БАЗЫ ПЕРСОНАЛЬНЫХ ДАННЫХ | Днепр, Киев, Материалы, Одесса, Харьков | FIRM.UA
 

мы с Вами с 1999 года

Базы персональных данных

Реалии информационного поля

Практически незаметно в 2010 – 2011 годах для отечественного бизнеса прошли изменения в законодательстве, регулирующем информационные отношения в нашем государстве. Как известно, не так давно Украина ратифицировала Конвенцию Совета Европы о защите лиц в связи с автоматизированной обработкой персональных данных и Дополнительный протокол к этой Конвенции. Выполняя принятые обязательства, с целью адаптации украинского законодательства к международным нормам в 2010-м Верховная Рада приняла Закон «О защите персональных данных», а в январе 2011 г. изложила в новой редакции Закон «Об информации» и приняла новый для украинского информационного права Закон «О доступе к публичной информации».

В данном секторе общественных отношений отсутствовали какие-либо влиятельные лоббисты, чьи интересы прямо либо опосредованно зависели от наведения порядка в законодательной отрасли. Так или иначе, ситуация существовавшая в отечественном законодательстве на протяжении последних 20 лет, мало кого волновала, кроме профессиональных юристов и журналистов. Именно потому, основной движущей силой изменений законодательства стали не внутренние, а внешние факторы в виде международных обязательств.

Ситуация для бизнеса

Казалось бы, указанные законодательные акты к бизнесу имеют весьма опосредованное отношение. Конечно, в первую очередь они касаются защиты конституционных прав и свобод человека, а именно — права на свободу мысли, свободу слова, личную тайну, право на обращение и др. Вместе с тем реализация указанных прав напрямую обременяет дополнительными обязанностями субъектов предпринимательской деятельности, не являющихся субъектами властных полномочий и не исполняющими функции государства.

Так, согласно Закону «О доступе к публичной информации», субъект хозяйствования, владеющий информацией о состоянии окружающей среды, качестве пищевых продуктов и предметов быта (т.е. фактически каждое предприятие пищевой промышленности и сферы торговли), об авариях, катастрофах и опасных природных явлениях и событиях. При этом ответ предоставляется в течение пяти рабочих дней. Отсылка к открытым источникам, равно как и ответ не по сути, являются неправомерным отказом в предоставлении информации. Предпринимателей вряд ли порадует то обстоятельство, что они обязаны назначить сотрудника либо уполномочить целое подразделение на работу с запросами граждан.

А также (обратите внимание!) другой информацией, составляющей общественный интерес, должны бесплатно предоставлять такую информацию на запрос любого лица. При этом ответ предоставляется в течение пяти рабочих дней. Отсылка к открытым источникам, равно как и ответ не по сути, являются неправомерным отказом в предоставлении информации.

Предпринимателей вряд ли порадует то обстоятельство, что они обязаны назначить сотрудника либо уполномочить целое подразделение на работу с запросами граждан. Выполнение обязанностей по предоставлению информации субъектами хозяйствования щедро обеспечивается административной ответственностью его должностных лиц.

Базы персональных данных

Еще больше обязанностей, о которых не ведали представители отечественного бизнеса, мы найдем в Законе «О защите персональных данных». Данный Закон вступил в силу с 1 января 2011 года и практически с этого момента стали формироваться государственные органы, которые уполномочены осуществлять регистрационные процедуры и контроль в данной сфере. В настоящий момент такие полномочия получила Государственная служба Украины по вопросам защиты персональных данных.

Обязанность по регистрации баз персональных данных касается, за малым исключением, каждого предприятия Украины. Т.е. каждое предприятие имеет хотя бы одну базу персональных данных (касательно своих сотрудников). И это уже не говоря о различных дополнительных базах данных о клиентах, партнерах, потребителях. На каждую такую базу предприятие должно получать свидетельство.

При этом Закон вводит целый комплекс дополнительных обязанностей предприятия по отношению к лицам, персональные данные которых предприятие хранит. Так, персональные данные могут собираться и, что характерно, использоваться только по согласию такого лица, которое получает целый комплекс прав по отношению к хранителю базы, куда попали его персональные данные (ст.8 закона).

Если существуют большие объемы информации, которые были получены после 01 января, их можно либо уничтожить либо перевести в разряд не персональных.

Регистрация баз персональных данных

Порядок регистрации конкретизирован Положением о Государственном реестре баз персональных данных и порядке его ведения (упомянутое выше постановление Кабмина от 25 мая 2011 N 616). Как отмечает заместитель главы госслужбы Владимир Козак, речь не идет о том, что службе станет доступно содержание баз данных, которыми владеют компании. Регистрируется не сама база, но факт ее наличия у конкретной компании и организации, чтобы субъект персональных данных знал, к кому ему следует обратиться, если он считает, что его данные обрабатываются неправомерно. Регистрируются базы данных бесплатно. С 1 января 2012 года также появится возможность для субъектов персональных данных запрашивать выписку из госреестра о том, кому какие базы данных принадлежат, но будет ли такая выписка предоставляться на платной или бесплатной основе, пока не установлено.

Количество баз персональных данных конкретного предприятия определяется целью обработки: например база, содержащая данные по сотрудникам компании, может использоваться внутри компании по частям и на разных носителях, но при этом оставаться единой базой, и информация по ней будет регистрироваться в реестре под одним названием.

Специфика регистрации

Не позднее следующего рабочего дня после приема заявления Госслужба сообщает дату и регистрационный номер записи о заявлении в реестре, а также дату, когда можно обратиться за свидетельством о регистрации. Решение о регистрации или отказе принимается на протяжении 10 рабочих дней. Практика регистрации показывает, что этот срок 2-3 месяца.

Отказать в регистрации Госслужба может, если ведомости в заявлении являются неполными или недостоверными.

Комментарий специалиста

«Представители ассоциаций и отраслевых объединений, консалтинговые группы и бизнесмены, считают: сначала нужно посмотреть, как будет работать закон и механизмы, введенные подзаконными актами. Критические замечания к самому тексту закона по поводу возможности его двузначного прочтения остались.

Например, если говорить о возможностях в разночтении самого определения “персональные данные”: для каждой сферы деятельности необходимо определить те данные, которые будут считаться персональными, и те, которые таковыми являться не будут. Также, хочется особо отметить, довольно большие штрафные санкции, предусмотренные за нарушение законодательства о персональных данных (от 8500 грн. до 17 000 грн.). Это может привести к банальной коррупции проверяющих органов, и лишней финансовой нагрузкой на предприятия.» – отмечает юрист по разрешительной системе АКГ «ФинИнКом» Инна Бурковская.

Рекомендуем зарегистрировать одновременно несколько баз персональных данных на предприятии, и в дальнейшем использовать их как универсальные для работы с остальной информацией. Но для этого необходимо четко понимать, что такое персональные данные, как их правильно предоставить при регистрации и специфику сомой регистрации. Мы считаем что для выполнения такой задачи необходима профессиональная поддержка и консультация.

Заявление о регистрации

Чтобы зарегистрировать свою базу, компания может скачать образец заявления с сайта госслужбы, http://www.zpd.gov.ua/indexServices.html на данный момент необходимо строго придерживаться именно такой формы. Заявление может быть подано как в бумажном, так и в электронном, заверенном ЭЦП, виде.

Отдельно отметим, что порядок регистрации баз персональных данных для банков разрабатывается НБУ.

Обязательные данные в заявлении:
– обращение о внесении базы в реестр;
– информация о владельце базы;
– название и месторасположение базы: фактическое размещение для картотек, адреса хранения носителей информации для электронных баз;
– данные о цели обработки персональных данных;
– данные о распорядителях персональных данных (третьих лицах, имеющих доступ к таким данным);
– документ, подтверждающий обязательства выполнять закон: в заявлении будет отведено специальное место для подписи и печати лица, ответственного за обработку данных в конкретной компании. Там же будет указываться его должность и имя.

В заявлении можно указывать дополнительные сведения о базе, например, о форме согласия субъектов ПД на обработку данных; способе ведения баз; категориях субъектов ПД, чьи данные обрабатываются и т.д.


© ГК "ФинИнКом" 1999-2019 FIRM.UA - решения для бизнеса
click fraud detection