Ще раз про базах персональних даних

Нещодавно на офіційному сайті Міністерства юстиції України з'явилося роз'яснення щодо практичного застосування норм Закону України «Про захист персональних даних» (далі - Закон). У зв'язку з цим prostopravo.com.ua вирішив ще раз торкнутися цієї теми і спробувати остаточно прояснити для себе деякі моменти, пов'язані з реєстрацією баз персональних даних.

Що таке персональні дані

Визначення поняття персональних даних наводиться в абзаці восьмому статті 2 Закону, згідно з яким персональними даними є відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.

Але, принаймні, позиція Міністерства юстиції щодо персональних даних про найманих працівників є однозначною.

Так, згідно зі статтею 24 Трудового кодексу України громадянин при укладенні трудового договору зобов'язаний подати паспорт або інший документ, що посвідчує особу, трудову книжку, а у випадках, передбачених законодавством, - також документ про освіту (спеціальність, кваліфікацію), про стан здоров'я та інші документи .

У зв'язку з цим персональні дані працівника, які містяться в паспорті або документі, що посвідчує особу, в трудовій книжці, документі про освіту (спеціальність, кваліфікацію), документі про стан здоров'я та інших документах, які він подав при укладенні трудового договору, обробляються володільцем бази персональних даних на підставі статті 24 Кодексу законів про працю України виключно для здійснення повноважень володільця бази персональних даних в сфері правовідносин, що виникли у нього з працівником на основа ванні трудового договору (контракту).

Таким чином, інформація про найманих працівників є базою персональних даних, оскільки, особові справи, трудові книжки, копії паспортів, документів про освіту зберігаються та обробляються роботодавцем.

Що є базою персональних даних, а що - ні

Поняття «база персональних даних» визначено абзацом другим статті 2 Закону, згідно з яким база персональних даних - іменована сукупність упорядкованих персональних даних в електронній формі та / або у формі картотек персональних даних.

З огляду на це база персональних даних є упорядкованою сукупністю логічно пов'язаних даних про фізичних осіб:

• зберігаються і оброблюваних відповідним програмним забезпеченням (база персональних даних в електронній формі);
• зберігаються і обробляються на паперових носіях інформації (база персональних даних у формі картотек).

Картотекою персональних даних є будь-який структурований масив персональних даних, доступний за певними критеріями, незалежно від того, чи є такий масив централізованим, децентралізованим або розділеним на функціональних або географічних засадах. Такі дані повинні бути структуровані за визначеними критеріями, що стосуються фізичних осіб, щоб забезпечити легкий доступ до відповідних персональних даних.

Важливо відзначити, що фізичні особи-підприємці та самозайняті особи самостійно визначають чи володіють вони базами персональних даних у сенсі Закону.

Однозначно не є базами персональних даних в розумінні Закону відомості, які збираються і обробляються:

• фізичною особою - виключно для непрофесійних особистих чи побутових потреб,
• журналістом - у зв'язку з виконанням ним службових чи професійних обов'язків,
• професійним творчим працівником - для здійснення творчої діяльності.

Крім того, на думку Міністерства юстиції, в разі, якщо фізичні особи - підприємці укладають договори виконання робіт або надання послуг з фізичними особами, такі договори також не є базою персональних даних та не підлягають державній реєстрації.

Так, при здійсненні своєї професійної діяльності на адвокатів законодавством не покладено обов'язок ведення баз персональних даних клієнтів. Але, якщо адвокати формують справи на своїх клієнтів, вони постійно оновлюють та підтримують в актуальному стані, такі справи є базою персональних даних та підлягають державній реєстрації.

Нотаріуси можуть обробляти персональні дані своїх найманих працівників, клієнтів у базах персональних даних, однак, документи нотаріального діловодства та архів нотаріуса, визначені у статті 14 Закону України «Про нотаріат» не є базою персональних даних в розумінні Закону України «Про захист персональних даних» та не підлягають державній реєстрації.

Власники і розпорядники баз персональних даних

Спробував Мін'юст роз'яснити і ситуацію з володільцями та розпорядниками баз персональних даних.

Нагадаємо, що власником бази персональних даних згідно з абзацом третім статті 2 Закону є фізична або юридична особа, якій законом або за згодою суб'єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних та процедуру їх обробки, якщо інше не визначено законом .

Так, якщо персональні дані обробляються юридичною особою, то володільцем бази персональних даних є юридична особа.

Розпорядником бази персональних даних згідно з абзацом дев'ятим статті 2 Закону може бути фізична або юридична особа, якій володільцем бази персональних даних або законом надано право обробляти ці дані.

В якості практичного прикладу наводяться відносини між юридичними особами і їх представництвами, філіями, відділеннями тощо Так, в сенсі Закону ці представництва, філії, відділення можуть виступати розпорядниками баз персональних даних, власником яких є юридична особа.

Згідно зі статтею 4 Закону володільцем чи розпорядником бази персональних даних можуть бути підприємства, установи і організації усіх форм власності, органи держави влади чи органи місцевого самоврядування, які обробляють персональні дані відповідно до закону.

Але якщо володільцем бази персональних даних є орган державної влади або орган місцевого самоврядування, то розпорядником бази персональних даних, крім цих органів, може бути тільки підприємство державної або комунальної форми власності, що належить до сфери управління цього органу.

Порядок реєстрації баз персональних даних

Як зареєструвати базу персональних даних? Так, згідно зі статтею 9 Закону база персональних даних підлягає державній реєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних.

У разі, якщо юридична особа, фізична особа - підприємець, самозайнята особа встановлює, що воно не обробляє персональні дані, в такої особи відсутній обов'язок реєструвати базу персональних даних.

Реєстрація бази персональних даних здійснюється за заявочним принципом шляхом повідомлення. Суть заявочного принципу полягає в тому, що основним є подання володільцем бази персональних даних заяви про реєстрацію бази персональних даних, а не отримання свідоцтва про державну реєстрацію бази персональних даних. Отже, ключовим і визначальним є факт внесення відповідного запису Державною службою України з питань захисту персональних даних до Державного реєстру баз персональних даних, а не отримання володільцем бази персональних даних свідоцтва про державну реєстрацію, що є наслідком зазначеного факту.

Заява про реєстрацію бази персональних даних, що подається в електронній формі, повинна відповідати вимогам Законів України «Про електронний цифровий підпис» та «Про електронні документи та електронний документообіг». А саме: така заява повинна містити електронний підпис, що є обов'язковим реквізитом електронного документа та який накладається володільцем бази персональних даних для його ідентифікації Державною службою України з питань захисту персональних даних.

Відповідно до частини першої статті 6 Закону мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих документах, які регулюють діяльність володільця бази персональних даних, і відповідати законодавству про захист персональних даних.

Так, Законом передбачені загальні та особливі вимоги обробки персональних даних. Статтею 6 Закону встановлено загальні вимоги обробки всіх наявних у суспільному житті персональних даних особи, за винятком персональних даних, для яких статтею 7 Закону визначені особливі вимоги обробки. До таких персональних даних належать дані про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров'я чи статевого життя.

Додаткової уваги потребує той факт, що власник реєструє базу персональних даних, а саме надає відомості про неї, які включаються до Державного реєстру баз персональних даних, однак не передає Державній службі України з питань захисту персональних даних наявні в ній персональні дані.

Відповідно до частини 4 статті 9 Закону володілець бази персональних даних зобов'язаний повідомляти Державну службу України з питань захисту персональних даних про кожну зміну відомостей, необхідних для реєстрації бази персональних даних не пізніше ніж протягом 10 робочих днів з дня настання такої зміни.

Свідоцтво про внесення змін до відомостей, необхідних для реєстрації бази персональних даних не надається. Зате, Державна служба приймає рішення про внесення змін до відомостей, необхідних для реєстрації бази персональних даних шляхом подання відповідного володільцю бази персональних даних листа, в якому повідомляє про прийняте рішення.

Для видалення бази персональних даних з Державного реєстру баз персональних даних, власник такої бази направляє в Державну службу захисту даних заяву про внесення змін до відомостей Державного реєстру баз персональних даних і позначає «вилучити» всі поля відомостей, які були внесені.

Контроль за дотриманням законодавства про захист персональних даних і відповідальність

Здійснення контролю за дотриманням законодавства про захист персональних даних відповідно до статті 23 Закону покладено на Державну службу України з питань захисту персональних даних.

Також відповідно до підпункту 16 пункту 3 цього Положення Державна служба України з питань захисту персональних даних складає адміністративні протоколи про виявленні порушення законодавства у сфері захисту персональних даних.

Але справи про адміністративні правопорушення в сфері захисту персональних даних розглядаються згідно зі статтею 221 Кодексу України про адміністративні правопорушення виключно судами.

Згідно з цим законом громадяни, посадові особи, громадяни - суб'єкти підприємницької діяльності притягуються до адміністративної відповідальності за вчинення таких правопорушень:

1. неповідомлення або несвоєчасне повідомлення суб'єкта персональних даних про його права у зв'язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються;
2. неповідомлення або несвоєчасне повідомлення спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних про зміну відомостей, що подаються для державної реєстрації бази персональних даних;
3. ухилення від державної реєстрації бази персональних даних;
4. недотримання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них;
5. невиконання законних вимог посадових осіб спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних щодо усунення порушень законодавства про захист персональних даних.

За порушення недоторканності приватного життя, а саме за незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконну зміну такої інформації винна особа притягується до кримінальної відповідальності.

Рекомендуємо

• Потрібна інформація за запитом: кредитний калькулятор з автокредитування на сайті про особисті фінанси
• Корисна інформація по запиту: ринок нерухомості України на сайті про особисті фінанси
• Корисна інформація по запиту: Курси валют в Україні на сайті про особисті фінанси
• Довідкова інформація за запитом: ск міст на сайті про особисті фінанси
• Потрібна інформація за запитом: кредитний калькулятор під заставу нерухомості на сайті про особисті фінанси
• Читайте пост на тему: фотосесії новонароджених дітей на сайті блогів про фінанси і грошах
• Корисна інформація по запиту: термін здачі декларації із земельного податку на правовому порталі для громадян і бізнесу
• Корисна інформація по запиту: термін здачі річної декларації із земельного податку на правовому порталі для громадян і бізнесу

Депозит від 3-х місяців до 27,5% річних! Кредит готівкою до 7 тис. Грн. До 5 днів без%! Калькулятор КАСКО. 5 ексклюзивних пакетів від 0,99% Кредит за 2 години під заставу нерухомості в Києві. Ставка 1,5% в місяць Отримайте 200 000 гривен без довідок - кредитна карта Альфа Банку Онлайн-кредит готівкою до 3 000 грн. за 15 хвилин без довідки про доходи Ми підберемо для вас найкращий кредит! Кредит на карту до 3000 гривень без довідки про доходи Замовити поліс ОСАГО онлайн

Порівняння послуг юристів

Для приватних осіб

Популярні закони України

порівняння юридичних послуг

Схожі статті

• Бастіон для windows »криптографічний захист даних

• Як зареєструватися в реєстрі операторів обробки персональних даних Роскомнадзора

• Mysql запити - як єдино вірний спосіб виведення даних, mysql