ПУБЛІКАЦІЇ
09.09.2011

Реєстрація персональних даних

Автор: Левчук Юрій Олександрович
Джерело: Бюлетень Асоціації адвокатів України, № 1(1), листопад-грудень 2011 р.

Текст публікації reestr_person_dannyh.pdf


З 1 липня 2011 року відділ реєстрацій баз персональних даних управління реєстрації баз персональних даних почав реєстрацію персональних даних.

Верховною Радою України 1 червня 2010 року прийнято Закон України «Про захист персональних даних», а 6 липня 2010 року ратифіковано Конвенцію про захист осіб у зв’язку з автоматизованою обробкою персональних даних та Додатковий протокол до Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних щодо органів нагляду та транскордонних потоків даних».

Метою Конвенції про захист осіб стосовно автоматизованої обробки даних особистого характеру, яку прийняли держави - члени Ради Європи, є забезпечення на території кожної держави – учасника Конвенції для кожної особи, незалежно від її громадянства або місця проживання, дотримання її прав й основоположних свобод, зокрема її права на недоторканість приватного життя, у зв’язку з автоматизованою обробкою персональних даних, що її стосуються. Задля реалізації цієї мети у Європейському Союзі 24 жовтня 1995 року прийнято Директиву "Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних», а в країнах Європи прийнято національні закони у сфері захисту персональних даних.

Указом Президента України 9 грудня 2010 створено Державну службу України з питань захисту персональних даних, як орган центральної виконавчої влади, діяльність якого спрямовується через Міністра юстиції.

Указом Президента України від 6 квітня 2011 року №390/2011 затверджено Положення про Державну службу України з питань захисту персональних даних

Для чого потрібна реєстрація баз персональних даних?

Реєстрація баз персональних даних є простим способом збору інформації контролюючими органами та інструментом застосування адміністративних санкцій стосовно суб'єктів відносин, пов'язаних із персональними даними.

Реєстрація баз персональних даних є:

• корисною для суб’єктів персональних даних, оскільки аналіз записів у Державному реєстрі може слугувати відправною точкою для подання суб’єктом персональних даних скарги до компетентних органів та позовних заяв;

• корисною для уповноваженого державного органу з питань захисту персональних даних, дає змогу здійснювати аналіз записів, проводити виїзні та безвиїзні перевірки з метою застосування санкцій.


Які санкції будуть застосовані за порушення законодавства у сфері захисту персональних даних
ЗАКОН УКРАЇНИ «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» від 2 червня 2011 року N 3454-VI передбачає наступні санкції:
Стаття 18839 Кодексу України про адміністративні правопорушення. Порушення законодавства у сфері захисту персональних даних

Неповідомлення або несвоєчасне повідомлення суб'єкта персональних даних про його права у зв'язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються, -

тягнуть за собою накладення штрафу на громадян від двохсот до трьохсот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб'єктів підприємницької діяльності - від трьохсот до чотирьохсот неоподатковуваних мінімумів доходів громадян.

Неповідомлення або несвоєчасне повідомлення спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних про зміну відомостей, що подаються для державної реєстрації бази персональних даних, -

тягнуть за собою накладення штрафу на громадян від ста до двохсот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб'єктів підприємницької діяльності - від двохсот до чотирьохсот неоподатковуваних мінімумів доходів громадян.

Повторне протягом року вчинення порушення з числа передбачених частинами першою або другою цієї статті, за яке особу вже було піддано адміністративному стягненню, -

тягне за собою накладення штрафу на громадян від трьохсот до п'ятисот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб'єктів підприємницької діяльності - від чотирьохсот до семисот неоподатковуваних мінімумів доходів громадян.

Ухилення від державної реєстрації бази персональних даних -

тягне за собою накладення штрафу на громадян від трьохсот до п'ятисот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб'єктів підприємницької діяльності - від п'ятисот до тисячі неоподатковуваних мінімумів доходів громадян.

Недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них, -

тягне за собою накладення штрафу від трьохсот до тисячі неоподатковуваних мінімумів доходів громадян.

Стаття 18840 Кодексу України про адміністративні правопорушення. Невиконання законних вимог посадових осіб спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних

Невиконання законних вимог посадових осіб спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних щодо усунення порушень законодавства про захист персональних даних -

тягне за собою накладення штрафу на посадових осіб, громадян - суб'єктів підприємницької діяльності від ста до двохсот неоподатковуваних мінімумів доходів громадян";

Стаття 182 Кримінального кодексу України. Порушення недоторканності приватного життя

1. Незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації, крім випадків, передбачених іншими статтями цього Кодексу, -

караються штрафом від п'ятисот до однієї тисячі неоподатковуваних мінімумів доходів громадян або виправними роботами на строк до двох років, або арештом на строк до шести місяців, або обмеженням волі на строк до трьох років.

2. Ті самі дії, вчинені повторно, або якщо вони заподіяли істотну шкоду охоронюваним законом правам, свободам та інтересам особи, -

караються арештом на строк від трьох до шести місяців або обмеженням волі на строк від трьох до п'яти років, або позбавленням волі на той самий строк.

Примітка. Істотною шкодою у цій статті, якщо вона полягає у заподіянні матеріальних збитків, вважається така шкода, яка в сто і більше разів перевищує неоподатковуваний мінімум доходів громадян".

Цей Закон набирає чинності з 1 січня 2012 року.
Що таке персональні дані?
Відповідно до ст. 2 Закону України «Про захист персональних даних» «персональні дані» - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.
Відповідно до Конвенції «Про захист осіб у зв'язку з автоматизованою обробкою персональних даних» термін "персональні дані" означає будь-яку інформацію, яка стосується конкретно визначеної особи або особи, що може бути конкретно визначеною;

Кого це стосується?

Відповідно до ст. 2 Закону України «Про захист персональних даних» суб'єктом персональних даних є фізична особа, стосовно якої відповідно до закону здійснюється обробка її персональних даних;
Відповідно до ст. 4 Закону України «Про захист персональних даних» суб'єктами відносин, пов'язаних із персональними даними, є:
- суб'єкт персональних даних;
- володілець бази персональних даних;
- розпорядник бази персональних даних;
- третя особа;
- уповноважений державний орган з питань захисту персональних даних;
- інші органи державної влади та органи місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних.

Володільцем чи розпорядником бази персональних даних можуть бути підприємства, установи і організації усіх форм власності, органи державної влади чи органи місцевого самоврядування, фізичні особи - підприємці, які обробляють персональні дані відповідно до закону.

Розпорядником бази персональних даних, володільцем якої є орган державної влади чи орган місцевого самоврядування, крім цих органів, може бути лише підприємство державної або комунальної форми власності, що належить до сфери управління цього органу.

Підприємства, установи, організації та особи, які здійснюють незалежну професійну діяльність, повинні привести свої процеси та процедури обробки персональних даних у відповідність до Закону України «Про захист персональних даних».

Які відомості належать до персональних даних?

До персональних даних належать:

за природою відомостей:

об’єктивні відомості про фізичну особу (біометричні дані, стан банківського рахунку тощо);

суб’єктивні відомості про фізичну особу (автобіографія, характеристика, матеріали атестації, опис особистих якостей фізичної особи, досьє тощо);

за джерелами відомостей:

відомості, що містяться в первинних та інших джерелах про фізичну особу;

за способами обробки відомостей:

відомості в алфавітно-цифровому форматі;

відомості в графічному форматі;

відомості в фото- та кіно-, аудіо- та відеоформаті тощо;

за формою обробки відомостей:

відомості на паперових носіях;

відомості на електронних носіях;

відомості на магнітних носіях;

відомості на оптичних носіях тощо;

за вимогами до обробки відомостей:

відомості, щодо яких застосовуються загальні вимоги обробки відповідно до Закону;

відомості, щодо яких згідно із статтею 7 Закону застосовуються особливі вимоги обробки (расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також відомості, що стосуються здоров'я чи статевого життя тощо);

за зв’язком з фізичною особою:

відомості, що стосуються фізичної особи безпосередньо (особова справа працівника, запис у базі даних медичного закладу, банківський рахунок фізичної особи тощо);

відомості, що стосуються фізичної особи опосередковано (реєстраційний запис про право власності на об’єкт нерухомого майна, записи відеоспостереження у громадських місцях, записи про технічне обслуговування автомобіля тощо).

Які підстави виникнення права на обробку персональних даних?

- згода суб'єкта персональних даних на обробку його персональних даних

- надане володільцю бази персональних даних у порядку, визначеному законодавством України, право на обробку персональних даних відповідно до Закону України «Про захист персональних даних», і виключно в інтересах національної безпеки, економічного добробуту та прав людини

- необхідність захисту життєво важливих інтересів суб'єкта персональних даних до часу, коли отримання згоди на обробку персональних даних від суб’єкта персональних даних стане можливим.

Як бути з фізичними особами, які не надали чітко виражену згоду на обробку їх персональних даних, до 1 січня 2011 року (до вступу в силу Закону України «Про захист персональних даних»)?

Згода суб’єкта персональних даних на обробку його персональних даних повторно не надається, якщо володілець продовжує обробляти персональні дані суб’єкта, відповідно до правовідносин на основі вільного волевиявлення фізичної особи, які виникли до набрання чинності Законом.

Що таке цілі обробки персональних даних і що вони собою являють?

Цілі обробки персональних даних повинні відповідати цілям діяльності володільця бази персональних даних, що зафіксовані в їх установчих документах та/або передбачені законодавством України, що регулює їх діяльність.

Типовими цілями обробки персональних даних є забезпечення реалізації:

- трудових відносин;

- адміністративно-правових (в тому числі, відносин у сфері державного управління), податкових відносин та відносин у сфері бухгалтерського обліку;

- відносин у сфері управління людськими ресурсами, зокрема, кадровим потенціалом;

- відносин у сфері економічних, фінансових послуг та страхування;

- відносин у сфері реклами та збору персональних даних у комерційних цілях;

- відносин у сфері телекомунікаційних послуг;

- відносин у сфері громадської, політичної та релігійної діяльності, культури, дозвілля, спортивної та соціальної діяльності;

- відносин у сфері освіти;

- відносин у сфері охорони здоров’я;

- відносин у сфері безпеки, включаючи питання приватних розслідувань, побудови системи приватної безпеки та приватної охорони;

- відносин у сфері транспорту;

- відносин у сфері науки, історичних досліджень та статистики;

- інших відносин, що вимагають обробки персональних даних.

Чи потрібно підприємствами, установами і організаціями отримувати документовану згоду від фізичних осіб (найманих працівників) відповідно до ч.5 статті 6 Закону України «Про захист персональних даних» для цілей обробки документації при здійсненні діяльності?

Відповідно до пункту 1 статті 11 Закону України «Про захист персональних даних» підставами виникнення права на використання персональних даних є:

згода суб'єкта персональних даних на обробку його персональних даних. Суб'єкт персональних даних має право при наданні згоди внести застереження стосовно обмеження права на обробку своїх персональних даних, або

дозвіл на обробку персональних даних, наданий володільцю бази персональних даних відповідно до закону виключно для здійснення його повноважень.

Отримання згоди працівника підприємства, установи, організації щодо надання дозволу на обробку його персональних даних відповідно до сформульованої мети їх обробки є підставою для виникнення права щодо обробки персональних даних найманих працівників.

Які умови повинен створити володілець для належного захисту персональних даних?

Володілець бази даних повинен створити умови для захисту персональних даних та забезпечити захист цих даних.

Умови для захисту персональних даних залежать від конкретних реальних загроз, природи персональних даних, які обробляються, технології обробки інформації та типу інформаційної системи, у рамках якої обробляються персональні дані.

У кожному випадку володілець може провести детальний аналіз загроз та інших факторів, які впливають на рівень ризику. На основі аналізу ризиків володілець може вирішити, який рівень захищеності бази персональних даних є необхідним для створення умов щодо захисту персональних даних.

Що повинен включати процес обробки персональних даних?

Обробка персональних даних є планомірним процесом на підприємстві, установі, організації та має включати в себе наступні елементи:

1) первинна оцінка стану обробки персональних даних;

2) планування та впровадження системи управління персональними даними;

3) забезпечення поточного функціонування системи управління персональними даними;

4) періодична та поточна оцінка ефективності системи управління персональними даними;

5) удосконалення системи управління персональними даними.

Чи вважатиметься документація, що використовується в діяльності підприємств, установ та організацій та містить певним чином структуровані персональні дані найманих працівників «базою персональних даних» в розумінні Закону України «Про захист персональних даних»?

Згідно з Законом України «Про захист персональних даних» персональними даними є відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.

Документація підприємств, установ та організацій в електронній формі та/або у формі картотек що містить певним чином структуровані персональні дані найманих працівників підпадає під визначення «база персональних даних» відповідно до статті 2 Закону України «Про захист персональних даних».

Реєстрація баз персональних даних

Відповідно до статті 9 Закону України «Про захист персональних даних» “База персональних даних підлягає державній реєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних”.

Реєстрація баз персональних даних та внесення змін до відомостей Державного реєстру баз персональних даних здійснюється відповідно до Закону України „Про захист персональних даних” від 01.06.2010 № 2297-VI, Положення про Державний реєстр баз персональних даних та порядок його ведення, затвердженого Постановою Кабінету Міністрів України від 25.05.2011 №616, за формами та згідно з Порядком подання заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних, що затверджені наказом Міністерства юстиції України від 08.07.2011 № 1824/5.

Державній реєстрації підлягають усі бази персональних даних в електронному вигляді та/або в картотеках, в яких обробляються персональні дані, незалежно від обсягу та форми їх застосування, виду діяльності. При цьому, щодо кожної бази даних, яка перебуває у володінні заявника, подається окрема заява.

Для реєстрації бази персональних даних, уповноваженому державному органу з питань захисту персональних даних, подається заява встановленого зразка.

Заява про реєстрацію бази персональних даних повинна містити інформацію про володільця та розпорядників бази персональних даних, інформацію про базу даних та місце її знаходження, а також підтвердження зобов’язання стосовно виконання вимог законодавства щодо захисту персональних даних.

Про кожну зміну вищезазначених відомостей, не пізніш як протягом десяти робочих днів з дня настання такої зміни, володілець бази персональних даних зобов'язаний повідомляти уповноважений державний орган з питань захисту персональних даних шляхом подання заяви про внесення змін до відомостей Державного реєстру баз персональних даних.

Заява подається в паперовій формі (бажано, з наданням електронної копії) або у формі електронного документа відповідно до вимог Законів України «Про електронні документи та електронний документообіг» та «Про електронний цифровий підпис». При цьому, ДСЗПД обробляє заяви у формі електронного документу, підписані володільцями, що отримують послуги електронного цифрового підпису (ЕЦП) у акредитованих центрах сертифікації ключів, які надали у розпорядження ДСЗПД надійні засоби ЕЦП.

Особливості ратифікації Україною Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних

до підпункту "a" пункту 2 статті 3 Конвенції:

"Україна не буде застосовувати цю Конвенцію до персональних даних, які обробляються фізичними особами виключно для непрофесійних особистих чи побутових потреб";

до підпункту "b" пункту 2 статті 3 Конвенції:

"Україна буде застосовувати цю Конвенцію до інформації, яка стосується груп осіб, асоціацій, фондів, компаній, корпорацій та будь-яких інших організацій, що безпосередньо чи опосередковано складаються з окремих осіб, незалежно від того, мають чи не мають такі установи статус юридичної особи";

до підпункту "c" пункту 2 статті 3 Конвенції:

"Україна буде застосовувати цю Конвенцію до файлів персональних даних, які не обробляються автоматизовано";

до пункту 2 статті 13 Конвенції:

"Органом, на який покладаються повноваження згідно з пунктом 2 статті 13 Конвенції, є Міністерство юстиції України".

Закони та нормативно-правові акти, що стосуються захисту персональних даних в Україні

Закон України «Про захист персональних даних» від 1 червня 2010 року
N 2297-VI ;

Закон України «Про ратифікацію Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних та Додаткового протоколу до Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних стосовно органів нагляду та транскордонних потоків даних» від 6 липня 2010 року N 2438-VI ;

Конвенція про захист осіб у зв'язку з автоматизованою обробкою персональних даних
ДАТА ПІДПИСАННЯ: 28.01.81
ДАТА РАТИФІКАЦІЇ УКРАЇНОЮ: 06.07.2010
ДАТА НАБРАННЯ ЧИННОСТІ ДЛЯ УКРАЇНИ: 01.01.2011;

Додатковий протокол до Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних щодо органів нагляду та транскордонних потоків даних;

Закон України «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» від 2 червня 2011 року N 3454-VI (набирає чинності з 01.01.2012);

Закон України «Про інформацію» від 2 жовтня 1992 року N 2657-XII;

Указ Президента України № 1085/2010 «Про оптимізацію системи центральних органів виконавчої влади»;

Указ Президента України № 390/2011 «Про Положення про Державну службу України з питань захисту персональних даних»;

Постанова Кабінету Міністрів України від 25 травня 2011 р. N 616 «Про затвердження Положення про Державний реєстр баз персональних даних та порядок його ведення»;

Наказ Міністерства Юстиції України від 19 липня 2011р. № 890/19628 «Про затвердження форм заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних і порядку їх подання»;

Наказ Міністерства Юстиції України від 19 липня 2011р. № 889/19627 «Про затвердження зразка свідоцтва про державну реєстрацію бази персональних даних».Повернення до спискуЗамовити консультацію фахівців
Dmitrieva & Partners
Защита от автоматических сообщений*:

CAPTCHA