Порядок застосування положень Закону України «Про захист персональних даних»

PDFДрукe-mail

Увага, зміни!Верховна Рада Україна прийняла закон № 9625 від 20 грудня 2012 ініційований народним депутатом Ксенією Ляпіною "Про внесення змін до прикінцевих положень закону України" Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних "Про перенесення терміну введення в дію. Законом передбачено перенесення терміну введення в дію закону України "Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних" з 1 січня 2012 р. на 1 липня 2012.

 

До виконавчої дирекції Асоціації надходять численні питання щодо порядку застосування положень Закону України «Про захист персональних даних».

Повідомляємо, що відповідно до ст. 2 Закону України від 01.06.10 р. № 2297 «Про захист персональних даних» база персональних даних (БПД) – це іменована сукупність упорядкованих персональних даних (ПД) в електронній формі та/або у формі картотек ПД. Тобто законодавець висуває декілька вимог до БПД: сукупність ПД, упорядкована сукупність, існування бази в електронній формі або у формі картотек.

Сукупність ПД як ознака БПД вказує на те, що наявність лише одних відомостей (наприклад, прізвища, імені і по батькові особи), ще не є БПД, оскільки не має сукупності ПД.

Упорядкованість означає, що сукупність ПД має бути певним чином систематизована, тобто, наприклад, якщо на одному носії (наприклад, письмовому документі) у вас знаходиться інформація про місцепроживання особи, а на іншому – інформація про дату її народження, то така сукупність відомостей не буде БПД, оскільки вона не упорядкована. Якщо ж усі ці документи ви складете в одну папку разом, то це вже буде упорядкована сукупність і може визнаватись БПД.

Закон № 2297 також вказує на те, що БПД повинна існувати в певній матеріальній формі як документ (електронний або письмовий), тобто якщо будь-які відомості не задокументовані, то вони і не можуть вважатися БПД.

Кожна місцева рада, її виконавчий комітет повинні зареєструвати принаймні 2 БПД: з кадрових питань, що містить інформацію про працівників, та базу пов’язану з роботою з громадянами. Таких баз може бути декілька, зокрема, база по зверненням громадян, база по запитам на доступ до публічної інформації і т.д.

У будь-якої БПД є володілець – фізична або юридична особа, якій законом або за згодою суб’єкта ПД надано право на обробку цих даних, яка затверджує мету обробки ПД у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом. Окрім цього Закон № 2297 визначає статус такого суб’єкта як розпорядник БПД – фізична або юридична особа, якій володільцем БПД або законом надано право обробляти ці дані.

Як правило, володілець і розпорядник БПД поєднуються в одній особі. Хоча можуть бути ситуації, коли володілець БПД має декілька БПД, якими користуються декілька розпорядників БПД, або ж навпаки, коли існує декілька володільців баз персональних даних, які надали одній фізичній або юридичній особі право обробляти ПД, що містяться в їх БПД. Сільська, селищна рада може визначити розпорядником своєї бази свій виконавчий комітет.

Реєстрацію БПД проводить Державна служба з питань захисту персональних даних (ДСЗПД), створена Указом Президента України від 09.12.10 р. № 1085/2010 «Про оптимізацію системи центральних органів виконавчої влади».

Указом Президента України від 06.04.11 р. № 390/2011 було затверджено Положення про Державну службу України з питань захисту персональних даних, яка відповідно до цього Положення є центральним органом виконавчої влади, діяльність якої спрямовується і координується Кабінетом Міністрів України через Міністра юстиції України, входить до системи органів виконавчої влади, забезпечує реалізацію державної політики у сфері захисту персональних даних.

Постановою Кабінету Міністрів України від 31.08.11 р. № 930 визначено граничну чисельність штату ДСЗПД на рівні 51 особи.

Положенням створення територіальних органів ДСЗПД не передбачено, а отже усі повноваження ДСЗПД, в тому числі право складати протоколи про адміністративні правопорушення, передбачені ст. 188-39, 188-40 КпАП, може лише ДСЗПД, яка знаходиться в Києві.

Офіційна адреса Служби: 02660, м. Київ, вул. Марини Раскової, 15.

Щоправда практика показує, що ДСЗПД досить активно їздить з перевірками по всій Україні

Ознайомитись з планом перевірок на 2011 р. можна на сайті ДСЗПД, план перевірок на 2012 рік наразі ще не затверджений.

БПД підлягають реєстрації в Державному реєстрі баз персональних даних (ДРБПД), який ведеться ДСЗПД. Правовий статус ДРБПД та порядок його ведення визначається Постановою Кабінету Міністрів України від 25.05.11 р. № 616 «Про затвердження Положення про Державний реєстр баз персональних даних та порядок його ведення».

Для внесення БПД до ДРБПД володільцю бази або уповноваженій ним особі необхідно подати заяву за зразком, затвердженим Мін’юстом. Наказом Мін’юсту від 08.07.11 р. № 1824/5 «Про затвердження форм заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних і порядку їх подання».

Увага! На кожну БПД заповнюється окрема заява.

Увага! Досить доцільно у заяві вказати, що інформація про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партія та професійних спілках, а також даних, що стосуються здоров’я чи статевого життя особи не збирається та не обробляється, оскільки така інформація належить до конфіденційної інформації про особу і повинна оброблятися в особливому порядку.

Цілі обробки ПД повинні відповідати цілям діяльності володільця БПД, що зафіксовані в їх установчих документах та/або передбачені законодавством України, що регулює їх діяльність.

Типовими цілями обробки персональних даних є забезпечення реалізації:

- трудових відносин;
- адміністративно-правових (в тому числі, відносин у сфері державного управління), податкових відносин та відносин у сфері бухгалтерського обліку;
- відносин у сфері управління людськими ресурсами, зокрема, кадровим потенціалом;
- відносин у сфері економічних, фінансових послуг та страхування;
- відносин у сфері реклами та збору персональних даних у комерційних цілях;
-  відносин у сфері телекомунікаційних послуг;
- відносин у сфері громадської, політичної та релігійної діяльності, культури, дозвілля, спортивної та соціальної діяльності;
- відносин у сфері освіти;
- відносин у сфері охорони здоров’я;
- відносин у сфері безпеки, включаючи питання приватних розслідувань, побудови системи приватної безпеки та приватної охорони;
- відносин у сфері транспорту;
- відносин у сфері науки, історичних досліджень та статистики;
- інших відносин, що вимагають обробки персональних даних.

Відповідно до ч. 4 ст. 9 Закону № 2297 ДСЗПД повинна повідомити заявника про отримання заяви не пізніше наступного робочого дня з дня надходження заяви. Рішення про реєстрацію БПД приймається протягом 10 робочих днів з дня надходження заяви, щоправда через значну завантаженість ДСЗПД не завжди вкладається в цей строк.

Володільцю БПД видається документ, встановленого зразка про реєстрацію БПД у ДРБПД. Так Наказом Мін’юсту від 19.07.11 р. № 889/19627 «Про затвердження зразка свідоцтва про державну реєстрацію бази персональних даних» затверджено зразок такого свідоцтва.

Окрім реєстрації, відповідно до вимог статті 24 Закону № 2297 володільці БПД (у формі картотек та/або в електронній формі) зобов’язані вжити заходів щодо забезпечення захисту ПД  від незаконної обробки, а також від незаконного доступу до них.

Умови захисту ПД залежать від конкретних реальних загроз, природи ПД, які обробляються, технології обробки інформації та типу інформаційної системи, у рамках якої обробляються ПД (для БПД в електронній формі), і визначаються володільцем БПД самостійно.

У кожному випадку володілець може провести детальний аналіз загроз та інших факторів, які впливають на рівень ризику. На основі аналізу ризиків володілець може вирішити, який рівень захищеності БПД є необхідним для створення умов щодо захисту ПД.

ПД можна збирати лише за умови отримання згоди суб’єкта ПД (особи, якої стосуються ці ПД). Відповідно до статті 2 Закону № 2297, згодою суб'єкта ПД є будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її ПД відповідно до сформульованої мети їх обробки та ураховуючи те, що суб’єкт ПД має право при наданні згоди внести застереження стосовно обмеження права на обробку своїх ПД, ДСЗПД рекомендує вважати формами надання згоди суб’єкта ПД:

•    документ на паперовому носії з реквізитами, що дає змогу ідентифікувати цей документ та фізичну особу. Добровільне волевиявлення суб’єкта ПД доцільно засвідчувати його підписом;
•    електронний документ, включаючи обов’язкові реквізити документа, що дають змогу ідентифікувати цей документ та фізичну особу. Добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних доцільно засвідчувати електронним підписом суб’єкта ПД;
•    відмітка на електронній сторінці документу чи у електронному файлі, що обробляється в інформаційній системі на основі документованих програмно-технічних рішень, які, в свою чергу:
o    не дозволяють обробку ПД до того часу, поки суб'єкт ПД не виконає дії, що підтверджують надання ним відповідної згоди;
o    забезпечують реєстрацію дій суб’єкта ПД та цілісність протоколів реєстрації таких дій.

Згода щодо надання дозволу на обробку ПД повинна надаватися відповідно до сформульованої мети їх обробки.

Володілець БПД протягом десяти робочих днів повідомляє суб'єкта ПД про передачу його даних третій особі, якщо цього вимагають умови згоди суб’єкта ПД або інше не передбачено законом (стаття 21 Закону № 2297). Тобто, якщо умовами згоди суб’єкта ПД передбачена вимога щодо повідомлення його про передачу даних третім особам, володілець БПД зобов’язаний інформувати про таку передачу. Тобто, коли будете брати згоду на обробку ПД, передбачте там, що суб’єкт ПД дає згоду на передачу своїх ПД третім особам.

Однак повідомлення про передачу ПД не здійснюється, зокрема, у разі передачі персональних даних  за запитами при виконанні завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом або при виконанні органами державної влади та органами місцевого самоврядування своїх повноваження, передбачених законом (стаття 21 Закону № 2297).

Відповідальність передбачено Законом України від 02.06.11 р. № 3454-VI «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» , який набуде чинності 01.01.12 р.

Стаття КпАП

Суть порушення

Відповідальність

1

ч.1 ст. 188-39

неповідомлення або несвоєчасне повідомлення суб'єкта персональних даних про його права у зв'язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються

суб’єкт відповідальності – громадянин – штраф від 200 до 300 неоподатковуваних мінімумів доходів громадян[1] (від 3400 до 5100 грн); суб’єкт відповідальності – посадова особа або фізична особа-підприємець[2] – від 300 до 400 нмдг (від 5100 до 6800 грн)

2

ч. 2 ст. 188-39

неповідомлення або несвоєчасне повідомлення спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних (Державної служби України з питань захисту персональних даних[3]) про зміну відомостей, що подаються для державної реєстрації бази персональних даних

суб’єкт – громадянин – штраф від 100 до 200 нмдг (від 1700 до 3400 грн)

суб’єкт – посадова особа або ФОП – від 200 до 400 нмдг (від 3400 до 6800 грн)

3

ч. 3 ст. 188-39

повторне протягом року вчинення порушення з числа передбачених ч. 1 та 2 ст. 188-39, за яке особу вже було піддано адміністративному стягненню

суб’єкт – громадянин – штраф від 300 до 500 нмдг (від 5100 до 8500 грн)

суб’єкт – посадова особа або ФОП – від 400 до 700 нмдг (від 6800 до 11900 грн)

4

ч. 4 ст. 188-39

ухилення від державної реєстрації бази персональних даних

суб’єкт – громадянин – штраф від 300 до 500 нмдг (від 5100 до 8500 грн)

суб’єкт – посадова особа або ФОП – від 500 до 1000 нмдг (від 8500 до 17000 грн)

5

ч. 5 ст. 188-39

недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них

штраф – від 300 до 1000 нмдг (від 5100 до 17000 грн.)

6

ст. 188-40

невиконання законних вимог посадових осіб ДСЗПД щодо усунення порушень законодавства про захист персональних даних

суб’єкт – посадова особа або ФОП – від 100 до 200 нмдг (від 1700 до 3400 грн)

Сподіваємося, що надані роз'яснення допоможуть органам місцевого самоврядування регіону виконати належним чином досить непрості вимоги закону. У подальшому, при надходженні конкретних запитань, вам будуть надані додаткові роз'яснення.

Крім того, повідомляємо,  що у зв'язку із складністю застосування цього закону Асоціацією готується звернення до Верховної Ради України щодо відстрочки дії положень закону в частині відповідальності за порушення термінів надання звітів, тощо.

 

©Інформацію підготовлено за участю газети "Місцеве самоврядування"

Відкрити (скачати) текст у MCWord