Обязательно ли всем работодателям регистрировать базы персональных данных. Штрафы

Цель этой статьи — ответить на вопрос, действительно ли необходимо каждому предприятию, организации и предпринимателю подавать заявление в госслужбу по вопросам защиты персональных данных заявление о регистрации баз персональных данных (БПД).

С 01.01.12 вступает в силу Закон Украины “О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных” от 02.06.2011 № 3454-VI. Законом предусмотрена административная ответственность (штрафы) за нарушения законодательства о защите персональных данных.

Виды нарушений и штрафы:

1. Неуведомление (несвоевременное уведомление) субъекта персональных данных о его правах в связи с включением его персональных данных в базу, цель сбора данных и лиц, которым эти данные передаются — штраф до 300 НМДГ для граждан и от 300 до 400 — для должностных лиц и СПД;
2. Неуведомление (несвоевременное уведомление) специально уполномоченного органа по вопросам защиты ПД об изменении ведомостей, которые подаются для гос-регистрации базы персональных данных — штраф от 100 до 200 НМДГ для граждан и от 200 до 400 НМДГ — для должностных лиц и СПД;
3. Уклонение от регистрации базы персональных данных — штраф от 300 до 500 НМДГ для граждан и от 500 до 1000 НМДГ — для должностных лиц и СПД;
4. Несоблюдение установленного законодательством порядка защиты ПД в базе, которое повлекло к незаконному доступу к ПД — от 300 до 1000 НМДГ;
5. Невыполнение законных требований должностных лиц специально уполномоченного органа по вопросам защиты ПД — штраф от 100 до 200 НМДГ.

Соответствующие изменения внесены в ст. 188-39 и 188-40 КУоАП.

Для тех, на кого перечень штрафов произвел впечатление — в предыдущем сообщении приведена краткая инструкция по регистрации баз персональных данных.

По мнению автора, принимая взвешенное решение о том, следует ли вам подавать заявление о регистрации базы персональных данных, следует:

1. Ответить на вопрос: являются ли имеющиеся в Вашем распоряжении персональные данные “іменованою сукупністю упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних“; 
   
   Мнение автора: личные карточки работников еще не образуют картотеку. Название конечно созвучно, но понятия не тождественны.
2. В случае, если ответ отрицательный: взвесить, хотите ли вы доказывать, а главное — способны ли вы доказать свою точку зрения в суде;
3. В случае, если ответ положительный: дополнительно учесть, что по мнению госслужбы Украины по вопросам защиты персональных данных, каждое предприятие (предприниматель) или организация обязаны зарегистрировать как минимум две базы – базу работников и базу клиентов;
4. Если вы изменили свою точку зрения: учесть, что регистрация базы персональных данных — это первый шаг для попадания в поле зрения еще одного проверяющего органа и первый шаг в для повышения риска быть привлеченным к ответственности по всем остальным пунктам ст. 188-39 и 188-40 КУоАП;
   
   Примечание автора: если вы уже зарегистрировали БПД, у вас не остается шансов доказать, что персональные данные, находящиеся в вашем распоряжении, не образуют базу. Соответственно, у вас появляются обязанности уведомлять субъекта персональных данных (работника, клиента) о его правах, уведомлять госслужбу по вопросам защиты ПД об изменениях в регистрационных данных базы, обеспечивать защиту базы и выполнять законные требования должностных лиц госслужбы. И за невыполнение этих обязанностей предусмотрены санкции.
5. Если вы еще раз изменили свою точку зрения: задуматься над тем, с какой целью написан закон, обязывающий (на первый взгляд) всех работодателей (имеющих более одного работника и компьютер) сообщать новому контролирующему органу совершенно очевидную и общеизвестную информацию.

Источник: Финансовый портал «Минфин»