Обратный звонок

Оставьте свой номер телефона, наш менеджер свяжется с вами.

Наш Видеоблог
Наши новости

Юридическая компания "Алексей Пуха и Партнеры" о регистрации баз персональных данных (текст написан на украинском языке)

З 1 січня 2011 року набрав чинності Закон України від 01.06.2010 р. «Про захист персональних даних» (надалі - Закон).

Міністерство Юстиції України надало роз’яснення щодо мети прийняття Закону. Відповідно: метою прийняття Верховною Радою України Закону є конкретизація права людини, гарантованого статтею 32 Конституції України, якою проголошено право на невтручання в особисте життя.

Предметом правового регулювання Закону є правовідносини, пов’язані із захистом персональних даних під час їх обробки.

В абзаці 8 ст. 2 Закону визначається поняття персональні дані як відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Але Законом не визначений чіткий перелік цих відомостей та максимальний або мінімальний обсяг відомостей про фізичну особу, за якими можна ідентифікувати цю особу. Тому законодавець надав володільцю бази персональних даних право самостійно визначати зазначений обсяг. Зазвичай, персональними даними вважають прізвище, ім’я та по-батькові, дата та місце народження, місце проживання та державної реєстрації, ідентифікаційний код, місце роботи, місце навчання тощо.

Згідно ст. 5 Закону, об'єктами захисту є лише ті персональні дані, які обробляються в базах персональних даних. При цьому під «базами персональних даних» слід розуміти іменовану сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних; а під «обробкою персональних даних» - будь-яку дію або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов'язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу.

Суб’єктами відносин, пов’язаних із персональними даними, відповідно до ст. 4 Закону є:

Суб’єкт персональних даних – фізична особа, стосовно якої відповідно до закону здійснюється обробка її персональних даних.

Володілець бази персональних даних –фізична або юридична особа, якій законом або за згодою суб’єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробку, якщо інше не передбачено законом.

Розпорядник бази персональних даних – фізична чи юридична особа, якій володільцем бази персональних даних або законом надано право обробляти ці дані. При цьому в ст. 11 Закону встановлено, що Володілець бази персональних даних може доручити обробку персональних даних розпоряднику бази персональних даних відповідно до договору в письмовій формі, а розпорядник бази персональних даних може їх обробляти лише з метою і в обсязі, визначених у договорі.

Міністерство Юстиції України пояснює, що практичним прикладом щодо володільця та розпорядника бази персональних даних можуть бути відносини між юридичними особами та їх представництвами, філіями, відділеннями тощо. Так, у сенсі Закону ці представництва, філії, відділення виступатимуть розпорядниками баз персональних даних, володільцем яких є юридична особа.

Статтею 9 Закону передбачена державна реєстрація бази персональних даних шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних.

Реєстрація баз персональних даних здійснюється за заявочним принципом шляхом повідомлення уповноваженого державного органу.

Указом Президента України «Про затвердження Положення про Державну службу України з питань захисту персональних даних» від 6 квітня 2011 року визначено уповноваженим державним органом з питань захисту персональних даних – Державну службу України з питань захисту персональних даних.На сьогоднішній день не існує територіальних органів або регіональних представництв Державної служби України з питань захисту персональних даних.

Заява про реєстрацію бази персональних даних подається володільцем такої бази або уповноваженим представником в паперовій або електронній формі , вимоги до заповнення та порядок подання якої визначені постановою Кабінету Міністрів України «Про затвердження Положення про Державний реєстр баз персональних даних та порядок його ведення» від 25 травня 2011 року № 616 та наказом Міністерства юстиції України «Про затвердження форм заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних і порядку їх подання» від 8 липня 2011 року № 1824/5.

Зміст заяви повинен відповідати п.3 ст.9 Закону, зокрема заява повинна містити: звернення про внесення бази персональних даних до Державного реєстру баз персональних даних; інформацію про володільця бази персональних даних; інформацію про найменування і місцезнаходження бази персональних даних; інформацію про мету обробки персональних даних з визначенням категорії обробки тощо.

Тобто в заяві взагалі не зазначаються конкретні персональні дані.

Згідно п.4 ст. 9 Закону Уповноважений державний орган з питань захисту персональних даних у порядку, затвердженому Кабінетом Міністрів України:

- повідомляє заявника не пізніше наступного робочого дня з дня надходження заяви про її отримання;

- приймає рішення про реєстрацію бази персональних даних протягом десяти робочих днів з дня надходження заяви.

Володільцю бази персональних даних після державної реєстрації бази видається документ встановленого зразка про реєстрацію бази персональних даних у Державному реєстрі баз персональних даних.

Відповідно до Закону Уповноважений державний орган з питань захисту персональних даних протягом десяти робочих днів з дня надходження повідомлення про зміну відомостей, необхідних для реєстрації відповідної бази, повинен прийняти рішення щодо зазначеної зміни та повідомити про це володільця бази персональних даних.

Володілець бази персональних даних зобов'язаний повідомляти уповноважений державний орган з питань захисту персональних даних про кожну зміну відомостей, необхідних для реєстрації відповідної бази, не пізніш як протягом десяти робочих днів з дня настання такої зміни.

Підставою виникнення права на використання персональних даних є згода суб'єкта персональних даних на обробку його персональних даних а також дозвіл на обробку персональних даних, наданий володільцю бази персональних даних відповідно до закону виключно для здійснення його повноважень. Але Законом не передбачено ситуації якщо суб'єкт персональних даних відмовляє надати згоду на обробку його персональних даних.

Суб’єкти персональних даних мають право:
- знати де, з якою метою, ким обробляються їх персональні дані;
- отримувати доступ до своїх персональних даних, що обробляються в базі персональних даних;
- пред’являти вмотивовану вимогу з запереченням проти обробки їх персональних даних органами державної влади, органами місцевого самоврядування при здійсненні їхніх повноважень, передбачених законом;
- пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь яким володільцем або розпорядником, якщо вони обробляються незаконно чи є недостовірними.

При порушенні права і закону з питань обробки персональних даних суб’єкт персональних даних можете звертатися до Державної служби України з питань захисту персональних даних або до суду.

Законом України «Про захист персональних даних» передбачено, що порушення законодавства про захист персональних даних тягне за собою відповідальність, встановлену законом. 1 січня 2012 року набирають чинності зміни до Кодексу України про адміністративні правопорушення та Кримінального кодексу України, визначені Законом України вiд 02.06.2011 р. №3454 «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних», яким введена адміністративна відповідальність за:
- неповідомлення або несвоєчасне повідомлення суб'єкта персональних даних про його права у зв'язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються;
- неповідомлення або несвоєчасне повідомлення спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних про зміну відомостей, що подаються для державної реєстрації бази персональних даних;
- ухилення від державної реєстрації бази персональних даних.

У випадку виявлення баз персональних даних, які не були зареєстровані у визначеному законом порядку на винних осіб може бути накладено штраф в розмірі від трьохсот до п'ятисот неоподатковуваних мінімумів доходів громадян (від 5100 до 8500 грн.).

Штрафні санкції визначені також для посадових осіб юридичних осіб та фізичних-підприємців: від п'ятисот до тисячі неоподатковуваних мінімумів доходів громадян (від 8500 до 17000 грн.

Також 182 Кримінального кодексу України буде визначати, що незаконнезбирання, зберігання, використання, знищення, поширенняконфіденційноїінформації про особу або незаконна змінатакоїінформації, крімвипадків, передбаченихіншимистаттямицього Кодексу,
- караються штрафом відп'ятисот до однієїтисячінеоподатковуванихмінімумівдоходівгромадянабо
- виправними роботами настрок до двохроків, або
- арештом на строк до шести місяців, абообмеженнямволі на строк до трьохроків.

Тісамідії, вчинені повторно, абоякщовонизаподіялиістотну шкоду охоронюваним законом правам, свободам та інтересам особи,
- караютьсяарештом на строк відтрьох до шести місяцівабообмеженнямволі на строк відтрьох до п'ятироків, абопозбавленнямволі на той самий строк.

Примітка. Істотноюшкодою у ційстатті, якщо вона полягає у заподіянніматеріальнихзбитків, вважаєтьсятака шкода, яка в сто і більшеразівперевищуєнеоподатковуваниймінімумдоходівгромадян»

ЗаконУкраїни від 01.06.2010 р.«Про захист персональних даних» потребує значних доопрацювань, адже деякі питання ще й досі не врегульовані. На сьогоднішній день всі невизначені моменти необхідно буде визначати вже компаніям, які займаються обробкою персональних даних, у своїх локальних документах - затвердити мету обробки персональних даних, призначити відповідальну особу із захисту даних, а за потреби – оформити також відносини з розпорядником бази персональних даних. Крім того, для полегшення документообігу доцільно затвердити шаблон тексту-згоди суб’єкта персональних даних на їх обробку та внутрішні інструкції з обробки персональних даних.

Яна Кондратюк

 


Наши Клиенты
Признание