Типові помилки у сфері захисту персональних даних

23 грудня 2011 р. у Міністерстві юстиції України відбулася прес-конференція за участю Лілії Олексюк, заступника голови Державної служби з питань захисту персональних даних, та Олени Зеркаль, директора Департаменту взаємодії з органами влади Міністерства юстиції України. У центрі уваги опинилася реєстрація баз персональних даних (БПД). Кінець минулого року запам’ятається усім, хто слідкує за законодавчою діяльністю нормотворців стосовно захисту БПД. Суб’єкти господарювання перебувають у певній невизначеності щодо застосування положень нового законодавства у цій сфері. Часто можна почути від них: «Ми чули, що потрібно зареєструвати, і про штрафи чули, але не зовсім зрозуміли, чого саме від нас хочуть». У ході зустрічі представники влади спробували розвіяти хмари непорозумінь над наболілими проблемами.

Типові помилки у сфері захисту персональних даних

Ажіотаж навколо БПД піднявся лише наприкінці року. Воно й зрозуміло — магічні слова «відповідальність» і «штраф» вивели громадськість з режиму очікування. Черги бажаючих зареєструвати БПД кожен день шикуються у приміщеннях Державної служби з питань захисту персональних даних. Новорічні свята знизили напругу та зменшили дискусії невдоволених обов’язковою реєстрацією БПД, однак це питання не втрачає актуальності.

Про угоди

21 грудня 2011 р. Міністерство юстиції України видало роз’яснення з приводу застосування норм Закону України «Про захист персональних даних» (далі — закон). Цікавою виявилася позиція міністерства стосовно фізичних осіб — підприємців (ФОП) та самозайнятих осіб: вони нібито самостійно мають визначати, чи є в них БПД та чи потрібно їх реєструвати. У ході прес-конференції таку ж позицію підтримала й представниця контролюючого органу. Мовляв, коли ФОП укладають угоди (наприклад щодо поставки чи надання послуг) з іншими суб’єктами підприємництва (також ФОП), то такі документи не є БПД, відповідно — не підлягають державній реєстрації.

У той же час, коли такі угоди укладаються між юридичними особами, але в особі фізичних осіб, а підприємець зберігає не лише сам договір, а й упорядковану інформацію про кожного з представників контрагента, то такі документи вважатимуться БПД. Зберігання угод, упорядкованих за номерами, буде вважатися звичайним веденням діловодства. Підприємство отримує персональні дані фізичної особи, але доступ до них має лише в рамках виконання умов договору.

У роз’ясненні йдеться про те, що картотекою персональних даних вважається будь-який структурований масив персональних даних за визначеними критеріями, який є доступним незалежно від того, чи він централізований, чи децентралізований, чи розділений на функціональних або географічних засадах.

Закон є — згода не обов’язкова

Обробку персональних даних без згоди суб’єкта персональних даних дозволено здійснювати у випадках, передбачених законодавством (трудовим, податковим, пенсійним, виборчим тощо). Міністерство юстиції України роз’яснило, що паспортні дані, відомості про освіту, стан здоров’я і т.д., які необхідні для оформлення на роботу згідно з трудовим законодавством, становлять БПД співробітників. Хибною є поширена думка про те, що якщо робітник не дає згоди на обробку своїх даних у БПД, то й обробляти їх не можна.

Тут можливі два варіанти: 1) дані є — згоди немає: у такому випадку можна обробляти ті персональні дані, які необхідні відповідно до Кодексу законів про працю; 2) немає всіх необхідних документів та згоди — немає й роботи. За цим же принципом мовчазного дозволу законодавства на обробку персональних даних існує і Список виборців, зареєстрований Центральною виборчою комісією України. Громадяни згоди не підписували — а в базу внесені. Хоча прикладів таких небагато.

Якщо ж проблем зі згодою на обробку персональних даних немає, то слід пам’ятати кілька аксіом. Обов’язково необхідно вказати, які саме дані, з якою метою та кому особа дозволяє обробляти, при цьому вказавши всіх розпорядників БПД (якщо це необхідно). Треті особи теж мають доступ до даних лише за згоди суб’єкта такої персональної інформації. Згідно із законом вони не можуть вносити змін у вже існуючі БПД, а просто використовують їх із метою, на яку суб’єкт давав згоду. Наприклад, проведення маркетингових досліджень контрагентом з використанням БПД компанії. Проте це питання спірне, оскільки використання БПД уже саме по собі визначено як різновид обробки, а її повинні здійснювати володільці та розпорядники.

Розпорядники & треті особи

Розпорядником БПД може бути фізична чи юридична особа, якій володільцем або законом надано право обробляти ці дані. Прикладом можуть бути відносини між юридичними особами та їх філіями, представництвами, відділеннями, які виступатимуть розпорядниками баз персональних даних, володільцем яких є юридична особа. Такі особи вказуються при подачі заявки на реєстрацію БПД, а відомості про них вносяться до свідоцтва про реєстрацію БПД. Їх кількість не обмежена законом.

На відміну від розпорядників дані про третіх осіб не потрібно вносити в реєстраційне свідоцтво. Третя особа, згідно із законом, — це будь-яка особа, якій володільці чи розпорядники БПД передають персональні дані. Такі особи не мають права здійснювати обробку даних, а лише користуються ними з дозволу суб’єктів персональної інформації (письмових дозволів, наданих володільцю чи розпоряднику БПД). За словами О. Зеркаль, статус кожної конкретної особи щодо БПД визначає володілець БПД.

Ще не пізно подати заяви

Зверніть увагу, що законом не встановлено обмежень стосовно терміну реєстрації БПД — це можна робити й після 1 січня 2012 р. Відповідно подання заяв після цієї дати не є підставою для накладення штрафу. При цьому основним чинником виконання вимог закону є факт відправлення заяви на реєстрацію, оскільки реєстрація БПД здійснюється за заявочним принципом шляхом повідомлення.

Передбачено 3 шляхи реєстрації БПД:

  • відправлення заяви в письмовому вигляді (бажано з наданням електронної копії) до Державної служби з питань захисту персональних даних за адресою: 02660, Київ, вул. Марини Раскової, 15;
  • особисте подання заяви в письмовому вигляді;
  • заповнення форми заяви на офіційному сайті Державної служби з питань захисту персональних даних (www.rbpd.informjust.ua) відповідно до вимог Законів України «Про електронні документи та електронний документообіг» та «Про електронний цифровий підпис».

Ще одне з популярних питань, які хвилюють громадськість, стосується доступу до персональних даних. Розповсюдженою є хибна думка про те, що, реєструючи БПД, особа має передавати й саму персональну інформацію про осіб. Однак це не так — володілець БПД реєструє наявність у нього конкретної БПД. Проте при цьому не вказується ні перелік осіб, дані яких обробляються, ні будь-які інші відомості про них.

Про гроші

О. Зеркаль наголосила на тому, що за нереєстрацію БПД законом не передбачено автоматичне настання відповідальності з 1 січня 2012 р. Порушення вимог закону «Про захист персональних даних» можуть бути виявлені в ході перевірок Державною службою з питань захисту персональних даних, графік яких (планових та позапланових) оприлюднюватиметься на офіційному сайті цього державного органу. До речі, у проекті наказу Міністерства юстиції України «Про затвердження Положення про порядок здійснення Державною службою України з питань захисту персональних даних державного контролю за додержанням законодавства про захист персональних даних» йдеться про те, що 1 юридичну особу перевірятимуть 1 раз на 5 років.

Із позаплановими перевірками, як завжди, складніше. Якщо контролюючий орган отримає обґрунтовану скаргу щодо порушення права особи на збір або захист її персональних даних — може й перевірку провести. У разі виявлення порушень Державна служба з питань захисту персональних даних спочатку винесе припис про їх усунення у визначений термін, у випадку невиконання якого складе протокол про адміністративні правопорушення й направить його до суду. Слід звернути увагу на те, що штрафи за порушення у сфері захисту персональних даних можуть бути призначені виключно за рішенням суду, і жоден інший орган, окрім Державної служби з питань захисту персональних даних (наприклад податкова служба), не має права проводити контролюючі заходи у сфері захисту персональних даних.

Порушенням може бути визнано свідоме ухилення від реєстрації БПД, неповідомлення особи про збір її персональних даних до бази, про мету створення відповідної бази та права особи у цьому зв’язку, у випадку неналежного захисту БПД, а також у випадку передачі без згоди особи її персональних даних третім особам.

Л. Олесюк повідомила, що на сьогодні в Державній службі з питань захисту персональних даних працює 51 особа, із яких 7 займаються саме контролем. Кількість службовців збільшуватиметься залежно від динаміки подання заяв про реєстрацію БПД. А поки що проведення регулярних, ґрунтовних перевірок не лише в столиці, а й у регіонах із такою кількістю контролерів видається нереальним.

«Час покаже, наскільки незалежним буде новостворений уповноважений орган з питань захисту персональних даних», — зазначено в Першому звіті Верховного Представника ЄС із закордонних справ та політики безпеки щодо оцінки ЄС прогресу України і виконання Плану дій щодо лібералізації візового режиму.

Навіщо ж все це?

Нині міжнародне законодавство включає приблизно 20 загальноєвропейських конвенцій, директив та рекомендацій із питань захисту персональних даних. 6 липня 2010 р. Україна ратифікувала базові європейські стандарти у сфері захисту персональних даних, зокрема Конвенцію Ради Європи про захист осіб у зв’язку з автоматизованою обробкою персональних даних, а також додатковий протокол до неї стосовно органів нагляду та транскордонних потоків даних, таким чином беручи на себе зобов’язання імплементувати їх положення в українське законодавство.

Необхідність прийняття акта, який би регулював питання захисту персональних даних у нашій країні, уже тривалий час обговорювалася не лише на національному рівні. Прийняття закону зумовлено тим, що наявна нормативно-правова база недостатньо ефективно забезпечувала захист конституційних прав людини. Основною його метою є захист особистого життя громадян. У нашій країні, наприклад, безперешкодно можна придбати телефонні бази даних, перелік громадян, які є власниками транспортних засобів, списки виборців за округами тощо.

Закон «Про захист персональних даних», який вступив у силу 1 січня 2011 р., регулює відносини, пов’язані із захистом персональних даних під час їх обробки в органах державної влади та органах місцевого самоврядування, організаціях, установах і на підприємствах усіх форм власності, фізичними особами — підприємцями, у тому числі лікарями, які мають відповідну ліцензію, адвокатами, нотаріусами.

Цей документ став своєрідним компромісом між Верховною Радою України та розробниками документа. Президент 3 рази повертав його на доопрацювання, накладаючи вето. Нині цей законодавчий акт опрацьовується в Раді Європи, і вже в січні 2012 р. планується отримати висновки даного органу, а в лютому на їх основі підготувати пропозиції стосовно внесення змін до закону.

До речі, нині в парламенті зареєстровано законопроект, яким передбачається перенесення набуття чинності законом «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» з 01.01.2012 р. на 01.07.2012 р.

Наталія Співак

Коментарі

Коментарі до цього матеріалу відсутні. Прокоментуйте першим

Добавить свой

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

*

Останні новини та статті