ЮК "ПРАВОВАЯ ПОМОЩЬ" Одесса 795-83-26 0971792245

13.12.2011

База персональных данных: в семи шагах от регистрации

 

1 января 2011 года вступил в силу Закон Украины "О защите персональных данных" от 01.06.2010 г. № 2297-VI (далее - Закон), который определяет понятие персональных данных (далее - ПД), баз ПД, а также регулирует отношения, связанные с защитой ПД во время их обработки.

 

В соответствие с положениями ст. 9 Закона база ПД подлежит государственной регистрации путем внесения соответствующей записи уполномоченным госорганом по вопросам защиты ПД в Государственный реестр баз ПД. В исполнение данной нормы Кабмином 25.05.2011 г. было принято постановление № 616 "Об утверждении Положения о Государственном реестре баз персональных данных и порядке его ведения". А уже 5 августа стали действующими форма заявления о регистрации баз ПД и порядок подачи таких заявлений, утвержденные приказом Минюста от 08.07.2011 N 1824/5.

 

Таким образом, процесс регистрации баз данных был начат, но, к сожалению, некоторые компании все еще игнорируют его. Отчасти виной тому отсутствие действующих на сегодняшний день санкций за невыполнение Закона. Но такое положение не должно создавать уверенность в безнаказанности. Уже с 1 января 2012 года вступает в действие закон относительно ответственности за нарушение законодательства о защите ПД. И ответственность, надо заметить, предусмотрена серьезная. Но об этом немного позже.

 

Любое юридическое лицо в Украине является владельцем как минимум одной базы ПД - это база персональных данных сотрудников. Но в зависимости от рода деятельности, компания может быть владельцем и других баз данных: клиентов, контрагентов, и т.д.

 

Основная работа проводится до регистрации базы ПД, которая, по сути, является подведением некоей черты. Ведь, чтобы правильно зарегистрировать свои базы данных, компании необходимо определить их количество, серверы или другие оперативные системы, на которых они будут обрабатываться, разработать внутренние документы, регламентирующие порядок введения и обработки данных, а после этого уже подавать заявку на регистрацию баз. Но обо всем по порядку.

 

Итак, первый шаг для компании - определиться, обрабатывает она персональные данные или нет. Как уже было замечено, каждая компания является владельцем как минимум одной базы ПД - сотрудников. Возможность наличия других баз ПД зависит от рода деятельности компании. Таким образом, удостоверившись, что компания нуждается в обработке персональных данных, следует четко обозначить, с какой целью это происходит.

 

Поэтому, второй шаг - определение цели обработки и количества баз, которое зависит от особенностей организации бизнес-процессов компании.

 

Не исключено, что информация о лицах может использоваться в будущем для разных целей, поэтому рекомендуем максимально широко подойти к данному вопросу и вот почему. Лицо, ПД которого будут обрабатываться, согласно Закону дает свое согласие на обработку данных в соответствии с конкретной целью и если в будущем такая цель изменится - необходимо будет получить новое согласие лица (ч. 1 ст. 6 Закона).

 

Шаг третий. Определившись с категориями и целью обработки ПД, компания должна документально утвердить это. Последним может стать локальный документ под названием "Порядок обработки и защиты персональных данных", утвержденный приказом исполнительного органа компании (директора). С таким Порядком целесообразно ознакомить сотрудников, чья работа непосредственно связана с обработкой ПД.

 

Кроме того, для оптимизации процесса сбора ПД целесообразно утвердить текст согласия лица на обработку его ПД. Также следует разработать уведомление, в котором изложить информацию о правах субъекта ПД, цели обработки данных и лицах, которым передаются ПД. С целью экономии времени, возможно, вручать такую памятку субъекту ПД следует сразу после их сбора, то есть до того, как данные физически поступят в базу.

 

Получение согласия субъекта ПД является одним из наиболее важных моментов процесса регистрации базы ПД. Будем считать это четвертым шагом.

 

Что же касается сотрудников, закон также требует, чтобы за защиту ПД в компании отвечало должностное лицо или отдел. На практике, за каждую базу ПД должно отвечать отдельное должностное лицо, также должно быть назначено лицо, отвечающее за защиту от незаконного доступа к ПД (целесообразно такие функции возложить на IT-отдел).

 

Поэтому, пятым шагом будут кадровые назначения - необходимо определить структурное подразделение или ответственное лицо, которое организует работу, связанную с защитой ПД при их обработке, в соответствии с Законом.

 

Европейская практика показывает, что на этом этапе полезен независимый аудит компанией, специализирующейся на технической защите информации. Это позволит в первую очередь создать систему защиты от утечки ПД и возможности их неправомерного использования. Кроме того, это отличная возможность получить подтверждение надлежащего уровня защищенности систем, что, как показывает европейская практика, влияет на определение размера санкций, в случае их наложения компетентным органом.

 

Непосредственно регистрация базы ПД производится Государственной службой по вопросам защиты персональных данных (далее - Служба) на основании заявления владельца базы. Таким образом, шестой шаг - подача заявления в установленной форме на регистрацию базы ПД.

 

Заявление о регистрации базы ПД должно содержать информацию о владельце и распорядителях базы, информацию о базе данных и месте ее нахождения, а также подтверждение обязательства по выполнению требований законодательства по защите ПД. 

 

О каждом изменении вышеуказанных сведений, не позднее чем в течение 10 рабочих дней со дня наступления такого изменения, владелец базы ПД обязан уведомлять Службу путем подачи заявления о внесении изменений в сведения Государственного реестра баз персональных данных.

 

Допускается две формы подачи заявления:

 

- бумажная (желательно, с предоставлением электронной копии); 

 

- электронная, отвечающая требованиям Законов Украины "Об электронных документах и электронном документообороте" и "Об электронной цифровой подписи".

 

На каждую базу ПД надо заполнять отдельное заявление.

 

Особое внимание надо уделить правильному заполнению граф, касающихся целей и категорий обработки данных. В регистрации может быть отказано в случае несоответствия заявления на регистрацию требованиям Закона.

 

И наконец, последний, седьмой шаг - сама регистрация базы ПД, что является обязанностью Службы. Следует отметить, что эта процедура осуществляется бесплатно.

 

На протяжении 10 рабочих дней с дня поступления заявления, Службой принимается решение о регистрации базы ПД или отказе в таковой. Таким образом, если заявление заполнено надлежащим образом и соблюдены все нормы законодательства, то на получение готового свидетельства о регистрации можно рассчитывать уже в течение нескольких дней. 

 

Компания должна получить свидетельство о государственной регистрации базы ПД на каждую базу ПД.

 

Данный пошаговый алгоритм подходит для регистрации новой базы ПД. В случае регистрации уже существующей базы возникает вопрос, как быть с данными, полученными без документированного согласия лица до вступления в силу Закона 01.01.2011 г.? Соблюдение формальностей относительно обработки ПД начинается именно с получения согласия лица на такую обработку (ст. 6 Закона). Однозначно правильный путь решения сможет подсказать только будущая правоприменительная практика. Но уже сейчас возможно два варианта: 

 

вариант первый - получить post-factum согласие лица на обработку его ПД и затем уведомить лицо о его законных правах в связи с включением его данных в базу;

 

вариант второй - ограничиться письменным уведомлением лица о том, что его ПД были собраны до вступления в силу Закона, о цели обработки данных, об имеющих доступ к данным третьих лицах, а также уведомить о праве предъявлять мотивированное требование относительно изменения или уничтожения своих ПД. В случае если в разумный срок требований об уничтожении ПД не поступило, то это косвенно может свидетельствовать о допустимости использования данных, полученных до 01.01.2011 г. 

 

Теперь вернемся к ответственности. Закон Украины от 02.06.2011 N 3454, призванный ввести ответственность за нарушение законодательства о защите ПД, вносит изменения в Административный и Уголовный кодексы Украины, а именно:

 

- уклонение от государственной регистрации базы ПД, - влечет наложение штрафа на граждан от 300 до 500 н.м.д.г. и на должностных лиц, граждан - СПД - от 500 до 1000 н.м.д.г. (ст. 18839 КоАП, в редакции от 01.01.2012) (то есть от 5100 до 17000 грн.);

 

- незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о лице или незаконное изменение такой информации (кроме исключительных случаев), - наказываются штрафом от 500 до 1000 н.м.д.г. или исправительными работами сроком до 2х лет, либо арестом на срок до 6 месяцев, или ограничением свободы на срок до 3х лет. За те же действия, совершенные повторно или если они причинили существенный вред, - предусмотрен арест на срок от 3х до 6 месяцев, или ограничение свободы на срок от 3х до 5 лет, или лишение свободы на тот же срок (ст. 182 УК Украины, в редакции от 01.01.2012).

 

Как уже сказано, такие санкции смогут применяться после 1 января 2012 года. Поэтому владельцам баз ПД следует помнить о том, что для них рисками являются как проверки контролирующего органа, так и возможные судебные иски граждан, чьи права нарушены.

 

Уже сейчас Служба может проводить проверки владельцев и (или) распорядителей баз ПД относительно соблюдения требований законодательства в сфере защиты ПД. Более того, приказом Службы от 28.09.2011 N 61 утвержден План таких проверок на IV квартал 2011 года (октябрь - декабрь 2011 г., размещенный на сайте Службы).