Головна  Карта сайту  Розміщення реклами на порталі

СПІЛЬНОТА КАДРОВИКІВ І ФАХІВЦІВ З УПРАВЛІННЯ ПЕРСОНАЛОМ
Ласкаво просимо
  Новини
  Бібліотека статей
  Нормативна база
  Зразки документів
  Виробничий календар
  Книжкова полиця
  Хто є хто
  Глосарій
  Розміщення реклами
  Наші партнери
  Форум
Нові матеріали
Підписатися на розсилку





Facebook
Реклама
Реклама
Защита персональных данных: закон об ответственности вступил в силу
Новини
03.07.2012
Защита персональных данных: закон об ответственности вступил в силу
 

1 июля 2012 года вступил в силу Закон Украины «О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных» от 02.06.2011 № 3454-VI (далее — Закон № 3454-VI). Отныне все лица, которые являются владельцами баз персональных данных, в случае нарушения соответствующих положений закона могут попасть под значительные санкции. Поэтому особенно актуальным на сегодня является выяснение некоторых вопросов практического применения норм законодательства в сфере защиты персональных данных.

Как помним, момент вступления в силу указанного закона был перенесен на полгода, а именно с 01.01.2012 на 01.07.2012. Одной из целей такого переноса была доработка нормативных актов в сфере защиты персональных данных, в частности Закона «О защите персональных данных» (далее — Закон № 2297-VI), который зачастую не дает четких определений и формулировок, что порождает разночтения его норм. Однако, несмотря на указанные ожидания значительных изменений в течение этого времени так и не состоялось.

Для многих предпринимателей не до конца ясными остаются некоторые основные понятия, в частности понятия персональных данных и базы персональных данных. Так, в Законе № 2297-VI дается следующее определение: «Персональные данные — это сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано». Однако конкретного перечня сведений о физлице, которые считаются персональными данными, нигде нет. А это дает основания для наложения санкций за неправильное использование любых данных о физическом лице. Понятно, что, прежде всего, к персональным данным относятся фамилия, имя и отчество лица, его дата рождения, адрес регистрации и другие данные, по которым это лицо можно идентифицировать. Но насколько широким может быть круг таких сведений? В официальном разъяснении Минюста «Некоторые вопросы практического применения Закона Украины «О защите персональных данных» указывается, что законодательством не установлено и не может быть установлен четкий перечень сведений о физическом лице, которые являются персональными данными. Это объясняется тем, как указывает Минюст, что необходимо обеспечить возможность применения закона для различных ситуаций, в том числе таких, которые могут возникнуть в будущем в связи с изменением в технологической, экономической и других сферах жизни.

Что касается понятия базы персональных данных, то его значение также остается не до конца понятным. Согласно Закону № 2297-VI базой персональных данных является именованная совокупность упорядоченных персональных данных в электронной форме или в форме картотек. Таким образом, сведения в базе должны быть обязательно структурированы. Из этого возникает вопрос: нужно ли считать неструктурированную и неупорядоченную совокупность данных базой персональных данных? Из указанного положения закона следует, что нет. Поэтому вы конечно можете решить не регистрировать такую базу. Однако в связи с этим возникают риски того, что во время проверки должностные лица Государственной службы защиты персональных данных (далее — ГСЗПД) все же признают эту совокупность сведений базой данных, следствием чего станут соответствующие административные санкции.

Кем является владелец базы персональных данных? Владельцем, согласно Закону № 2297-VI, является физическое или юридическое лицо, которому законом или с согласия субъекта персональных данных предоставлено право на обработку данных, которое утверждает цель обработки персональных данных в базе данных, устанавливает состав этих данных и процедуру их обработки, если иное не определено законом. Следует указать, что одно лицо может быть владельцем нескольких баз персональных данных, например, базы работников, клиентов, контрагентов и т. д.

А теперь к самому главному: какой является ответственность и за какие нарушения в сфере персональных данных она наступает? Прежде всего, это административная ответственность. С этим вопросом можно ознакомиться в таблице.

Административная ответственность за нарушения в сфере персональных данных

Неуведомление или несвоевременное уведомление субъекта персональных данных о его правах в связи с включением его персональных данных в базу персональных данных Штраф:
а) на граждан — от 200 до 300 необлагаемых минимумов доходов граждан (за повторное нарушение — от 300 до 500 необлагаемых минимумов);
б) должностных лиц, граждан — субъектов предпринимательской деятельности — от 300 до 400 необлагаемых минимумов доходов граждан (за повторное нарушение — от 400 до 700)
Неуведомление или несвоевременное уведомление специально уполномоченного центрального органа исполнительной власти по вопросам защиты персональных данных (ГСЗПД) об изменении сведений, предоставляемых для государственной регистрации базы персональных данных Штраф:
а) на граждан — от 100 до 200 необлагаемых минимумов доходов граждан (за повторное нарушение — от 300 до 500 необлагаемых минимумов);
б) на должностных лиц, граждан — субъектов предпринимательской деятельности — от 200 до 400 необлагаемых минимумов доходов
граждан (за повторное нарушение — от 400 до 700)
Уклонение от государственной регистрации базы персональных данных Штраф:
а) на граждан — от 300 до 500 необлагаемых минимумов доходов граждан;
б) на должностных лиц, граждан — субъектов предпринимательской деятельности — от 500 до 1000 необлагаемых минимумов доходов граждан
Несоблюдение установленного законодательством о защите персональных данных порядка защиты персональных данных в базе персональных данных, что привело к незаконному доступу к ним Штраф:
от 300 до 1000 необлагаемых минимумов доходов граждан
Невыполнение законных требований должностных лиц ГСЗПД об устранении нарушений законодательства о защите персональных данных Штраф:
на должностных лиц, граждан — субъектов предпринимательской деятельности — от 100 до 200 необлагаемых минимумов доходов граждан

Как видим, размеры штрафов внушающие: от 1700 грн. до 17 000 грн. Более того, Законом № 3454-VI предусматривается и уголовная ответственность: незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о лице или незаконное изменение такой информации наказываются штрафом от 500 до 1000 необлагаемых минимумов доходов граждан или исправительными работами на срок до двух лет, либо арестом на срок до шести месяцев, или ограничением свободы на срок до трех лет.

Чтобы избежать или по крайней мере снизить риски подпадания под указанные санкции, следует придерживаться следующего алгоритма действий:

Первое, что необходимо сделать перед созданием баз персональных данных, — это получить согласие субъектов персональных данных на обработку этих данных. Согласно ч. 6 ст. 6 Закона № 2297-VI не допускается обработка данных о физическом лице без его согласия, кроме случаев, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека. А в ст. 2 Закона № 2297-VI определено, что согласие субъекта персональных данных — это любое документированное, в частности письменное, добровольное волеизъявление физического лица о предоставлении разрешения на обработку его персональных данных в соответствии с сформулированной цели их обработки. Форма такого согласия является произвольной.
Однако наличие такого согласия является необязательным, если право на обработку данных владелец имеет согласно закону. Так, например, Кодекс законов о труде предоставляет работодателям право при заключении трудового договора получать данные о работнике (ФИО, образование и т. д.).

После создания базы персональных данных необходимо уведомить субъекта этих данных о его правах в связи с включением его персональных данных в базу, о цели сбора данных и о лицах, которым эти данные передаются. Субъектами персональных данных, как уже указывалось, могут быть работники, клиенты, контрагенты и т. п. Сообщение, согласно ст. 12 Закона № 2297-VI, должно быть осуществлено в течение 10 рабочих дней со дня включения персональных данных в базу и исключительно в письменной форме. При этом сообщение не осуществляется, если персональные данные собираются из общедоступных источников (ч. 3 ст. 12 Закона). Конкретной формы указанного уведомления закон не устанавливает, поэтому его можно составлять произвольно. Если база персональных данных уже создана, а данные лица просто подлежат включению в эту базу, то десятидневный срок для уведомления нужно отсчитывать со дня включения сведений в базу (например, на дату приказа о приеме работника на работу).

Базы персональных данных подлежат обязательной регистрации в ГСЗПД, в результате которой владельцу базы выдается свидетельство о регистрации. Согласно ч. 2 ст. 10 Закона № 2297-VI регистрация баз персональных данных осуществляется по заявочному принципу путем сообщения. Как указывается в уже упоминавшемся выше разъяснении Минюста, суть заявочного принципа заключается в том, что основным является представление владельцем базы данных заявления о регистрации, а не получение свидетельства. Таким образом, лицам, которые подали заявление в ГСЗПД и получили официальное уведомление о ее получении, но еще не получили соответствующего свидетельства, не стоит волноваться по поводу наложения штрафов.

Стоит отметить, что согласно Закону № 2297-VI ГСЗПД должна:

сообщить заявителю не позднее следующего рабочего дня со дня поступления заявления о его получении;

принять решение о регистрации в течение 10 рабочих дней со дня получения заявления.
Форма заявления утверждена приказом Минюста от 08.07.2011 № 1824/5.

В случае, если в сведения, представляемые для государственной регистрации баз персональных данных, вносятся изменения (например изменение местонахождения базы данных, изменение наименования юридического лица — владельца БПД, и др.), нужно в течение 10 рабочих дней сообщить о соответствующих изменениях ГСЗПД. Подчеркиваем, что речь идет не об изменениях сведений, содержащихся в регистрируемой базе данных, а о сведениях, которые подаются государственному регистратору в заявлении о регистрации баз данных.

После того, как база создана и зарегистрирована, нужно придерживаться установленного законодательством порядка защиты персональных данных. Каждое предприятие должно утвердить Положение об обработке персональных данных. Приказом Минюста от 30.12.2011 № 3659/5 утвержден Типовой порядок обработки персональных данных в базах персональных данных (далее — Типовой порядок). Поэтому при разработке собственного Положения предприятию необходимо ориентироваться на этот документ. Как указывается в п. 1.5 Типового порядка защита персональных данных возлагается на владельца персональных данных. Владелец базы должен определить: цель обработки, состав персональных данных, местонахождение базы данных порядок внесения, изменения, обновления, использования, уничтожения персональных данных; ответственное лицо или структурное подразделение. В Типовом порядке отдельно определены требования по обработке персональных данных в электронной форме и в форме картотек. В частности, указывается, что обработка данных в информационной системе может осуществляться в составе информационно-телекоммуникационной системы с применением средств сетевой защиты от несанкционированного доступа при обработке персональных данных. Картотеки баз данных должны храниться в помещениях (шкафах, сейфах), защищенных от несанкционированного доступа.

Такими являются основные правила, которых нужно придерживаться, чтобы избежать нарушений в сфере защиты персональных данных и санкций, которые за ними следуют.

Ирина Гаврилюк
По материалам «Профит-Консул»

HR-Лига

Переглядів: 11729 Версія для друку
 
Дивіться також:
Чи може працівник вимагати запровадження для нього дистанційної роботи?
Як правильно залучити працівників до роботи у вихідні та святкові дні?
Електронна трудова книжна ФОПа
Чи можна включити до колдоговору обмеження для сумісників?
Про обов’язок роботодавця пропонувати вакантні посади при вивільненні
Під час повітряної тривоги працівник має право не працювати
Нова підстава позапланових перевірок Держпраці: діє Закон
Додаткова соціальна відпустка в рік народження дітей
Чи визнає Україна документи з окупованих територій?
Відпустка на дітей: відповіді на запитання
Чи має право працівник вимагати оголошення простою?
Чи потрібна заява від працівника на продовження відпустки через хворобу?
Як підготувати трудову книжку для оцифрування?
Чи можна укладати трудовий контракт в електронній формі?
Організація та ведення військового обліку: процес без штрафів
Відпустки держслужбовцям-2025: використовуємо до кінця року
Пропонується зменшення пенсійного віку для жінок з дітьми
Затверджено показник середньої зарплати за травень 2025 року
Компенсація за облаштування робочого місця для особи з інвалідністю: відповіді на запитання
Військовий облік на підприємстві: обов’язки роботодавців
Оформлення колективного договору
Повідомлення про прийняття на роботу: чи можна виправити помилку?
Як роботодавцю подати вакансію до центру зайнятості?
Чи законно при скороченні штату залишати за лояльність, а не продуктивність?
Як підтвердити статус критично важливого підприємства: правила та вимоги
Випробувальний термін під час воєнного стану: що змінилося?
Що означають статуси у Резерв+
Чи оплачується навчальна відпустка під час простою?
Оновлення контактних даних роботодавців та працівників: ключові зміни у трудовому законодавстві
Алгоритм здійснення виплати за лікарняним суміснику
Як оформити копію наказу про звільнення?
Чи обов’язково в разі звільнення відпрацьовувати два тижні?
Як зараховується стаж трудової діяльності за межами України до 1992 року?
Як зафіксувати проведення звіряння списків персонального військового обліку?
Коли в кабінеті ПФУ очікувати результат оцифрування документів?
Як надавати додаткові відпустки за шкідливі і важкі умови праці?
Трудові права працівників без складних формулювань
Чи обов’язковою є довідка про заробіток до 2000 року при призначенні пенсії?
Зразок наказу про звільнення з виплатою вихідної допомоги
Чи підлягає оплаті паперовий листок непрацездатності?
Коли заброньованим працівникам треба буде пройти ВЛК?
Чому потрібно укладати колективний договір?
Літній підробіток підлітків: що треба знати
Захист від незаконного звільнення
Робота за сумісництвом
Які пільги мають донори крові?
Чи обов’язково подавати трудову книжку при працевлаштуванні?
Дві відпустки підряд: як рахувати відпускні?
Соціальні гарантії, передбачені для донорів крові та її компонентів
Чи може роботодавець відмовити батькові у наданні відпустки при народженні дитини?
Всі новини
Реклама
Проекти для професіоналів
Оголошення
Шановні відвідувачі!
З усіх питань щодо роботи порталу звертайтесь до 
адміністратора
2025 © МЕДІА ГРУПП
2025 © HR Liga
IM R40-02667

Copyright © 2005–2025 HR Liga
Редакція (адміністрація) залишає за собою право не розділяти думку авторів матеріалів, що розміщуються. Редакція (адміністрація) порталу не несе відповідальності за збитки, які можуть бути завдані внаслідок використання, невикористання або неналежного використання інформації, що міститься на порталі. Відповідальність за достовірність інформації та інших відомостей несуть автори публікацій.
Вул. Є. Сверстюка, 11, корпус «А», а/с 185, м. Київ, Україна, 02002
З питань реклами: pr_oppb@mediapro.ua. Передплата видань: 0 800 219 977
З питань роботи сайту: admin@hrliga.com