Еще раз о базах персональных данных

Недавно на официальном сайте Министерства юстиции Украины появилось разъяснение относительно практического применения норм Закона Украины «О защите персональных данных» (далее - Закон). В связи с этим prostopravo.com.ua решил еще раз коснуться этой темы и попытаться окончательно прояснить для себя некоторые моменты, связанные с регистрацией баз персональных данных.

Что такое персональные данные

Определение понятия персональных данных приводится в абзаце восьмом статьи 2 Закона, согласно которому персональными данными являются сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано.

В своих разъяснениях Минюст подчеркивает, что законодательством Украины не установлен и не может быть установлен четкий перечень сведений о физическом лице, которые являются персональными данными, для возможности применения положений Закона к различным ситуациям, которые могут возникнуть в будущем, в связи с изменением в технологической, социальной, экономической и других сферах общественной жизни. Такое объяснение, конечно, несильно поможет субъекту предпринимательства разобраться, относятся ли сведения о физическом лице, которыми он владеет базой персональных данных или нет.

Но, по крайней мере, позиция Министерства юстиции в отношении персональных данных о наемных работниках является однозначной.

Так, согласно статье 24 Трудового кодекса Украины гражданин при заключении трудового договора обязан предоставить паспорт или другой документ, удостоверяющий личность, трудовую книжку, а в случаях, предусмотренных законодательством, - также документ об образовании (специальности, квалификации), о состоянии здоровья и другие документы.

В этой связи персональные данные работника, которые содержатся в паспорте или документе, удостоверяющем личность, в трудовой книжке, документе об образовании (специальности, квалификации), документе о состоянии здоровья и других документах, которые он подал при заключении трудового договора, обрабатываются владельцем базы персональных данных на основании статьи 24 Кодекса законов о труде Украины исключительно для осуществления полномочий владельца базы персональных данных в сфере правоотношений, возникших у него с работником на основании трудового договора (контракта).

Таким образом, информация о наемных работников является базой персональных данных, поскольку, личные дела, трудовые книжки, копии паспортов, документов об образовании хранятся и обрабатываются работодателем.

Что является базой персональных данных, а что - нет

Понятие «база персональных данных» определено абзацем вторым статьи 2 Закона, согласно которому база персональных данных - именованная совокупность упорядоченных персональных данных в электронной форме и / или в форме картотек персональных данных.

Учитывая это база персональных данных является упорядоченной совокупностью логически связанных данных о физических лицах:

• хранящихся и обрабатываемых соответствующим программным обеспечением (база персональных данных в электронной форме);
• хранящихся и обрабатываемых на бумажных носителях информации (база персональных данных в форме картотек).

Картотекой персональных данных является любой структурированный массив персональных данных, доступный по определенным критериям, независимо от того, является ли такой массив централизованным, децентрализованным или разделенным на функциональных или географических принципах. Такие данные должны быть структурированы по определенным критериям, касающимся физических лиц, чтобы обеспечить легкий доступ к соответствующим персональным данным.

Важно отметить, что физические лица-предприниматели и самозанятые лица самостоятельно определяют обладают ли они базами персональных данных в смысле Закона.

Однозначно не являются базами персональных данных в понимании Закона сведения, которые собираются и обрабатываются:

• физическим лицом - исключительно для непрофессиональных личных или бытовых нужд,
• журналистом - в связи с исполнением им служебных или профессиональных обязанностей,
• профессиональным творческим работником - для осуществления творческой деятельности.

Кроме того, по мнению Министерства юстиции, в случае, если физические лица - предприниматели заключают договора выполнения работ или оказания услуг с физическими лицами, такие договора также не является базой персональных данных и не подлежат государственной регистрации.

Кое-что Минюст прояснил и для некоторых категорий самозанятых лиц.

Так, при осуществлении своей профессиональной деятельности на адвокатов законодательством не возложена обязанность ведения баз персональных данных клиентов. Но, если адвокаты формируют дела на своих клиентов, они постоянно обновляют и поддерживают в актуальном состоянии, такие дела является базой персональных данных и подлежат государственной регистрации.

Нотариусы могут обрабатывать персональные данные своих наемных работников, клиентов в базах персональных данных, однако, документы нотариального делопроизводства и архив нотариуса, определенные в статье 14 Закона Украины «О нотариате» не являются базой персональных данных в смысле Закона Украины «О защите персональных данных» и не подлежат государственной регистрации.

Владельцы и распорядители баз персональных данных

Попытался Минюст разъяснить и ситуацию с владельцами и распорядителями баз персональных данных.

Напомним, что владельцем базы персональных данных согласно абзацу третьему статьи 2 Закона является физическое или юридическое лицо, которому законом или с согласия субъекта персональных данных предоставлено право на обработку этих данных которое утверждает цель обработки персональных данных и процедуру их обработки, если иное не определено законом .

Так, если персональные данные обрабатываются юридическим лицом, то владельцем базы персональных данных является юридическое лицо.

Распорядителем базы персональных данных согласно абзацу девятому статьи 2 Закона может быть физическое или юридическое лицо, которому владельцем базы персональных данных или законом предоставлено право обрабатывать эти данные.

В качестве практического примера приводятся отношения между юридическими лицами и их представительствами, филиалами, отделениями и т.д. Так, в смысле Закона эти представительства, филиалы, отделения могут выступать распорядителями баз персональных данных, владельцем которых является юридическое лицо.

Согласно статье 4 Закона владельцем или распорядителем базы персональных данных могут быть предприятия, учреждения и организации всех форм собственности, органы государства власти или органы местного самоуправления, которые обрабатывают персональные данные в соответствии с законом.

Но если владельцем базы персональных данных является орган государственной власти или орган местного самоуправления, то распорядителем базы персональных данных, кроме этих органов, может быть только предприятие государственной или коммунальной формы собственности, принадлежащей к сфере управления этого органа.

Порядок регистрации баз персональных данных

Порядок регистрации баз персональных данных разъяснен достаточно подробно. Так, согласно статье 9 Закона база персональных данных подлежит государственной регистрации путем внесения соответствующей записи уполномоченным государственным органом по вопросам защиты персональных данных в Государственный реестр баз персональных данных.

В случае, если юридическое лицо, физическое лицо - предприниматель, самозанятое лицо устанавливает, что оно не обрабатывает персональные данные, у такого лица отсутствует обязанность регистрировать базу персональных данных.

Указом Президента Украины «Об утверждении Положения о Государственной службе Украины по вопросам защиты персональных данных» от 6 апреля 2011 определен уполномоченным государственным органом по вопросам защиты персональных данных - Государственная служба Украины по вопросам защиты персональных данных, одной из основных задач которой является регистрация баз персональных данных.

Регистрация базы персональных данных осуществляется по заявочному принципу путем сообщения. Суть заявочного принципа заключается в том, что основным является представление владельцем базы персональных данных заявления о регистрации базы персональных данных, а не получение свидетельства о государственной регистрации базы персональных данных. Следовательно, ключевым и определяющим является факт внесения соответствующей записи Государственной службой Украины по вопросам защиты персональных данных в Государственный реестр баз персональных данных, а не получение владельцем базы персональных данных свидетельства о государственной регистрации, что является следствием указанного факта.

На сайте Государственного реестра баз персональных данных https://rbpd.informjust.ua можно следить за ходом государственной регистрации заявления в режиме онлайн.

Заявление о регистрации базы персональных данных подается владельцем такой базы или уполномоченным представителем в бумажной или электронной форме, требования к заполнению и порядок предоставления заявления определены постановлением Кабинета Министров Украины «Об утверждении Положения о Государственном реестре баз персональных данных и порядок его ведения» от 25 мая 2011 года № 616 и приказом Министерства юстиции Украины «Об утверждении форм заявлений о регистрации базы персональных данных и о внесении изменений в сведения Государственного реестра баз персональных данных и порядка их представления» от 8 июля 2011 № 1824 / 5. Ознакомиться с указанным приказом в электронном виде можно на сайте Верховной Рады Украины: http://zakon2.rada.gov.ua/laws/show/z0890-11.

Заявление о регистрации базы персональных данных, подаваемой в электронной форме, должна соответствовать требованиям Законов Украины «Об электронной цифровой подписи» и «Об электронных документах и электронном документообороте». А именно: такое заявление должно содержать электронную подпись, что является обязательным реквизитом электронного документа и который накладывается владельцем базы персональных данных для его идентификации Государственной службой Украины по вопросам защиты персональных данных.

Заявление о регистрации базы персональных данных и о внесении изменений в сведения Государственного реестра баз персональных данных должно содержать информацию о цели обработки персональных данных с указанием категория обработки персональных данных.

Согласно части первой статьи 6 Закона цель обработки персональных данных должна быть сформулирована в законах, других нормативно-правовых актах, положениях, учредительных документах, регулирующих деятельность владельца базы персональных данных, и соответствовать законодательству о защите персональных данных.

Учитывая вышеизложенное целью обработки персональных данных является обеспечение владельцем базы персональных данных надлежащего осуществления деятельности, определенной в законах, других нормативно-правовых актах, положениях, учредительных документах, регулирующих его деятельность, и вследствие которой возникает необходимость в совершении любого действия или совокупности действий по обработке персональных данных в базах. Следует обратить внимание на то, что состав и содержание персональных данных должны быть соответствующими и не чрезмерным относительно определенной цели их обработки.

Определение категории обработки персональных данных зависит от требований к обработке персональных данных, содержащихся в базах персональных данных заявителя.

Так, Законом предусмотрены общие и особые требования обработки персональных данных. Статьей 6 Закона установлены общие требования обработки всех имеющихся в общественной жизни персональных данных лица, за исключением персональных данных, для которых статьей 7 Закона определены особые требования обработки. К таким персональным данным относятся данные о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждений, членство в политических партиях и профессиональных союзах, а также данных, касающихся здоровья или половой жизни.

Подытоживая изложенное, категория обработки персональных данных определяется владельцем базы персональных данных в зависимости от требований к обработке персональных данных, установленные статьями 6, 7 Закона и которым владелец базы персональных данных обязан соблюдать при обработке персональных данных.

Дополнительного внимания требует тот факт, что владелец регистрирует базу персональных данных, а именно предоставляет сведения о ней, которые включаются в Государственный реестр баз персональных данных, однако не передает Государственной службе Украины по вопросам защиты персональных данных имеющиеся в ней персональные данные.

Согласно части 4 статьи 9 Закона владелец базы персональных данных обязан уведомить Государственную службу Украины по вопросам защиты персональных данных о каждом изменении сведений, необходимых для регистрации базы персональных данных не позднее чем в течение 10 рабочих дней со дня наступления такого изменения.

Владелец базы персональных данных направляет Государственной службе Украины по вопросам защиты персональных данных заявление о внесении изменений в сведения необходимые для регистрации, по форме установленной приказом Министерства юстиции Украины «Об утверждении форм заявлений о регистрации базы персональных данных и о внесении изменений в сведения Государственного реестра баз персональных данных и порядка их представления »от 8 июля 2011 № 1824 / 5. Владелец обозначает «удалить» для тех сведений заявления, которые изменились. На замену им путем обозначения «добавить» владелец подает новые сведения.

Свидетельство о внесении изменений в сведения, необходимые для регистрации базы персональных данных не предоставляется. Зато, Государственная служба принимает решение о внесении изменений в сведения, необходимые для регистрации базы персональных данных путем направления владельцу базы персональных данных письмо, в котором сообщает о принятом решении.

Для удаления базы персональных данных из Государственного реестра баз персональных данных, владелец такой базы направляет в Государственную службу защиты данных заявление о внесении изменений в сведения Государственного реестра баз персональных данных и обозначает «изъять» все поля сведений, которые были внесены.

Контроль за соблюдением законодательства о защите персональных данных и ответственность

Осуществление контроля за соблюдением законодательства о защите персональных данных в соответствии со статьей 23 Закона возложена на Государственную службу Украины по вопросам защиты персональных данных.

Так, согласно подпункт 14 пункта 3 Положения о Государственной службе Украины по вопросам защиты персональных данных, утвержденного Указом Президента Украины от 6 апреля 2011 № 390, Государственная служба Украины по вопросам защиты персональных данных осуществляет контроль за соблюдением законодательства о защите персональных данных путем проведения выездных и безвыездных проверок владельцев и (или) распорядителей баз персональных данных.

Также в соответствии с подпунктом 16 пункта 3 настоящего Положения Государственная служба Украины по вопросам защиты персональных данных составляет административные протоколы о выявлении нарушения законодательства в сфере защиты персональных данных.

Но дела об административных правонарушениях в сфере защиты персональных данных рассматриваются согласно статье 221 Кодекса Украины об административных правонарушениях исключительно судами.

С целью обеспечения выполнения гражданами, органами государственной власти и местного самоуправления, предприятиями, учреждениями организациями независимо от формы собственности требований Закона 2 июня 2011 Верховной Радой Украины был принят Закон Украины «О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защита персональных данных », вступающий в силу с 1 января 2012 года.

Согласно этому закону граждане, должностные лица, граждане - субъекты предпринимательской деятельности привлекаются к административной ответственности за совершение таких правонарушений:

1. неуведомление или несвоевременное уведомление субъекта персональных данных о его правах в связи с включением его персональных данных в базу персональных данных, цель сбора этих данных и лиц, которым эти данные передаются;
2. неуведомление или несвоевременное уведомление специально уполномоченного центрального органа исполнительной власти по вопросам защиты персональных данных об изменении сведений, представляемых для государственной регистрации базы персональных данных;
3. уклонение от государственной регистрации базы персональных данных;
4. несоблюдение установленного законодательством о защите персональных данных порядка защиты персональных данных в базе персональных данных, что привело к незаконному доступу к ним;
5. невыполнение законных требований должностных лиц специально уполномоченного центрального органа исполнительной власти по вопросам защиты персональных данных по устранению нарушений законодательства о защите персональных данных.

За нарушение неприкосновенности частной жизни, а именно за незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о лице или незаконную смену такой информации виновное лицо привлекается к уголовной ответственности.

Автор: Екатерина Гутгарц  

Источник: Prostopravo.com.ua