- кого это касается?
- что нужно делать?
- и что будет, если ничего не сделать?
Кому нужно принимать во внимание закон о защите персональных данных
Любому лицу (физическому или юридическому) Украины, которое владеет какой-либо персональной информацией физических лиц. Закон широко трактует понятие “персональных данных”. В своих разъяснениях служба ЗПД
Очевидно, что согласно закону регистрировать свои базы должны владельцы практических любых веб-сайтов, имеющих зарегистрированных пользователей. Сюда же попадают все интернет магазины с их базами покупателей. Но самое интересное, что персональными данными также считается информация о наемных работниках. А значит, зарегистрировать свою базу сотрудников обязана любая украинская компания.
После такого пессимистического начала перейдем к конкретным действиям.
Как обеспечить соблюдение закона о защите персональных данных
Для того, чтобы служба ЗПД не имела к вам вопросов, нужно обеспечить выполнение трех концептуальных пунктов:
получить разрешение каждого субъекта персональных данных (например, пользователя) на обработку и использование его ПД, уведомив его о цели сбора этих данных и их обработки, его правах, в связи с включением информации о нем в базу персональных данных, и лиц, которым эти данные передаются;
- зарегистрировать базу персональных данных в государственном реестре;
- обеспечить защиту базы персональных данных.
Если говорить о конкретных действиях, то они будут немного различными для разных баз ПД. Выделим два образных случая: веб-сайт и компания, имеющая базу данных сотрудников.
Сайт
Для реализации первого пункта вам потребуется модифицировать пользовательское соглашение. Необходимо добавить информацию о правах пользователя (возможно дать ссылку или процитировать
Компания
Нужно принять положения, в которых будут изложены права сотрудников, возникающие в связи с обработкой их ПД, а также цели обработки ПД (пример
Кроме этого закон обязывает владельца баз ПД обеспечивать их защиту. Однако выбор конкретных мер и способов защиты возлагается целиком на владельца баз ПД и никак не обозначен. Отметим, что существует
Какая ответственность предусмотрена за несоблюдение закона о защите персональных данных
Процитируем Кодекс Украины об административных правонарушениях. Необлагаемый минимум доходов граждан составляет 17 гривен.
Административная ответственность:
- неуведомление (несвоевременное уведомление) субъекта персональных данных о его правах в связи с включением его персональных данных в базу, цели сбора данных и лиц, которым эти данные передаются – штраф до 300 НМДГ для граждан и от 300 до 400 – для должностных лиц и СПД;
- неуведомление (несвоевременное уведомление) специально уполномоченного органа по вопросам защиты ПД об изменении ведомостей, которые подаются для государственной регистрации базы персональных данных – штраф от 100 до 200 НМДГ для граждан и от 200 до 400 НМДГ – для должностных лиц и СПД;
- уклонение от регистрации базы персональных данных – штраф от 300 до 500 НМДГ для граждан и от 500 до 1000 НМДГ – для должностных лиц и СПД;
- несоблюдение установленного законодательством порядка защиты базы ПД, которое повлекло к незаконному доступу к ПД – от 300 до 1000 НМДГ;
- невыполнение законных требований должностных лиц специально уполномоченного органа по вопросам защиты ПД – штраф от 100 до 200 НМДГ.
Также существует уголовная ответственность за незаконный сбор, хранение, использование, уничтожение и распространение конфиденциальной информации (согласно ст.182 УК Украины), но мы искренне надеемся, что до этого дело не дойдет.
Составление протоколов о нарушениях в сфере защиты персональных данных возложено на уполномоченный орган – Государственную службу по вопросам защиты персональных данных. Привлекать к ответственности и принимать решение о взыскании штрафа уполномочены местные суды.
Особые случаи
Закон не распространяет свое действие в следующих случаях:
- если база используется физическим лицом для личных непрофессиональных нужд;
- если база используется физическим лицом для бытовых нужд;
- если база используется журналистом для исполнения его должностных обязанностей;
- если база используется творческим работником для осуществления его творческой деятельности.
- Поэтому, если вы ведете личный блог и у вас есть база данных подписчиков, то регистрировать ничего не нужно.
Рубрика вопрос-ответ
В: Есть ли какая-то минимальная совокупность сведений, которая считается персональными данными?
О: Нет. Любые сведения о лице, по которым его можно идентифицировать
В: Данные хранятся на серверах в США, нужно ли мне регистрировать базу ПД?
О:
В: Какой крайний срок регистрации баз ПД?
О: Такого срока нет, но с 1-го января 2012 года за несоблюдение норм закона о защите ПД вас могут привлечь к административной ответственности. Однако, скорее всего, служба ЭПД не приедет к вам с плановой проверкой, и реальные проблемы могут возникнуть только, если на вас подадут жалобу. В любом случае, базу лучше зарегистрировать как можно скорее, это не так сложно.
В: Считаются ли персональными данными сведения о сотрудниках?
О: Да
В: Нужно ли мне получать разрешение на использование ПД у уже существующих пользователей на моем сайте?
О: Нет, но вам нужно внести изменения в порядок регистрации всех новых пользователей.
Ссылки