Типичные ошибки в сфере защиты персональных данных

1. о соглашениях
2. Закон есть - согласие не обязательно
3. Распорядители & третьи лица
4. Еще не поздно подать заявления
5. о деньгах
6. Зачем же все это?

23 декабря 2011 в Министерстве юстиции Украины состоялась пресс-конференция с участием Лилии Олексюк, заместителя председателя Государственной службы по вопросам защиты персональных данных, и Елены Зеркаль, директор Департамента взаимодействия с органами власти Министерства юстиции Украины. В центре внимания оказалась регистрация баз персональных данных (БПД). Конец прошлого года запомнится всем, кто следит за законодательной деятельностью нормотворцев по защите БПД. Субъекты хозяйствования находятся в определенной неопределенности относительно применения положений нового законодательства в этой сфере. Часто можно услышать от них: «Мы слышали, что нужно зарегистрировать, и о штрафах слышали, но не совсем поняли, чего именно от нас хотят». В ходе встречи представители власти попытались развеять облака недоразумений над наболевшими проблемами.

Ажиотаж вокруг БПД поднялся лишь в конце года. Оно и понятно - магические слова «ответственность» и «штраф» вывели общественность из режима ожидания. Очереди желающих зарегистрировать БПД каждый день выстраиваются в помещениях Государственной службы по вопросам защиты персональных данных. Новогодние праздники снизили напряжение и уменьшили дискуссии недовольных обязательной регистрацией БПД, однако этот вопрос не теряет актуальности.

о соглашениях

21 декабря 2011 Министерство юстиции Украины выдало разъяснение по поводу применения норм Закона Украины «О защите персональных данных» (далее - закон). Интересной оказалась позиция министерства относительно физических лиц - предпринимателей (ФЛП) и самозанятых лиц: они якобы самостоятельно должны определять, есть ли у них БПД и нужно их регистрировать. В ходе пресс-конференции такую ​​же позицию поддержала и представитель контролирующего органа. Мол, когда ФЛП заключают сделки (например по поставке или оказание услуг) с другими субъектами предпринимательства (также ФЛП), то такие документы не являются БПД, соответственно - не подлежат государственной регистрации.

В то же время, когда такие сделки заключаются между юридическими лицами, но в лице физических лиц, а предприниматель сохраняет не только сам договор, но и упорядоченную информацию о каждом из представителей контрагента, то такие документы будут считаться БПД. Хранение соглашений, упорядоченных по номерам, будет считаться обычным ведением делопроизводства. Предприятие получает персональные данные физического лица, но доступ к ним имеет только в рамках выполнения условий договора.

В разъяснении говорится, что картотекой персональных данных считается любой структурированный массив персональных данных по определенным критериям, доступный независимо от того, он централизованный или децентрализованный, или разделен на функциональных или географических принципах.

Закон есть - согласие не обязательно

Обработку персональных данных без согласия субъекта персональных данных разрешено осуществлять в случаях, предусмотренных законодательством (трудовым, налоговым, пенсионным, избирательным и т.д.). Министерство юстиции Украины разъяснило, что паспортные данные, сведения об образовании, состоянии здоровья и т.д., которые необходимы для оформления на работу в соответствии с трудовым законодательством, составляют БПД сотрудников. Ошибочно распространенное мнение о том, что если рабочий не дает согласия на обработку своих данных в БПД, то и обрабатывать их нельзя.

Здесь возможны два варианта: 1) данные есть - согласия нет: в таком случае можно обрабатывать те персональные данные, которые необходимы в соответствии с Кодексом законов о труде; 2) нет всех необходимых документов и согласия - нет и работы. По этому же принципу молчаливого разрешения законодательства на обработку персональных данных существует и Список избирателей, зарегистрированный Центральной избирательной комиссией Украины. Граждане согласия не подписывали - а в базу внесены. Хотя примеров таких немного.

Если же проблем с согласием на обработку персональных данных нет, то следует помнить несколько аксиом. Обязательно необходимо указать, какие именно данные, с какой целью и кому лицо позволяет обрабатывать, при этом указав всех распорядителей БПД (если это необходимо). Третьи лица имеют доступ к данным только с согласия субъекта такой персональной информации. Согласно закону они не могут вносить изменений в уже существующие БПД, а просто используют их с целью, на которую субъект давал согласие. Например, проведение маркетинговых исследований контрагентом с использованием БПД компании. Однако это вопрос спорный, поскольку использование БПД уже само по себе определено как разновидность отделки, а ее должны осуществлять владельцы и распорядители.

Распорядители & третьи лица

Распорядителем БПД может быть физическое или юридическое лицо, которому владельцем или законом предоставлено право обрабатывать эти данные. Примером могут быть отношения между юридическими лицами и их филиалами, представительствами, отделениями, которые будут выступать распорядителями баз персональных данных, владельцем которых является юридическое лицо. Такие лица указываются при подаче заявки на регистрацию БПД, а сведения о них вносятся в свидетельство о регистрации БПД. Их количество не ограничено законом.

В отличие от распорядителей данные о третьих лицах не нужно вносить в регистрационное свидетельство. Третье лицо, по закону, - это любое лицо, которому владельцы или распорядители БПД передают персональные данные. Такие лица не имеют права осуществлять обработку данных, а только пользуются ими с разрешения субъектов персональных данных (письменных разрешений, предоставленных владельцу или распорядителю БПД). По словам А. Зеркаль, статус каждого конкретного лица по БПД определяет владелец БПД.

Еще не поздно подать заявления

Обратите внимание, что законом не установлены ограничения относительно срока регистрации БПД - это можно делать и после 1 января 2012 Согласно подачи заявлений после этой даты не является основанием для наложения штрафа. При этом основным фактором требований закона является факт отправки заявления на регистрацию, поскольку регистрация БПД осуществляется по заявочному принципу путем сообщения.

Предусмотрено 3 пути регистрации БПД:

• отправление заявления в письменном виде (желательно с предоставлением электронной копии) в Государственную службу по вопросам защиты персональных данных по адресу: 02660, Киев, ул. Марины Расковой, 15;
• личное подачи заявления в письменном виде;
• заполнения формы заявления на официальном сайте Государственной службы по вопросам защиты персональных данных (www.rbpd.informjust.ua) в соответствии с требованиями Законов Украины «Об электронных документах и электронном документообороте» и «Об электронной цифровой подписи».

Еще одно из популярных вопросов, которые волнуют общественность, касается доступа к персональным данным. Распространена ошибочная мысль о том, что, регистрируя БПД, лицо должно передавать и саму персональную информацию о лицах. Однако это не так - владелец БПД регистрирует наличие у него конкретной БПД. Однако при этом не указывается ни перечень лиц, данные которых обрабатываются, ни любые другие сведения о них.

о деньгах

А. Зеркаль отметила, что за нерегистрации БПД законом не предусмотрено автоматическое наступления ответственности с 1 января 2012 Нарушение требований закона «О защите персональных данных» могут быть обнаружены в ходе проверок Государственной службой по вопросам защиты персональных данных, график которых (плановых и внеплановых) обнародуется на официальном сайте этого государственного органа. Кстати, в проекте приказа Министерства юстиции Украины «Об утверждении Положения о порядке осуществления Государственной службой Украины по вопросам защиты персональных данных государственного контроля за соблюдением законодательства о защите персональных данных» говорится о том, что 1 юридическое лицо проверять 1 раз в 5 лет.

С внеплановыми проверками, как всегда, сложнее. Если контролирующий орган получит обоснованную жалобу о нарушении прав человека на сбор или защиту его персональных данных - может и проверку провести. В случае выявления нарушений Государственная служба по вопросам защиты персональных данных сначала вынесет предписание об их устранении в определенный срок, в случае невыполнения которого составит протокол об административных правонарушениях и направит его в суд. Следует обратить внимание на то, что штрафы за нарушения в сфере защиты персональных данных могут быть назначены исключительно по решению суда, и никакой другой орган, кроме Государственной службы по вопросам защиты персональных данных (например налоговая служба), не имеет права проводить контролирующие меры в сфере защиты персональных данных.

Нарушением может быть признано сознательное уклонение от регистрации БПД, несообщение лица о сборе его персональных данных в базу, о цели создания соответствующей базы и права человека в этой связи, в случае ненадлежащей защиты БПД, а также в случае передачи без согласия лица его персональных данных третьим лицам.

Л. Олесюк сообщила, что сегодня в Государственной службе по вопросам защиты персональных данных работает 51 человек, из которых 7 занимаются именно контролем. Служащих увеличиваться в зависимости от динамики подачи заявлений о регистрации БПД. А пока что проведение регулярных, основательных проверок не только в столице, но и в регионах с таким количеством контроллеров представляется нереальным.

«Время покажет, насколько независимым будет вновь уполномоченный орган по вопросам защиты персональных данных», - говорится в Первом отчете Верховного Представителя ЕС по иностранным делам и политике безопасности по оценке ЕС прогресса Украины и выполнения Плана действий по либерализации визового режима.

Зачем же все это?

Сейчас международное законодательство включает примерно 20 общеевропейских конвенций, директив и рекомендаций по вопросам защиты персональных данных. 6 июля 2010 Украина ратифицировала базовые европейские стандарты в сфере защиты персональных данных, в частности Конвенцию Совета Европы о защите лиц в связи с автоматизированной обработкой персональных данных, а также дополнительный протокол к ней относительно органов надзора и трансграничных потоков данных, таким образом принимая на себя обязательства имплементировать их положение в украинское законодательство.

Необходимость принятия акта, который бы регулировал вопросы защиты персональных данных в нашей стране, уже длительное время обсуждалась не только на национальном уровне. Принятие закона обусловлено тем, что существующая нормативно-правовая база недостаточно эффективно обеспечивала защиту конституционных прав человека. Основной его целью является защита личной жизни граждан. В нашей стране, например, беспрепятственно можно приобрести телефонные базы данных, перечень граждан, которые являются владельцами транспортных средств, списки избирателей по округам и тому подобное.

Закон «О защите персональных данных», который вступил в силу 1 января 2011, регулирует отношения, связанные с защитой персональных данных при их обработке в органах государственной власти и органах местного самоуправления, организациях, учреждениях и на предприятиях всех форм собственности , физическими лицами - предпринимателями, в том числе врачами, имеющими соответствующую лицензию, адвокатами, нотариусами.

Этот документ стал своеобразным компромиссом между Верховной Радой Украины и разработчиками документа. Президент 3 раза возвращал его на доработку, накладывая вето. Сейчас этот законодательный акт разрабатывается в Совете Европы, и уже в январе 2012 г.. Планируется получить выводы данного органа, а в феврале на их основе подготовить предложения о внесении изменений в закон.

Кстати, сейчас в парламенте зарегистрирован законопроект, которым предусматривается перенос вступления в силу закона «О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных» с 01.01.2012 г.. На 01.07.2012 г..

Наталья Спивак

Интересная информация для Вас:

Похожие

Комментарии