Базы персональных данных

На пути гармонизации отечественного законодательства в сфере защиты персональных данных лиц со стандартами ЕС Украина осуществила важный шаг — 01.06.2010 г. был принят закон № 2297-VI «О защите персональных данных». В соответствии с этим документом, который вступил в силу 01.01.2011 г., базы персональных данных (БПД) физических лиц подлежат регистрации в Государственной службе Украины по вопросам защиты персональных данных (ГСЗПД). Практически регистрация БПД стала возможна с 1 июля 2011 г. Данной тематике был посвящен семинар «Правовые аспекты деятельности фармацевтических компаний», состоявшийся 28–29 ноября 2011 г. В роли докладчиков выступили Борис Даневич, адвокат, партнер адвокатской фирмы «Паритет» и Вадим Шестаков, юрист адвокатской фирмы «Паритет».

Что такое бпд

Базы персональных данныхПомимо законов «О защите персональных данных» (далее — закон) и «Об информации» вопрос защиты персональных данных физических лиц регулируется такими актами: Конвенция Совета Европы «О защите лиц в связи с автоматизированной обработкой персональных данных» от 28.01.1981 г.; Европейская Директива «О защите лиц в связи с обработкой персональных данных и перемещении (передачи) таких данных» от 24.10.1995 г.; Британский Акт о защите персональных данных 1998 г.; а также внутренними законами стран — членов ЕС. Украинско­е законодательство в этой сфере создавалось на основании перечисленных документов, однако не лишено неясностей, что вызывает ряд вопросов лиц, ведущих БПД.

Согласно закону, БПД — это именуемая совокупность упорядоченных персональных данных в электронном виде и/или в виде картотек персональных данных. Следует отметить, что персональными данными являются только данные физических лиц (включая субъектов предпринимательской деятельности), поэтому данные клиентов юридических лиц не подлежат регистрации в базах данных. В частности, к БПД, которые необходимо регистрировать, относятся базы данных работников предприятий, учреждений, организаций. В таком случае с уверенностью можно сказать, что каждая компания, организация обязана зарегистрировать как минимум одну БПД — базу данных сотрудников.

Важным критерием определения того, обязательна ли регистрации конкретной базы данных, является возможность идентифицировать человека по имеющейся информации. Как правило, полного имени человека и какой-либо другой информации для этого бывает достаточно, однако не всегда. Например, информации о фамилии, имени и отчестве врача или провизора, а также его должности и месте работы вполне достаточно для того, чтобы эти данные защищались законом. Дата рождения, место проживания, номера телефонов, информация о льготах, образовании и т.д. дают дополнительную возможность для точной идентификации личности.Базы персональных данных

БПД должна иметь определенное название и систематизировано содержать персональные данные больше чем одного человека, а сами данные должны иметь определенную цель обработки. Сейчас нельзя сказать с уверенностью, что конкретно при проверках ГСЗПД будет вызывать особый интерес ее представителей, поскольку эта система только начала работать. Вероятно, БПД не будет считаться информация, собранная в визитницах, списки контактов в мобильном телефоне или коммуникаторе, другие неименованные, неупорядоченные или не имеющие четкой цели обработки совокупности персональных данных. Хотя, это вопрос довольно спорный.

Обработкой персональных данных считается любое действие, которое связано со сбором, регистрацией, накоплением, хранением, адаптированием, изменением, возобновлением, использованием и распространением, реализацией, передачей, обезличиванием, уничтожением сведений о физическом лице. При формальном подходе к закону под категорию баз, подлежащих регистрации, можно подвести большое количество таковых. Например, требование закона о регистрации БПД сотрудников компаний для использования этой информации согласно требованиям трудового и налогового законодательства представляется излишней регуляцией.

Непосредственной регистрации БПД в ГСЗПД предшествует выполнение ряда регуляторных требований: получение согласия субъектов на обработку информации о них; направление уведомлений о таком внесении в течение 10 дней с момента внесения данных о лице (однако уведомление не обязательно, если информация собрана из общедоступных источников); получение согласия на передачу данных третьим лицам (например банкам); выполнение требований к трансграничной передаче персональных данных; принятие внутреннего порядка обработки персональных данных, назначение ответственных лиц (HR-менеджер, бухгалтер, сотрудник службы безопасности).

Согласие на обработку персональных данных

Право на обработку персональных данных субъектов возникает на основании письменного согласия или же в соответствии с законодательством исключительно для осуществления полномочий владельца такой базы. Однако в законе четко не определено, какие законодательные акты и/или законные основания дают право владельцу БПД на обработку данных субъектов без их согласия, а ГСЗПД еще не выработала четкой позиции относительно этого вопроса. Потому сейчас надежнее получать согласие на обработку персональных данных.

В соответствии с позицией ГСЗПД согласие субъекта на использование его персональных данных не предоставляется повторно, если владелец БПД продолжает их обработку в соответствии с правоотношениями, которые возникли до вступления закона в силу (до 01.01.2011 г.), на основании свободного волеизъявления физического лица. В то же время из закона это прямо не следует.

Помимо уведомления физического лица о внесении информации о нем в БПД, необходимо уведомлять его о передаче персональных данных третьим лицам. Однако уведомление при передаче данных для исполнения обязанностей государственными органами или органами местного самоуправления, предусмотренных законодательством, не требуется. То есть, если информация о сотруднике компании передается органам налоговой службы (в законных целях), уведомлять его об этом не нужно, если же данные передаются, например, в банк — ситуация прямо противоположная. При передаче данных третьим лицам рекомендуется убедиться в том, что получатель обеспечит защиту полученных персональных данных, например, путем обмена письмами, включением обязательств по защите персональных данных в типовые договоры, заключения договора между владельцем и распорядителем (если владелец передает БПД распорядителю).

Для того чтобы передача персональных данных за рубеж (например в главный офис компании) была законной, необходимо получить у субъекта документальное разрешение на трансграничную передачу его персональных данных. Если передача персональных данных осуществляется в страну — участницу Конвенции о защите лиц в связи с автоматизированной обработкой данных (включая дополнительный протокол от 2001 г., который для Украины вступили в силу 01.01.2011 г.), то свобода такой передачи не ограничена. Передача персональных данных из Украины в страну, которая не является участницей Конвенции (США, Россия) допускается, если субъект дал однозначное согласие на это.

Можно прямо указывать в письменном согласии физического лица на обработку его данных, что уведомления о передаче их третьим лицам не требуется, дополняя его пунктом о согласии на возможную трансграничную передачу данных в дальнейшем — максимально широкое согласие. Если речь идет о сотрудниках компании — имеет смысл прописывать это в трудовых договорах. Если субъект отказывается оформлять согласие на обработку его персональных данных, в БПД можно обрабатывать только ту информацию, которая необходима в соответствии с трудовым и налоговым законодательством.

Для предприятий удобным решением вопросов из различных сфер деятельности является аутсорсинг. Таким образом можно переложить функцию ведения БПД на компанию, специализирующуюся в этой сфере. Для ведения БПД другим юридическим лицом необходимо оформлять эти отношения в форме договора о поручении обработки персональных данных.

Алгоритм действий

В первую очередь следует определить, какие персональные данные обрабатываются в компании. Таковыми могут быть: персональные данные сотрудников и их родственников; контрагентов (физических лиц); представителей контрагентов (директоров, контактных лиц и т.п.); опиньон-лидеров, пациентов; исследователей; клиентов/потребителей. Далее необходимо определить, кому и с какой целью передаются данные, какие БПД фактически существуют в компании, в какой форме и где они хранятся, должностных лиц компании, которые будут иметь доступ к персональным данным, назначить ответственное лицо, разработать и принять внутренний порядок обработки данных в БПД. Присвоив название БПД, необходимо оформить согласие физических лиц на обработку их данных, уведомить субъектов о включении их персональных данных в БПД, где указать владельца БПД, название, цели обработки, права субъекта в сфере защиты персональных данных, условия их передачи третьим лицам и т.д.

Определяя цели БПД, докладчики посоветовали формулировать их максимально широко в рамках предполагаемых действий по обработке персональных данных. В случае изменения цели обработки, необходимо получить согласие на это у субъек­та персональных данных. Следующим шагом должно стать урегулирование вопросов передачи данных другим лицам и их получения от третьих лиц. При этом необходимо определить статус компании как получателя данных (владелец, распорядитель или третье лицо) и отобразить утвержденную правовую позицию в договорах с третьими лицами.

Регистрация бпд

21.06.2011 г. вступило в силу Положение о Государственном реестре баз персональных данных, утвержденное постановлением КМУ от 25.05.2011 г. № 616. Администратором этого реестра определено ГП «Информационный центр» Министерства юстиции Украины (http://www.informjust.ua). ГСЗПД функционирует на основании Указа Президента от 06.04.2011 г. № 390/2011 как орган центральной исполнительной власти, деятельность которого координируется через министра юстиции Украины. Сейчас служба состоит из управления регистрации БПД, управления юридического обеспечения, отдела контроля за соблюдением требований законодательства о защите персональных данных (51 сотрудник).

Для регистрации БПД в ГСЗПД подается заявление, которое должно соответствовать требованиям, приведенным в приказе Министерства юстиции Украины от 08.07.2011 г. № 1824/5 «Об утверждении форм заявлений о регистрации базы персональных данных и о внесении изменений в сведения Государственного реестра баз персональных данных и порядка их подачи». Не нужно подавать перечень персональных данных, информацию об их субъектах, количестве и т.д., точно так же, как и при изменении количества этих субъектов, состава данных.

Подавать заявление о регистрации БПД можно лично, рекомендованным письмом или в электронной форме с помощью сайта http://www.rbpd.informjust.ua. В последнем случае необходимо использовать электронную цифровую подпись. Получить сертификат ключа можно в аккредитованном центре сертификации ключей.

Следует отметить, что при регистрации БПД в Государственном реестре баз персональных данных сами данные не предоставляются, а регистрируется только факт наличия у компании БПД. По окончании процедуры регистрации выдается свидетельство о регистрации БПД, образец которого утвержден приказом Министерства юстиции Украины от 08.07.2011 г. № 1823/5. Основанием для отказа в регистрации БПД может стать только ненадлежащим образом оформленное заявление о регистрации.

Базы данных учреждений здравоохранения

01.12.2011 г. МЗ Украины письмом № 11-02-09/10-299 утвердило Методические рекомендации по приведению обработки персональных данных в учреждениях здравоохранения (образования) отрасли в соответствие с требованиями закона «О защите персональных данных». В данном акте отмечено, что в процессе деятельности учреждений здравоохранения соответствующим образом используется определенное количество документов, которые содержат персональные данные, например, учетные медицинские формы (истории болезней, амбулаторные карты пациентов и т.п.). Они являются основой для формирования в определенном учреждении условной БПД, например:

  • учетные медицинские формы (истории болезней, амбулаторные карты пациентов и другие), которые нужны для учета (БПД «Пациенты»);
  • сведения о лицах, используемые при осуществлении бухгалтерского учета работников заведения (БПД «Бухгалтерия»/«Бухгалтерский учет»);
  • работники кадровой службы обрабатывают персональные данные в виде картотеки личных карточек, личных дел, трудовых книжек и персональных данных работников, в автоматизированной системе (БПД «Работники»/«Кадровый учет»);
  • в случае привлечения к хозяйственной деятельности заведения физических лиц — подрядчиков, клиентов, и т.д. (БПД «Физические лица, персональные данные которых обрабатываются в ходе ведения хозяйственной деятельности»).

Контроль за защитой персональных данных

Недавно на своем официальном сайте ГСЗПД опубликовала для обсуждения проект Положения по осуществлению контроля за защитой персональных данных. Согласно этому документу, проверки законности БПД будут разделяться на плановые и внеплановые. Проектом вводится ограничение относительно количества плановых проверок — не чаще 1 раза в 5 лет. К основаниям для проведения внеплановой проверки разработчики проекта предложили отнести:

  • получение ГСЗПД судебного решения или постановления следователя (прокурора) о проведении проверки;
  • обращение органов государственной власти о необходимости проверки;
  • заявление владельца или распорядителя БПД об инициировании им проверки;
  • непредоставление на письменный запрос ГСЗПД в течение 10 рабочих дней со дня его получения проверяемым субъектом, на действия которого поступила жалоба о нарушении, объяснени­й или документального подтверждения отсутствия соответствующих нарушений;
  • выявление недостоверности (вероятной недостоверности) в сведениях, предоставленных субъектом проверки по письменному запросу ГСЗПД, или недостаточность таких сведений;
  • предоставление субъектом проверки ГСЗПД возражения относительно акта проверки или жалобы на принятое решение, содержащих требования о полном или частичном пересмотре результатов соответствующей проверки или отмене принятого по ее результатам решения в случае, если есть ссылка на обстоятельства, которые не были исследованы в ходе проверки, и объективное их рассмотрение невозможно без проведения проверки (исключительно по вопросам, ставшим предметом обжалования);
  • окончание срока исполнения субъектом проверки предписания ГСЗПД об устранении нарушений законодательства в сфере защиты персональных данных.

Ответственность за нарушение законодательства

С 1 января 2012 г. вводится административная и ужесточается криминальная ответственность за нарушение законодательства в сфере защиты персональных данных. Соблюдение требований законодательства контролирует ГСЗПД, которая выявляет и составляет протокол об административном правонарушении. Суд в свою очередь принимает решение о привлечении/непривлечении к административной ответственности, а прокуратура расследует уголовные дела.

Кодексом об административных правонарушениях для должностных лиц предусмотрен штраф в размере от 100 до 1000 необлагаемых налогом минимумов доходов граждан (н.н.м.д.г.) за:

  • неуведомление/несвоевременное уведомление субъекта персональных данных о его правах, целях их сбора и лицах, которым эти данные передаются;
  • неуведомление/несвоевременное уведомление ГСЗПД об изменении сведений, которые подаются для государственной регистрации БПД;
  • уклонение от государственной регистрации БПД;
  • несоблюдение порядка защиты данных в БПД, что привело к незаконному доступу к ним;
  • невыполнение законных требований ГСЗПД относительно устранения нарушений законодательства.

Уголовно наказуемым является незаконный сбор, хранение, использование, уничтожение, распространение, а с 01.01.2012 г. — и незаконное изменение конфиденциальной информации о лице. С 10 мая 2011 г. к конфиденциальной информации о физическом лице относятся все его персональные данные (Закон Украины «Об информации»). За подобные нарушения с 01.01.2012 г. будет предусмотрен штраф в размере от 500 до 1000 н.н.м.д.г. или исправительные работы сроком до 2 лет, или арест на период до 6 мес, или ограничение свободы на срок до 3 лет. Те же действия, совершенные повторно, или если при их осуществлении нанесен существенный вред (сейчас в денежном эквиваленте он составляет около 47 050 грн.) предусмотрена санкция в виде ареста на срок 3–6 мес или ограничения свободы/лишения свободы на период 3–5 лет.

«Еженедельник АПТЕКА» ранее делился с читателями опытом компании «МОРИОН» в сфере регистрации БПД. Тем, кто еще не задумывался о регистрации такой базы, напоминаем, что до 1 января 2012 г. остались считанные дни, и для того, чтобы не стать первопроходцем в общении с ГСЗПД относительно нарушений норм закона, рекомендуем подать заявки на регистрацию БПД до конца уходящего года. Уклонением от государственной регистрации БПД не будет считаться факт подачи владельцем такой базы заявления о ее регистрации до этого срока.

Наталья Спивак

Комментарии

Надежда 24.01.2012 3:51
Здравствуйте! Подскажите пожалуйсто, если до 01.01.2012г наше предприятие зарегистрировало только одну бпд на "работников". Обязательно ли регистрировать бпд на "клиента"? И можно ли это сделать в любой день? Считается ли это нарушением закона и есть ли за это штрафные санкции?

Добавить свой

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*

Другие статьи раздела


Последние новости и статьи