Закон не передбачає автоматичної відповідальності з 1 січня 2012 року за нереєстрацію баз персональних даних

Законодавство про захист персональних даних не містить норм щодо автоматичної відповідальності суб‘єктів, які до 1 січня 2012 року не зареєстрували бази персональних даних.

На цьому було наголошено у ході прес-конференції в Міністерстві юстиції України, яка відбулася 23 грудня за участю першого заступника Голови Державної служби України з питань захисту персональних даних Лілії Олексюк та директора Департаменту взаємодії з органами влади Міністерства юстиції Олени Зеркаль.

Як наголосила представник Мін‘юсту, таке уявлення сформувалося виключно на чутках та незнанні норм законодавства.

За словами Олени Зеркаль, порушення законодавства про захист персональних даних можуть бути виявлені виключно у ході перевірки з боку Державної служби України з питань захисту персональних даних. Жоден інший правоохоронний чи податковий орган не має право здійснювати відповідні дії у сфері захисту персональних даних.

Підставою для перевірки може стати графік перевірок, що заздалегідь затверджуватиметься Головою Державної служби України з питань захисту персональних даних. Або на підставі обґрунтованої скарги щодо порушення права особи на збір та захист її персональних даних.

Олена Зеркаль зазначила, що графік як планових, так і позапланових перевірок оприлюднюватиметься на сайті Державної служби України з питань захисту персональних даних.

При цьому, як наголосила представник Мін‘юсту, якщо в ході перевірки будуть виявлені порушення законодавства, Державна служба виноситиме припис про їх усунення у визначений термін.

Порушенням може бути визнано свідоме ухилення від реєстрації бази даних, неповідомлення особи про збір її персональних даних до бази, про мету створення відповідної бази та права особи у цьому зв‘язку, у випадку неналежного захисту бази персональних даних, а також у випадку передачі без згоди особи її персональних даних третім особам.

Лише у разі не виконання вимог припису, або у разі виявлення серйозних порушень Державна служба складатиме адміністративний протокол, який направлятиметься до суду.

Представник Мін‘юсту також підкреслила, що штрафи за порушення у сфері захисту персональних даних можуть бути призначені виключно за рішенням суду на підставі протоколів про адміністративне правопорушення, складених за результатами перевірки Державною службою захисту персональних даних.

Прес-служба Міністерства юстиції України

Все про захист персональних даних! Готові документи: [zpd.at.ua]

23.12.2011 14:10
Без рішення суду штрафувати за порушення законодавства з захисту персональних даних нікого не будуть

Напиши свій коментар


Масових штрафів після вступу з 1 січня 2012 року в силу закону про відповідальність за порушення законодавства щодо захисту персональних даних не буде, оскільки відповідальність підприємств може наступити тільки згідно з рішенням суду.

Про це повідомила директор департаменту взаємодії з органами влади Міністерства юстиції Олена Зеркаль на прес-конференції, присвяченій роз'ясненню типових помилок і питань щодо застосування з 1 січня 2012 року закону України "Про захист персональних даних".

"Жодним чином не будуть нікого автоматично штрафувати з 1 січня. І ні податкова, ні. жоден інший державний орган не може накладати штрафи та складати адміністративний протокол... Згідно із законодавством, штраф можна винести тільки рішенням суду", - зазначила Зеркаль.

За її словами, рішення суду ухвалюється виключно на підставі протоколу про адміністративне правопорушення, який складає Державна служба з питань захисту персональних даних (ДСЗПД), у якої, в цьому плані обмежені можливості.

"ДСЗПД сьогодні складається з 51 людини. Контролем займаються тільки семеро людей, тому можливості у них обмежені. Контроль здійснюється на основі плану проведення перевірок, який розміщується на офіційному веб-сайті ДСЗПД, а також на основі мотивованої скарги, яку може отримати служба від громадян", - сказала Зеркаль.

Вона зазначила, що за результатами перевірок складається або припис про усунення правопорушення, якщо воно незначне, або ж адміністративний протокол, який потім служба направляє до суду.

Зеркаль підкреслила, що у зв'язку зі збільшенням потоку заяв, починаючи з листопада, ДСЗПД не встигає виконувати вимоги законодавства реєстрації заяв протягом 10 днів.

Перший заступник глави ДСЗПД Лілія Олексюк повідомила, що бази реєструються в порядку надходження.

"Ми всі зусилля спрямовуємо на те, щоб зареєструвати заяви швидше. На сьогодні є понад 300 тис. заяв. Щодня ця кількість збільшується, переважна більшість передає заяви поштою. Останнього разу ми отримали 70 мішків поштою - це близько 1 тис. заяв", - сказала Олексюк.

У свою чергу, О. Зеркаль зазначила, що підприємці занадто пізно почали реєструвати свої бази, розмірковуючи цілий рік, треба чи не треба, поки не дізналися, що з 1 січня за ухилення від реєстрації передбачається відповідальність.

"Закон про захист персональних даних вступив в силу з 1 січня 2011 року. Тобто ніякої новизни останнім часом не введено і до листопада служба отримувала не більше 100 заяв на місяць", - сказала Зеркаль.

"За липень було отримано 30 заяв і це були в основному державні органи, наприклад МВС, приватний сектор до листопада участі в цьому процесі не брав взагалі. Дуже прискорив кількість заяв закон про відповідальність. До цього ніхто не звертав увагу на закон, і що він взагалі був прийнятий", - зазначила Олексюк.
За матеріалами Інтерфакс-Україна

Все про захист персональних даних! Готові документи: [zpd.at.ua]

Возможно тороплюсь, но все таки, взгляните [w1.c1.rada.gov.ua]

хотят не с 1.01.12 а с 1.07.12

Quote
Joker44
Возможно тороплюсь, но все таки, взгляните [w1.c1.rada.gov.ua]

хотят не с 1.01.12 а с 1.07.12

дежавю, хотят хотят

Законодавством не встановлено обмежень щодо подачі заяв про реєстрацію бази даних до 1 січня 2012 року

На цьому наголошувалось у ході прес-конференції в Міністерстві юстиції України, яка відбулася 23 грудня за участю першого заступника Голови Державної служби України з питань захисту персональних даних Лілії Олексюк та директора Департаменту взаємодії з органами влади Міністерства юстиції Олени Зеркаль. Захід було присвячено типовим помилкам при застосуванні та трактуванні Закону України «Про захист персональних даних».

У ході прес-конференції представник Мін’юсту акцентувала увагу учасників заходу на тому, що реєструвати бази можна і після 1січня 2012 року, оскільки законом не встановлено обмежень на подачу заяв про реєстрацію бази. Подання бази на реєстрацію після 1 січня 2012 року не є підставою для накладання штрафу.

При цьому, оскільки реєстрація баз персональних даних здійснюється за заявочним принципом - шляхом повідомлення, основним чинником виконання вимог Закону є факт відправки заяви на реєстрацію Державну службу. Таку заяву може бути надіслано або поштою, або в електронному вигляді з використанням цифрового підпису.

Олена Зеркаль також наголосила, що законодавство про захист персональних даних не містить норм щодо автоматичної відповідальності суб’єктів. Штрафи за порушення у сфері захисту персональних даних можуть бути призначені виключно за рішенням суду на підставі протоколів про адміністративне правопорушення, складених за результатами перевірки Державної служби захисту персональних даних (графік перевірок заздалегідь оприлюднюватиметься на сайті Служби).

Олена Зеркаль наголосила, що порушенням може бути визнано ухилення від реєстрації бази даних, виявлене у ході перевірки Державної служби захисту персональних даних.

Порушенням також вважатиметься факт передачі персональних даних третім особам без згоди громадян. У цьому контексті мова може йти про бази персональних даних, якими володіють банки, провайдери, громадські або релігійні організації, надавачі житлово-комунальних послуг тощо.

При цьому, Закон дозволяє здійснювати обробку персональних даних без згоди суб’єкта персональних даних у випадках передбачених законодавством – трудовим, пенсійним, виборчим, податковим тощо, а також якщо обробка персональних даних є необхідною для захисту життєво важливих інтересів особи.

У сенсі Закону персональними даними є упорядковані відомості чи сукупність упорядкованих відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована за допомогою цих даних. Зокрема, не є базою персональних даних та не підлягають державній реєстрації неупорядковані договори виконання робіт або надання послуг з фізичними особами.

Прес-служба Міністерства юстиції України.

Все про захист персональних даних! Готові документи: [zpd.at.ua]

Только что поступило обновление БЕСТ ЗВИТа, с изменениями на сегодняшний день, та заявку уже преобразовывает в нужный вам формат, ключи к сожалению цифровой печати, переименовывать самим на расширение .sig. и тогда все быстро подается заявочка. Удачи всем!

Quote
Galya

Quote
sldaemon
Только что по радио передали, что Веховна рада перенесла сроки наступления ответственности до 01.07.2012 г. Это правда?

я тоже такое читала вот:


Депутаты пока не хотят штрафовать нарушителей закона о персональных данных
Депутаты предложили дать время компаниям, которые не успели подготовиться к новым правилам, позволяющим наказывать их за нарушение закона о "Защите персональных данных"

Вчера в Верховной Раде был зарегистрирован законопроект 9624, который предполагает изменить дату вступления в силу изменений в Кодекс Украины об административных правонарушениях, с 1 января на 1 июля.

Напомним, изменения в Кодексе Украины об административных правонарушениях позволят государству штрафовать нарушителей закона "О защите персональных данных". Согласно этому закону, компании, имеющие базы данных (по клиентам/пользователям и сотрудникам), обязаны регистрировать их в Госслужбе по защите персональных данных (ГСЗПД). Также, закон обязывает компанию получить согласие субъекта, прежде чем внести его данные в базу. Несоблюдение закона предполагает штрафные санкции от 3,4 до 17 тыс. грн, а в некоторых случаях и уголовную ответственность.

По действующему закону об изменениях в Кодекс, они должны были вступить в силу с 1 января 2012 года. Приближение этой даты вызвало серьезный ажиотаж на рынке и перегрузку в работе Государственной службы по защите персональных данных.

В пояснительной записке, авторы нового законопроекта указывают на то, что закон о "Защите персональных данных" требует существенной доработки. В частности, Законом не предусмотрено, что делать владельцу персональных баз данных, если субъект персональных данных отказывает предоставить согласие на их обработку. Там же говорится, что отсутствие четкого определения термина "база персональных данных" и внушительные размеры штрафа за уклонение от их регистрации, уже сейчас привели к возмущению в среде малого предпринимательства.

Стоит отметить, что общественный совет при ГСЗПД опубликовал рекомендации по обработке персональных данных. "Над составлением этих рекомендаций работало множество известных экспертов из разных отраслей и этот документ может служить руководством для предприятий, которые обрабатывают персональные данные, эти рекомендации могут обезопасить компанию от возможных проблем", - говорила в комментарии AIN.UA член совета Юлия Павленко.

ну да, перегруз, я регистрировала базу 13.11.2011 № 2936, а сегодня №188167, очевидцы говорят, на марины расковой, 15 сидит 5 девочек на всю украину, не знаю на сколько правда

наверное напишу в сотый раз мысли по поводу этих чертовых баз..но, тыкните меня носом, где я не права..
СПД-ник, без найманих, послуги по дизайну и програмування - с документации есть парочка договоров. с контрагентов - есть и юрики, и спд-ники.
вопрос по инфе, которую я о них использую: ЭДРПОУ, офиц. название - для выставления счета; дальше - номера телефонов и эл. почта - для общения . и ту, и другую инфу могу с таким же успехом взять с общедоступных источников - а именно: с Единого реестру, плюс с интернета - телефоны, мыло. КАКИЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ Я ИСПОЛЬЗУЮ??
допустим, я испугалась штрафов (цифры внушительные) - подала заявление на базу контрагентов..НО этим самым я просто даю выигрышную карту в руки этой государственной службы о защите данных, ведь я сама, ДОБРОВОЛЬНО, признаю, что:
база у меня есть
и значит обязуюсь по закону охранять эти персональные данные от незаконного использования.
приходит ко мне проверочка и говорит: "ок, где база?" - пускай примется мой ответ - "в электронном виде" (не знаю - составлю файл в екселе с мылом и номерами телефонов контрагентов) - вот и база будет.
а проверочка спросит - "а как вы ОХРАНЯЕТЕ эту базу?" - у кого-то есть адекватный ответ на этот вопрос? у меня нету.
итог: штраф плюс обязательство с моей стороны купить нужное програмное обеспечение для охраны этих данных (иль кто сомневается, что база данных - только лишь предлог, чтобы нас подоить?)

и как? стоит ли регистрировать то, чего нету?

ulina13 поддерживаю
Пока ничего не регистрирую..Жду разъяснений на счет того, что такое конкретно база., которую должна зарегистрировать и охранять.

Раньше приходило сообщение, что
Вашу заяву успішно подано, номер вашої заяви № *********** код доступу ************
а теперь только № заявки
и исчезла возможность проверить конкретно свою заявку и просмотреть ее заполнение

уроды
закон принят летом 2011, время было все отработать

бест звит выпустил обновления !!!!!!!!!!!!!!!

на форуме Медка написали что они бесполезные

скиньте ссылку

Quote
FyDD
Раньше приходило сообщение, что
Вашу заяву успішно подано, номер вашої заяви № *********** код доступу ************
а теперь только № заявки
и исчезла возможность проверить конкретно свою заявку и просмотреть ее заполнение

уроды
закон принят летом 2011, время было все отработать

проверяется по номеру заявления и дате, без кода доступа

А если предприятие не работает и отчеты сдают учредители, тоже надо делать эту базу?

а где взять заявочку?

проверяю заяву по номеру... пишет.. ничего не знайдено

А как Вам такая инфа:

[www.kvpu.org.ua]

нашла

А то какойто маразм

от Медока новостей нет??

кто знает, если нужно, что бі уведомление пришло не на юр. адрес. Где указать постовый адрес. на стр. 3?

а надо сдавать данные если наши клиенты были спд - по ним тоже надо?

может повторюсь, извините! ФЛП регистрируют 2и базы? сотрудники(есть найм) и клиенты (с кем договора заключены)??

лююююди!!! а как называется в бест-звите эти отчеты? как их найти?

1.1. Заявление.. заполняется на сайте [rbpd.informjust.ua].
1.2. Созданное заявление хранится в формате XML в выбранном каталоге на локальном диске компьютера пользователя (согласно инструкции на сайте).
1.3. Подписание «Заявления.». выполняется в программе Бест Отчет плюс, потому сохраненный файл нужно импортировать в модуль «Документы на подпись»:
- Звітність -> Документи на підпис -> Файли -> Документ -> Додати файл;
Выбрать тип файлов «Все типы файлов» и указать путь к каталогу, где сохраненный файл;
После импорта файл «Заявления» помещается в закладку Файлы;
Подписать файл сертификатом должностного лица, какая ответственная за представление Заявления.
1.4. Дальше нужно сохранить подписанный файл в каталоге вместе с неподписанным заявлением:
Документи на підпис -> Документ -> Зберегти на диску…;
Указать путь путь к каталогу, где сохраненный файл неподписанного заявления и сохранить.
В этот же каталог сохранить также сертификат подписывателя Заявления.. (Ел. пошта -> Управління сертифікатами -> виділити сертифікат -> Зберегти на диск…)
1.5. Представление «Заявления.». выполняется через сайт [rbpd.informjust.ua].
Согласно «Инструкции из создания и подачи заявления в электронном виде», размещенного на сайте, подаются:
1. файл сформированной, но неподписанной ЕЦП Заявления
2. файл подписанной ЕЦП Заявления
3. Файл сертификата должностного лица, которое подписало Заявление.
через меню сайта
Подать заявление -> Подать заявление в электронном виде -> укажите путь к каталогу с сохраненными файлами и загрузите их на сайт.
1.6. После успешной регистрации заявления в адрес электронной почты заявителя, указанную в заявлении, поступает сообщение об успешном представлении, которое содержит регистрационный номер заявления (согласно Инструкции.. на сайте).
1.7. Также пользователь может создать на сайте [rbpd.informjust.ua] и сохранить заявление в формате .doc.
Заявление.. в этом формате также импортируется в модуль «Документы на подпись» и подписывается ЕЦП.
Представление Заявления выполняется через сайт [rbpd.informjust.ua] в описанной выше последовательности.
((Детальнее о регистрации персональных данныхна сайте Государственной службы Украины по вопросам защиты персональных данных [www.zpd.gov.ua]).

Може буде комусь корисне:



МІНІСТЕРСТВО ЮСТИЦІЇ УКРАЇНИ
РОЗ'ЯСНЕННЯ
від 21.12.2011 р.

Деякі питання практичного застосування Закону України "Про захист персональних даних"

У зв'язку з численними зверненнями громадян щодо практичного застосування деяких положень Закону України "Про захист персональних даних" Міністерство юстиції надало роз'яснення з найбільш актуальних та поширених питань.
МЕТА ЗАКОНУ
Статтею 32 Конституції України проголошено право людини на невтручання в її особисте життя. Крім того, не допускається збирання, зберігання, використання поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
З метою конкретизації права людини, гарантованого статтею 32 Конституції України, та визначення механізмів його реалізації 1 червня 2010 року Верховною Радою України було прийнято Закон України "Про захист персональних даних" (далі - Закон), який набрав чинності з 1 січня 2011 року. Предметом правового регулювання Закону є правовідносини, пов'язані із захистом персональних даних під час їх обробки.
ЩО ТАКЕ "ПЕРСОНАЛЬНІ ДАНІ"
Визначення поняття персональні дані наводиться в абзаці восьмому статті 2 Закону, відповідно до якого персональними даними є відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.
Але законодавством України не встановлено і не може бути встановлено чіткого переліку відомостей про фізичну особу, які є персональними даними, задля можливості застосування положень Закону до різноманітних ситуацій, в тому числі при обробці персональних даних в інформаційних (автоматизованих) базах та картотеках персональних даних, що можуть виникнути у майбутньому, у зв'язку зі зміною в технологічній, соціальній, економічній та інших сферах суспільного життя.
Наприклад, відповідно до статті 24 Кодексу законів про працю України громадянин при укладенні трудового договору зобов'язаний подати паспорт або інший документ, що посвідчує особу, трудову книжку, а у випадках, передбачених законодавством, - також документ про освіту (спеціальність, кваліфікацію), про стан здоров'я та інші документи.
У зв'язку з цим персональні дані працівника, які містяться в паспорті або документі, що посвідчує особу, в трудовій книжці, документі про освіту (спеціальність, кваліфікацію), документі про стан здоров'я та інших документах, які він подав при укладенні трудового договору, обробляються володільцем бази персональних даних на підставі статті 24 Кодексу законів про працю України виключно для здійснення повноважень володільця бази персональних даних у сфері правовідносин, які виникли в нього з працівником на підставі трудового договору (контракту).
Таким чином, інформація про найманих працівників є базою персональних даних, оскільки, особові справи, трудові книжки, копії паспортів, документів про освіту зберігаються та обробляються роботодавцем.
ЩО ТАКЕ "БАЗА ПЕРСОНАЛЬНИХ ДАНИХ"
Поняття "база персональних даних" визначене абзацом другим статті 2 Закону, відповідно до якого база персональних даних - іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних.
З огляду на це база персональних даних є упорядкованою сукупністю логічно пов'язаних даних про фізичних осіб:
- що зберігаються та обробляються відповідним програмним забезпеченням, є базою персональних даних в електронній формі;
- що зберігаються та обробляються на паперових носіях інформації, є базою персональних даних у формі картотек.
Картотекою персональних даних є будь-який структурований масив персональних даних, що є доступним з визначеними критеріями, незалежно від того, чи є такий масив централізованим, децентралізованим або розділеним на функціональних або географічних засадах
Такі дані мають бути структуровані за визначеними критеріями, що стосуються фізичних осіб, щоб забезпечити легкий доступ до відповідних персональних даних.
Варто зазначити, що, виходячи з положень статті 2 Закону, персональні дані одночасно можуть бути упорядковані і в електронній формі, і в формі картотек.
ЩО НЕ Є БАЗОЮ ПЕРСОНАЛЬНИХ ДАНИХ
Фізичні особи - підприємці та самозайняті особи самостійно визначають чи володіють вони базами персональних даних у сенсі Закону.
Законодавець поширив дію Закону на всі види діяльності, пов'язані зі створенням баз персональних даних та обробкою персональних даних у цих базах, за винятком такої діяльності, яка здійснюється:
- фізичною особою - виключно для непрофесійних особистих чи побутових потреб,
- журналістом - у зв'язку з виконанням ним службових чи професійних обов'язків,
- професійним творчим працівником - для здійснення творчої діяльності.
Так, під час здійснення своєї професійної діяльності на адвокатів законодавством не покладено обов'язок ведення баз персональних даних клієнтів. Але, якщо адвокати формують справи на своїх клієнтів, які вони постійно оновлюють та підтримують в актуальному стані, такі справи є базою персональних даних та підлягають державній реєстрації
Нотаріуси можуть обробляти персональні дані своїх найманих працівників, клієнтів у базах персональних даних, однак, документи нотаріального діловодства та архів нотаріуса, визначені у статті 14 Закону України "Про нотаріат" не є базою персональних даних у сенсі Закону України "Про захист персональних даних" та не підлягають державній реєстрації.
Крім того, у випадку, якщо фізичні особи - підприємці укладають договори виконання робіт або надання послуг з фізичними особами, такі договори також не є базою персональних даних та не підлягають державній реєстрації.
ХТО Є ВОЛОДІЛЬЦЕМ ТА РОЗПОРЯДНИКОМ БАЗИ ПЕРСОНАЛЬНИХ ДАНИХ
Володільцем бази персональних даних згідно з абзацом третім статті 2 Закону є фізична або юридична особа, якій законом або за згодою суб'єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних та процедуру їх обробки, якщо інше не визначене законом.
Так, якщо персональні дані обробляються юридичною особою, то володільцем бази персональних даних є юридична особа.
Розпорядником бази персональних даних згідно з абзацом дев'ятим статті 2 Закону може бути фізична чи юридична особа, якій володільцем бази персональних даних або законом надано право обробляти ці дані.
Практичним прикладом можуть бути відносини між юридичними особами та їх представництвами, філіями, відділеннями тощо. Так, у сенсі Закону ці представництва, філії, відділення виступатимуть розпорядниками баз персональних даних, володільцем яких є юридична особа.
Згідно зі статтею 4 Закону володільцем чи розпорядником бази персональних даних можуть бути підприємства, установи і організації усіх форм власності, органи держави влади чи органи місцевого самоврядування, які обробляють персональні дані відповідно до закону.
Але якщо володільцем бази персональних даних є орган державної влади чи орган місцевого самоврядування, то розпорядником бази персональних даних, крім цих органів, може бути лише підприємство державної або комунальної форми власності, що належить до сфери управління цього органу.
ПОРЯДОК РЕЄСТРАЦІЇ БАЗИ ПЕРСОНАЛЬНИХ ДАНИХ
Відповідно до статті 9 Закону база персональних даних підлягає державній реєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних.
У випадку, якщо юридична особа, фізична особа - підприємець, самозайнята особа встановлює, що вона не обробляє персональні дані, в такої особи відсутній обов'язок реєструвати базу персональних даних.
Указом Президента України "Про затвердження Положення про Державну службу України з питань захисту персональних даних" від 6 квітня 2011 року визначено уповноваженим державним органом з питань захисту персональних даних - Державну службу України з питань захисту персональних даних, одним із основних завдань якої є реєстрація баз персональних даних.
Реєстрація бази персональних даних здійснюється за заявочним принципом шляхом повідомлення. Суть заявочного принципу полягає в тому, що основним є подання володільцем бази персональних даних заяви про реєстрацію бази персональних даних, а не отримання свідоцтва про державну реєстрацію бази персональних даних. Отже, ключовим та визначальним є факт внесення відповідного запису Державною службою України з питань захисту персональних даних до Державного реєстру баз персональних даних, а не отримання володільцем бази персональних даних свідоцтва про державну реєстрацію, що є наслідком зазначеного факту.
Сайт Державного реєстру баз персональних даних [rbpd.informjust.ua], на якому є можливість слідкувати за ходом державної реєстрації заяви в режимі он-лайн.
ОФОРМЛЕННЯ ЗАЯВИ ПРО РЕЄСТРАЦІЮ БАЗИ ПЕРСОНАЛЬНИХ ДАНИХ
Заява про реєстрацію бази персональних даних подається володільцем такої бази або уповноваженим представником в паперовій або електронній формі, вимоги до заповнення та порядок подання якої визначені постановою Кабінету Міністрів України "Про затвердження Положення про Державний реєстр баз персональних даних та порядок його ведення" від 25 травня 2011 року N 616 та наказом Міністерства юстиції України "Про затвердження форм заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних і порядку їх подання" від 8 липня 2011 року N 1824/5. Ознайомитися із вказаним наказом в електронному вигляді можна на сайті Верховної Ради України: [zakon2.rada.gov.ua].
Зокрема заява про реєстрацію бази персональних даних, що подається в електронній формі, повинна відповідати вимогам Законів України "Про електронний цифровий підпис" та "Про електронні документи та електронний документообіг". А саме: така заява повинна містити електронний підпис, що є обов'язковим реквізитом електронного документа та який накладається володільцем бази персональних даних для його ідентифікації Державною службою України з питань захисту персональних даних.
Заява про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних, зокрема, повинна містити інформацію про мету обробки персональних даних з визначенням категорії обробки персональних даних.
Відповідно до частини першої статті 6 Закону мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих документах, які регулюють діяльність володільця бази персональних даних, та відповідати законодавству про захист персональних даних.
З огляду на вищевикладене метою обробки персональних даних є забезпечення володільцем бази персональних даних належного здійснення діяльності, визначеної в законах, інших нормативно-правових актах, положеннях, установчих документах, які регулюють його діяльність, та внаслідок якої виникає необхідність у вчиненні будь-якої дії або сукупності дій з обробки персональних даних у базах. Слід звернути увагу на те, що склад та зміст персональних даних мають бути відповідними та не надмірним стосовно визначеної мети їх обробки.
Визначення категорії обробки персональних даних залежить від вимог до обробки персональних даних, які містяться в базах персональних даних заявника.
Так, Законом передбачені загальні та особливі вимоги обробки персональних даних. Статтею 6 Закону встановлені загальні вимоги обробки всіх наявних у суспільному житті персональних даних особи, за винятком персональних даних, для яких статтею 7 Закону визначені особливі вимоги обробки. До таких персональних даних належать дані про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров'я чи статевого життя.
Підсумовуючи викладене, категорія обробки персональних даних визначається володільцем бази персональних даних в залежності від вимог до обробки персональних даних, що встановлені статтями 6, 7 Закону та яких володілець бази персональних даних зобов'язаний дотримуватися при обробці персональних даних.
Додаткової уваги потребує те, що володілець реєструє базу персональних даних, а саме надає відомості про неї, які включаються до Державного реєстру баз персональних даних, однак не передає Державній службі України з питань захисту персональних даних наявні в ній персональні дані.
Згідно частини 4 статті 9 Закону володілець бази персональних даних зобов'язаний повідомляти Державну службу України з питань захисту персональних даних про кожну зміну відомостей, необхідних для реєстрації бази персональних даних не пізніш ніж протягом 10 робочих днів з дня настання такої зміни.
Володілець бази персональних даних надсилає Державній службі України з питань захисту персональних даних заяву про внесення змін до відомостей, необхідних для реєстрації, за формою, встановленою наказом Міністерства юстиції України "Про затвердження форм заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних і порядку їх подання" від 8 липня 2011 року N 1824/5. Володілець позначає "видалити" тих відомостей заяви, які змінились. На заміну ним шляхом позначення "додати" володілець подає нові відомості.
Свідоцтво про внесення змін до відомостей, необхідних для реєстрації бази персональних даних не надається. Натомість, Державна служба приймає рішення про внесення змін до відомостей, необхідних для реєстрації бази персональних даних шляхом надсилання володільцю бази персональних даних листа, в якому повідомляє про прийняте рішення.
Для видалення бази персональних даних з Державного реєстру баз персональних даних, володілець такої бази направляє в Державну службу захисту персональних даних заяву про внесення змін до відомостей Державного реєстру баз персональних даних та позначає "вилучити" всі поля відомостей, які були внесені.
ЗГОДА СУБ'ЄКТА НА ОБРОБКУ ПЕРСОНАЛЬНИХ ДАНИХ ТА ВИМОГИ ДО ЇЇ ОФОРМЛЕННЯ
Обробка персональних даних відповідно до частини 5 статті 6 Закону здійснюється за згодою суб'єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством.
Так, відповідно до абзацу п'ятого статті 2 Закону згодою суб'єкта персональних даних є будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки.
Обробка даних про фізичну особу без її згоди не допускається, крім випадків, визначених Законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини. В цьому випадку під Законами розуміються всі інші Закони, які надають право на обробку персональних даних із зазначенням чіткого переліку таких даних.
Закон також дозволяє здійснювати обробку персональних даних без згоди суб'єкта персональних даних, якщо обробка персональних даних є необхідною для захисту його життєво важливих інтересів. У такому випадку обробляти персональні дані без згоди суб'єкта персональних даних можна до часу, коли отримання згоди стане можливим.
Згідно з вимогами Закону згода суб'єкта персональних даних на обробку персональних даних повинна містити інформацію щодо:
- мети, яка визначається володільцем бази персональних даних в залежності від виду його діяльності, при здійсненні якої виникає необхідність у обробці персональних даних у базах персональних даних, конкретних цілей обробки персональних даних, для досягнення яких володілець бази персональних даних обробляє персональні дані у цій базі (стаття 2 Закону);
- обсягу персональних даних, а саме чіткого переліку персональних даних фізичної особи, які можуть обробляються володільцем бази персональних даних у цій базі (стаття 6 Закону);
- порядку використання персональних даних, який передбачає дії володільця бази щодо обробки цих даних, в тому числі використання персональних даних працівниками володільця бази персональних даних, відповідно до їхніх професійних чи службових або трудових обов'язків, дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншим суб'єктам відносин, пов'язаних із персональними даними (стаття 10 Закону);
- порядку поширення персональних даних, який передбачає дії володільця бази персональних даних щодо передачі відомостей про фізичну особу з бази персональних даних (стаття 14 Закону);
- порядку доступу до персональних даних третіх осіб, який визначає дії володільця бази персональних даних у разі отримання запиту від третьої особи щодо доступу до персональних даних, у тому числі порядок доступу суб'єкта персональних даних до відомостей про себе (стаття 16 Закону).
ПОРЯДОК ТА ПІДСТАВИ ПОВІДОМЛЕННЯ СУБ'ЄКТА ПЕРСОНАЛЬНИХ ДАНИХ ПРО ЙОГО ПРАВА, ЩО СТОСУЮТЬСЯ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ
Однією зі складових процесу обробки персональних даних є їх збирання, що передбачає дії з підбору чи впорядкування відомостей про фізичну особу та внесення їх до бази персональних даних.
Так, згідно зі статтею 12 Закону володілець бази персональних даних протягом десяти робочих днів з дня включення персональних даних до бази персональних даних, що є дією зі збирання персональних даних, зобов'язаний повідомити суб'єкта персональних даних, виключно в письмовій формі, про його права, що визначені статтею 8 Закону, мету збору даних, яка визначається володільцем бази персональних даних, та осіб, яким будуть передаватися персональні дані.
Володілець бази звільняється від виконання вказаного обов'язку лише у разі, якщо персональні дані збираються ним із загальнодоступних джерел. Під визначенням "загальнодоступні джерела інформації", зокрема, розуміються друковані засоби масової інформації, засоби телерадіомовлення, інтернет-портали, публічні виступи та інші джерела інформації, до яких фізичні та юридичні особи мають вільний, необмежений чинним законодавством, доступ.
ОБРОБКА ПЕРСОНАЛЬНИХ ДАНИХ ФІЗИЧНИМИ ОСОБАМИ - ПІДПРИЄМЦЯМИ ТА САМОЗАЙНЯТИМИ ОСОБАМИ
Частиною 1 статті 24 Закону визначено, що фізичні особи - підприємці, у тому числі лікарі, які мають відповідну ліцензію, адвокати, нотаріуси особисто забезпечують захист персональних даних, якими вони володіють згідно з вимогами закону.
КОНТРОЛЬ ЗА ДОДЕРЖАННЯМ ЗАКОНОДАВСТВА ПРО ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ
Здійснення контролю за додержанням законодавства про захист персональних даних відповідно до статті 23 Закону покладено на Державну службу України з питань захисту персональних даних.
Так, відповідно до підпункту 14 пункту 3 Положення про Державну службу України з питань захисту персональних даних, затвердженого Указом Президента України від 6 квітня 2011 року N 390, Державна служба України з питань захисту персональних даних здійснює контроль за додержанням законодавства про захист персональних даних шляхом проведення виїзних та безвиїзних перевірок володільців та (або) розпорядників баз персональних даних.
Також відповідно до підпункту 16 пункту 3 цього Положення Державна служба України з питань захисту персональних даних складає адміністративні протоколи про виявленні порушення законодавства у сфері захисту персональних даних.
Але справи про адміністративні правопорушення у сфері захисту персональних даних розглядаються згідно зі статтею 221 Кодексу України про адміністративні правопорушення виключно районними, районними у місті, міськими чи міськрайонними судами.
ВІДПОВІДАЛЬНІСТЬ ЗА ПОРУШЕННЯ ЗАКОНОДАВСТВА ПРО ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ
З метою забезпечення виконання громадянами, органами державної влади та місцевого самоврядування, підприємствами, установами організаціями незалежно від форми власності вимог Закону 2 червня 2011 року Верховною Радою України було прийнято Закон України "Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних", який набирає чинності з 1 січня 2012 року.
Відповідно до цього закону громадяни, посадові особи, громадяни - суб'єкти підприємницької діяльності притягуються до адміністративної відповідальності за вчинення таких правопорушень:
1) неповідомлення або несвоєчасне повідомлення суб'єкта персональних даних про його права у зв'язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються;
2) неповідомлення або несвоєчасне повідомлення спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних про зміну відомостей, що подаються для державної реєстрації бази персональних даних;
3) ухилення від державної реєстрації бази персональних даних;
4) недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них;
5) невиконання законних вимог посадових осіб спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних щодо усунення порушень законодавства про захист персональних даних.
За порушення недоторканості приватного життя, а саме за незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації винна особа притягується до кримінальної відповідальності.
____________

© Інформаційно-аналітичний центр «ЛІГА», 1991 - 2011
© ТОВ «ЛІГА:ЗАКОН», 2007 - 2011

"......ЩО НЕ Є БАЗОЮ ПЕРСОНАЛЬНИХ ДАНИХ
Фізичні особи - підприємці та самозайняті особи самостійно визначають чи володіють вони базами персональних даних у сенсі Закону.
Законодавець поширив дію Закону на всі види діяльності, пов'язані зі створенням баз персональних даних та обробкою персональних даних у цих базах, за винятком такої діяльності, яка здійснюється:
- фізичною особою - виключно для непрофесійних особистих чи побутових потреб,......"
Що це таке непрофесійно-особисті потреби, як їх правильно визначити і не помилитися ????
....
"....Крім того, у випадку, якщо фізичні особи - підприємці укладають договори виконання робіт або надання послуг з фізичними особами, такі договори також не є базою персональних даних та не підлягають державній реєстрації...."
Виходить, що контрагенти юр. особи входять в базу, а фіз. особи не входять і їх можна не подавати????

"...У випадку, якщо юридична особа, фізична особа - підприємець, самозайнята особа встановлює, що вона не обробляє персональні дані, в такої особи відсутній обов'язок реєструвати базу персональних даних...."
Як же це правильно встановити і теж не помилитися???

Quote
Вика1
А если предприятие не работает и отчеты сдают учредители, тоже надо делать эту базу?

Меня очень интересует этот вопрос,но никто не отвечает!!!Кто знает,отзовитесь пожалуйста.!!!!!

Учредители есть? Есть их личные данные на предприятии? Тогда надо. Хотя никто Вам точно не ответит....