1 января 2011 года вступил в силу Закон УкраиныN 2297-vi от 01.06.2010 г. «О защите персональных данных». Данный Закон заставил понервничать как руководителей юридических лиц так и физических лиц – предпринимателей в Украине. Поначалу предприниматели не спешили разбираться в тонкостях новых требований, а к концу года все ринулись регистрировать базы, поскольку с 01.01.2012 г. при выявлении этого нарушения, согласно Закона № 3454, это бы повлекло наложение штрафа:
– на обычных граждан от 300 до 500 н.м.д.г. (5100 – 8500 грн);
– на должностных лиц юрлиц, а также физлиц – СПД от 500 до 1000 н.м.д.г. (8500 – 17000 грн).
Кроме того, обращаем внимание, что Закономпредусмотрено ряд административных штрафов и даже уголовной ответственности за иные нарушения законодательства о защите баз персональных данных.
Благо Парламент на последней сессии 2011 года принял в целом Закон, переносящий вступление в силу санкций за нарушение законодательства о защите персональных данных. Закон, в частности, предусматривает перенос срока введения ответственности за нарушение законодательства о защите персональных данных на полгода – с 1 января на 1 июля 2012 года. Стоит поторопитьься осуществить такую регистрацию и как раз получить свидетельство о регистрации баз данных до 1 июля 2012 года.
Кроме того, после осуществления регистрации базы персональных данных следует регулярно отслеживать, не изменилась ли информация, которая содержалась в поданном к Госслужбе заявлении о регистрации базы персональных данных. При невыполнении требования по обновлении данных – ФОП или руководитель компании рискуют оплатить штраф в размере 3400-6800 гривен. Во избежание данной ситуации к Госслужбе необходимо подавать обновленные данные в течение 10 рабочих дней. Например, может измениться название компании, ее местонахождения и т.д.
Однако регистрация базы персональных данных, это промежуточный этап в реализации целого комплекса мероприятий по организации защиты персональных данных в рамках компании.Так единственным органом исполнительной власти, на который Законом положено задания относительно контроляза исполнением требований законодательства о защите персональных данных, является Государственная служба Украины по вопросам защиты персональных данных, а решение об административном взыскании будет принимать лишь суд.
На сегодня порядок контроля, который уже прошел стадию общественного обсуждения, на рассмотрении в Минюсте. Кроме этого, должен быть нормативный документ, определяющий критерии, по которым организации попадают в график проверок. Проверки не будут проводиться, пока не будет порядка контроля, ведь каждая из таких проверок может быть обжалована в суде.
Таким образом, сама процедура проверки будет проводиться, начиная с устава предприятия, где должна быть обоснована законность обработки ПД, положением предприятия об использовании ПД ну и заканчивая согласиями субъектов ПД, в которых, в том числе, должна быть обязательно отражена возможность передачи этих данных третьим лицам.
И снова напоминаем, согласно ст. 2 указанного выше Закона база персональных данных – это именованная совокупность упорядоченных персональных данных в электронной форме и / или в форме картотек персональных данных.База персональных данных подлежит государственной регистрации путем внесения соответствующей записи Государственной службой по вопросам защиты персональных данных к Государственному реестру баз персональных данных.
В соответствии с Законом Украины «О защите персональных данныхоснованиями возникновения права на обработку персональных данных является:
– согласиесубъектаперсональныхданных на обработку его персональныхданных;
– разрешение на обработку персональных данных, предоставленное владельцу базы персональных данных в соответствии с Законом исключительно для осуществления его полномочий;
– необходимость защиты жизненно важных интересов субъекта персональных данных до времени, когда получение согласия на обработку персональных данных от субъекта персональных данных станет возможным.