Феодосийцев будут штрафовать за нарушение регистрации персональных баз данных

Цель – защитить персональные данные

Как рассказали в Государственной службе Украины по вопросам защиты персональных данных, новый закон является одним из шагов к выполнению Украиной обязательств перед Европейским Союзом по усовершенствованию законодательства в сфере защиты персональных данных граждан. В соответствии с законом, персональными данными является любая информация о физическом лице, которая позволяет его идентифицировать: имя, дата и место рождения, место работы и проживания, образование и т.д. Персональными данными также могут быть сведения о национальности, образовании, семейном положении, религиозности, состоянии здоровья. Согласно статье 2 Закона, база персональных данных – это именуемая совокупность упорядоченных персональных данных в электронном виде и/или в виде картотек персональных данных. Поэтому базы пациентов и их медицинские карточки в медицинских и оздоровительных учреждениях,  базы и карточки клиентов салонов красоты, аптек, постояльцев гостиниц другие клиентские базы также являются базами персональных данных.

В Госслужбе по вопросам защиты персональных данных отметили, что как минимум одна база персональных данных физических лиц есть у каждого работодателя, независимо от вида его хозяйственной деятельности. Это база наемных работников, которая формируется при оформлении их кадровых дел.

Владельцами базы персональных данных являются физические или юридические лица, которым законом или по согласию субъекта персональных данных предоставлено право на обработку этих данных. В соответствии с законом все субъекты, которые обрабатывают, вносят в базы или используют персональные данные физических лиц, должны регистрировать такие базы персональных данных в установленном порядке. По мнению юристов, это поможет предотвратить утечку персональных данных, а в случае, если это все же произойдет, наказать виновных.

Как зарегистрировать

Самое главное, что в первую очередь интересует работодателей, это необходимость регистрации базы персональных данных. Она подлежит государственной регистрации путем внесения соответствующей записи уполномоченным государственным органом по вопросам защиты персональных данных в Государственный реестр баз персональных данных. Как отмечают в Госслужбе, регистрация помогает владельцам детально знать и тщательно выполнять требования законодательства; субъектам персональных данных – на основе анализа полученной информации о том, хранятся ли его персональные данные в базе данных конкретной компании и категорий таких данных, корректно формулировать запросы и жалобы; уполномоченному государственному органу по вопросам защиты персональных данных – следить за ситуацией, использовать записи о зарегистрированных базах персональных данных для проведения выездных и безвыездных проверок владельцев и распорядителей баз персональных данных.

В соответствии с Законом специально уполномоченным государственным органом по вопросам защиты персональных данных физических лиц является Государственная служба Украины по вопросам защиты персональных данных. Именно ее специалисты проводят регистрацию баз данных.

Государственной регистрации подлежат все базы персональных данных в электронном виде и/или в картотеках, в которых обрабатываются персональные данные, независимо от объема и формы их использования, вида деятельности. При этом для каждой базы данных, которая находится во владении заявителя, подается отдельное заявление.

Для регистрации базы персональных данных уполномоченному государственному органу по вопросам защиты персональных данных подается заявление установленного образца, образец которого есть на сайте Госслужбы (www.zpd.gov.ua).

Заявление о регистрации базы персональных данных должно содержать информацию о владельце и распорядителях базы персональных данных, информацию о базе данных и ее местонахождении, а также подтверждение обязательств по выполнению требований законодательства по защите персональных данных.

О каждом изменении сведений, не позднее чем через десять рабочих дней со дня наступления такого изменения, владелец базы персональных данных обязан уведомлять Службу путем подачи заявления о внесении изменений.

Заявление о регистрации подается в бумажной форме (желательно, с предоставлением электронной копии) или в форме электронного документа. В электронном виде заявление следует отправить на почту: [email protected], а в письменном виде – по адресу: 02660, г. Киев, ул. М. Расковой, 15, каб.1205.

При этом сами персональные данные в заявление не включаются, то есть из заявления ничего, кроме самого наличия определенных персональных данных у субъекта хозяйствования, Госслужба не узнает. Сама Госслужба указывает, что необходимость регистрации базы персональных данных заставляет субъектов хозяйствования задуматься о гарантиях защиты таких данных от неправомерного использования и формирует ответственное отношение к законодательству о защите персональных данных.

Можно ли отказаться

Закон о защите персональных данных предусматривает в качестве основания для использования персональных данных разрешение на их обработку. При этом, если, например, работник откажется предоставить о себе определенные персональные данные, его можно уволить согласно трудовому законодательству. Именно поэтому юристы советуют не столько спрашивать согласие работников на использование их персональных данных в необходимом для работы объеме, сколько ознакомить их с предоставляемыми им законодательными гарантиями в части защиты персональных данных.

Поскольку обеспечение защиты данных в базе персональных данных возлагается на владельца этой базы, специалисты Службы рекомендуют оформить на предприятии ряд документов, в частности таких как: Положение о базах персональных данных, Приказ о создании Базы персональных данных, Приказ о назначении ответственного лица, Должностную инструкцию ответственного лица, Положение о конфиденциальной информации, Соглашение о неразглашении конфиденциальной информации.

Еще один важный момент: согласно статье 7 Закона, запрещается обработка персональных данных о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждений, членстве в политических партиях и профессиональных союзах, а также данных, касающихся здоровья или половой жизни.

Кроме того, субъект персональных данных имеет право, давая согласие на использование своих персональных данных, внести оговорку относительно ограничения права на обработку данных. При нарушении права и закона касательно вопросов обработки персональных данных, гражданин может обратиться в Государственную службу Украины по вопросам защиты персональных данных или в суд.

Ответственность

Юридическая ответственность за нарушения законодательства в сфере защиты персональных данных достаточно жесткая.

В соответствии со ст. 188-39 КоАП, несообщение или несвоевременное сообщение субъекту персональных данных об его правах в связи с включением его персональных данных в базу персональных данных, или цели сбора этих данных и лиц, которым эти данные передаются, –  влекут  за собой наложение штрафа на должностных лиц от 300 до 400 необлагаемых минимумов доходов граждан (НМДГ), то есть от 5100 грн. до 6800 грн. То есть, физическое лицо должно обязательно подписать письменное согласие на включение обработку его данных в базу. Причем в медучреждении или салоне это касается не только пациентов (клиентов), но и нанятых сотрудников предприятия, организации или физического лица-предпринимателя, если они трудоустроены после 1 января 2011 года.

Уклонение от государственной регистрации базы персональных данных влечет за собой наложение штрафа на должностных лиц от 500 до 1000 НМДГ (от 8500 до 17 000 грн.).

Несоблюдение установленного законодательством порядка защиты персональных данных в базе персональных данных, которое привело к незаконному доступу к ним, влечет за собой наложение штрафа от трехсот до тысячи НМДГ (от 5100 до 17 000 грн.).

Кроме того, статья 182 Уголовного кодекса Украины предусматривает уголовную ответственность, в т.ч. санкции в виде ограничения или лишения свободы за незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о личности.  

Учитывая столь серьезные санкции, в Службе порекомендовали субъектам хозяйствования всех форм собственности обязательно зарегистрировать до 1 января 2012 года базы персональных данных. 

Права субъекта персональных данных:

- субъект персональных данных имеет право знать о местонахождении базы персональных данных, содержащей его персональные данные, ее назначение и наименование;

- получать информацию об условиях предоставления доступа к персональным данным, включая информацию о третьих лицах, которым передаются его персональные данные, содержащимся в соответствующей базе;

- на доступ к своим персональным данным, содержащимся в соответствующей базе;

- получать информацию о содержании своих персональных данных, хранящихся в соответствующей базе;

- на защиту своих персональных данных от незаконной обработки и случайной потери, уничтожения, повреждения в связи с умышленным утаиванием, непредоставлением или несвоевременным их предоставлением, а также на защиту от предоставления сведений, которые являются недостоверными или порочащими честь, достоинство и деловую репутацию физического лица.

Телефон «горячей линии» Государственной службы Украины по вопросам защиты персональных данных: (044) 517-89-66

Подписывайтесь на Кафу в Facebook, страницу ВКонтакте и группу в Одноклассниках. А также на канал Youtube и Telegram.