Базы персональных данных – штрафы до 17 000 грн.
С целью адаптации украинского законодательства к международным нормам, 1 июня 2010 года Верховная Рада Украины приняла Закон Украины «О защите персональных данных» № 2297-VI (далее – Закон № 2297-VI). Данный Закон вступил в силу с 1 января 2011 года и практически с этого момента стали формироваться государственные органы, которые уполномочены осуществлять регистрационные процедуры и контроль в данной сфере. В настоящий момент такие полномочия получила Государственная служба Украины по вопросам защиты персональных данных (далее – Служба). К функциям Службы относятся регистрация баз персональных данных, ведение Государственного реестра баз персональных данных, а также контроль в данной сфере. С начала июля этого года Служба начала активную деятельность.
Базы персональных данных физических лиц в супермаркетах, аптеках, парикмахерских, гостиницах, а также у других субъектов хозяйствования.
В соответствии с действующим законодательством персональными данными является любая информация о физическом лице, которая позволяет его идентифицировать, в частности об: имени, дате и месте рождения, месте работы и проживания, образовании и т.д. Персональными данными также могут быть сведения о: национальности, образовании, семейном положении, религиозности, состоянии здоровья и др. Кроме того, согласно решению Конституционного Суда Украины от 30 октября 1997 № 5-зп к персональным данным также относятся данные об имущественном состоянии и медицинская информация (информация о состоянии здоровья, в т.ч. из истории болезни).
В соответствии с Законом № 2297-VI объектами защиты являются лишь те персональные данные, которые обрабатываются и вносятся в базу персональных данных.
Статьей 2 указанного Закона определено, что база персональных данных — это именуемая совокупность упорядоченных персональных данных в электронном виде и/или в виде картотек персональных данных. Поэтому обратим Ваше внимание, что к персональным данным относятся только сведения о физических лицах (в том числе о физлицах-предпринимателях). Если же субъект хозяйствования систематизирует, например, сведения о контрагентах — юридических лицах, то подобная картотека базой персональных данных считаться не будет. Не распространяется Закон о защите персональных данных и на те сведения, которые физ.лицо собирает в своих личных непрофессиональных целях (телефонный справочник, анкеты знакомых и прочее). Таким образом, сбор информации о физических лица, в рамках коммерческой деятельности предприятием, организацией или физ.лицом предпринимателем и являются базами персональных данных.
Заметим, что как минимум одна база персональных данных физических лиц есть у каждого работодателя, независимо от вида его хозяйственной деятельности. Это база наемных работников, которая формируется при оформлении их кадровых дел, база «Контрагенты», «Клиенты» и тд..
Как мы установили, как минимум, базу данных «Работники» зарегистрировать придется (исключение составят те субъекты хозяйствования, прежде всего, физические лица — предприниматели, у которых наемных работников нет).
Анализируя текст Закона о защите персональных данных, можно выделить несколько требований, которые выдвигаются к субъекту хозяйствования, для защиты так называемых баз.
И так,
- Получить согласие физических лиц на использование информации о них в своей деятельности.
- Составить положение о защите персональных данных на предприятии (на физ.лиц-предпринимателей либо других самозанятых лиц это требование не распространяется).
- Издать приказ, которым утвердить положение о защите персональных данных, назначить ответственное лицо, на которое возлагаются функции по организации работы, связанной с защитой персональных данных.
- Зарегистрировать базы персональных данных, предварительно определившись в вопросе о том, какие именно базы данных используются субъектом хозяйствования.
Остановимся подробнее на порядке регистрации
Процедура Государственной регистрации базы персональных данных
На сегодняшний день процедура регистрации баз персональных данных не предполагает передачу в «службу» тех информационных баз (информация о работниках, о должностных лицах контрагентов, подписывающих договоры, о физлицах-клиентах и т. д.) которыми Вы владеете. Фактически в Службу передаются лишь общие данные о такой базе (картотеке) в частности информация о: цели сбора информации, предполагаемом количестве лиц, которые предоставили (или могут предоставить в будущем) такую информацию, каким образом персональная информация будет храниться, может ли она передаваться третьим лицам и др. Такие сведения указываются в заявлении установленного образца. Форма такого заявления предполагает довольно подробную информацию не только о самой базе, но и о лицах, ответственных за сбор, обработку, хранение и выдачу таких данных.
Зарегистрировать базу персональных данных можно как лично, так и через представителя (документы необходимо подавать непосредственно в Службу, которая находиться в г. Киеве). На первый взгляд, процедура не сложная, однако уже сегодня около 20% заявителей уже получили отказ в регистрации баз персональных данных.
Кто будет осуществлять контроль над соблюдением норм законодательства о защите персональных данных
В соответствии с Законом № 2297-VI специально уполномоченным государственным органом по вопросам защиты персональных данных физических лиц является именно Государственная служба Украины по вопросам защиты персональных данных. Указом Президента Украины от 6 апреля 2011 года № 390/2011 было утверждено Положение о Государственной службе Украины по вопросам защиты персональных данных (далее — Положение). В соответствии с Положением деятельность Службы направляется и координируется Кабинетом Министров Украины через министра юстиции Украины. Как уже упоминалось, в число полномочий Службы входит и контроль над соблюдением требований соответствующего законодательства по защите персональных данных.
В составе Службы уже действует Отдел контроля над соблюдением законодательства о защите персональных данных (далее – Отдел контроля). Это подразделение уполномочено проводить плановые и внеплановые проверки предприятий, организаций, физических лиц-предпринимателей и по их результатами давать предписания об устранении нарушений, а также налагать штрафные санкции на нарушителей.
Пока (до 1 января 2012 года) Отдел контроля может лишь реагировать на жалобы граждан в случае их поступления, то есть проводить внеплановые проверки. В случае выявленных нарушений составляются предписания, обязательные для исполнения, а материалы проверки могут быть преданы и в прокуратуру. Следует отметить, что сегодня полномочия Отдела контроля еще не полностью определены. В сентябре – октябре 2011 года должен быть утвержден Порядок проведения проверок, в котором будет определены их периодичность, основания, процедура проведения и полномочия должностных лиц органа контроля. С 1 января 2012 года полномочия у Отдела контроля будут существенно расширены, а к нарушителям будут применяться санкции как административного, так и уголовного характера.
В начале июля 2011 года Служба уже осуществила проверку в одном из известных торговых центров г. Киева, по результатам которой было оформлено предписание
Какая юридическая ответственность предусмотрена за нарушения данного закона?
И так, давайте рассмотрим наказание которое ожидает нарушителей законодательства о защите персональных данных физических лиц?
В Законе Украины «О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных» от 02.06.2011 г. № 3454-VI. установлены довольно весомые санкции административной и уголовной ответственности.
01 января 2012 года станет датой вступления в силу изменений в КоАП Украины. Давайте рассмотрим изменяемые нормы КоАП:
согласно ст. 188-39 КоАП «несообщение или несвоевременное сообщение субъекту персональных данных о принадлежащих ему правах, связанных с внесением сведений о нем в базу данных, целях сбора таких данных и о лицах, имеющих доступ к данным.» влечет за собой:
- Штрафом в размере от 3 400 до 5 100 гривен (в отношении граждан и должностных лиц);
- Штрафом в размере от 5 100 до 6 800 гривен (в отношении лиц-субъектов предпринимательской деятельности).
Таким образом, физическое лицо ОБЯЗАТЕЛЬНО должно дать письменное согласие на включение обработку его данных в базу. И если Вы оформились на работу в организацию или к физическому лицу-предпринимателю после 1 января 2011 года, эта норма коснется и Вас.
Также КоАП Украины предусмотрит, уклонение от прохождения процедуры государственной регистрации базы персональных данных, которое повлечет за собой следующие санкций:
- Штрафом в размере от 5 100 до 8 500 гривен (в отношении граждан и должностных лиц);
- Штрафом в размере от 8 500 гривен (в отношении лиц-субъектов предпринимательской деятельности).
Несоблюдение порядка защиты персональных данных в базе, установленного законодательством, при условии, что это привело к незаконному доступу к ним:
- Штрафом в размере от 5 100 гривен до 17 000 гривен.
Статья 182 УК Украины предусматривает уголовную ответственность, в т.ч. санкции в виде ограничения или лишения свободы за незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о личности.
Учитывая столь весомые санкции субъектам хозяйствования всех форм собственности рекомендуется обязательно зарегистрировать до 1 января 2012 года базы персональных данных. Причем следует помнить, что на предприятии может быть несколько таких баз.
Услуги по регистрации баз персональных данных сотрудников (нанятого персонала) и тд.
с 1 января 2012 года заработают нормы об ответственности за уклонение от государственной регистрации базы персональных данных в Государственной службе по защите персональных данных (далее — Госслужба); за неуведомление или несвоевременное уведомление Госслужбы об изменении сведений, которые подаются для государственной регистрации базы персональных данных.
Таким образом, дополнена ст.188 (39) КоАП Украины предусматривает наложение штрафа за уклонение от государственной регистрации баз персональных данных от 5100 грн. до 17000 грн.
При этом, обращаем Ваше внимание, каждое предприятие (организация) является владельцем как минимум двух баз персональных данных, а именно базы персональных данных работников, которая ведется с целью обеспечения требований трудового законодательства, реализации налоговых отношений и отношений в сфере бухгалтерского учета и аудита, и базы персональных данных клиентов либо других лиц, персональные данные которых обрабатываются в целях хозяйственной деятельности.
ЮБФ «КОМПАНЬОН» обеспечит помощь в регистрации баз персональных данных для всех субъектов хозяйствования, от физического лица предпринимателя до крупных промышленных предприятий.
Если Вам необходимо зарегистрировать базу персональных данных, разработать пакет необходимых документов по их защите или получить квалифицированную консультацию, – обращайтесь к специалистам юридическо-бухгалтерской фирмы «КОМПАНЬОН».
Тел.: + 380 (57) 758-18-00;
+380 (50) 922 56 46
+380 (97) 716 70 09
ВНИМАНИЕ, АКЦИЯ!
Регистрация баз персональных данных до 01 января 2012 года по цене 550 грн.
Автор статьи: управляющий партнёр юридическо-бухгалтерской фирмы «КОМПАНЬОН» Савицкая Наталья Анатольевна