Финансовые результаты деятельности крупных и средних предприятий в І полугодии 2017 года | Продление действия Программы для управленческих кадров “Fit for Partnership with Germany” на срок до 2019 года. | Надежный партнер – залог достойного представления субъекта хозяйствования на внутреннем и внешнем рынках. | Украина готова обеспечить потребности Казахстана ветроустановки мультимегаватного класса | «СХІД-ЕКСПО-2017» приглашает представителей малого и среднего бизнеса презентовать свои возможности |


Новости / 26.12.2011 15:43
Всем ли нужно регистрировать базы данных? Разъяснение министерства юстиции

Всем ли нужно регистрировать базы данных? Разъяснение министерства юстиции

РАЗЪЯСНЕНИЯ

от 21.12.2011 г.

 

Некоторые вопросы практического применения Закона Украины «О защите персональных данных»

 

В связи с многочисленными обращениями граждан по практическому применению некоторых положений Закона Украины «О защите персональных данных» Министерство юстиции предоставило разъяснение по наиболее актуальным и часто задаваемым вопросам.

 

ЦЕЛЬ ЗАКОНА

Статьей 32 Конституции Украины провозглашено право человека на невмешательство в его личную жизнь. Кроме того, не допускается сбор, хранение, использование распространение конфиденциальной информации о лице без его согласия, кроме случаев, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека.

В целях конкретизации права человека, гарантированного статьей 32 Конституции Украины, и определения механизмов его реализации 1 июня 2010 года Верховная Рада Украины приняла Закон Украины «О защите персональных данных» (далее - Закон), вступивший в силу с 1 января 2011 года. Предметом правового регулирования Закона являются правоотношения, связанные с защитой персональных данных при их обработке.

 

ЧТО ТАКОЕ «ПЕРСОНАЛЬНЫЕ ДАННЫЕ»

Определение понятия персональных данных приводится в абзаце восьмом статьи 2 Закона, согласно которому персональными данными являются сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано.

Но законодательством Украины не установлен и не может быть установлен четкий перечень сведений о физическом лице, которые являются персональными данными, для возможности применения положений Закона к различным ситуациям, в том числе при обработке персональных данных в информационных (автоматизированных) базах и картотеках персональных данных, которые могут возникнуть в будущем, в связи с изменением в технологической, социальной, экономической и других сферах общественной жизни.

Например, согласно статье 24 Трудового кодекса Украины гражданин при заключении трудового договора обязан предоставить паспорт или другой документ, удостоверяющий личность, трудовую книжку, а в случаях, предусмотренных законодательством, - также документ об образовании (специальности, квалификации), о состоянии здоровья и другие документы.

В этой связи персональные данные работника, которые содержатся в паспорте или документе, удостоверяющем личность, в трудовой книжке, документе об образовании (специальности, квалификации), документ о состоянии здоровья и других документах, которые он подал при заключении трудового договора, обрабатываются владельцем базы персональных данных на основании статьи 24 Кодекса законов о труде Украины исключительно для осуществления полномочий владельца базы персональных данных в сфере правоотношений, возникших у него с работником на основании трудового договора (контракта).

Таким образом, информация о наемных работников является базой персональных данных, поскольку личные дела, трудовые книжки, копии паспортов, документов об образовании хранятся и обрабатываются работодателем.

 

ЧТО ТАКОЕ «БАЗА ПЕРСОНАЛЬНЫХ ДАННЫХ»

Понятие «база персональных данных» определено абзацем вторым статьи 2 Закона, согласно которому база персональных данных - поименованная совокупность упорядоченных персональных данных в электронной форме и / или в форме картотек персональных данных.

Учитывая это, базой персональных данных является упорядоченная совокупность логически связанных данных о физических лицах:

- хранящихся и обрабатываемых соответствующим программным обеспечением – является базой персональных данных в электронной форме;

- хранящихся и обрабатываемых на бумажных носителях информации – является базой персональных данных в форме картотек.

Картотекой персональных данных является любой структурированный массив персональных данных, доступный по определенным критериям, независимо от того, является ли такой массив централизованным, децентрализованным или разделенным по функциональным или географическим принципам.

Такие данные должны быть структурированы по определенным критериям, касающимся физических лиц, чтобы обеспечить легкий доступ к соответствующим персональным данным.

Стоит отметить, что, исходя из положений статьи 2 Закона, персональные данные одновременно могут быть упорядочены и в электронной форме, и в форме картотек.

 

ЧТО НЕ ЯВЛЯЕТСЯ БАЗОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ

Физические лица-предприниматели и самозанятые лица самостоятельно определяют, обладают ли они базами персональных данных в понимании Закона.

Законодатель распространил действие Закона на все виды деятельности, связанные с созданием баз персональных данных и обработкой персональных данных в этих базах, за исключением такой деятельности, которая осуществляется:

- физическим лицом - исключительно для непрофессиональных личных или бытовых нужд,

- журналистом - в связи с исполнением им служебных или профессиональных обязанностей,

- профессиональным творческим работником - для осуществления творческой деятельности.

Так, при осуществлении своей профессиональной деятельности на адвокатов законодательством не возложена обязанность ведения баз персональных данных клиентов. Но если адвокаты формируют дела на своих клиентов, постоянно обновляют их и поддерживают в актуальном состоянии, такие дела является базой персональных данных и подлежат государственной регистрации

Нотариусы могут обрабатывать персональные данные своих наемных работников, клиентов в базах персональных данных, однако документы нотариального делопроизводства и архив нотариуса, определенные в статье 14 Закона Украины «О нотариате», не являются базой персональных данных в смысле Закона Украины «О защите персональных данных» и не подлежат государственной регистрации.

Кроме того, в случае, если физические лица-предприниматели заключают договоры выполнения работ или оказания услуг с физическими лицами, такие договоры также не являются базой персональных данных и не подлежат государственной регистрации.

 

КТО ЯВЛЯЕТСЯ ВЛАДЕЛЬЦЕМ И РАСПОРЯДИТЕЛЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ

Обладателем базы персональных данных, согласно абзацу третьему статьи 2 Закона, является физическое или юридическое лицо, которому законом или с согласия субъекта персональных данных предоставлено право на обработку этих данных; оно утверждает цель обработки персональных данных и процедуру их обработки, если иное не определено законом .

Так, если персональные данные обрабатываются юридическим лицом, то владельцем базы персональных данных является юридическое лицо.

Распорядителем базы персональных данных, согласно абзацу девятому статьи 2 Закона, может быть физическое или юридическое лицо, которому владельцем базы персональных данных или законом предоставлено право обрабатывать эти данные.

Практическим примером могут быть отношения между юридическими лицами и их представительствами, филиалами, отделениями и т.д. Так, в понимании Закона эти представительства, филиалы, отделения выступают распорядителями баз персональных данных, владельцем которых является юридическое лицо.

Согласно статье 4 Закона, владельцем или распорядителем базы персональных данных могут быть предприятия, учреждения и организации всех форм собственности, органы государства, власти или органы местного самоуправления, которые обрабатывают персональные данные в соответствии с законом.

Но если владельцем базы персональных данных является орган государственной власти или орган местного самоуправления, то распорядителем базы персональных данных, кроме этих органов, может быть только предприятие государственной или коммунальной формы собственности, принадлежащее к сфере управления этого органа.

 

ПОРЯДОК РЕГИСТРАЦИИ БАЗЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

Согласно статье 9 Закона, база персональных данных подлежит государственной регистрации путем внесения соответствующей записи уполномоченным государственным органом по вопросам защиты персональных данных в Государственный реестр баз персональных данных.

В случае если юридическое лицо, физическое лицо-предприниматель, самозанятое лицо устанавливает, что оно не обрабатывает персональные данные, у такого лица отсутствует обязанность регистрировать базу персональных данных.

Указом Президента Украины «Об утверждении Положения о Государственной службе Украины по вопросам защиты персональных данных» от 6 апреля 2011 определен уполномоченным государством орган по вопросам защиты персональных данных – Государственная служба Украины по вопросам защиты персональных данных, одной из основных задач которой является регистрация баз персональных данных.

Регистрация базы персональных данных осуществляется по заявочному принципу путем сообщения. Суть заявочного принципа заключается в том, что основным является представление владельцем базы персональных данных заявки о регистрации базы персональных данных, а не получение свидетельства о государственной регистрации базы персональных данных. Следовательно, ключевым и определяющим является факт внесения соответствующей записи Государственной службой Украины по вопросам защиты персональных данных в Государственный реестр баз персональных данных, а не получение владельцем базы персональных данных свидетельства о государственной регистрации, что является следствием указанного факта.

Сайт Государственного реестра баз персональных данных https://rbpd.informjust.ua, на котором можно следить за ходом государственной регистрации заявки в режиме онлайн.

 

ОФОРМЛЕНИЕ ЗАЯВКИ О РЕГИСТРАЦИИ БАЗЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

Заявка о регистрации базы персональных данных подается владельцем такой базы или уполномоченным представителем в бумажной или электронной форме, требования к заполнению и порядок предоставления которого определены постановлением Кабинета Министров Украины «Об утверждении Положения о Государственном реестре баз персональных данных и порядок его ведения» от 25 мая 2011 года N 616 и приказом Министерства юстиции Украины «Об утверждении форм заявлений о регистрации базы персональных данных и о внесении изменений в сведения Государственного реестра баз персональных данных и порядка их представления» от 8 июля 2011 N 1824 / 5. Ознакомиться с указанным приказом в электронном виде можно на сайте Верховной Рады Украины: http://zakon2.rada.gov.ua/laws/show/z0890-11.

В частности заявка о регистрации базы персональных данных, подаваемая в электронной форме, должна соответствовать требованиям Законов Украины «Об электронной цифровой подписи» и «Об электронных документах и электронном документообороте». А именно: такое заявление должно содержать электронную подпись, что является обязательным реквизитом электронного документа, который накладывается владельцем базы персональных данных для его идентификации Государственной службой Украины по вопросам защиты персональных данных.

Заявка о регистрации базы персональных данных и о внесении изменений в сведения Государственного реестра баз персональных данных, в частности, должна содержать информацию о цели обработки персональных данных с указанием категорий обработки персональных данных.

Согласно части первой статьи 6 Закона, цель обработки персональных данных должна быть сформулирована в законах, других нормативно-правовых актах, положениях, учредительных документах, регулирующих деятельность владельца базы персональных данных, и соответствовать законодательству о защите персональных данных.

Учитывая вышеизложенное, целью обработки персональных данных является обеспечение владельцем базы персональных данных надлежащего осуществления деятельности, определенной в законах, других нормативно-правовых актах, положениях, учредительных документах, регулирующих его деятельность, и вследствие которой возникает необходимость в совершении любого действия или совокупности действий по обработке персональных данных в базах. Следует обратить внимание на то, что состав и содержание персональных данных должны быть соответствующим и не чрезмерным относительно определенной цели их обработки.

Определение категории обработки персональных данных зависит от требований к обработке персональных данных, содержащихся в базах персональных данных заявителя.

Так, Законом предусмотрены общие и особые требования обработки персональных данных. Статьей 6 Закона установлены общие требования обработки всех имеющихся в общественной жизни персональных данных лица, за исключением персональных данных, для которых статьей 7 Закона определены особые требования обработки. К таким персональным данным относятся данные о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членство в политических партиях и профессиональных союзах, а также данных, касающихся здоровья или половой жизни.

Подытоживая изложенное, категория обработки персональных данных определяется владельцем базы персональных данных в зависимости от требований к обработке персональных данных, установленных статьями 6, 7 Закона, которые владелец базы персональных данных обязан соблюдать при обработке персональных данных.

Дополнительного внимания требует то, что владелец регистрирует базу персональных данных, а именно предоставляет сведения о ней, которые включаются в Государственный реестр баз персональных данных, однако не передает Государственной службе Украины по вопросам защиты персональных данных имеющиеся в ней персональные данные.

Согласно части 4 статьи 9 Закона, владелец базы персональных данных обязан уведомить Государственную службу Украины по вопросам защиты персональных данных о каждом изменении сведений, необходимых для регистрации базы персональных данных не позднее чем в течение 10 рабочих дней со дня наступления такого изменения.

Владелец базы персональных данных направляет Государственной службе Украины по вопросам защиты персональных данных заявление о внесении изменений в сведения, необходимые для регистрации, по форме, установленной приказом Министерства юстиции Украины «Об утверждении форм заявлений о регистрации базы персональных данных и о внесении изменений в сведения Государственного реестра баз персональных данных и порядка их представления» от 8 июля 2011 N 1824 / 5. Владелец обозначает «удалить» те сведения заявления, которые изменились. На замену им путем обозначения «добавить» владелец подает новые сведения.

Свидетельство о внесении изменений в сведения, необходимые для регистрации базы персональных данных, не предоставляется. Затем Государственная служба принимает решение о внесении изменений в сведения, необходимые для регистрации базы персональных данных, путем направления владельцу базы персональных данных письмо, в котором сообщает о принятом решении.

Для удаления базы персональных данных из Государственного реестра баз персональных данных, владелец такой базы направляет в Государственную службу защиты данных заявление о внесении изменений в сведения Государственного реестра баз персональных данных и обозначает «изъять» все поля сведений, которые были внесены.

СОГЛАСИЕ СУБЪЕКТА НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ И ТРЕБОВАНИЯ К ИХ ОФОРМЛЕНИЮ

Обработка персональных данных в соответствии с частью 5 статьи 6 Закона осуществляется с согласия субъекта персональных данных или в случаях, предусмотренных законами Украины, в порядке, установленном законодательством.

Так, в соответствии с абзацем пятым статьи 2 Закона согласием субъекта персональных данных является любое документированное, в частности письменное, добровольное волеизъявление физического лица о предоставлении разрешения на обработку его персональных данных в соответствии с сформулированной цели их обработки.

Обработка данных о физическом лице без его согласия не допускается, кроме случаев, определенных Законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека. В этом случае под Законами понимаются все другие законы, предоставляющие право на обработку персональных данных с указанием четкого перечня таких данных.

Закон также позволяет осуществлять обработку персональных данных без согласия субъекта персональных данных, если обработка персональных данных необходима для защиты его жизненно важных интересов. В таком случае обрабатывать персональные данные без согласия субъекта персональных данных можно до времени, когда получение согласия станет возможным.

Согласно требованиям Закона, согласие субъекта персональных данных на обработку персональных данных должно включать следующую информацию:

- цель, определяемую владельцем базы персональных данных в зависимости от вида его деятельности, при осуществлении которой возникает необходимость в использовании персональных данных в базах персональных данных, конкретных целей обработки персональных данных, для достижения которых владелец базы персональных данных обрабатывает персональные данные в этой базе (статья 2 Закона);

- объем персональных данных, а именно четкий перечень персональных данных физического лица, которые могут обрабатываются владельцем базы персональных данных в этой базе (статья 6 Закона);

- порядок использования персональных данных, предусматривающий действия владельца базы для обработки этих данных, в том числе использование персональных данных работниками владельца базы персональных данных, согласно их профессиональных или служебных, или трудовых обязанностей, действия по их защите, а также действия по предоставлению частичного или полного права обработки персональных данных иным  субъектам отношений, связанных с персональными данными (статья 10 Закона);

- порядок распространения персональных данных, предусматривающий действия владельца базы персональных данных о передаче сведений о физическом лице из базы персональных данных (статья 14 Закона);

- порядок доступа к персональным данным третьих лиц, который определяет действия владельца базы персональных данных в случае получения запроса от третьего лица на доступ к персональным данным, включая порядок доступа субъекта персональных данных в сведения о себе (статья 16 Закона).

 

ПОРЯДОК И ОСНОВАНИЯ СООБЩЕНИЯ СУБЪЕКТу ПЕРСОНАЛЬНЫХ ДАННЫХ О ЕГО ПРАВАХ, КАСАЮЩИХСЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Одной из составляющих процесса обработки персональных данных является их сбор, предусматривающий действия по подбору или упорядочению сведений о физическом лице, и внесение их в базу персональных данных.

Так, согласно статье 12 Закона, владелец базы персональных данных в течение десяти рабочих дней со дня включения персональных данных в базу персональных данных, являющегося действием по сбору персональных данных, обязан уведомить субъекта персональных данных, исключительно в письменной форме, о его правах, определенных статьей 8 Закона, цели сбора данных, которая определяется владельцем базы персональных данных, и лицах, которым будут передаваться персональные данные.

Владелец базы освобождается от выполнения указанной обязанности лишь в случае, если персональные данные собираются ним из общедоступных источников. Под определением «общедоступные источники информации», в частности, понимаются печатные средства массовой информации, средства вещания, интернет-порталы, публичные выступления и другие источники информации, к которым физические и юридические лица имеют свободный, не ограниченный действующим законодательством, доступ.

 

ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ ФИЗИЧЕСКИМИ ЛИЦАМИ-ПРЕДПРИНИМАТЕЛЯМИ И САМОЗАНЯТЫМИ ЛИЦАМИ

Частью 1 статьи 24 Закона определено, что физические лица - предприниматели, в том числе врачи, имеющие соответствующую лицензию, адвокаты, нотариусы лично обеспечивают защиту персональных данных, которыми они обладают, согласно требованиям закона.

 

КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Осуществление контроля за соблюдением законодательства о защите персональных данных в соответствии со статьей 23 Закона возложено на Государственную службу Украины по вопросам защиты персональных данных.

Так, согласно подпункту 14 пункта 3 Положения о Государственной службе Украины по вопросам защиты персональных данных, утвержденного Указом Президента Украины от 6 апреля 2011 № 390, Государственная служба Украины по вопросам защиты персональных данных осуществляет контроль за соблюдением законодательства о защите персональных данных путем проведения выездных и безвыездных проверок владельцев и (или) распорядителей баз персональных данных.

Также в соответствии с подпунктом 16 пункта 3 настоящего Положения Государственная служба Украины по вопросам защиты персональных данных составляет административные протоколы о выявлении нарушения законодательства в сфере защиты персональных данных.

Дела об административных правонарушениях в сфере защиты персональных данных рассматриваются согласно статье 221 Кодекса Украины об административных правонарушениях исключительно районными, районными в городе, городскими или районными судами.

 

ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ЗАКОНОДАТЕЛЬСТВА О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

С целью обеспечения выполнения гражданами, органами государственной власти и местного самоуправления, предприятиями, учреждениями организациями независимо от формы собственности требований Закона, 2 июня 2011 Верховной Радой Украины был принят Закон Украины «О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных», вступающий в силу с 1 января 2012 года.

Согласно этому закону граждане, должностные лица, граждане-субъекты предпринимательской деятельности привлекаются к административной ответственности за совершение таких правонарушений:

1) неуведомление или несвоевременное уведомление субъекта персональных данных о его правах в связи со включением его персональных данных в базу персональных данных, цели сбора этих данных и лицах, которым эти данные передаются;

2) неуведомление или несвоевременное уведомление специально уполномоченного центрального органа исполнительной власти по вопросам защиты персональных данных об изменении сведений, представляемых для государственной регистрации базы персональных данных;

3) уклонение от государственной регистрации базы персональных данных;

4) несоблюдение установленного законодательством о защите персональных данных порядка защиты персональных данных в базе персональных данных, что привело к незаконному доступу к ним;

5) невыполнение законных требований должностных лиц специально уполномоченного центрального органа исполнительной власти по вопросам защиты персональных данных по устранению нарушений законодательства о защите персональных данных.

За нарушение неприкосновенности частной жизни, а именно за незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о лице или незаконное изменение такой информации виновное лицо привлекается к уголовной ответственности.

 

Форум

Просмотров: 1345 | Версия для печати

Цены на товары
Рис 9,75 грн.
Птица(куры бройлеры) 22,80 грн.
больше цен
Горячая линия
femmes russes a marier contador de visitas

93401, Украина, г. Северодонецк, проспект Химиков, 48а
телефон/факс: +38 (0645) 703960
E-mail: lcci508509@gmail.com
Разработан - Телерадиокомпания РТС © ЛРТПП 2011 г.

Все права защищены.

Использование любых материалов, размещённых на сайте, разрешается при условии ссылки http://lcci.lg.ua для интернет-изданий - прямой открытой для поисковых систем гиперссылки.

Ссылка должна быть размещена вне зависимости от полного либо частичного использования материалов.