Головна  Карта сайту  Розміщення реклами на порталі

СПІЛЬНОТА КАДРОВИКІВ І ФАХІВЦІВ З УПРАВЛІННЯ ПЕРСОНАЛОМ
Ласкаво просимо
  Новини
  Бібліотека статей
  Нормативна база
  Зразки документів
  Виробничий календар
  Книжкова полиця
  Хто є хто
  Глосарій
  Розміщення реклами
  Наші партнери
  Форум
Нові матеріали
Підписатися на розсилку





Facebook
Реклама
Реклама
Защита персональных данных: закон об ответственности вступил в силу
Новини
03.07.2012
Защита персональных данных: закон об ответственности вступил в силу
 

1 июля 2012 года вступил в силу Закон Украины «О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных» от 02.06.2011 № 3454-VI (далее — Закон № 3454-VI). Отныне все лица, которые являются владельцами баз персональных данных, в случае нарушения соответствующих положений закона могут попасть под значительные санкции. Поэтому особенно актуальным на сегодня является выяснение некоторых вопросов практического применения норм законодательства в сфере защиты персональных данных.

Как помним, момент вступления в силу указанного закона был перенесен на полгода, а именно с 01.01.2012 на 01.07.2012. Одной из целей такого переноса была доработка нормативных актов в сфере защиты персональных данных, в частности Закона «О защите персональных данных» (далее — Закон № 2297-VI), который зачастую не дает четких определений и формулировок, что порождает разночтения его норм. Однако, несмотря на указанные ожидания значительных изменений в течение этого времени так и не состоялось.

Для многих предпринимателей не до конца ясными остаются некоторые основные понятия, в частности понятия персональных данных и базы персональных данных. Так, в Законе № 2297-VI дается следующее определение: «Персональные данные — это сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано». Однако конкретного перечня сведений о физлице, которые считаются персональными данными, нигде нет. А это дает основания для наложения санкций за неправильное использование любых данных о физическом лице. Понятно, что, прежде всего, к персональным данным относятся фамилия, имя и отчество лица, его дата рождения, адрес регистрации и другие данные, по которым это лицо можно идентифицировать. Но насколько широким может быть круг таких сведений? В официальном разъяснении Минюста «Некоторые вопросы практического применения Закона Украины «О защите персональных данных» указывается, что законодательством не установлено и не может быть установлен четкий перечень сведений о физическом лице, которые являются персональными данными. Это объясняется тем, как указывает Минюст, что необходимо обеспечить возможность применения закона для различных ситуаций, в том числе таких, которые могут возникнуть в будущем в связи с изменением в технологической, экономической и других сферах жизни.

Что касается понятия базы персональных данных, то его значение также остается не до конца понятным. Согласно Закону № 2297-VI базой персональных данных является именованная совокупность упорядоченных персональных данных в электронной форме или в форме картотек. Таким образом, сведения в базе должны быть обязательно структурированы. Из этого возникает вопрос: нужно ли считать неструктурированную и неупорядоченную совокупность данных базой персональных данных? Из указанного положения закона следует, что нет. Поэтому вы конечно можете решить не регистрировать такую базу. Однако в связи с этим возникают риски того, что во время проверки должностные лица Государственной службы защиты персональных данных (далее — ГСЗПД) все же признают эту совокупность сведений базой данных, следствием чего станут соответствующие административные санкции.

Кем является владелец базы персональных данных? Владельцем, согласно Закону № 2297-VI, является физическое или юридическое лицо, которому законом или с согласия субъекта персональных данных предоставлено право на обработку данных, которое утверждает цель обработки персональных данных в базе данных, устанавливает состав этих данных и процедуру их обработки, если иное не определено законом. Следует указать, что одно лицо может быть владельцем нескольких баз персональных данных, например, базы работников, клиентов, контрагентов и т. д.

А теперь к самому главному: какой является ответственность и за какие нарушения в сфере персональных данных она наступает? Прежде всего, это административная ответственность. С этим вопросом можно ознакомиться в таблице.

Административная ответственность за нарушения в сфере персональных данных

Неуведомление или несвоевременное уведомление субъекта персональных данных о его правах в связи с включением его персональных данных в базу персональных данных Штраф:
а) на граждан — от 200 до 300 необлагаемых минимумов доходов граждан (за повторное нарушение — от 300 до 500 необлагаемых минимумов);
б) должностных лиц, граждан — субъектов предпринимательской деятельности — от 300 до 400 необлагаемых минимумов доходов граждан (за повторное нарушение — от 400 до 700)
Неуведомление или несвоевременное уведомление специально уполномоченного центрального органа исполнительной власти по вопросам защиты персональных данных (ГСЗПД) об изменении сведений, предоставляемых для государственной регистрации базы персональных данных Штраф:
а) на граждан — от 100 до 200 необлагаемых минимумов доходов граждан (за повторное нарушение — от 300 до 500 необлагаемых минимумов);
б) на должностных лиц, граждан — субъектов предпринимательской деятельности — от 200 до 400 необлагаемых минимумов доходов
граждан (за повторное нарушение — от 400 до 700)
Уклонение от государственной регистрации базы персональных данных Штраф:
а) на граждан — от 300 до 500 необлагаемых минимумов доходов граждан;
б) на должностных лиц, граждан — субъектов предпринимательской деятельности — от 500 до 1000 необлагаемых минимумов доходов граждан
Несоблюдение установленного законодательством о защите персональных данных порядка защиты персональных данных в базе персональных данных, что привело к незаконному доступу к ним Штраф:
от 300 до 1000 необлагаемых минимумов доходов граждан
Невыполнение законных требований должностных лиц ГСЗПД об устранении нарушений законодательства о защите персональных данных Штраф:
на должностных лиц, граждан — субъектов предпринимательской деятельности — от 100 до 200 необлагаемых минимумов доходов граждан

Как видим, размеры штрафов внушающие: от 1700 грн. до 17 000 грн. Более того, Законом № 3454-VI предусматривается и уголовная ответственность: незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о лице или незаконное изменение такой информации наказываются штрафом от 500 до 1000 необлагаемых минимумов доходов граждан или исправительными работами на срок до двух лет, либо арестом на срок до шести месяцев, или ограничением свободы на срок до трех лет.

Чтобы избежать или по крайней мере снизить риски подпадания под указанные санкции, следует придерживаться следующего алгоритма действий:

Первое, что необходимо сделать перед созданием баз персональных данных, — это получить согласие субъектов персональных данных на обработку этих данных. Согласно ч. 6 ст. 6 Закона № 2297-VI не допускается обработка данных о физическом лице без его согласия, кроме случаев, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека. А в ст. 2 Закона № 2297-VI определено, что согласие субъекта персональных данных — это любое документированное, в частности письменное, добровольное волеизъявление физического лица о предоставлении разрешения на обработку его персональных данных в соответствии с сформулированной цели их обработки. Форма такого согласия является произвольной.
Однако наличие такого согласия является необязательным, если право на обработку данных владелец имеет согласно закону. Так, например, Кодекс законов о труде предоставляет работодателям право при заключении трудового договора получать данные о работнике (ФИО, образование и т. д.).

После создания базы персональных данных необходимо уведомить субъекта этих данных о его правах в связи с включением его персональных данных в базу, о цели сбора данных и о лицах, которым эти данные передаются. Субъектами персональных данных, как уже указывалось, могут быть работники, клиенты, контрагенты и т. п. Сообщение, согласно ст. 12 Закона № 2297-VI, должно быть осуществлено в течение 10 рабочих дней со дня включения персональных данных в базу и исключительно в письменной форме. При этом сообщение не осуществляется, если персональные данные собираются из общедоступных источников (ч. 3 ст. 12 Закона). Конкретной формы указанного уведомления закон не устанавливает, поэтому его можно составлять произвольно. Если база персональных данных уже создана, а данные лица просто подлежат включению в эту базу, то десятидневный срок для уведомления нужно отсчитывать со дня включения сведений в базу (например, на дату приказа о приеме работника на работу).

Базы персональных данных подлежат обязательной регистрации в ГСЗПД, в результате которой владельцу базы выдается свидетельство о регистрации. Согласно ч. 2 ст. 10 Закона № 2297-VI регистрация баз персональных данных осуществляется по заявочному принципу путем сообщения. Как указывается в уже упоминавшемся выше разъяснении Минюста, суть заявочного принципа заключается в том, что основным является представление владельцем базы данных заявления о регистрации, а не получение свидетельства. Таким образом, лицам, которые подали заявление в ГСЗПД и получили официальное уведомление о ее получении, но еще не получили соответствующего свидетельства, не стоит волноваться по поводу наложения штрафов.

Стоит отметить, что согласно Закону № 2297-VI ГСЗПД должна:

сообщить заявителю не позднее следующего рабочего дня со дня поступления заявления о его получении;

принять решение о регистрации в течение 10 рабочих дней со дня получения заявления.
Форма заявления утверждена приказом Минюста от 08.07.2011 № 1824/5.

В случае, если в сведения, представляемые для государственной регистрации баз персональных данных, вносятся изменения (например изменение местонахождения базы данных, изменение наименования юридического лица — владельца БПД, и др.), нужно в течение 10 рабочих дней сообщить о соответствующих изменениях ГСЗПД. Подчеркиваем, что речь идет не об изменениях сведений, содержащихся в регистрируемой базе данных, а о сведениях, которые подаются государственному регистратору в заявлении о регистрации баз данных.

После того, как база создана и зарегистрирована, нужно придерживаться установленного законодательством порядка защиты персональных данных. Каждое предприятие должно утвердить Положение об обработке персональных данных. Приказом Минюста от 30.12.2011 № 3659/5 утвержден Типовой порядок обработки персональных данных в базах персональных данных (далее — Типовой порядок). Поэтому при разработке собственного Положения предприятию необходимо ориентироваться на этот документ. Как указывается в п. 1.5 Типового порядка защита персональных данных возлагается на владельца персональных данных. Владелец базы должен определить: цель обработки, состав персональных данных, местонахождение базы данных порядок внесения, изменения, обновления, использования, уничтожения персональных данных; ответственное лицо или структурное подразделение. В Типовом порядке отдельно определены требования по обработке персональных данных в электронной форме и в форме картотек. В частности, указывается, что обработка данных в информационной системе может осуществляться в составе информационно-телекоммуникационной системы с применением средств сетевой защиты от несанкционированного доступа при обработке персональных данных. Картотеки баз данных должны храниться в помещениях (шкафах, сейфах), защищенных от несанкционированного доступа.

Такими являются основные правила, которых нужно придерживаться, чтобы избежать нарушений в сфере защиты персональных данных и санкций, которые за ними следуют.

Ирина Гаврилюк
По материалам «Профит-Консул»

HR-Лига

Переглядів: 11612 Версія для друку
 
Дивіться також:
Списки працівників-призовників до ТЦК та СП: не забудьте подати до 1 грудня
Коли працівник може не повертати гроші за невідпрацьовані дні відпустки?
Нарахування та оплата «лікарняних» у 2024 році
Послуги для роботодавця на порталі ПФУ
Які є пільги та компенсації за роботу у шкідливих та важких умовах праці?
Списки працівників для медоглядів: як скласти та що потрібно встигнути зробити до 1 грудня?
Обов’язки роботодавця, який працевлаштовує осіб з інвалідністю
Оплата лікарняного працівнику, з яким призупинено дію трудового договору
Затримка розрахунку при звільненні
Правила внутрішнього трудового розпорядку: зразок складання
Звільнення за власним бажанням під час «лікарняного»
Деякі особливості укладення трудового договору в умовах воєнного стану
Матеріальна допомога на оздоровлення
Як вирізняються виплати у працюючих і непрацюючих пенсіонерів: чи вигідно продовжувати працювати?
Правила внутрішнього трудового розпорядку: вимоги та порядок прийняття
Мобілізація працівника одразу після відпустки
Кабмін оновив порядок бронювання працівників
Тривалість оплачуваного «лікарняного» планують збільшити
Розрахунок компенсації відпустки при звільненні
У якому випадку донору крові лікарняний оплачується в розмірі 100%?
Розбронювання працівників підприємства
Як дізнатись про результати оцифрування трудової книжки?
Чи повернуть сумісникам оплату за «лікарняними»?
Все, що потрібно знати про трудовий договір
«Лікарняні» у період мобілізації
Звільнення водія, який втік за кордон під час рейсу
Для яких категорій іноземців не потрібно отримувати дозвіл на працевлаштування?
Додаткова відпустка на дітей: всі правила надання
Оцифрування трудової книжки без електронного цифрового підпису
Чи можна не оплачувати «лікарняний» працівникові, якщо він в цей час працював?
Працівник-сумісник у відрядженні за основним місцем роботи: як оформити відсутність на роботі?
Ветеранська політика у трудових відносинах
Чи може працівник відкликати заяву про звільнення за згодою сторін?
Як впливає відпустка, отримана авансом, на відпустку наступного року?
Визначення посади у штатному розписі: які обмеження врахувати?
Хто має право на дострокову пенсію у зв’язку із скороченням штату?
Як підготуватися до перевірки підприємства ТЦК?
Кого не штрафують за невиконання нормативу працевлаштування осіб з інвалідністю?
Надання відпусток працівникам закладів освіти
Повноваження заступника у відсутність директора: чи достатньо посадової?
Як зараховується період отримання пенсії по інвалідності до страхового стажу для оплати «лікарняних»?
Що слід зробити у разі мобілізації працівника?
У яких випадках роботодавець зобов’язаний забезпечити працівників засобами індивідуального захисту?
Чи зараховується до стажу роботи, що дає право на щорічну відпустку, період перебування в оплачуваній відпустці?
Як здійснюються виплати за листками непрацездатності?
Паперова трудова книжка: як виправити помилку в даті народження?
Як табелювати сумісника, який знаходиться у відрядженні за основним місцем роботи?
Нюанси виплати компенсації за дні невикористаної відпустки держслужбовцю
Чи може уповноважена особа вносити дані про зміни у трудових відносинах?
Оплата роботи працівнику у вихідний день
Всі новини
Реклама
Проекти для професіоналів
Оголошення
Шановні відвідувачі!
З усіх питань щодо роботи порталу звертайтесь до 
адміністратора
2024 © МЕДІА-ПРО
2024 © HR Liga

Copyright © 2005–2024 HR Liga
Використання матеріалів із журналів Групи компаній «МЕДІА-ПРО» лише за погодженням з редакцією (адміністрацією) порталу.
Редакція (адміністрація) залишає за собою право не розділяти думку авторів матеріалів, що розміщуються.
Редакція (адміністрація) порталу не несе відповідальності за збитки, які можуть бути завдані внаслідок використання, невикористання або неналежного використання інформації, що міститься на порталі.
Відповідальність за достовірність інформації та інших відомостей несуть автори публікацій.
З усіх питань пишіть на admin@hrliga.com