Внимание! Эта страница является архивной, возможно материалы опубликованные на ней уже устарели. С актуальной информацией для предпринимателей
вы можете ознакомиться в газете «Частный предприниматель»
С 1 января 2011 года вступил в силу Закон Украины от 01.06.2010 г. № 2297-VІ “О защите персональных данных” (далее – Закон № 2297), который требует регистрировать базы персональных данных, состоящие из физических лиц, в Государственном реестре баз персональных данных. (О проблемах, связанных с соблюдением норм данного Закона мы писали в “Частном предпринимателе” № 19 и 20.) Напомним, что такая регистрация начата с 1 июля текущего года. Регистрирует такие базы Государственная служба по вопросам защиты персональных данных, которая находится по адресу: ул. Марины Расковой, д. 15, г. Киев, 02660. Контактный телефон: +38(044)517-68-00. Электронный адрес: info@zpd.gov.ua.
Представителей или структурных подразделений в регионах у данной службы пока нет, поэтому для регистрации необходимо обращаться по вышеуказанному адресу.
Следует отметить, что на сайте www.zpd.gov.ua данной службы стали появляться разъяснения, связанные с порядком регистрации баз.
В таблице на с. 11 приведены вопросы-ответы Государственной службы по вопросам защиты персональных данных, размещенные на ее сайте.
В таблице используются следующие сокращения:
– Закон № 2297 – Закон Украины от 01.06.2010 г. № 2297-VІ “О защите персональных данных”;
– БПД – базы персональных данных;
– ГСЗПД – Государственная служба по вопросам защиты персональных данных;
– СПД – физические лица – субъекты персональных данных.
|
Вопрос |
Ответ |
|
Для чего нужна реги-
|
Регистрация БПД является полезной для: – субъектов персональных данных, поскольку является важным признаком прозрачности относительно обработки их персональных данных. Анализ записей в Государственном реестре может служить отправной точкой для подачи СПД жалобы в компетентные органы; – владельцев БПД, поскольку способствует их осведомленности относительно требований законодательства и необходимости обеспечивать обработку персональных данных с соблюдением требований законодательства; – уполномоченного ГСЗПД, поскольку позволяет ему быть осведомленным в ситуации относительно обработки персональных данных и в то же время дает возможность осуществлять анализ записей в целях усовершенствования положений типового порядка обработки персональных данных и методов контроля за соблюдением требований законодательства о защите персональных данных |
|
Какие сведения от- |
К персональным данным относятся: по природе сведений: объективные сведения о физическом лице (биометрические данные, состояние банковского счета и др.); субъективные сведения о физическом лице (автобиография, характеристика, материалы аттестации, описание личных качеств физического лица, досье и др.); по источникам сведений: сведения, содержащиеся в первичных и других источниках о физическом лице; по способам обработки сведений: сведения в алфавитно-цифровом формате; сведения в графическом формате; сведения в фото- и кино-, аудио- и видеоформате и др.; по форме обработки сведений: сведения на бумажных носителях; сведения на электронных носителях; сведения на магнитных носителях; сведения на оптических носителях и др.; по требованиям к обработке сведений: сведения, относительно которых применяются общие требования обработки в соответствии с Законом № 2297; сведения, относительно которых согласно ст. 7 Закона применяются особые требования обработки (расовое или этническое происхождение, политические, религиозные или мировоззренческие убеждения, членство в политических партиях и профессиональных союзах, а также сведения, касающиеся здоровья или половой жизни и др.); по связи с физическим лицом: сведения, касающиеся физического лица непосредственно (личное дело работника, запись в базе данных медицинского учреждения, банковский счет физического лица и др.); сведения, касающиеся физического лица опосредованно (регистрационная запись о праве собственности на объект недвижимого имущества, записи видеонаблюдения в общественных местах, записи о техническом обслуживании автомобиля и др.) |
|
Какими правами на- делен СПД?
|
Статья 8 Закона № 2297 определяет объем прав СПД: – СПД имеет право знать о местонахождении БПД, которая содержит его персональные данные, ее назначении и наименовании, местонахождении и/или месте проживания (пребывания) владельца или распорядителя этой базы или дать соответствующее поручение о получении этой информации уполномоченным им лицам, кроме случаев, установленных законом; – получать информацию об условиях предоставления доступа к персональным данным, в частности информацию о третьих лицах, которым передаются его персональные данные, содержащиеся в соответствующей БПД; – на доступ к своим персональным данным, содержащимся в соответствующей БПД; – получать информацию о содержании своих персональных данных, хранящихся в соответствующей БПД; – на защиту своих персональных данных от незаконной обработки и случайной утери, уничтожения, повреждения в связи с преднамеренным сокрытием, непредоставлением или несвоевременным их предоставлением, а также на защиту от предоставления сведений, являющихся недостоверными или позорящими честь, достоинство и деловую репутацию физического лица |
|
Какие основания воз-
|
Согласие СПД на обработку его персональных данных: – предоставленное владельцу БПД в порядке, определенном законодательством Украины, право на обработку персональных данных в соответствии с Законом № 2297, и исключительно в интересах национальной безопасности, экономического благосостояния и прав человека; – необходимость защиты жизненно важных интересов субъекта персональных данных до момента, когда получение согласия на обработку персональных данных от СПД станет возможным |
|
Существуют ли об-
|
Цель обработки персональных данных должна быть сформулирована в законах, нормативно-правовых актах, положениях, учредительных или других документах, которые регулируют деятельность владельца базы персональных данных и соответствуют законодательству о защите персональных данных. В соответствии со ст. 6 Закона первичными источниками сведений о физическом лице являются: выданные на его имя документы, подписанные им документы, сведения, которые лицо предоставляет о себе. Обработка персональных данных осуществляется для конкретных и законных целей, определенных с согласия СПД или в случаях, предусмотренных законами Украины в порядке, установленном законодательством. Не допускается обработка данных о физическом лице без его согласия, кроме случаев, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека |
|
Предусматривает ли |
В соответствии со ст. 7 Закона № 2297 запрещается обработка персональных данных о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, а также данных, касающихся здоровья или половой жизни |
|
Какие существуют
|
В соответствии со ст. 2 Закона № 2297 согласием СПД является какое-либо документируемое, в частности письменное, добровольное волеизъявление физического лица относительно предоставления разрешения на обработку его персональных данных в соответствии со сформулированной целью их обработки и, учитывая то, что СПД имеет право при предоставлении согласия внести оговорку об ограничении права на обработку своих персональных данных, ГСЗПД рекомендует считать формами предоставления согласия СПД: – документ на бумажном носителе с реквизитами, дающими возможность идентифицировать этот документ и физическое лицо. Добровольное волеизъявление СПД целесообразно удостоверять его подписью; – электронный документ, включая обязательные реквизиты документа, дающие возможность идентифицировать этот документ и физическое лицо. Добровольное волеизъявление физического лица относительно предоставления разрешения на обработку его персональных данных целесообразно удостоверять электронной подписью СПД; – отметку на электронной странице документа или в электронном файле, обрабатываемого в информационной системе на основе документируемых программно-технических решений, которые, в свою очередь: не позволяют обработку персональных данных до того времени, пока СПД не выполнит действий, подтверждающих предоставление им соответствующего согласия; обеспечивают регистрацию действий СПД и целостность протоколов регистрации таких действий. Согласие относительно предоставления разрешения на обработку персональных данных должно предоставляться в соответствии со сформулированной целью их обработки |
|
Как быть с физически- |
Если владелец продолжает обрабатывать персональные данные субъекта, в соответствии с правоотношениями на основе свободного волеизъявления физического лица, которые возникли до вступления в силу Закона № 2297, то согласие СПД на обработку его персональных данных повторно не предоставляется |
|
Имеет ли право фи-
|
Статьей 19 Закона № 2297 определено, что доступ СПД данных о себе осуществляется бесплатно. Доступ других субъектов отношений, связанных с персональными данными, к персональным данным определенного физического лица или группы физических лиц может быть платным в случае соблюдения условий, определенных данным Законом. Органы государственной власти и органы местного самоуправления имеют право на беспрепятственный и бесплатный доступ к персональным данным в соответствии с их полномочиями. Оплате подлежит работа, связанная с обработкой персональных данных, а также работа по консультированию и организации доступа к соответствующим данным. Размер платы за услуги по предоставлению доступа к персональным данным органами государственной власти определяется КМУ |
|
Считается ли доку- |
Согласно закону персональными данными являются сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано. Документация в электронной форме и/или в форме картотек, содержащая определенным образом структурированные персональные данные наемных работников, подпадает под определение “база персональных данных” в соответствии со ст. 2 Закона № 2297
|
|
Каким образом необ-
|
Статьей 14 Закона № 2297 определено, что распространение персональных данных предусматривает действия по передаче сведений о физическом лице из БПД с согласия СПД. Распространение персональных данных без согласия СПД или уполномоченного им лица разрешается в случаях, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека. Вместе с тем ст. 16 Закона № 2297 предусматривает, что порядок доступа к персональным данным третьих лиц определяется условиями согласия СПД, предоставленного владельцу БПД на обработку этих данных, или в соответствии с требованиями закона. Доступ к персональным данным третьему лицу не предоставляется, если указанное лицо отказывается принять на себя обязательство по обеспечению выполнения требований данного Закона или не в состоянии их обеспечить. Кроме того, владелец БПД в течение десяти рабочих дней уведомляет СПД о передаче его данных третьему лицу, если этого требуют условия согласия СПД или иное не предусмотрено законом (ст. 21 Закона № 2297). То есть, если условиями согласия СПД предусмотрено требование относительно уведомления его о передаче данных третьим лицам, владелец БПД обязан информировать о такой передаче. Уведомление о передаче персональных данных не осуществляется, в частности, в случае передачи персональных данных по запросам при выполнении заданий оперативно-разыскной или контрразведывательной деятельности, борьбы с терроризмом или при выполнении органами государственной власти и органами местного самоуправления своих полномочий, предусмотренных законом (ст. 21 Закона № 2297). Вместе с тем сторона, которой передаются персональные данные, должна предварительно принять меры по обеспечению требований данного Закона. Кроме того, доступ третьих лиц к персональным данным физических лиц должен осуществляться с учетом требований, установленных ст. 16 Закона № 2297, в том числе с указанием в запросе, который подается владельцу БПД, цели такого запроса. Передача персональных данных иностранным субъектам осуществляется с учетом требований |
|
В каких случаях и в
|
В соответствии с требованиями ст. 15 Закона № 2297 уничтожению подлежат именно персональные данные в БПД в порядке, установленном в соответствии с требованиями закона. В частности, персональные данные в БПД подлежат уничтожению в случае: 1) истечения срока хранения данных, определенного согласием СПД на обработку этих данных или законом; 2) прекращения правоотношений между СПД и владельцем или распорядителем базы, если иное не предусмотрено законом; 3) вступления в законную силу решения суда об исключении данных о физическом лице из БПД. Кроме того, в соответствии с приказом Минюста Украины № 1824/5 от 08.07.2011 “Об утверждении форм заявлений о регистрации базы персональных данных и о внесении изменений в сведения Государственного реестра баз персональных данных и порядок их представления” в заявлении о внесении изменений в сведения Государственного реестра баз персональных данных ставится отметка в графе “Функционирование базы персональных данных прекращено” |
|
Может ли быть фи- |
В соответствии со ст. 2 Закона № 2297 третьим лицом является какое-либо лицо, кроме СПД, владельца или распорядителя БПД и ГСЗПД, которому владельцем или распорядителем БПД осуществляется передача персональных данных в соответствии с законом. Таким образом, физическое лицо (не предприниматель), в том числе самозанятое, получающее персональные данные от владельцев или распорядителей персональных данных для профессиональных и/или небытовых нужд, является третьим лицом в понимании закона |
Как видно из ответов ГСЗПД, предприниматель, как владелец баз персональных данных, обязан получить согласие физлица на включение сведений о нем в базу данных. Причем такое согласие необходимо получить ото всех физлиц при формировании любой из баз.
Сведения о наемных работниках предпринимателя также подпадают под определения БПД. Подтверждением тому служит ответ Минюста Украины, приведенный в письме от 08.11.2011 г. № 17304-0-33-11/61:
“Картотека с информацией о наемных работниках физического лица – предпринимателя является базой персональных данных в понимании статьи 2 Закона Украины “О защите персональных данных” (далее – Закон), в соответствии с которой база персональных данных – именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек.
В соответствии со статьей 9 Закона база персональных данных подлежит государственной регистрации путем внесения соответствующей записи уполномоченным государственным органом по вопросам защиты персональных данных в Государственный реестр баз персональных данных”.
Поэтому предпринимателю нужно получить от каждого из наемных работников согласие на включение в базу. Форма такого согласия действующим законодательством не установлена, поэтому предприниматель может самостоятельно ее разработать. Форма такого согласия может выглядеть следующим образом.
|
ФЛП ____________________ (Ф.И.О. предпринимателя) _________________________ (Ф.И.О. наемного работника) _________________________ (идентификационный номер) _________________________ (домашний адрес) СОГЛАСИЕ Я, ______________________________, данным документом даю свое согласие на использование и обработку моих персональных данных (паспортные данные, идентификационный номер, данные об образовании и квалификации) ФЛП ___________________ исключительно для осуществления полномочий, необходимых для оформления (или продления) трудовых отношений с “___”____________ 201__ г. и на передачу моих персональных данных третьему лицу исключительно в рамках Закона Украины от 01.06.2010 г. № 2297-VI “О защите персональных данных”. _______________________ _______________________ (число, месяц, год) (подпись)
|
Аналогичное согласие необходимо получить и от других субъектов персональных данных для формирования прочих БПД, поскольку использование таких данных без согласия их собственника может повлечь за собой штрафные санкции, размер которых приведен в “Частном предпринимателе” № 20.
Предприниматель, как владелец БПД, должен письменно уведомить наемных работников и других СПД об их правах, цели сбора данных, информации, включенной в БПД и лицах, которым могут передаваться их данные при получении согласия на включение в БПД. Направить такое уведомление он должен в течение 10 рабочих дней со дня включения сведений о них в БПД. Поскольку форма такого уведомления не утверждена, она также может быть самостоятельно разработана предпринимателем. Ниже приведен пример возможного уведомления.
|
Предприниматель Петренко П. П. Уведомление Я, предприниматель _________________, сообщаю _____________________________________________________, (Ф.И.О.) (Ф.И.О.) что сведения о фамилии, имени, отчестве, годе рождения, образовании и квалификации, месте проживания используются при формировании БПД наемных работников, которая используется исключительно в целях и в рамках исполнения требований законодательства о труде и налогового законодательства. _______________________ _______________________ (число, месяц, год) (подпись)
|
Кроме того, рекомендуем распоряжением утвердить перечень и виды создаваемых БПД.
В заключение отметим, что регистрации подлежит непосредственно название базы, а не ее содержание. При подаче заявления на ее регистрацию не нужно предоставлять сведения о физических лицах, включенных в такую БПД. Если у предпринимателя несколько БПД, то заявление необходимо оформлять отдельно на каждую из них.
Наталия Щербак, зам. главного редактора
__________________
* С полным архивом публикаций газеты можно ознакомиться на сайте газеты www.chp.com.ua и СD-диске “Архив газеты за 2011–2013 годы”.
