маленькая консультация и Аверса
вопрос: В каком порядке осуществляется регистрация баз данных? Где можно найти форму заявления на регистрацию базы персональных данных? Какую информацию должно содержать заявление сотрудника о том, что он не возражает о внесении его в базу персональных данных?
1 января 2011 года вступил в силу Закон Украины от 01.06.2010 г. № 2297-VI "О защите персональных данных" (далее - Закон № 2297). Персональные данные - это сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано. При этом база персональных данных - это именуемая совокупность упорядоченных персональных данных в электронной форме или в форме картотек персональных данных.
Согласно закону обработкой персональных данных являются любые действия или их совокупность, совершенные полностью или частично в информационной системе или картотеках персональных данных, которые связаны со сбором, регистрацией, накоплением, хранением, адаптацией, изменением, обновлением, использованием и распространением, обезличиванием, уничтожением сведений о физическом лице. При этом действие закона не распространяется на деятельность по созданию баз персональных данных и обработке персональных данных в этих базах:
- физическим лицом - исключительно для непрофессиональных личных или бытовых нужд;
- журналистом - в связи с исполнением им служебных или профессиональных обязанностей;
- профессиональным творческим работником - для осуществления творческой деятельности.
Из определения термина "персональные данные" следует, что к таким данным относится буквально любая информация о физическом лице. Это достаточно широкое определение, в связи с чем у юридических лиц, которые обрабатывают в своей хозяйственной деятельности персональные данные могут возникнуть некоторые сложности. То же следует и из определения термина "база персональных данных", поскольку любые систематизированные персональные данные, как в электронном виде, так и в виде картотеки, подпадают под понятие базы персональных данных.
В соответствии со ст. 6 Закона № 2297 цель обработки персональных данных должна быть сформулирована в законах, иных нормативно-правовых актах, положениях, уставных или иных документах, регулирующих деятельность владельца базы персональных данных и соответствовать законодательству о защите персональных данных. Причем в случае изменения цели обработки персональных данных субъектом персональных данных должно быть дано согласие на обработку его данных в соответствии с изменением указанной цели. Не допускается обработка данных о физическом лице без его согласия, кроме случаев, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека.
Согласно ст. 9 Закона № 2297 база персональных данных подлежит государственной регистрации путем внесения соответствующей записи уполномоченным органом в Государственный реестр баз персональных данных на основании документов, поданных владельцем базы.
Поскольку практически на любом предприятии существует как минимум одна база персональных данных (база персональных данных сотрудников), то ее необходимо зарегистрировать. Отметим, что в зависимости от вида деятельности субъекты хозяйствования могут являться владельцами и других баз данных, например, покупателей, продавцов и т. п.
Положение о Государственном реестре баз персональных данных и порядок его ведения утверждены постановлением КМУ от 25.05.2011 г. № 616. Держателем реестра является Государственная служба по вопросам защиты персональных данных. Для регистрации базы данных необходимо представить заявление по форме, утвержденной приказом Минюста от 08.07.2011 г. № 1824/5.
После внесения в реестр сведений о заявлении ему автоматически (с использованием программного обеспечения реестра) присваивается регистрационный номер, фиксируются дата и время его регистрации. Об этом заявитель уведомляется не позднее следующего рабочего дня со дня поступления заявления. В уведомлении указываются дата и регистрационный номер записи о заявлении в реестре, а также дата обращения за получением свидетельства или уведомления об отказе в регистрации.
Согласно ст. 9 Закона № 2297 владельцу базы персональных данных выдается документ установленного образца о регистрации базы персональных данных в Государственном реестре баз персональных данных. Форма этого документа утверждена приказом Минюста от 08.07.2011 г. № 1823/5.
Основаниями возникновения права на использование персональных данных является:
- согласие субъекта персональных данных на обработку его персональных данных. Субъект персональных данных имеет право при предоставлении согласия внести предостережение относительно ограничения права на обработку своих персональных данных;
- разрешение на обработку персональных данных, предоставленное владельцу базы персональных данных в соответствии с законом исключительно для осуществления его полномочий.
Требований в отношении того, какая информация должна содержаться в заявлении сотрудника о том, что он не возражает о внесении его в базу персональных данных, действующим законодательством не определено. Согласно ст. 2 Закона № 2297 согласие субъекта персональных данных - это любое документированное, в частности письменное, добровольное волеизъявление физического лица о предоставлении разрешения на обработку его персональных данных в соответствии со сформулированной целью их обработки. Таким образом, такое заявление пишется в произвольной форме.
Следует также отметить, что с 1 января 2012 года к административной ответственности будут привлекаться, в частности, должностные лица и частные предприниматели за следующие правонарушения:
- неуведомление или несвоевременное уведомление субъекта персональных данных о его правах в связи с включением его персональных данных в базу персональных данных, о цели сбора этих данных и лицах, которым эти данные передаются. Ответственность - от 300 до 400 необлагаемых минимумов доходов граждан (за повторное нарушение - от 400 до 700 необлагаемых минимумов доходов граждан);
- неуведомление или несвоевременное уведомление специально уполномоченного центрального органа исполнительной власти по вопросам защиты персональных данных об изменении сведений, которые подаются для государственной регистрации базы персональных данных. Ответственность - от 200 до 400 необлагаемых минимумов доходов граждан (за повторное нарушение - от 400 до 700 необлагаемых минимумов доходов граждан);
- уклонение от государственной регистрации базы персональных данных. Ответственность - от 500 до 1 000 необлагаемых минимумов доходов граждан;
- несоблюдение установленного законодательством о защите персональных данных порядка защиты персональных данных в базе персональных данных, что привело к незаконному доступу к ним. Ответственность - от 300 до 1 000 необлагаемых минимумов доходов граждан.
Также предусматривается административная ответственность за невыполнение законных требований должностных лиц специально уполномоченного центрального органа исполнительной власти по вопросам защиты персональных данных (от 100 до 200 необлагаемых минимумов доходов граждан).
Таким образом, в случае если до 1 января 2012 года база персональных данных не будет зарегистрирована в Госреестре, то к таким субъектам хозяйствования может быть применена указанная административная ответственность