утвержденной форме заявления пять страниц. Но четвертая и пятая заполняются только в том случае, если, к примеру, база данных передавалась нескольким распорядителям либо состоит из нескольких частей с разным местонахождением. Как правило, субъекты хозяйствования с такой ситуацией не сталкиваются, а потому им достаточно заполнить первые три страницы заявления. Если, например, у предприятия есть обособленное подразделение, название базы персональных данных которого совпадает с названием базы персональных данных головного предприятия (скажем, база персональных данных «Працівники» или «Абоненти» и т. п.), то Госслужба признает, что необходимости в отдельной регистрации нет, однако в разделе ІІ на четвертой странице заявления на регистрацию необходимо продублировать название базы персональных данных и указать местонахождение такого обособленного подразделения. Если же в обособленном подразделении ведется своя уникальная база персональных данных, по названию не совпадающая с базой персональных данных головного предприятия, то на нее составляется отдельное заявление о регистрации. В качестве владельца базы указывается головное предприятие, но в качестве местонахождения — адрес, по которому расположено обособленное подразделение.

Регистрация БПД является бесплатной

Вносится ли плата за регистрацию базы персональных данных?

Нет, регистрация осуществляется бесплатно (см. письмо Минюста от 05.01.2012 г. № 18633-0-33-11/6.1). Перечень административных услуг, которые бесплатно предоставляются Государственной службой Украины по вопросам защиты персональных данных, утвержден приказом Госслужбы от 30.12.2011 г. № 103. В него, в частности, входит и услуга по регистрации баз персональных данных, а также изменений к ним.

Некоторые субъекты хозяйствования обращаются к фирмам, оказывающим услуги по подготовке заявления для регистрации и передаче его на регистрацию в Госслужбу. По информации, размещенной в сети интернет, такие услуги стоят около 450 грн. за одну зарегистрированную БПД (хотя можно встретить и предложения оказать подобную услугу за более значительную сумму). Более того, именно такие фирмы активно нагнетают ажиотаж вокруг темы о БПД, призывая зарегистрировать как можно большее количество баз персональных данных. Впрочем, сама Госслужба по защите персональных данных, подчеркивая, что регистрация осуществляется бесплатно, призывает владельцев баз персональных данных подавать заявление о регистрации самостоятельно, без обращения к фирмам-посредникам, указывая на то, что, как показывает практика, в заявлениях, составленных такими фирмами, часто содержатся недостоверные сведения, что приводит к отказу в регистрации базы персональных данных (http://zpd.gov.ua/dszpd/uk/publish/article/41283).

Встречаются и случаи, когда субъект хозяйствования, к услугам никаких фирм не обращавшийся и самостоятельно подавший заявление о регистрации базы персональных данных, получает счет на оплату услуг по регистрации. Выставление таких счетов, без сомнений, правовых оснований не имеет. О их получении целесообразно сообщить правоохранительным органам.

На каждую БПД подается отдельное заявление

Если на предприятии несколько БПД, можно ли на них на все подать одно заявление о регистрации?

Нет, так поступить нельзя. На каждую базу персональных данных составляется и подается отдельное заявление о регистрации.

Получение согласия у клиентов на использование данных о них

Хотим зарегистрировать БПД «Клиенты» (каждый клиент заполняет анкету, в которой указывает ФИО, контактные данные, дату рождения; указанные сведения систематизируются). Надо ли нам у всех клиентов, сведения о которых на данный момент уже есть в Базе (это более тысячи человек), получать согласие на использование их данных? Если да, то как это сделать?

Закон № 2297 предусматривает два возможных основания возникновения права на использование персональных данных (ч. 1 ст. 11):

1) согласие субъекта персональных данных на обработку его персональных данных. Субъект персональных данных имеет право при предоставлении согласия внести оговорку в отношении ограничения права на обработку своих персональных данных;

2) разрешение на обработку персональных данных, предоставленное владельцу базы персональных данных в соответствии с законом исключительно для осуществления своих полномочий.

Поскольку сбор таких сведений о своих клиентах, как фамилия, имя, отчество, контактные данные, дата рождения и т. п., к полномочиям субъектов хозяйствования, предоставленным им действующим законодательством, не относится, на подобные действия необходимо получить согласие клиента, текст которого будет также информировать клиента о том, с какой целью собираются данные о нем и как они будут использоваться (ч. 5 ст. 6, ч. 1 ст. 10 Закона № 2297).

Наиболее простой и удобный способ испросить согласие клиента на предоставляемые им данные о себе — включить соответствующий пункт в саму анкету. В ней же может содержаться информация о правах клиента, предоставленных ему как субъекту персональных данных (ст. 8 Закона № 2297), с просьбой подтвердить, что клиент уведомлен о своих правах.

Что касается сведений, уже на данный момент полученных и используемых, то представители Госслужбы и Минюста указывают на необходимость заняться сбором согласий (в письменной форме) от каждого из субъектов персональных данных. Правда, понимая всю сложность подобной задачи, они соглашаются с тем, что ее реализация потребует достаточно большого количества времени.

Главное, чтобы в этом направлении велась соответствующая работа. В этом случае действия владельца базы персональных данных не будут считаться нарушающими права субъектов персональных данных. В качестве временного компромиссного варианта субъект хозяйствования может ограничиться уведомлением, размещенном в торговых точках либо пунктах обслуживания (уведомление может быть размещено также на сайте субъекта хозяйствования при его наличии), в котором содержалась бы информация о том, с какой целью и каким образом используются предоставленные клиентами данные о них, состав этих данных, а также права субъектов персональных данных, в том числе право в случае несогласия на использование таких данных заявить об этом любым удобным для клиента способом.

Сведения, составляющие БПД, в заявление о ее регистрации не включаются

Надо ли включать сведения, входящие в БПД, в заявление о ее регистрации?

Нет, сами персональные данные в заявление не включаются, а потому Госслужба ими не обладает. Ее информируют лишь о том, какая именно база персональных данных есть у субъекта хозяйствования, с какой целью она создана, какие правовые основания для ее использования.

Особенности указания цели использования БПД

Как заполнить такой реквизит заявления о регистрации базы персональных данных, как «Цель обработки персональных данных»?

Данный реквизит, как показывает практика, вызывает наибольшие сложности у субъектов хозяйствования при заполнении заявления о регистрации базы персональных данных.

Приведем рекомендуемые Госслужбой формулировки:

«Обеспечение реализации трудовых отношений, административно-правовых, налоговых отношений и отношений в сфере бухгалтерского учета и аудита, отношений в сфере управления человеческими ресурсами, отношений в сфере экономических, финансовых услуг, отношений в сфере рекламы, отношений в сфере телекоммуникационных услуг, отношений в сфере общественной, политической и религиозной деятельности, отношений в сфере культуры, досуга, спортивной и социальной деятельности, отношений в сфере образования, отношений в сфере охраны здоровья, отношений в сфере безопасности, отношений в сфере транспорта, отношений в сфере науки, исторических исследований и статистики и т. п.».

Предложенная формулировка является ориентировочной. Субъект хозяйствования, используя ее как пример, может выработать подходящую к его специфике деятельности формулировку. Например:

«Обробка персональних даних здійснюється з метою забезпечення реалізації трудових відносин, податкових відносин та відносин у сфері бухгалтерського обліку відповідно до вимог Кодексу законів про працю України, Податкового кодексу України, Законів України «Про збір та облік єдиного внеску на загальнообов’язкове державне соціальне страхування», «Про зайнятість населення», «Про відпустки», «Про оплату праці» тощо.

Здійснюється обробка персональних даних фізичних осіб такого складу: 1) ідентифікаційні дані: прізвище, ім’я та по батькові; індивідуальний податковий номер; 2) особисті відомості: вік, стать, сімейний стан, склад сім’ї; 3) відомості щодо освіти, професії, спеціальності, кваліфікації; 4) дані щодо наявності або відсутності пільг, встановлених законодавством про працю та податковим законодавством; 5) дані щодо встановлення інвалідності та стану здоров’я».

Определение количества БПД — по усмотрению субъекта хозяйствования

Юрлицо, использующее труд наемных работников, собирается зарегистрировать базу персональных данных «Работники». Какую базу необходимо регистрировать, если на предприятии работают в том числе инвалиды? Надо ли на них регистрировать отдельную БПД?

В данной ситуации может быть зарегистрирована одна база персональных данных «Работники»). Но, как мы уже указывали: решение о том, какие именно базы персональных данных используются субъектом хозяйствования, принимаются им самостоятельно. Поэтому не будет ошибкой и регистрация двух баз персональных данных, которые, к примеру, могут иметь такие названия: база персональных данных «Работники, имеющие инвалидность», если сведения о них систематизируются отдельно, и база персональных данных «Работники».

Сотрудники предприятия распорядителями БПД не являются

Надо ли в заявлении о регистрации базы персональных данных в качестве распорядителя БПД указывать начальника кадровой службы или, например, главного бухгалтера либо других должностных лиц, служебные обязанности которых связаны с использованием персональных данных физических лиц (начисление заработной платы, ведение личных дел сотрудников, составление договоров и т. п.)?

Нет, перечисленные лица не считаются распорядителями баз персональных данных. Таким распорядителем может быть лишь самостоятельный субъект хозяйствования. Лица, которые состоят в трудовых отношениях с владельцем базы персональных данных и используют их в рамках своих трудовых обязанностей, распорядителями не являются.

Порядок исправления ошибок в заявлении о регистрации БПД

Обнаружили ошибку в заявлении о регистрации БПД (неправильно указан контактный телефон) уже после того, как заявление на регистрацию было отправлено. Как исправить ошибку?

Все возможные ошибки условно можно разделить на две категории: те, которые могут повлечь отказ в регистрации заявления (например, неуказание обязательной для заполнения информации либо, если направляется электронная форма заявления, неприложение сертификата безопасности), и те, которые к отказу в регистрации базы персональных данных не приведут, но в результате в Государственном реестре баз персональных данных будет указана недостоверная информация.

Такой специальной процедуры, как исправление ошибок в заявлении о регистрации базы персональных данных ни Закон № 2297, ни подзаконные нормативно-правовые акты, ни даже Госслужба в своих неофициальных разъяснениях не предлагают. Следовательно, субъектам хозяйствования придется принимать для себя решение самостоятельно о наиболее надежном варианте поведения в этой ситуации.

Итак, если обнаружена ошибка, которая, как можно предположить, скорее всего, приведет к отказу в регистрации базы персональных данных, варианта дальнейших действий два:

1. Направить повторное заявление о регистрации базы персональных данных (к нему можно приложить пояснительную записку, составленную в произвольной форме, в которой объяснить причину направления такого повторного заявления). Если все сложится, как предполагает субъект хозяйствования, то в регистрации по первоначальному заявлению ему должно быть отказано, а по повторному база будет зарегистрирована. Никакого задвоения информации не создастся. Все требования Закона № 2297 будут выполнены.

2. Дождаться решения Госслужбы по результатам рассмотрения первоначального заявления (отметим, что на данный момент, по признанию самих представителей Госслужбы, обрабатываются заявления, полученные в середине декабря) и если будет получен отказ, направить новое заявление, исправив указанные Госслужбой недочеты. По нашему мнению, угрозы привлечения к ответственности за уклонение от государственной регистрации базы персональных данных в этом случае не будет, поскольку субъект хозяйствования предпринимает зависящие от него меры для осуществления регистрации базы персональных данных, информацию о том, что им такая база используется, не скрывает.

Другая ситуация складывается в том случае, если заявление оформлено правильно, но в нем, как выяснилось уже после его подачи, были указаны ошибочные сведения (например, в отношении владельца базы либо в отношении ее местонахождения). Данная ситуация законодательством также не урегулирована. Мы, со своей стороны, можем, предложить два возможных варианта действий:

1. Если база персональных данных еще не зарегистрирована, направить «вдогонку» правильно заполненное заявление, обязательно указав в пояснительной записке к нему основания повторной подачи заявления с просьбой считать ранее поданное заявление отозванным.

2. Дождаться решения по первоначально поданному заявлению (не исключено, что в нем все-таки будут выявлены недочеты и в регистрации будет отказано). Если по нему база персональных данных будет зарегистрирована, то, на наш взгляд, наиболее правильным будет направление заявления о внесении изменений в сведения Государственного реестра баз персональных данных (форма соответствующего заявления утверждена тем же приказом Минюста от 08.07.2011 г. № 1824/5).

Зарегистрирована или нет: как узнать?

Как узнать, зарегистрирована ли база персональных данных согласно поданному предприятием заявлению?

Следует сказать, что Государственной службе по вопросам защиты персональных данных Законом № 2297 предоставлен срок в 10 рабочих дней со дня поступления заявления на регистрацию базы персональных данных, о чем владельцу выдается свидетельство утвержденного образца (законопроектом Кабмина, который сейчас находится на рассмотрении парламента, предлагается этот срок продлить до 30 рабочих дней). Однако, учитывая наплыв заявлений, Госслужба сама признает, что физически вложиться в установленные сроки не может (согласно Отчету о выполнении годового плана работы Государственной службы Украины по вопросам защиты персональных данных за первый квартал 2012 года в течение квартала зарегистрировано 6427 баз персональных данных, при том что заявлений о регистрации БПД в течение квартала принято 859765). Тем, кто подавал заявление о регистрации во второй половине декабря и позже, можно пока не переживать по поводу того, почему до сих пор (по прошествии вот уже более чем шести месяцев) не получено свидетельство о регистрации БПД. Объяснение простое: до заявления еще попросту не дошла очередь.

Отслеживать судьбу поданного заявления можно следующим образом:

— после регистрации заявления, если оно составлялось на сайте Государственного реестра баз персональных данных, прямо на сайте отражается соответствующее уведомление с регистрационным номером заявления и кодом доступа для дальнейшего поиска заявления и получения информации о состоянии его обработки; если заявление направлялось по электронной либо по обычной почте с указанием электронного адреса заявителя, то на такой электронный адрес также должны быть направлены регистрационный номер и код доступа к информации о заявлении;

— по регистрационному номеру можно получить информацию об одном из таких состояний обработки заявления:

а) «Зареєстровано» (заявление зарегистрировано в Реестре);

б) «Відмовлено» (принято решение об отказе в регистрации базы персональных данных; при этом на почтовый адрес предприятия направляется письмо с указанием причин отказа в регистрации; исходя из текста Закона № 2297, можно сделать вывод, что единственным основанием для отказа в регистрации базы может быть неуказание в заявлении требуемой информации либо ее предоставление неуполномоченным субъектом; по нашему мнению, к должностным лицам субъекта хозяйствования в случае отказа в регистрации базы персональных данных административные штрафы как за нерегистрацию либо уклонение от регистрации баз персональных данных применяться не должны, при условии, что указанные Госслужбой недостатки в заявлении будут устранены и заявление снова направлено с целью регистрации базы данных; факт подачи заявления о регистрации базы персональных данных указывает на отсутствие такого правонарушения, как уклонение от госрегистрации БПД // см. разъяснение Госслужбы от 29.05.2012 г. http://zpd.gov.ua/dszpd/uk/publish/article/41283);

в) «Прийнято рішення про реєстрацію» (выдается Свидетельство о регистрации базы персональных данных, которое, если в заявлении о регистрации была сделана соответствующая отметка, направляется на почтовый адрес субъекта хозяйствования — владельца базы, если отметка проставлена не была — то за Свидетельством уполномоченному сотруднику субъекта хозяйствования придется явиться в Госслужбу лично).

Дополнительная контактная информация Государственной службы по вопросам защиты персональных данных (начальник управления регистрации баз персональных данных Кривда Светлана Геннадиевна): тел: (044)517-81-68, e-mail: register@zpd.gov.ua, почтовый адрес: 02660 г. Киев, ул. М. Расковой, 15, каб.1205.

Изменение сведений о БПД, которая еще не зарегистрирована

В январе 2012 года подали заявление о регистрации БПД. Свидетельство о регистрации еще не получили, но на данный момент меняется адрес нахождения БПД. Как быть?

Как мы уже указали выше, в том, что свидетельство о регистрации БПД (либо отказ в регистрации) до сих пор не получено, несмотря на то что предусмотренные Законом № 2297 сроки давно прошли, нет ничего удивительного. Так, по словам первого заместителя председателя Госслужбы по вопросам защиты персональных данных Олексюк Л. В. и заместителя председателя Козака В. Ф., по состоянию на 1 июня 2012 года обрабатываются заявления, поступившие в Службу до 7 декабря 2011 года (http://zpd.gov.ua/dszpd/uk/index). Как указывают сотрудники Госслужбы, повторно подавать заявления необходимости нет, поскольку обработаны они будут только после всех ранее поданных (всего на данный момент насчитывается около двух миллионов заявлений).

Что касается изменения сведений о базе персональных данных, в отношении которой подано заявление о регистрации, но по нему еще не принято решение, то данный вопрос законодательно не урегулирован, в силу чего следует воспользоваться рекомендациями самой Государственной службы по вопросам защиты персональных данных.

Так, согласно ч. 6 ст. 9 Закона № 2297 владелец базы персональных данных обязан уведомлять государственный орган по вопросам защиты персональных данных о каждом изменении сведений, необходимых для регистрации соответствующей базы, не позднее чем в течение десяти рабочих дней с дня наступления такого изменения. Уведомлять необходимо об изменениях исключительно тех сведений, которые были поданы владельцем при регистрации базы персональных данных (изменение цели обработки, изменение места нахождения базы, изменение адреса либо других сведений владельца БПД и т. п.).

Владелец БПД для того, чтобы уведомить Государственную службу по вопросам защиты персональных данных о произошедших изменениях, должен заполнить заявление соответствующего образца (форма утверждена приказом Минюста от 08.07.2011 г. № 1824/5). Однако для заполнения заявления о внесении изменений в сведения, содержащиеся в Государственном реестре баз персональных данных, необходимо знать и указать регистрационный номер базы персональных данных и дату ее регистрации, что невозможно сделать, если субъектом хозяйствования на момент внесения изменений еще не получено свидетельство о регистрации БПД. В связи с этим Госслужба по вопросам защиты персональных данных предлагает направлять ей уведомления в произвольной форме с указанием произошедших изменений. Госслужба приводит такой пример подобного письма (http://zpd.gov.ua/dszpd/uk/publish/article/36638):

«Товариством з обмеженою відповідальністю «_______» (вказати назву суб’єкта господарювання) _________________ (вказати дату подання заявки про реєстрацію бази персональних даних) була подана заява про реєстрацію бази персональних даних (вказати назву бази персональних даних: «Працівники» / «Клієнти» тощо). Відповідно до ч. 6 ст. 9 Закону України «Про захист персональних даних» повідомляємо про зміну таких відомостей: (вказати, які саме зміни відбулися, наприклад: змінено місцезнаходження бази персональних даних «Працівники», нова адреса місцезнаходження — м. Київ, вул. Грушевського, 43А, оф. 99). Станом на __________ (вказати дату направлення повідомлення про зміни, що відбулися) з незалежних від ТОВ «_______» (вказати назву суб’єкта господарювання) причин Свідоцтво про державну реєстрацію баз персональних даних не отримано. Після отримання свідоцтва ТОВ «_______» (вказати назву суб’єкта господарювання) у визначеному законом порядку буде заповнено та надіслано до Державної служби України з питань захисту персональних даних заяву про внесення змін до відомостей Державного реєстру баз персональних даних».

Госорганы распорядителями БПД не выступают

Надо ли в БПД «Работники» в разделе «Распорядители» указывать Пенсионный фонд и органы государственной налоговой службы?

Нет, подобное указание делать не нужно, поскольку:

во-первых, персональные сведения о физических лицах органам государственной власти передаются не на договорной основе (как это происходит при передаче распорядителю), а в силу выполнения субъектом хозяйствования возложенных на него законодательством обязанностей;

во-вторых, органам госвласти передается не база персональных данных, а лишь отдельные сведения.

Примером распорядителя может быть коллекторская фирма, которой передаются сведения о должниках.

Подача заявления о регистрации БПД освобождает от ответственности за нерегистрацию

Нами было подано заявление о регистрации БПД еще месяц назад, однако Свидетельство так и не получено. Могут ли к нам применить штрафы за нерегистрацию БПД? Подавать ли заявление о регистрации БПД повторно?

Тем субъектам хозяйствования, которые подали заявления о регистрации базы данных более 10 рабочих дней назад, но информацию о том, что БПД зарегистрирована, так и не получили, как мы уже подчеркивали, волноваться не стоит. Дело в том, что Госслужба по вопросам защиты персональных данных не справляется с наплывом заявлений о регистрации, что сама признает. Поэтому на данный момент одного факта подачи заявления достаточно, чтобы считалось, что субъект хозяйствования не уклоняется от регистрации базы персональных данных и к его должностным лицам не могут применить админштраф.

В заявлении на регистрацию указывается фактическое местонахождение БПД

Какой адрес указывать в заявлении о регистрации БПД: фактический или юридический?

В разделе I заявления о регистрации БПД, где указывается местонахождение самого владельца базы персональных данных (субъекта хозяйствования), а также на странице 3 заявления, где указываются сведения о заявителе, необходимо предоставить информацию об адресе, по которому субъект хозяйствования прошел государственную регистрацию (именно этот адрес указан в Едином государственном реестре юридических лиц и физических лиц — предпринимателей как адрес местонахождения субъекта хозяйствования).

В разделе II, в котором содержится информация о базе персональных данных и ее местонахождении, необходимо указать адрес, по которому фактически расположена база персональных данных (картотека или носитель электронной информации).

Меняется ответственное лицо: уведомлять ли Госслужбу?

Обязано ли предприятие уведомлять Госслужбу по защите персональных данных о смене лица, ответственного на предприятии за защиту БПД?

Нет, такой обязанности у субъекта хозяйствования нет. Информировать о произошедших изменениях следует исключительно в отношении той информации, которая фигурирует в самом заявлении. Сведения о лице, ответственном на предприятии за защиту персональных данных, в заявление о регистрации БПД не включаются, а потому и о его смене информировать Госслужбу не следует.

Об изменении состава работников Госслужба не уведомляется

Зарегистрирована БПД «Работники», но после этого один из работников уволился. Должны ли мы уведомлять Службу о таком изменении?

Нет, о таких изменениях Государственную службу по вопросам защиты персональных данных уведомлять не нужно. Госслужба получает лишь сведения о наличии определенной БПД у субъекта хозяйствования, но она не знает конкретного содержания такой БПД. Например, если речь идет о базе персональных данных «Работники», то Госслужба не будет знать, информация о каком количестве работников в такую базу включена, а потому и о приеме нового сотрудника на работу либо об увольнении старого, точно так же, как и об отпусках работников, уведомлять Госслужбу необходимости нет.

Отказ в регистрации БПД

Получили отказ в регистрации БПД. Как быть дальше?

Всё зависит от того, с чем связан отказ в регистрации базы персональных данных, и как оценивает текущую ситуацию сам субъект хозяйствования:

1. Если в регистрации БПД было отказано в связи с недостатками, допущенными при заполнении заявления о регистрации, и субъект хозяйствования по-прежнему исходит из того, что соответствующая база персональных данных им используется, следует заново подать заявление о регистрации БПД, уже более внимательно заполнив все его реквизиты.

2. Если за время, пока заявление о регистрации рассматривалось Госслужбой по вопросам защиты персональных данных, субъект хозяйствования, взвесив все за и против, пришел к выводу, что используемые им сведения о физлицах, базой персональных данных считаться не должны, необходимость в повторной подаче заявления отпадает сама собой.

3. Если субъект хозяйствования по-прежнему уверен в необходимости регистрации БПД и при этом считает отказ в регистрации неправомерным, он может его обжаловать в судебном порядке.

Регистрация БПД филиала

У предприятия есть несколько филиалов. Надо ли регистрировать отдельные БПД на них?

Если название базы персональных данных филиала, а также состав сведений в ней, правовые основания обработки сведений совпадают со сведениями о базе персональных данных головного предприятия, то в отдельной регистрации такая база персональных данных не нуждается (информация о ней включается в заявление о регистрации БПД головного предприятия, для чего выделена отдельная страница в заявлении). Если же в филиале ведется база персональных данных, аналога которой у головного предприятия нет, ее необходимо зарегистрировать отдельно.

Если филиал создан уже после того, как головное предприятие зарегистрировало свою базу персональных данных, то в Госслужбу достаточно подать заявление об изменении сведений в отношении зарегистрированной базы персональных данных, включив в него информацию о БПД, которая ведется в филиале.

Судьба БПД при ликвидации предприятия

Зарегистрировали БПД в декабре 2011 г. Теперь прекращаем деятельность. Как быть с БПД в этом случае?

Каких-либо специальных требований к порядку прекращения предпринимательской деятельности и связанных с наличием зарегистрированных баз персональных данных действующее законодательство не предъявляет. Поэтому процедура ликвидации проходит в общем порядке. Предъявлять тем или иным органам подтверждение, что БПД снята с регистрации либо персональные данные, использовавшиеся в деятельности предприятия, уничтожены, предприятие не обязано.

Обговорити 0

Помітили помилку? Виділіть її та натисніть Ctrl+Enter, щоб повідомити нас про це

Коментарі

Яка вдача - ви можете стати першим, хто прокоментує цей матеріал.

Залишити коментар: