Базы персональных данных, или Внимание: штрафы уже близко!
Иллюстрация
http://www.sxc.huС 1 июля 2011 г. начал работать отдел регистрации баз персональных данных одноименного управления. Верховная Рада Украины 1 июня 2010 г. приняла Закон "О защите персональных данных", а 6 июля 2010 ратифицировала Конвенцию о защите лиц в связи с автоматизированной обработкой персональных данных и Дополнительный протокол к Конвенции о защите лиц в связи с автоматизированной обработкой персональных данных относительно органов надзора и трансграничных потоков данных.
Для чего нужна регистрация баз персональных данных?
Регистрация баз персональных данных является простым способом сбора информации контролирующими органами и инструментом применения административных санкций к субъектам отношений, связанных с персональными данными.
Регистрация баз персональных данных является:
· полезной для субъектов персональных данных, поскольку анализ записей в Государственном реестре может стать отправной точкой для представления субъектом персональных данных жалобы в компетентные органы и исковых заявлений;
· полезной для уполномоченного государственного органа по защите персональных данных, поскольку позволяет осуществлять анализ записей, проводить выездные и безвыездные проверки с целью применения санкций.
Санкции
С 1 января 2012 г. начнут действовать изменения в Кодекс Украины об административных правонарушениях. Согласно этим изменениям несообщение или несвоевременное сообщение субъекту персональных данных о его правах в связи с включением его персональных данных в базу персональных данных, цели сбора этих данных и лиц, которым эти данные передаются, влекут наложение штрафа на граждан в размере 3400-5100 грн. и на должностных лиц, граждан - субъектов предпринимательской деятельности в размере 5100-6800 грн.
Несообщение или несвоевременное сообщение специально уполномоченного центрального органа исполнительной власти по вопросам защиты персональных данных об изменении сведений, представляемых для государственной регистрации базы персональных данных, влекут наложение штрафа на граждан в размере 1700-3400 грн. и на должностных лиц, граждан - субъектов предпринимательской деятельности в размере 3400-6800 грн.
Повторное на протяжении года совершение нарушения влечет наложение штрафа на граждан в размере 5100-8500 грн. и на должностных лиц, граждан - субъектов предпринимательской деятельности в размере 6800-11900 грн.
Уклонение от государственной регистрации базы персональных данных влечет наложение штрафа на граждан в размере 5100-8500 грн. и на должностных лиц, граждан - субъектов предпринимательской деятельности в размере от 8500 грн.
Несоблюдение установленного законодательством о защите персональных данных порядка защиты персональных данных в базе персональных данных, что привело к незаконному доступу к ним, влечет наложение штрафа в размере 5100-17 тыс. грн.
Невыполнение законных требований должностных лиц специально уполномоченного центрального органа исполнительной власти по вопросам защиты персональных данных по устранению нарушений законодательства о защите персональных данных влечет наложение штрафа на должностных лиц, граждан - субъектов предпринимательской деятельности в размере 170-3400 грн.
Начиная с 1 января 2012 г. вступает в силу ст. 182 Уголовного кодекса Украины, которая предусматривает следующие санкции:
незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о лице или незаконная смена такой информации, кроме случаев, предусмотренных другими статьями настоящего Кодекса, наказываются штрафом в размере 8500-17 тыс. грн., или исправительными работами сроком до двух лет, или арестом сроком до шести месяцев, или ограничением свободы на срок до трех лет;
те же действия, совершенные повторно, или если они причинили существенный вред охраняемым законом правам, свободам и интересам лица, наказываются арестом на срок от трех до шести месяцев, или ограничением свободы на срок от трех до пяти лет, либо лишением свободы на тот же срок.
Существенным вредом в настоящей статье, если он заключается в причинении материального ущерба, считается вред, который в сто и более раз превышает необлагаемый минимум доходов граждан.
Что такое персональные данные?
Согласно ст. 2 Закона Украины "О защите персональных данных" персональные данные - это сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано.
Согласно Конвенции о защите лиц в связи с автоматизированной обработкой персональных данных термин "персональные данные" означает любую информацию, касающуюся конкретно определенного лица или лица, может быть конкретно определенной.
Толкование указанного термина настолько широкое, что достаточно фамилии, адреса и номера телефона, чтобы считать данные персональными.
Кого это касается?
Согласно ст. 2 Закона Украины "О защите персональных данных" субъектом персональных данных является физическое лицо, в отношении которого в соответствии с законом осуществляется обработка ее персональных данных;
Согласно ст. 4 Закона Украины "О защите персональных данных" субъектами отношений, связанных с персональными данными, являются:
· субъект персональных данных;
· владелец базы персональных данных;
· распорядитель базы персональных данных;
· третье лицо;
· уполномоченный государственный орган по вопросам защиты персональных данных;
· другие органы государственной власти и органы местного самоуправления, к полномочиям которых относится осуществление защиты персональных данных.
Владельцем или распорядителем базы персональных данных могут быть предприятия, учреждения и организации всех форм собственности, органы государственной власти или органы местного самоуправления, физические лица - предприниматели, которые обрабатывают персональные данные в соответствии с законом.
Предприятия, учреждения, организации и лица, осуществляющие независимую профессиональную деятельность, должны привести свои процессы и процедуры обработки персональных данных в соответствие с Законом Украины "О защите персональных данных" уже с 1 января 2011.
Нужно ли предприятиям, учреждениям и организациям в соответствии с ч. 5 ст. 6 Закона Украины "О защите персональных данных" получать от физических лиц (наемных работников) документированное согласие для целей обработки документации при осуществлении деятельности? Согласно п. 1 ст. 11 Закона Украины "О защите персональных данных" основаниями возникновения права на использование персональных данных являются: согласие субъекта персональных данных на обработку его персональных данных. Субъект персональных данных имеет право при согласии внести оговорку относительно ограничения права на обработку своих персональных данных или дать владельцу базы персональных данных разрешение на их обработку в соответствии с законом исключительно для осуществления его полномочий.
Получение согласия работника предприятия, учреждения, организации о предоставлении разрешения на обработку его персональных данных в соответствии с сформулированной цели их обработки является основанием для возникновения права на обработку персональных данных наемных работников.
Будет ли считаться бумажная документация, используемая в деятельности предприятий, учреждений и организаций и содержит определенное структурированные персональные данные наемных работников, базой персональных данных в понимании Закона Украины "О защите персональных данных"? Согласно Закону Украины "О защите персональных данных" персональными данными являются сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано.
Документация предприятий, учреждений и организаций в электронной форме и / или в форме картотек, содержащий особым образом структурированные персональные данные наемных работников, подпадает под определение "база персональных данных" в соответствии со ст. 2 Закона Украины "О защите персональных данных".
Регистрация баз персональных данных
Согласно ст. 9 Закона Украины "О защите персональных данных" "база персональных данных подлежит государственной регистрации путем внесения соответствующей записи уполномоченным государственным органом по вопросам защиты персональных данных в Государственный реестр баз персональных данных".
Регистрация баз персональных данных и внесения изменений в сведения Государственного реестра баз персональных данных осуществляются согласно Закону Украины "О защите персональных данных" от 01.06.2010 г. № 2297-VI, Положения о Государственном реестре баз персональных данных и порядок его ведения, утвержденного Постановлением Кабинета министров Украины от 25.05.2011 г. № 616, по формам и согласно Порядку подачи заявлений о регистрации базы персональных данных и о внесении изменений в сведения Государственного реестра баз персональных данных, утвержденные приказом Министерства юстиции Украины от 08.07.2011 г. № 1824 / 5.
Государственной регистрации подлежат все базы персональных данных в электронном виде и / или в картотеках, в которых обрабатываются персональные данные, независимо от объема и формы их использования, вида деятельности. При этом по каждой базе данных, находящейся во владении заявителя, подается отдельное заявление.
Базы персональных данных – законодательные нововведения
09/11/2011
01 июня 2010 года был принят Закон «О защите персональных данных» (далее - Закон), 06 июля 2010 года ВРУ ратифицировала Конвенцию о защите лиц в связи с автоматизированной обработкой персональных данных (далее - Конвенция). Кроме того, законодатель принял решение о ратификации Дополнительного протокола к Конвенции, касающегося органов надзора и трансграничных потоков данных. Согласно выше названным нормативно-правовым актам 01 июля 2011 года в Украине заработал отдел регистрации баз персональных данных.
Что такое регистрация баз персональных данных, и для чего она нужна?
Регистрация баз персональных данных - это наиболее простой метод сбора сведений контролирующими органами, который позволяет применять санкции в административном порядке к лицам, связанным с такими данными.
Регистрация является полезной для субъектов персональных данных. Это утверждение базируется на том, что записи в Государственном реестре могут быть основанием для подачи субъектами персональных данных исковых заявлений и жалоб к уполномоченным органам.
Кроме того, данная процедура полезна и для государственных органов, ведающих вопросами защиты персональных данных. Ведь эти органы, благодаря реестру, могут анализировать существующие записи и осуществлять безвыездные и выездные проверки для привлечения к ответственности.
Какие существуют санкции, и кому они грозят?
01 января 2012 года станет датой вступления в силу изменений в КоАП Украины. Нормы кодекса предусматривают ответственность за:
1. Несообщение или несвоевременное сообщение субъекту персональных данных о принадлежащих ему правах, связанных с внесением сведений о нем в базу данных, целях сбора таких данных и о лицах, имеющих доступ к данным. Такой административный проступок карается:
§ Штрафом в размере от 3 400 до 5 100 гривен (в отношении граждан и должностных лиц);
§ Штрафом в размере от 5 100 до 6 800 гривен (в отношении лиц-субъектов предпринимательской деятельности).
2. Несообщение или несвоевременное сообщение специальному уполномоченному центральному органу исполнительной власти, занимающемуся вопросами защиты персональных данных, о внесении изменений в сведения, подаваемые для регистрации базы персональных данных. Такое правонарушение карается:
§ Штрафом в размере от 1 700 до 3 400 гривен (в отношении граждан и должностных лиц);
§ Штрафом в размере от 3 400 до 6 800 гривен (в отношении лиц-субъектов предпринимательской деятельности);
§ Штрафом в размере от 5 100 до 8 500 гривен (в отношении граждан и должностных лиц, совершивших деяние повторно в течение года);
§ Штрафом в размере от 6 800 до 11 900 гривен (в отношении лиц-субъектов предпринимательской деятельности, совершивших деяние повторно в течение года).
3. Уклонение от прохождения процедуры государственной регистрации базы персональных данных. Наказывается в рамках следующих санкций:
§ Штрафом в размере от 5 100 до 8 500 гривен (в отношении граждан и должностных лиц);
§ Штрафом в размере от 8 500 гривен (в отношении лиц-субъектов предпринимательской деятельности).
4. Несоблюдение порядка защиты персональных данных в базе, установленного законодательством, при условии, что это привело к незаконному доступу к ним. Административный проступок наказывается:
§ Штрафом в размере от 5 100 гривен до 17 000 гривен.
5. Невыполнение законных требований должностных лиц, уполномоченных заниматься вопросами защиты персональных данных, в отношении устранения нарушений законодательных норм. Правонарушение влечет за собой:
§ Штраф в размере от 170 до 3 400 гривен (в отношении должностных лиц и граждан-субъектов предпринимательской деятельности).
Кроме того, 01 января 2012 года начинает действовать ст. 182 УК Украины, предусматривающая следующие виды преступлений и наказаний за них:
1. Незаконный сбор и хранение, а также использование, распространение, уничтожение конфиденциальной информации о лице либо незаконное изменение таких сведений наказываются:
§ Штрафом от 8 500 до 17 000 гривен;
§ Исправительными работами до 2-х лет;
§ Арестом до 6 месяцев;
§ Ограничением свободы до 3-х лет.
2. Повторное совершение указанных выше деяний при условии, что они причинили существенный вред правам, свободам и законным интересам лица, караются:
§ Арестом до 3,5 лет;
§ Ограничением свободы от 3-х до 5-ти лет;
§ Лишением свободы от 3-х до 5-ти лет.
Существенный вред, оговариваемый в данной статье УК, - это причинение материальных убытков на сумму в 100 и более раз, превышающую необлагаемый налогом минимум доходов граждан.
Что подразумевается под термином «персональные данные»?
Ст. 2 Закона гласит, что персональные данные представляют собой сведения (или их совокупность) о физическом лице, которое было идентифицировано или может быть конкретно идентифицировано.
С точки зрения Конвенции персональные данные - это любая информация, касающаяся определенного лица либо того лица, которое может быть конкретно определенным.
Законодатель не дает точного толкования указанного термина, поэтому персональными данными можно считать даже фамилию, номер телефона или адрес лица.
Кого касаются нормы о персональных данных?
Субъект персональных данных - это физическое лицо, в отношении которого согласно законодательству, производится обработка его персональных данных (ст. 2 Закона).
Ст. 4 Закона указывает, что субъекты отношений, касающихся персональных данных, - это субъекты персональных данных, владельцы базы данных, третьи лица, уполномоченный государственный орган, занимающийся вопросами защиты персональных данных, а также другие органы местного самоуправления и государственной власти, ведающие защитой персональных данных.
К владельцам и распорядителям базы данных относятся юридические лица всех форм собственности, органы власти или местного самоуправления, а также физические лица-предприниматели, занимающиеся обработкой данных в рамках закона.
Какую информацию можно считать персональными данными?
Проанализировав Положение о Государственном реестре баз персональных данных и порядке их ведения, все данные можно классифицировать следующим образом:
1. По природе сведений: объективные и субъективные данные. К объективным относятся биометрические сведения, информация о банковских счетах и т.д. К субъективным - характеристика, биография, досье, аттестационные материалы и т.д.
2. По источнику получения сведений: данные из первичных и прочих источников.
3. По способу обработки сведений: алфавитный или цифровой формат, видео-, фото-, кино-, аудиоформат и т.д., графический формат, обработка сведений, на бумажных, электронных, оптических, магнитных и других носителях.
4. По связи сведений с физическим лицом: непосредственные данные (личное дело, мед. карта, банковский счет) и опосредованные данные (записи видеонаблюдения, записи о тех. обслуживании ТС).
Основные вопросы
После того, как была осуществлена регистрация фирм и компании наняли работников, должны ли они в соответствии с ч. 5 ст. 6 Закона получать от таких работников документально подтвержденное согласие на обработку документации, связанной с осуществляемой ими деятельностью?
П. 1 ст. 11 Закона называет основание возникновения права использовать персональные данные, это согласие самого субъекта. Последний имеет право, предоставляя согласие, сделать оговорку об ограничениях на обработку своих данных. Только получение согласия от наемных работников является основанием для возникновения права на обработку их данных.
Регистрация фирм и деятельность по найму работников предполагает наличие определенной бумажной документации, будет ли она считаться базой персональных данных?
Документация юридического лица (бумажная или электронная), содержащая определенным образом структурированные сведения о наемных сотрудниках, с точки зрения ст. 2 Закона является базой персональных данных.
Правила регистрации базы персональных данных
Нормы, касающиеся этого вопроса, содержатся в ЗУ «О защите персональных данных», в Положении о Государственном реестре баз персональных данных и порядке их ведения (утверждено Постановлением КМУ № 616 от 25.05.2011 года), в Порядке подачи заявлений о регистрации базы персональных данных и о внесении изменений в сведения Государственного реестра баз данных (утвержден Приказом Министерства юстиции Украины № 1824/5 от 08.07.2011 года).
Согласно эти нормативно-правовым актам регистрация фирм, организаций, учреждений и других юридических лиц, владеющих базами данных, касается напрямую. Эти субъекты обязаны подать отдельные заявления в отношении каждой базы данных (в электронном виде и/или в картотеках) вне зависимости от формы ее применения, объема или вида деятельности.