закон о защите персональных данных Опции

[werop]

В связи с многочисленными обращениями граждан относительно практического применения некоторых положений Закона Украины «О защите персональных данных» Министерство юстиции предоставило разъяснение из наиболее актуальных и распространенных вопросов.


ЦЕЛЬ ЗАКОНА

Статьей 32 Конституции Украины провозглашено право человека на невмешательство в ее личную жизнь. Кроме того, не допускается собирание, хранение, использование распространения конфиденциальной информации о лице без ее согласия, кроме случаев, определенных законом, и лишь в интересах национальной безопасности, экономического благосостояния и прав человека.

С целью конкретизации права человека, гарантированного статьей 32 Конституции Украины, и определения механизмов его реализации 1 июня 2010 года Верховной Радой Украины был принят Закон Украины «О защите персональных данных»(далее - Закон), который вступил в силу с 1 января 2011 года. Предметом правового регулирования Закона есть правоотношение, связанные с защитой персональных данных во время их обработки.

ЧТО ТАКОЕ «ПЕРСОНАЛЬНЫЕ ДАННЫЕ»

Определение понятия персональные данные приводится в абзаце восьмому статьи 2 Закона, согласно которому персональными данными есть сведения или совокупность сведений о физическом лице, которое идентифицированное или может быть конкретно идентифицированная.

Но законодательством Украины не установлено и не может быть установлен четкий перечень сведений о физическом лице, которые являются персональными данными, ради возможности применения положений Закона к разнообразным ситуациям, в том числе при обработке персональных данных в информационных (автоматизированных) базах и картотеках персональных данных, что могут возникнуть в будущем, в связи с изменением в технологической, социальной, экономической и других сферах общественной жизни.

Например, согласно статье 24 Кодекса законов о работе Украины гражданин при заключении трудового договора обязан подать паспорт или другой документ, который заверяет лицо, трудовое книжку, а в случаях, предусмотренных законодательством, - также документ об образовании (специальность, квалификацию), о стане здоровья и другие документы.

В связи с этим персональные данные работника, которые содержатся в паспорте или документе, который заверяет лицо, в трудовой книжке, документе об образовании (специальность, квалификацию), документе о стане здоровья и других документах, которые он подал при заключении трудового договора, обделываются владельцем базы персональных данных на основании статьи 24 Кодекса законов о работе Украины исключительно для осуществления полномочий владельца базы персональных данных в сфере правоотношения, которое возникло у него с работником на основании трудового договора (контракта).

Таким образом, информация о нанимаемых работниках является базой персональных данных, поскольку, личные дела, трудовые книжки, копии паспортов, документов об образовании сохраняются и обделываются работодателем.

ЧТО ТАКОЕ «БАЗА ПЕРСОНАЛЬНЫХ ДАННЫХ»

Понятие «база персональных данных» определено абзацем вторым статьи 2 Закона, согласно которому база персональных данных - именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных.

Учитывая это база персональных данных является упорядоченной совокупностью логически связанных данных о физических лицах:

- что сохраняются и обделываются соответствующим программным обеспечением, является базой персональных данных в электронной форме ;

- что сохраняются и обделываются на бумажных носителях информации, является базой персональных данных в форме картотек .

Картотекой персональных данных есть любой структурированный массив персональных данных, что есть доступным с определенными критериями, независимо от того, есть ли такой массив централизованным, децентрализованным или разделенным на функциональных или географических основах

Такие данные должны быть структурированы за определенными критериями, которые касаются физических лиц, чтобы обеспечить легкий доступ к соответствующим персональным данным.

Следует указать, что, исходя из положений статьи 2 Закона, персональные данные одновременно могут быть упорядоченные и в электронной форме, и в форме картотек.

ЧТО НЕ ЯВЛЯЕТСЯ БАЗОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ

Физические лица-предприниматели и самозанятые лица самостоятельно определяют или владеют они базами персональных данных в смысле Закона.

Законодатель распространил действие Закона на все виды деятельности, связанные с созданием баз персональных данных и обработкой персональных данных в этих базах, за исключением такой деятельности, которая осуществляется:

- физическим лицом - исключительно для непрофессиональных личных или бытовых нужд,

- журналистом - в связи с выполнением им служебных или профессиональных обязанностей,

- профессиональным творческим работником - для осуществления творческой деятельности.

Так, во время осуществления своей профессиональной деятельности на адвокатов законодательством не положена обязанность ведения баз персональных данных клиентов. Но, если адвокаты формируют дела на своих клиентов, которые они постоянно обновляют и поддерживают в актуальном стане, такие дела являются базой персональных данных и подлежат государственной регистрации

Нотариусы могут обрабатывать персональные данные своих нанимаемых работников, клиентов в базах персональных данных, однако, документы нотариального делопроизводства и архив нотариуса, определенные в статье 14 Закона Украины «О нотариате» не является базой персональных данных в смысле Закона Украины «О защите персональных данных» и не подлежат государственной регистрации.

Кроме того, в случае, если физические лица - предприниматели укладывают договоры выполнения работ или предоставление услуг по физическими лицами, такие договора также не является базой персональных данных и не подлежат государственной регистрации.

КТО ЯВЛЯЕТСЯ ВЛАДЕЛЬЦЕМ И РАСПОРЯДИТЕЛЕМ БАЗЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

Владельцем базы персональных данных согласно абзацу третьим статьи 2 Закона есть физическое или юридическое лицо, которому законом или по согласию субъекта персональные данные предоставлены право на обработку этих данных, которая утверждает цель обработки персональных данных и процедуру их обработки, если другое не определенное законом.

Так, если персональные данные обделываются юридическим лицом, то владельцем базы персональных данных есть юридическое лицо.

Распорядителем базы персональных данных согласно абзацу девятым статьи 2 Закона может быть физическое или юридическое лицо, которому владельцем базы персональных данных или законом предоставлено право обрабатывать эти данные.

Практическим примером могут быть отношения между юридическими лицами и их представительствами, филиалами, отделениями и т.п.. Так, в смысле Закона эти представительства, филиала, отделения будут выступать распорядителями баз персональных данных, владельцем которых является юридическое лицо.

Согласно статье 4 Закона владельцем или распорядителем базы персональных данных могут быть предприятия, учреждения и организации всех форм собственности, органы государства власти или органы местного самоуправления, которые обрабатывают персональные данные согласно закону.

Но если владельцем базы персональных данных есть орган государственной власти или орган местного самоуправления, то распорядителем базы персональных данных, кроме этих органов, может быть лишь предприятие государственной или коммунальной формы собственности, которая принадлежит к сфере управления этого органа.


ПОРЯДОК РЕГИСТРАЦИИ БАЗЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

Согласно статье 9 Закона база персональных данных подлежит государственной регистрации путем внесения соответствующей записи уполномоченным государственным органом по вопросам защиты персональных данных в Государственный реестр баз персональных данных.

В случае, если юридическое лицо, физическое лицо - предприниматель, самозанятое лицо устанавливает, что она не обрабатывает персональные данные, у такого лица отсутствующая обязанность регистрировать базу персональных данных.

Указом Президента Украины «Об утверждении Положения о Государственной службе Украины по вопросам защиты персональных данных» от 6 апреля 2011 года определен уполномоченным государственным органом по вопросам защиты персональных данных - Государственную службу Украины по вопросам защиты персональных данных, одним из основных задач которой есть регистрация баз персональных данных.

Регистрация базы персональных данных осуществляется по заявочному принципу путем сообщения. Суть заявочного принципа заключается в том, что основным есть представления владельцем базы персональных данных заявления о регистрации базы персональных данных, а не получение свидетельства о государственной регистрации базы персональных данных. Итак, ключевым и определяющим есть факт внесения соответствующей записи Государственной службой Украины по вопросам защиты персональных данных в Государственный реестр баз персональных данных, а не получение владельцем базы персональных данных свидетельства о государственной регистрации, что является следствием указанного факта.

Сайт Государственного реестра баз персональных данных https://rbpd.informjust.ua, на котором есть возможность следить за ходом государственной регистрации заявления в режиме вон-лайн.


ОФОРМЛЕНИЕ ЗАЯВЛЕНИЯ О РЕГИСТРАЦИИ БАЗЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

Заявление о регистрации базы персональных данных подается владельцем такой базы или уполномоченным представителем в бумажной или электронной форме , требования к заполнению и порядок представления которой определены постановлением Кабинета Министров Украины «Об утверждении Положения о Государственном реестре баз персональных данных и порядок его ведения» от 25 мая 2011 года № 616 и приказом Министерства юстиции Украины «Об утверждении форм заявлений о регистрации базы персональных данных и о внесении изменений в сведения Государственного реестра баз персональных данных и порядка их представления» от 8 июля 2011 года № 1824/5. Ознакомиться с указанным приказом в электронном виде можно на сайте Верховной Рады Украины: http://zakon2.rada.gov.ua/laws/show/z0890-11.

В частности заявление о регистрации базы персональных данных, которая подается в электронной форме, должна отвечать требованиям Законов Украины «Об электронной цифровой подписи» и «Об электронных документах и электронном документообороте». А именно: такое заявление должна содержать электронную подпись, что является обязательным реквизитом электронного документа и который накладывается владельцем базы персональных данных для его идентификации Государственной службой Украины по вопросам защиты персональных данных.

Заявление о регистрации базы персональных данных и о внесении изменений в сведения Государственного реестра баз персональных данных, в частности, должна содержать информацию о цели обработки персональных данных с определением категории обработки персональных данных.

Согласно части первой статьи 6 Закона цель обработки персональных данных должны быть сформулирована в законах, других нормативно-правовых актах, положениях, учредительных документах, которые регулируют деятельность владельца базы персональных данных, и отвечать законодательству о защите персональных данных.

Учитывая вышеизложенное целью обработки персональных данных есть обеспечения владельцем базы персональных данных надлежащего осуществления деятельности, определенной в законах, других нормативно-правовых актах, положениях, учредительных документах, которые регулируют его деятельность, и вследствие которой возникает необходимость в совершении любого действия или совокупности действий из обработки персональных данных в базах. Нужно обратить внимание на то, что состав и содержание персональных данных должны быть соответствующими и не чрезмерным относительно определенной цели их обработки.

Определение категории обработки персональных данных зависит от требований до обработки персональных данных, которые содержатся в базах персональных данных заявителя.

Так, Законом предусмотренные общее и особое требования обработки персональных данных. Статьей 6 Закона установленные общие требования обработки всех имеющихся в общественной жизни персональных данных лица, за исключением персональных данных, для которых статьей 7 Закона определенные особые требования обработки. К таким персональным данным принадлежат данные о расовом или этническое происхождения, политические, религиозные или мировоззренческие убеждения, членство в политических партиях и профессиональных союзах, а также данных, что касаются здоровья или половой жизни.

Подытоживая изложенное, категория обработки персональных данных определяется владельцем базы персональных данных в зависимости от требований до обработки персональных данных, что установленные статьями 6, 7 Закона и которых владелец базы персональных данных обязан придерживаться при обработке персональных данных.

Дополнительного внимания нуждается в то, что владелец регистрирует базу персональных данных, а именно предоставляет сведению о ней, которые включаются в Государственный реестр баз персональных данных, однако не передает Государственной службе Украины по вопросам защиты персональных данных имеющиеся в ней персональные данные.

Согласно части 4 статье 9 Закона владелец базы персональных данных обязан сообщать Государственную службу Украины по вопросам защиты персональных данных о каждом изменении сведений , необходимых для регистрации базы персональных данных не позже чем на протяжении 10 рабочих дней со дня наступления такого изменения.

Владелец базы персональных данных присылает Государственной службе Украины по вопросам защиты персональных данных заявление о внесении изменений в сведения необходимых для регистрации, по форме установленной приказом Министерства юстиции Украины «Об утверждении форм заявлений о регистрации базы персональных данных и о внесении изменений в сведения Государственного реестра баз персональных данных и порядка их представление» от 8 июля 2011 года № 1824/5. Владелец обозначает «удалить» тех сведений заявления, которые изменились. На замену им путем обозначения «прибавить» владелец представляет новые сведения.

Свидетельство о внесении изменений в сведения, необходимые для регистрации базы персональных данных не предоставляется. Вместе с тем, Государственная служба принимает решение о внесении изменений в сведения, необходимые для регистрации базы персональных данных путем посылки владельцу базы персональных данных письма, в котором сообщает о принятом решении.

Для удаления базы персональных данных из Государственного реестра баз персональных данных, владелец такой базы направляет в Государственную службу защиты персональных данных заявление о внесении изменений в сведения Государственного реестра баз персональных данных и обозначает «изъять» все поля сведений, которые были внесены.


СОГЛАСИЕ СУБЪЕКТА НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ И ТРЕБОВАНИЯ К ЕЕ ОФОРМЛЕНИЮ

Обработка персональных данных согласно части 5 статье 6 Закона осуществляется по согласию субъекта персональных данных, или в случаях, предусмотренных законами Украины, в порядке, установленном законодательством.

Так, согласно абзацу пятого статьи 2 Закона согласием субъекта персональных данных есть любое документированное, в частности письменное, добровольное волеизъявление физического лица относительно предоставления разрешения на обработку ее персональных данных согласно сформулированной цели их обработки.

Обработка данных о физическом лице без ее согласия не допускается, кроме случаев, определенных Законом, и лишь в интересах национальной безопасности, экономического благосостояния и прав человека. В этом случае под Законами понимаются все другие Законы, которые предоставляют право на обработку персональных данных с указанием четкого перечня таких данных.

Закон также разрешает осуществлять обработку персональных данных без согласия субєкта персональных данных , если обработка персональных данных есть необходимой для защиты его жизненно важных интересов. В таком случае обрабатывать персональные данные без согласия субъекта персональных данных можно к времени, когда получение согласия станет возможным.

Согласно требованиям Закона согласие субъекта персональных данных на обработку персональных данных должна содержать информацию относительно:

- мети , которая определяется владельцем базы персональных данных в зависимости от вида его деятельности, при осуществимые которой возникает необходимость в обработке персональных данных в базах персональных данных, конкретных целей обработки персональных данных, для достижения которых владелец базы персональных данных обрабатывает персональные данные в этой базе (статья 2 Закона);

- объема персональных данных, а именно четкого перечня персональных данных физического лица, которые могут обделываются владельцем базы персональных данных в этой базе (статья 6 Закона);

- порядка использования персональных данных , который предусматривает действия владельца базы относительно обработки этих данных, в том числе использования персональных данных работниками владельца базы персональных данных, согласно их профессиональным или служебных или трудовых обязанностей, действия относительно их защиты, а также действия относительно предоставления частичного или полного права обработки персональных данных другим субъектам отношений, связанных с персональными данными (статья 10 Закона);

- порядка распространения персональных данных , который предусматривает действия владельца базы персональных данных относительно передачи сведений о физическом лице из базы персональных данных (статья 14 Закона);

- порядка доступа к персональным данным третий лицам , который определяет действию владельца базы персональных данных в случае получения запроса от третьего лица относительно доступа к персональным данным, в том числе порядок доступа субъекта персональных данных к сведениям о себе (статья 16 Закона).

ПОРЯДОК И ОСНОВАНИЯ СООБЩЕНИЯ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ О ЕГО ПРАВАХ, КОТОРЫЕ КАСАЮТСЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Одной с составных процесса обработки персональных данных есть их собирания, которые предусматривает действия из подбора или упорядочение сведений о физическом лице и внесении их к базе персональных данных.

Так, согласно статье 12 Закона владелец базы персональных данных на протяжении десяти рабочих дней со дня включения персональных данных к базе персональных данных, что является действием с собирание персональных данных, обязан сообщить субъекта персональных данных, исключительно в письменной форме , о его правах, что определенные статьей 8 Закона, цель сбора данных, которая определяется владельцем базы персональных данных, и лиц, которым будут передаваться персональные данные.

Владелец базы освобождается от выполнения указанной обязанности лишь в случае, если персональные данные собираются им из общедоступных источников. Под определением «общедоступные источники информации», в частности, понимаются печатные средства массовой информации, средства телерадиовещания, интернет-порталы, публичные выступления и другие источники информации, к которым физическое и юридическое лица имеют свободный, неограниченный действующим законодательством, доступ.

ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ ФИЗИЧЕСКИМИ ЛИЦАМИ-ПРЕДПРИНИМАТЕЛЯМИ И САМОЗАНЯТЫМИ ЛИЦАМИ

Частью 1 статье 24 Закон определен, что физические лица-предприниматели, в том числе врачи, которые имеют соответствующую лицензию, адвокаты, нотариусы лично обеспечивают защиту персональных данных, которыми они владеют согласно требованиям закона.

КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Осуществление контроля за соблюдением законодательства о защите персональных данных согласно статье 23 Закон положен на Государственную службу Украины по вопросам защиты персональных данных.

Так, согласно подпункт 14 пункта 3 Положение о Государственной службе Украины по вопросам защиты персональных данных, утвержденного Указом Президента Украины от 6 апреля 2011 года № 390, Государственная служба Украины по вопросам защиты персональных данных осуществляет контроль за соблюдением законодательства о защите персональных данных путем проведения выездных и безвыездных проверок владельцев и (или) распорядителей баз персональных данных.

Также согласно подпункту 16 пункта 3 этого Положения Государственная служба Украины по вопросам защиты персональных данных составляет административные протоколы о выявлении нарушение законодательства в сфере защиты персональных данных.

Но дела об административных правонарушениях в сфере защиты персональных данных рассматриваются согласно статье 221 Кодекса Украины об административных правонарушениях исключительно районными, районными в городе, городскими или міськрайонними судами.

ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ЗАКОНОДАТЕЛЬСТВА О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

С целью обеспечения выполнения гражданами, органами государственной власти и местного самоуправления, предприятиями, учреждениями организациями независимо от формы собственности требований Закона 2 июня 2011 года Верховной Радой Украины был принят Закон Украины «О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных», который вступает в силу с 1 января 2012 года.

Согласно этому закону граждане, должностные лица, граждане - субъекты предпринимательской деятельности притягиваются к административной ответственности за совершение таких правонарушений:

1) неуведомление или несвоевременное сообщение субъекта персональных данных о его правах в связи с включением его персональных данных к базе персональных данных, цель сбора этих данных и лиц, которым эти данные передаются;

2) неуведомление или несвоевременное сообщение специально уполномоченного центрального органа исполнительной власти по вопросам защиты персональных данных об изменении сведений, которые подаются для государственной регистрации базы персональных данных;

3) уклонение от государственной регистрации базы персональных данных;

4) несоблюдение установленного законодательством о защите персональных данных порядка защиты персональных данных в базе персональных данных, что привело к незаконному доступу к ним;

5) невыполнение законных требований должностных лиц специально уполномоченного центрального органа исполнительной власти по вопросам защиты персональных данных относительно устранения нарушений законодательства о защите персональных данных.

За нарушение неприкосновенности частной жизни, а именно за незаконное собирание, хранение, использование, уничтожение, распространение конфиденциальной информации о лице или незаконное изменение такой информации виновное лицо притягивается к уголовной ответственности.



http://zakon.rada.gov.ua/cgi-bin/laws/main.cgi?nreg=2297-17
в законе не увидел обязательные сроки подачи заявлений и штрафных санкций.

[CMOS]

Для тех, кто ещё колеблется с регистрацией, хочу привести аргумент, чтобы задумались.

VOA, браво! Хотя люди продолжают спрашивать, нужно ли им регистрироваться, если они ЧП/арендуют/наемные/ненаемные и еще куча совершенно не относящихся к делу параметров... Почему-то почти никто не задает себе простой вопрос: "А есть ли у меня эта самая база, которую я хочу зарегистрировать?"

[Kriska]

Здравствуйте. У меня своё частное помещение, наёмных лиц нет, попадаю в первую категорию единого налога. Осуществляю услуги бытового обслуживания населения. Нужно ли мен подавать данные в базу.???? В налоговой сказали, что на меня это не распространяется.

Разумеется нужно! И с каждого клиента, которому Вы пришиваете пуговицу или ставите набойки - брать расписку о том, что он не возражает против того, что Вы знаете его персональные данные: размер ноги

[Kriska]

И вот пример ситуации: разглашены БПД неизвестным источником (не буду говорить о том, что сват-брат, работающий в госсруктуре за мзду или просто из любви поможет найти нужные кому-то ПД гражданина). Ославленный - недоволен. И пишет заяву именно на ФОПа, потому что работник чаще всего не в курсе о том, что идентичными данными обладают из труд.договора ещё ПЯТЬ госструктур. Но ведь он писал разрешение и получал подтверждение об использовании его ПД только от ФОПа!!! И разглашены именно те данные, которые были в труд.договоре. А все госструктуры - типа ни при чём.
========================================

Золотые слова....Тоесть теперь КАЖДОГО можно упечь как угодно и на сколько угодно! 37-й год нервно курит в сторонке....
И это уже не смешно, чёрт побери....

[VOA]

VOA, браво! Хотя люди продолжают спрашивать, нужно ли им регистрироваться, если они ЧП/арендуют/наемные/ненаемные и еще куча совершенно не относящихся к делу параметров... Почему-то почти никто не задает себе простой вопрос: "А есть ли у меня эта самая база, которую я хочу зарегистрировать?"

Так это всё по одной причине: не читают нормативку. Причём - долго, потому что сразу этот закон не расшифруешь.

[Cxfcnkbdf]

То что Вы сказали не подпадает под определение базы.
Так что как хранить юр.-не важно.
Но коль-уж зарегили,теперь сами и думайте как хранить мнимую базу

И как нам быть дальше? Если нет нормальных методических рекомендаций, то в этом сложно разобраться, т.к. мы поспешили и наломали дров или не наломали? Кто знает.....
для таких как мы - физические лица предприниматели надо все разжевывать, ко всему прочему мы еще должны быть юристами, экономистами, бухгалтерами, водителями, уборщицами и грузчиками и все в одном лице....

[Гость_7133_*]

Почему-то почти никто не задает себе простой вопрос: "А есть ли у меня эта самая база, которую я хочу зарегистрировать?"

Это был ПЕРВЫЙ вопрос лично у меня! И ответ - нету у нас этого.

[Японец]

И как нам быть дальше? Если нет нормальных методических рекомендаций, то в этом сложно разобраться, т.к. мы поспешили и наломали дров или не наломали? Кто знает.....

Жизнь покажет...

[Гость_Елена Максимова_*]

разглашены БПД неизвестным источником.. Ославленный - недоволен. И пишет заяву именно на ФОПа, потому что работник чаще всего не в курсе о том, что идентичными данными обладают из труд.договора ещё ПЯТЬ госструктур.

В том то и дело, что сколько не защищай эти самые ПД, выявить фактический источник утечки этой информации - по этому закону НЕВОЗМОЖНО!
VOA, полностью с Вами согласна!

[VOA]

Проблема в том, что зато МОЖНО НАЙТИ (ИЛИ НАЗНАЧИТЬ) КРАЙНЕГОпо этому закону. И крайним выплывет ФОП, т.к. он должен предупредить и сообщить работнику о своих действиях в письменном виде.

[Замогорская]

Подскажите, пожалуйста, какие условия хранения базы? Я ЧП на ЕН, 4 наемных, папочка с документами по ним стоит дома на полке. Значит, придут ко мне домой и оштрафуют за ненадлежащее хранение? Оставить на торговой точке и завести сейф? Как правильно?

[tatyya]

Наше государство ни за что не хочет отвечать.