Щодо реєстрації баз персональних даних
У зв'язку з великою кількістю звернень щодо порядку реєстрації баз персональних даних, ми зібрали найбільш поширені питання для Вашої зручності у одну статтю.
Ознайомившись зі статтею, Ви будете мати уявлення про порядок реєстрації баз персональних даних, про відповідальність за порушення законодавства у сфері персональних даних, а також отримаете досить вичерпні відповіді на більшість запитань, що виникають у процесі реєстрації баз персональних даних.
Який порядок реєстрації баз персональних даних?
Порядок реєстрації баз персональних даних регулюється Законом України «Про захист персональних даних» та Положенням про Державний реєстр баз персональних даних та порядок його ведення, затвердженим Постановою Кабінету Міністрів України від 25 травня 2011 р. N 616 (далі - Положення).
База персональних даних підлягає державній реєстрації шляхом внесення відповідного запису Державною службою з питань захисту персональних даних до Державного реєстру баз персональних даних.
ДСЗПД здійснює реєстрацію баз персональних даних, а також вносить зміни до відомостей, що містяться в Реєстрі, про зареєстровану базу персональних даних на підставі заяви, поданої володільцем такої бази або уповноваженою ним особою (далі - заявник). Реєстрація баз персональних даних здійснюється за заявочним принципом шляхом повідомлення.
Заява про реєстрацію бази персональних даних подається володільцем бази персональних даних до Державної служби України з питань захисту персональних даних щодо кожної бази даних, яка перебуває у володінні заявника, за формою та у порядку, що затверджуються Мін'юстом.
Така заява повинна містити:
звернення про внесення бази персональних даних до Реєстру;
інформацію про володільця бази персональних даних:
- найменування, резидент/нерезидент, код платника податків згідно з ЄДРПОУ або податковий номер (для резидента), місцезнаходження - для юридичних осіб;
- прізвище, ім'я та по батькові (за наявності), громадянство, номер, серія паспорта та орган, що його видав, а також для громадян України реєстраційний номер облікової картки платника податків (не подається фізичними особами, які через свої релігійні переконання відмовилися від присвоєння реєстраційного номера облікової картки платника податків та офіційно повідомили про це відповідним органам державної влади, що підтверджується відміткою в паспорті), місце проживання - для фізичних осіб;
інформацію про найменування і місцезнаходження бази персональних даних:
- адреса фактичного розміщення - для баз даних у формі картотек;
- фактичні адреси зберігання носіїв інформації - для баз даних в електронній формі;
інформацію про мету обробки персональних даних у базі персональних даних з посиланням на нормативно-правові акти, положення, установчі чи інші документи, які регулюють діяльність володільця бази персональних даних, у тому числі про їх категорії та правові підстави такої обробки;
інформацію про інших розпорядників баз персональних даних:
- найменування, резидент/нерезидент, код платника податків згідно з ЄДРПОУ або податковий номер (для резидента), місцезнаходження - для юридичних осіб;
- прізвище, ім'я та по батькові (за наявності), громадянство, номер, серія паспорта та орган, що його видав, а також для громадян України реєстраційний номер облікової картки платника податків (не подається фізичними особами, які через свої релігійні переконання відмовилися від присвоєння реєстраційного номера облікової картки платника податків та офіційно повідомили про це відповідним органам державної влади, що підтверджується відміткою в паспорті), місце проживання - для фізичних осіб;
документ, що підтверджує зобов'язання стосовно виконання вимог законодавства щодо захисту персональних даних.
ДСЗПД повідомляє заявникові не пізніше наступного робочого дня з дня надходження заяви про її отримання. У повідомленні зазначаються дата та реєстраційний номер запису про заяву у Реєстрі, а також дата звернення за отриманням свідоцтва чи повідомлення про відмову в реєстрації.
Державна служба з питань захисту персональних даних відмовляє в реєстрації бази персональних даних, якщо заява про реєстрацію не відповідає вимогам частини третьої статті 9 Закону України «Про захист персональних даних» або у разі, коли подані відповідно до пункту 7 Положення відомості, є неповними чи недостовірними.
ДСЗПД у зв'язку з отриманням заяви вносить до Реєстру такі відомості:
- інформація про заявника;
- найменування бази персональних даних;
- дата реєстрації заявником та вихідний номер (за наявності) заяви.
Після внесення до Реєстру відомостей про заяву їй автоматично (з використанням програмного забезпечення Реєстру) присвоюється реєстраційний номер. При цьому фіксуються дата і час реєстрації заяви.
Протягом 10 робочих днів з дня надходження відповідної заяви ДСЗПД приймає рішення про реєстрацію бази персональних даних шляхом видання її володільцю свідоцтва про державну реєстрацію бази персональних даних чи повідомлення про відмову в реєстрації, про що вносить запис до Реєстру.
Яка відповідальність передбачена за недотримання вимог законодавства про захист персональних даних?
Законом України «Про захист персональних даних» передбачено, що за порушення законодавства про захист персональних даних тягне за собою відповідальність, встановлену законом.
Відповідно до Закону України «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» вiд 02.06.2011 № 3454-VI внесені зміни до таких законодавчих актів України:
1. Кодекс України про адміністративні правопорушення доповнено статтями 188-39 і 188-40 такого змісту:
«Стаття 188-39. Порушення законодавства у сфері захисту персональних даних.
Неповідомлення або несвоєчасне повідомлення суб'єкта персональних даних про його права у зв'язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються, - тягнуть за собою накладення штрафу на громадян від двохсот до трьохсот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб'єктів підприємницької діяльності - від трьохсот до чотирьохсот неоподатковуваних мінімумів доходів громадян.
Неповідомлення або несвоєчасне повідомлення спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних про зміну відомостей, що подаються для державної реєстрації бази персональних даних, - тягнуть за собою накладення штрафу на громадян від ста до двохсот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб'єктів підприємницької діяльності - від двохсот до чотирьохсот неоподатковуваних мінімумів доходів громадян.
Повторне протягом року вчинення порушення з числа передбачених частинами першою або другою цієї статті, за яке особу вже було піддано адміністративному стягненню, - тягне за собою накладення штрафу на громадян від трьохсот до п'ятисот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб'єктів підприємницької діяльності - від чотирьохсот до семисот неоподатковуваних мінімумів доходів громадян.
Ухилення від державної реєстрації бази персональних даних - тягне за собою накладення штрафу на громадян від трьохсот до п'ятисот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб'єктів підприємницької діяльності - від п'ятисот до тисячі неоподатковуваних мінімумів доходів громадян.
Недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них, - тягне за собою накладення штрафу від трьохсот до тисячі неоподатковуваних мінімумів доходів громадян».
« Стаття 188-40. Невиконання законних вимог посадових осіб спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних.
Невиконання законних вимог посадових осіб спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних щодо усунення порушень законодавства про захист персональних даних - тягне за собою накладення штрафу на посадових осіб, громадян - суб'єктів підприємницької діяльності від ста до двохсот неоподатковуваних мінімумів доходів громадян».
2. Статтю 182 Кримінального кодексу України викладено в такій редакції:
«Стаття 182. Порушення недоторканності приватного життя.
1. Незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації, крім випадків, передбачених іншими статтями цього Кодексу, - караються штрафом від п'ятисот до однієї тисячі неоподатковуваних мінімумів доходів громадян або виправними роботами на строк до двох років, або арештом на строк до шести місяців, або обмеженням волі на строк до трьох років.
2. Ті самі дії, вчинені повторно, або якщо вони заподіяли істотну шкоду охоронюваним законом правам, свободам та інтересам особи, - караються арештом на строк від трьох до шести місяців або обмеженням волі на строк від трьох до п'яти років, або позбавленням волі на той самий строк.
Примітка. Істотною шкодою у цій статті, якщо вона полягає у заподіянні матеріальних збитків, вважається така шкода, яка в сто і більше разів перевищує неоподатковуваний мінімум доходів громадян».
Цей Закон набирає чинності з 1 січня 2012 року.
Для чого потрібна реєстрація баз персональних даних?
Реєстрація баз персональних даних є:
- корисною для суб’єктів персональних даних, оскільки є важливою ознакою прозорості стосовно обробки персональних даних, аналіз записів у Державному реєстрі може слугувати відправною точкою для подання суб’єктом персональних даних скарги до компетентних органів;
- корисною для володільців баз персональних даних, оскільки сприяє їх обізнаності щодо вимог законодавства та щодо необхідності забезпечувати обробку персональних даних з дотриманням вимог законодавства;
- корисною для уповноваженого державного органу з питань захисту персональних даних, оскільки дозволяє йому бути обізнаним із ситуацією стосовно обробки персональних даних, та водночас дає змогу здійснювати аналіз записів з метою удосконалення положень типового порядку обробки персональних даних та методів контролю за додержанням вимог законодавства про захист персональних даних.
Чи вважатиметься документація, що використовується в діяльності підприємств, установ та організацій та містить певним чином структуровані персональні дані найманих працівників «базою персональних даних» в розумінні Закону України «Про захист персональних даних»?
Згідно з Законом України «Про захист персональних даних» персональними даними є відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.
Документація підприємств, установ та організацій в електронній формі та/або у формі картотек що містить певним чином структуровані персональні дані найманих працівників підпадає під визначення «база персональних даних» відповідно до сатті 2 Закону України «Про захист персональних даних».
Що таке мета (ціль) обробки персональних даних, яка вона може бути?
Відповідно до Закону України «Про захист персональних даних» мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця баз персональних даних.
Як приклад, метою обробки персональних даних може бути: забезпечення реалізації трудових відносин; адміністративно-правових; податкових відносин та відносин у сфері бухгалтерського обліку та аудиту; відносин у сфері управління людськими ресурсами; відносин у сфері економічних, фінансових послуг; відносин у сфері реклами; відносин у сфері телекомунікаційних послуг; відносин у сфері громадської, політичної та релігійної діяльності; відносин у сфері культури, дозвілля, спортивної та соціальної діяльності; відносин у сфері освіти; відносин у сфері охорони здоров’я; відносин у сфері безпеки; відносин у сфері транспорту; відносин у сфері науки, історичних досліджень та статистики тощо.
Приклад формулювання мети :
Обробка персональних даних фізичних осіб загального характеру (прізвище, ім’я та по батькові, дата та місце народження, громадянство, місце проживання тощо) або вразливих персональних даних (расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров'я чи статевого життя) здійснюється для забезпечення реалізації (вказати яких саме) відносин, відповідно до (перерахувати правові акти, положення, установчі чи інші документи, які регулюють діяльність володільця).
Що саме є базою персональних даних і які бази потрібно реєструвати?
Відповідно до статті 2 Закону України «Про захист персональних даних» від 1 червня 2010 року (далі - Закон) персональні дані це – відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.
Існують персональні дані таких категорій: дані загального характеру (прізвище, ім’я та по батькові, дата та місце народження, громадянство, місце проживання, особисті відомості (вік, стать, сімейний стан тощо), склад сім'ї, освіта, професія, фінансова інформація, електронні ідентифікаційні дані, запис зображень (фото, відео) тощо) та вразливі (чутливі) персональні дані (расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також дані, що стосуються здоров'я чи статевого життя).
Відповідно до вищезазначеного Закону будь-яка сукупність упорядкованих персональних даних про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована вважається базою персональних даних. Кожна база персональних даних підлягає державній реєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних. Виключень щодо реєстрації баз персональних даних Закон не містить.
Володілець самостійно приймає рішення про те, чи являється та чи інша сукупність персональних даних фізичних осіб, яка знаходиться в його володінні, базою персональних даних.
Аналізуючи заяви про реєстрацію баз персональних даних, які надходять на реєстрацію до ДСЗПД, можна дійти висновку, що кожне підприємство (організація) є володільцем щонайменше двох баз персональних даних, а саме бази персональних даних працівників, яка ведеться з метою забезпечення вимог трудового законодавства, реалізації податкових відносин та відносин у сфері бухгалтерського обліку та аудиту, та бази персональних даних клієнтів або інших осіб персональні дані яких обробляються володільцем в результаті господарської діяльності організації.
Крім того, слід зазначити, що різні типи звітів та форм, що містять в собі певну сукупність відомостей про фізичних осіб, вибраних з баз персональних даних володільця, та які, відповідно до закону, періодично подаються до органів державної влади - не розглядаються як окремі бази персональних даних.
Які підстави виникнення права на обробку персональних даних?
- згода суб'єкта персональних даних на обробку його персональних даних
- надане володільцю бази персональних даних у порядку, визначеному законодавством України, право на обробку персональних даних відповідно до Закону України «Про захист персональних даних», і виключно в інтересах національної безпеки, економічного добробуту та прав людини
- необхідність захисту життєво важливих інтересів суб'єкта персональних даних до часу, коли отримання згоди на обробку персональних даних від суб’єкта персональних даних стане можливим.
Де шукати цілі обробки персональних даних і що вони собою являють?
Цілі обробки персональних даних повинні відповідати цілям діяльності володільця бази персональних даних, що зафіксовані в їх установчих документах та/або передбачені законодавством України, що регулює їх діяльність.
Типовими цілями обробки персональних даних є забезпечення реалізації:
- трудових відносин;
- адміністративно-правових (в тому числі, відносин у сфері державного управління), податкових відносин та відносин у сфері бухгалтерського обліку;
- відносин у сфері управління людськими ресурсами, зокрема, кадровим потенціалом;
- відносин у сфері економічних, фінансових послуг та страхування;
- відносин у сфері реклами та збору персональних даних у комерційних цілях;
- відносин у сфері телекомунікаційних послуг;
- відносин у сфері громадської, політичної та релігійної діяльності, культури, дозвілля, спортивної та соціальної діяльності;
- відносин у сфері освіти;
- відносин у сфері охорони здоров’я;
- відносин у сфері безпеки, включаючи питання приватних розслідувань, побудови системи приватної безпеки та приватної охорони;
- відносин у сфері транспорту;
- відносин у сфері науки, історичних досліджень та статистики;
- інших відносин, що вимагають обробки персональних даних.