О защите персональных данных в Украине

[MedicusAmicus]

Первого января 2011 года в Украине вступил в силу закон №2297-VI “О защите персональных данных”. Многие слышали об этом событии, некоторые знали об открытии регистрации баз ПД в июле этого года, но совсем немногие из тех, кого касается этот закон, поспешили предпринять какие-то конкретные действия. А тем временем с 1-го января 2012 года вступают в силу изменения в административном и уголовном кодексах Украины, определяющие ответственность за несоблюдение соответствующего закона. Далее мы постараемся ответить на самые главные вопросы:

• кого это касается?
  
• что нужно делать?
  
• и что будет, если ничего не сделать?
  

Кому нужно принимать во внимание закон о защите персональных данных

 

Любому лицу (физическому или юридическому) Украины, которое владеет какой-либо персональной информацией физических лиц. Закон широко трактует понятие “персональных данных”. В своих разъяснениях служба ЗПД ссылается на Конвенцию Совета Европы и определяет персональные данные как сведения или совокупность сведений о физическом лице, которое может быть конкретно идентифицировано при помощи этих сведений. Таким образом, персональным данными может быть практически любая информация: email, IP-адрес, GPS позиция пользователя. Не говоря уже о таких данных, как ФИО, дата рождения, адрес и телефон. База персональных данных — именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных.

 

Очевидно, что согласно закону регистрировать свои базы должны владельцы практических любых веб-сайтов, имеющих зарегистрированных пользователей. Сюда же попадают все интернет магазины с их базами покупателей. Но самое интересное, что персональными данными также считается информация о наемных работниках. А значит, зарегистрировать свою базу сотрудников обязана любая украинская компания.

 

После такого пессимистического начала перейдем к конкретным действиям.

 

Как обеспечить соблюдение закона о защите персональных данных

 

Для того, чтобы служба ЗПД не имела к вам вопросов, нужно обеспечить выполнение трех концептуальных пунктов:

получить разрешение каждого субъекта персональных данных (например, пользователя) на обработку и использование его ПД, уведомив его о цели сбора этих данных и их обработки, его правах, в связи с включением информации о нем в базу персональных данных, и лиц, которым эти данные передаются;

• зарегистрировать базу персональных данных в государственном реестре;
  
• обеспечить защиту базы персональных данных.
  

Если говорить о конкретных действиях, то они будут немного различными для разных баз ПД. Выделим два образных случая: веб-сайт и компания, имеющая базу данных сотрудников.

 

Сайт

Для реализации первого пункта вам потребуется модифицировать пользовательское соглашение. Необходимо добавить информацию о правах пользователя (возможно дать ссылку или процитировать статью 8 закона о защите персональных данных), цели обработки ПД, а также пункт “я разрешаю администрации сайта example.com собирать и обрабатывать мои персональные данные. С правами, возникающими в связи с обработкой моих персональных данных, и целями обработки и использования моих персональных данных ознакомлен”.

 

Компания

Нужно принять положения, в которых будут изложены права сотрудников, возникающие в связи с обработкой их ПД, а также цели обработки ПД (пример приказа и положения). Также нужно получить письменное разрешение каждого сотрудника на обработку его ПД (пример).

 

Кроме этого закон обязывает владельца баз ПД обеспечивать их защиту. Однако выбор конкретных мер и способов защиты возлагается целиком на владельца баз ПД и никак не обозначен. Отметим, что существует проект рекомендаций по обеспечению защиты баз ПД, и в будущем этот вопрос будет урегулирован намного точнее.

 

Какая ответственность предусмотрена за несоблюдение закона о защите персональных данных

 

Процитируем Кодекс Украины об административных правонарушениях. Необлагаемый минимум доходов граждан составляет 17 гривен.

 

Административная ответственность:

• неуведомление (несвоевременное уведомление) субъекта персональных данных о его правах в связи с включением его персональных данных в базу, цели сбора данных и лиц, которым эти данные передаются – штраф до 300 НМДГ для граждан и от 300 до 400 – для должностных лиц и СПД;
  
• неуведомление (несвоевременное уведомление) специально уполномоченного органа по вопросам защиты ПД об изменении ведомостей, которые подаются для государственной регистрации базы персональных данных – штраф от 100 до 200 НМДГ для граждан и от 200 до 400 НМДГ – для должностных лиц и СПД;
  
• уклонение от регистрации базы персональных данных – штраф от 300 до 500 НМДГ для граждан и от 500 до 1000 НМДГ – для должностных лиц и СПД;
  
• несоблюдение установленного законодательством порядка защиты базы ПД, которое повлекло к незаконному доступу к ПД – от 300 до 1000 НМДГ;
  
• невыполнение законных требований должностных лиц специально уполномоченного органа по вопросам защиты ПД – штраф от 100 до 200 НМДГ.
  

Также существует уголовная ответственность за незаконный сбор, хранение, использование, уничтожение и распространение конфиденциальной информации (согласно ст.182 УК Украины), но мы искренне надеемся, что до этого дело не дойдет.

 

Составление протоколов о нарушениях в сфере защиты персональных данных возложено на уполномоченный орган – Государственную службу по вопросам защиты персональных данных. Привлекать к ответственности и принимать решение о взыскании штрафа уполномочены местные суды.

 

Особые случаи

 

Закон не распространяет свое действие в следующих случаях:

• если база используется физическим лицом для личных непрофессиональных нужд;
  
• если база используется физическим лицом для бытовых нужд;
  
• если база используется журналистом для исполнения его должностных обязанностей;
  
• если база используется творческим работником для осуществления его творческой деятельности.
  
• Поэтому, если вы ведете личный блог и у вас есть база данных подписчиков, то регистрировать ничего не нужно.
  

 

Рубрика вопрос-ответ

 

В: Есть ли какая-то минимальная совокупность сведений, которая считается персональными данными?

О: Нет. Любые сведения о лице, по которым его можно идентифицировать считаются персональными данными

 

В: Данные хранятся на серверах в США, нужно ли мне регистрировать базу ПД?

О: Да.

 

В: Какой крайний срок регистрации баз ПД?

О: Такого срока нет, но с 1-го января 2012 года за несоблюдение норм закона о защите ПД вас могут привлечь к административной ответственности. Однако, скорее всего, служба ЭПД не приедет к вам с плановой проверкой, и реальные проблемы могут возникнуть только, если на вас подадут жалобу. В любом случае, базу лучше зарегистрировать как можно скорее, это не так сложно.

 

В: Считаются ли персональными данными сведения о сотрудниках?

О: Да

 

В: Нужно ли мне получать разрешение на использование ПД у уже существующих пользователей на моем сайте?

О: Нет, но вам нужно внести изменения в порядок регистрации всех новых пользователей.

 

Ссылки

 

http://www.zpd.gov.ua — государственная служба по вопросам защиты персональных данных

http://www.zpd.gov.ua/zpd.gov.ua_rus/indexDovidkaInfo.html — справочная информация для граждан и юридических лиц

http://zakon2.rada.gov.ua/laws/show/2297-17 — ЗУ “О защите персональных данных”

http://zakon1.rada.gov.ua/cgi-bin/laws/main.cgi?nreg=616-2011-%EF — Положение о Государственном реестре баз персональных данных и порядке его ведения — 25.05.2011 (с 01.07.2011 началась регистрация БПД)

http://www.zpd.gov.ua/R/perelik/perelik/24.htm — Положение о Государственной службе по вопросам защиты персональных данных

http://zakon2.rada.gov.ua/laws/show/3454-17 — Усиление ответственности за нарушение законодательства по защите персональных данных

http://rbpd.informjust.ua — реестр баз персональных данных

http://taxer.com.ua/blog/23 — инструкция по подаче заявки на регистрацию базы ПД в электронном виде

 

 

Хабр

[Lara Kroft]

если база используется журналистом для исполнения его должностных обязанностей;

если база используется творческим работником для осуществления его творческой деятельности.

 

 

муахахаха :))))

 

кстати, а что теперь будет с телефонными справочниками, сайтами с адресными базами и передачей "Жди меня"?

[MedicusAmicus]

[ratibor]

глупости, наличие базы ПД можно подтвердить только её изъятием и экспертизой, а на это нужно решение суда. шум практически на пустом месте

[Pretender]

ratibor о чем вы батенька? какое решение суда? самый простой случай приведу:

1)вы спд.

2)у вас есть наемное лицо

3)вы забили на регистрацию вашей "базы персональных данных"

все привет..

"уклонение от регистрации базы персональных данных – штраф от 300 до 500 НМДГ для граждан и от 500 до 1000 НМДГ – для должностных лиц и СПД;"

а вы думаете много рыночных предпринимателей, у которых есть наемные работники зарегистрировали свои "базы"?

Очердная доильня штрафов

 

 

Мне вот тут другой момент интересен, можно ли с помощью этого закона запретить некоторым установам хранить информацию о вас..?

[MamaMia]

кстати, а что теперь будет с телефонными справочниками, сайтами с адресными базами и передачей "Жди меня"?

 

а со справочниками уже сейчас жопа((( у нас в поселке телефоннные справочники закончились в продаже еще года два назад. Сделать новые не представляется возможным, т.к. тот же телеком отказывается предоставить базу, ссылаясь вот на это все. Как мне объяснили, каждому абоненту надо позвонить и спросить у него разрешения, можно ли его телефон напечатать в справочнике...

[ratibor]

Pretender, а если я СПД, имею наёмное лицо, но базу данных не веду? Какие доказательства эта служба предоставит в суд для назначения штрафа?

[FreeLSD]

Думаю, это актуально для всех, кто хотя бы сдает отчетность в ПФ. Ибо программки для этого - уже вполне полноценная База Персональных Данных

[ratibor]

FreeLSD, а как доказать, что я ей пользуюсь, а не отдал работу по заполнению отчета тёте Маше, фамилию не помню и телефон забыл?

[FreeLSD]

Ну так отчетность формируется в виде какой-то выгрузки, вручную это никто не делает (по крайней мере, я не встречал). А Маша или Клава этим занимается - какая разница, если это делается от имени, по поручению и в интересах конкретного предпринимателя? Значит, и база - его.

По крайней мере, все бегают и регистрируют.

[ratibor]

FreeLSD, Ну мы же говорили про СПД и наёмного работника, если у кого палатка и два продавца смысл заморачиваться - заполнил, наксерил на перёд и только даты проставляешь. Если сдаешь в электронной форме - тут само собой регистрировать нужно, ибо это уже хоть и не прямое, но доказательство существования базы ПД.

[FreeLSD]

СПД и наёмного работника

Для такого масштаба точно неактуально :)

[ratibor]

Тут другое более интересно, требуется указать местонахождение базы данных :)

[FreeLSD]

Что подразумевается под местонахождением? Физическое расположение HDD с этими данными? А если у меня географически распределенная для безопасности система? Опять же, резервные копии положено хранить как можно дальше от оригинала - они считаются?

[Pretender]

ratibor откуда в вас такая наивность? на любого наемного работника ЧП получает дополнительный бланк зеленого цвета, и этот бланк ксерокопируется и вешается на стенд "информации для потребителя", в первый раз к вам просто прийдут проверят все ли бумаги в порядке, после пробьют регистрировали ли вы свою "базу", и если нет замечательный повод для взяток\штрафов..

А наличие вот такого бланка зеленого цвета уже является фактом наличия "базы" у вас. и думаю таки штрафы будут накладывать без участия суда..

И поскольку такую базу обязывает оформлять налоговая, угадайте какой орган будет накладывать штрафы?

[ratibor]

Pretender,

база персональних даних - іменована сукупність упорядкованих

персональних даних в електронній формі та/або у формі картотек

персональних даних;

не вижу по наивности где тут про дополнительный бланк зелёного цвета

и думаю таки штрафы будут накладывать без участия суда

выше же написано:

Привлекать к ответственности и принимать решение о взыскании штрафа уполномочены местные суды.

[ratibor]

FreeLSD, та там трындец полный по тексту закона, сплошная неопределённость, если эта служба рьяно за дело выколачивания денег возьмется - суды охереют от количества дел :)

[Гость bred]

каждому абоненту надо позвонить и спросить у него разрешения, можно ли его телефон напечатать в справочнике...

а сделать альтернативный метод? - вместе со счетом прислать бланк заявы "чтоб мой телефон не публиковался в справочниках" - кто пожелает - заполнит и отнесет сам.

[Gvirinko]

а правда, что сегодня последний день отправлять какие-то там заполненные бланки для этой Базы в Киев?

и что если не отправить — то штраф 5000 грн для ЧП?

[ratibor]

Gvirinko, это хорошая понедельничная шутка, да

[Gvirinko]

Gvirinko, это хорошая понедельничная шутка, да

у меня мама в 100% уверенности.

лежит дома больная, но порывается ехать куда-то отправлять ЭТО.

[ratibor]

Gvirinko, она за наёмников сдаёт отчёты в электронной форме?

[Gvirinko]

Gvirinko, она за наёмников сдаёт отчёты в электронной форме?

не, в бумажной форме.

[ratibor]

вот фраза из закона с определением понятия:

база персональних даних - іменована сукупність упорядкованих

персональних даних в електронній формі та/або у формі картотек

персональних даних;

если у вас такого нет, то и регистрировать нечего

[kosmos]

как бэ расскажу из практики 24.10. отправил сие заявление в эту службу ( согласно закона регистрация производится на осноании заявления и больше ничего)

прошло 2 месяца нис луху ни духу, хотя в течение 10 дней с даты получения они должны были прислать бумажку что заявление получено и принято в обработку и еще через пару недель выдть сертификат.

Чтоб не быть крайним направил им письмо с просьбой объяснить где мои бумаги, 30 дней у них на ответ потом напишу в прокуратуру.

По слухам у них сейчас полный аншлаг.

Заявленеи можно направлять в электронном виде но нужна цифровая подпись аккредитованная у них.

 

ЗЫ все кто был принят официально до 01.01.2011 года заявления не пишут что разрешают использовать ( свои данные , а те кто вновь принят пишут соответствующее заявление и ОК должны вести форму п-2,