про твої права

Еще раз о базах персональных данных

Недавно на официальном сайте Министерства юстиции Украины появилось разъяснение относительно практического применения норм Закона Украины «О защите персональных данных» (далее - Закон). В связи с этим prostopravo.com.ua решил еще раз коснуться этой темы и попытаться окончательно прояснить для себя некоторые моменты, связанные с регистрацией баз персональных данных, ответственности за разглашение.

Путеводитель по статье

  1. Что такое персональные данные
  2. Что является базой персональных данных, а что нет?
  3. Владельцы и распорядители баз персональных данных
  4. Права субъекта персональных данных
  5. Уведомление об обработке персональных данных
  6. Основания для обработки персональных данных
  7. Контроль за соблюдением законодательства о защите персональных данных и ответственности
  8. Образец согласия на обработку персональных данных
Видео путеводитель
Персональные данные: оформление согласия на их обработку

Персональные данные: оформление согласия на их обработку

Что такое персональные данные

Определение понятия персональных данных приводится в абзаце восьмом статьи 2 Закона «О защите персональных данных», согласно которому персональными данными являются сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано.

База персональных данных – именуемая совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных.

Законодательством Украины не установлен и не может быть установлен четкий перечень сведений о физическом лице, являющихся персональными данными, для возможности применения положений Закона к различным ситуациям, которые могут возникнуть в будущем, в связи с изменением в технологической, социальной, экономической и других сферах общественной жизни.

Согласно статье 24 Кодекса законов о труде гражданин при заключении трудового договора обязан представить паспорт или иной документ, удостоверяющий личность, трудовую книжку, а в случаях, предусмотренных законодательством, – также документ об образовании (специальность, квалификацию), о состоянии здоровья и другие документы.

В связи с этим персональные данные работника, содержащиеся в паспорте или удостоверяющем личность документе в трудовой книжке, документе об образовании (специальность, квалификацию), документе о состоянии здоровья и других документах, которые он подал при заключении трудового договора, обрабатываются владельцем базы персональных данных из статьи 24 Кодекса законов о труде Украины исключительно для осуществления полномочий владельца базы персональных данных в сфере правоотношений, возникших у него с работником на основании трудового договора (контракта).

Таким образом, информация о наемных работниках является базой персональных данных, поскольку личные дела, трудовые книжки, копии паспортов, документов об образовании хранятся и обрабатываются работодателем.

Что является базой персональных данных, а что нет?

Понятие «база персональных данных» определено абзацем вторым статьи 2 Закона, согласно которому база персональных данных – именуемая совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных.

Учитывая это, база персональных данных является упорядоченной совокупностью логически связанных данных о физических лицах:

  • хранятся и обрабатываются соответствующим программным обеспечением (основа персональных данных в электронной форме);
  • хранятся и обрабатываются на бумажных носителях информации (база персональных данных в форме картотек).

Картотекой персональных данных является любой структурированный массив персональных данных, доступный по определенным критериям, независимо от того, является ли такой массив централизованным, децентрализованным или разделенным на функциональных или географических началах. Такие данные должны быть структурированы по определенным критериям, касающимся физических лиц, чтобы обеспечить легкий доступ к соответствующим персональным данным.

Важно отметить, что физические лица-предприниматели и самозанятые личности самостоятельно определяют владеют ли они базами персональных данных в смысле Закона.

Однозначно не являются базами персональных данных в понимании Закона собираемые и обрабатываемые сведения:

  • физическим лицом - исключительно для непрофессиональных личных или бытовых нужд,
  • журналистом - в связи с исполнением им служебных или профессиональных обязанностей,
  • профессиональным творческим работником – для осуществления творческой деятельности.

Кроме того, по мнению Министерства юстиции, в случае, если физические лица – предприниматели заключают договоры выполнения работ или предоставление услуг с физическими лицами, такие договоры также не являются базой персональных данных и не подлежат государственной регистрации.

При осуществлении своей профессиональной деятельности на адвокатов законодательством не возложена обязанность по ведению баз персональных данных клиентов. Но если адвокаты формируют дела на своих клиентов, постоянно обновляют и поддерживают в актуальном состоянии, такие дела являются базой персональных данных.

Нотариусы могут обрабатывать персональные данные своих наемных работников, клиентов в базах персональных данных, однако документы нотариального делопроизводства и архив нотариуса, определенные в статье 14 Закона Украины «О нотариате», не являются базой персональных данных в понимании Закона Украины «О защите персональных данных».

Владельцы и распорядители баз персональных данных

Владельцем базы персональных данных согласно абзацу третьему статьи 2 Закона является физическое или юридическое лицо, которому законом или с согласия субъекта персональных данных предоставлено право на обработку этих данных , утверждающее цель обработки персональных данных и процедуру их обработки, если иное не определено законом .

Да, если персональные данные обрабатываются юридическим лицом, то владельцем базы персональных данных является юридическое лицо.

Распорядителем базы персональных данных согласно абзацу девятому статьи 2 Закона может быть физическое или юридическое лицо, которому владельцем базы персональных данных или законом предоставлено право обрабатывать эти данные.

В качестве практического примера приводятся отношения между юридическими лицами и их представительствами, филиалами, отделениями и т.д. Так, в смысле Закона эти представительства, филиалы, отделения могут выступать распорядителями баз персональных данных, владельцем которых является юридическое лицо.

Согласно статье 4 Закона владельцем или распорядителем базы персональных данных могут быть предприятия, учреждения и организации всех форм собственности, органы государства или органы местного самоуправления, обрабатывающие персональные данные в соответствии с законом.

Но если владельцем базы персональных данных является орган государственной власти или орган местного самоуправления, то распорядителем базы персональных данных, кроме этих органов, может быть только предприятие государственной или коммунальной формы собственности, принадлежащей сфере управления этого органа.

Права субъекта персональных данных

Личные неимущественные права на персональные данные, которые имеет каждое физическое лицо, неотъемлемы и незыблемы.

Субъект персональных данных имеет право:

  1. знать об источниках сбора, местонахождении своих персональных данных, цели их обработки, местонахождении или местожительстве (нахождении) владельца или распорядителя персональных данных или дать соответствующее поручение по получению этой информации уполномоченным им лицам, кроме случаев, установленных законом;
  2. получать информацию об условиях предоставления доступа к персональным данным, в частности информацию о третьих лицах, которым передаются его персональные данные;
  3. на доступ к своим персональным данным;
  4. получать не позднее чем через тридцать календарных дней со дня поступления запроса, кроме случаев, предусмотренных законом, ответ о том, обрабатываются ли его персональные данные, а также получать содержание таких персональных данных;
  5. предъявлять мотивированное требование владельцу персональных данных с возражением против обработки своих персональных данных;
  6. предъявлять мотивированное требование изменения или уничтожения своих персональных данных любым владельцем и распорядителем персональных данных, если эти данные обрабатываются незаконно или недостоверны;
  7. в защиту своих персональных данных от незаконной обработки и случайной потери, уничтожения, повреждения в связи с умышленным сокрытием, непредоставлением или несвоевременным их предоставлением, а также в защиту от предоставления сведений, недостоверных или порочащих честь, достоинство и деловую репутацию физического лица;
  8. обращаться с жалобами на обработку своих персональных данных Уполномоченному или в суд;
  9. применять средства правовой защиты в случае нарушения законодательства о защите персональных данных;
  10. вносить оговорки относительно ограничения права на обработку своих персональных данных при предоставлении согласия;
  11. отозвать согласие на обработку персональных данных;
  12. знать механизм автоматической обработки персональных данных;
  13. на защиту от автоматизированного решения, которое имеет для него правовые последствия.

Уведомление об обработке персональных данных

Теперь регистрировать базы персональных данных не нужно.

Обладатель персональных данных уведомляет Уполномоченного об обработке персональных данных, которая представляет особый риск для прав и свобод субъектов персональных данных, в течение тридцати рабочих дней со дня начала такой обработки.

Виды обработки персональных данных, представляющих особый риск для прав и свобод субъектов персональных данных, и категории субъектов, на которых распространяется требование уведомления, определяются Уполномоченным.

Уведомление об обработке персональных данных подается по форме и порядке, определенным Уполномоченным.

Обладатель персональных данных обязан сообщать Уполномоченному о каждом изменении сведений, подлежащих уведомлению, в течение десяти рабочих дней со дня наступления такого изменения.

Такая информация подлежит обнародованию на официальном сайте Уполномоченного в порядке, определенном Уполномоченным.

Основания для обработки персональных данных

Основаниями для обработки персональных данных являются:

  1. согласие субъекта персональных данных на обработку его персональных данных;
  2. разрешение на обработку персональных данных, предоставленное владельцу персональных данных в соответствии с законом исключительно для осуществления его полномочий;
  3. заключение и выполнение сделки, стороной которой является субъект персональных данных или заключен в пользу субъекта персональных данных или для осуществления мер, предшествующих заключению сделки по требованию субъекта персональных данных;
  4. защита жизненно важных интересов субъекта персональных данных;
  5. необходимость выполнения обязанности владельца персональных данных, предусмотренного законом;
  6. необходимость защиты законных интересов владельца персональных данных или третьего лица, которому передаются персональные данные, кроме случаев, когда потребности защиты основных прав и свобод субъекта персональных данных в связи с обработкой его данных преобладают такие интересы.

Банковские услуги для предприятий:

Контроль за соблюдением законодательства о защите персональных данных и ответственности

Контроль соблюдения законодательства о защите персональных данных в пределах полномочий, предусмотренных законом, осуществляют следующие органы:

  1. Уполномоченный по правам человека;
  2. суды.

Уполномоченный имеет следующие полномочия в сфере защиты персональных данных:

  1. получать предложения, жалобы и другие обращения физических и юридических лиц по защите персональных данных и принимать решения по результатам их рассмотрения;
  2. проводить на основании обращений или по собственной инициативе выездные и невыездные, плановые, внеплановые проверки владельцев или распорядителей персональных данных в порядке, определенном уполномоченным, с обеспечением в соответствии с законом доступа в помещение, где осуществляется обработка персональных данных;
  3. получать по своему требованию и иметь доступ к любой информации (документам) владельцев или распорядителей персональных данных, необходимых для осуществления контроля за обеспечением защиты персональных данных, в том числе доступ к персональным данным, соответствующим базам данных или картотек, информации из ограниченным доступом;
  4. утверждать нормативно правовые акты в сфере защиты персональных данных в случаях, предусмотренных Законом;
  5. по итогам проверки, рассмотрения обращения выдавать обязательные для выполнения требования (предписания) о предотвращении или устранении нарушений законодательства о защите персональных данных, в том числе по изменению, удалению или уничтожению персональных данных, обеспечению доступа к ним, предоставлению или запрету их предоставление третьему лицу, остановка или прекращение обработки персональных данных;
  6. давать рекомендации по практическому применению законодательства о защите персональных данных, разъяснять права и обязанности соответствующих лиц за обращением субъектов персональных данных, владельцев или распорядителей персональных данных, структурных подразделений или ответственных лиц за организацию работы по защите персональных данных, других лиц;
  7. взаимодействовать со структурными подразделениями или ответственными лицами, организующими работу, связанную с защитой персональных данных при их обработке; обнародовать информацию о таких структурных подразделениях и ответственных лицах;
  8. обращаться с предложениями к Верховной Раде Украины, к Президенту Украины, Кабинету Министров Украины, другим государственным органам, органам местного самоуправления, их должностным лицам о принятии или внесении изменений в нормативно-правовые акты по вопросам защиты персональных данных;
  9. предоставлять по обращению профессиональных, самоуправляющихся и других общественных объединений или юридических лиц заключения по проектам кодексов поведения в сфере защиты персональных данных и изменений в них;
  10. составлять протоколы о привлечении к административной ответственности и направлять их в суд в случаях, предусмотренных законом;
  11. информировать о законодательстве по вопросам защиты персональных данных, проблемах его практического применения, правах и обязанностях субъектов отношений, связанных с персональными данными;
  12. осуществлять мониторинг новых практик, тенденций и технологий защиты персональных данных;
  13. организовывать и обеспечивать взаимодействие с иностранными субъектами отношений, связанных с персональными данными, в том числе в связи с исполнением Конвенции о защите лиц в связи с автоматизированной обработкой персональных данных и Дополнительного протокола к ней, других международных договоров Украины в сфере защиты персональных данных;
  14. участвовать в работе международных организаций по защите персональных данных.

Уполномоченный Верховной Рады Украины по правам человека включает в свой ежегодный доклад о состоянии соблюдения и защиты прав и свобод человека и гражданина в Украине отчет о соблюдении законодательства в сфере защиты персональных данных.

За нарушение законодательства о защите персональных данных предусмотрена административная ответственность:

Статья 188-39 Кодекса об административных правонарушениях. Нарушение законодательства в сфере защиты персональных данных

Несообщение или несвоевременное уведомление Уполномоченного Верховной Рады Украины по правам человека об обработке персональных данных или об изменении сведений, подлежащих уведомлению согласно закону, уведомление неполных или недостоверных сведений -

  • влекут наложение штрафа на граждан от ста до двухсот не облагаемых налогом минимумов доходов граждан и на должностных лиц, граждан - субъектов предпринимательской деятельности - от двухсот до четырехсот не облагаемых налогом минимумов доходов граждан.

Невыполнение законных требований (предписаний) Уполномоченного Верховной Рады Украины по правам человека или определенных им должностных лиц секретариата Уполномоченного Верховной Рады Украины по правам человека по предотвращению или устранению нарушений законодательства о защите персональных данных -

  • влекут наложение штрафа на граждан от двухсот до трехсот не облагаемых налогом минимумов доходов граждан и на должностных лиц, граждан - субъектов предпринимательской деятельности - от трехсот до одной тысячи не облагаемых налогом минимумов доходов граждан.

Повторное в течение года совершение нарушения из числа предусмотренных частями первой или второй настоящей статьи, за которое лицо уже было подвергнуто административному взысканию, -

  • влечет наложение штрафа на граждан от трехсот до пятисот не облагаемых налогом минимумов доходов граждан и на должностных лиц, граждан - субъектов предпринимательской деятельности - от пятисот до двух тысяч не облагаемых налогом минимумов доходов граждан.

Несоблюдение установленного законодательством о защите персональных данных порядка защиты персональных данных, повлекшее незаконный доступ к ним или нарушение прав субъекта персональных данных, -

  • влечет наложение штрафа на граждан от ста до пятисот не облагаемых налогом минимумов доходов граждан и на должностных лиц, граждан - субъектов предпринимательской деятельности - от трехсот до одной тысячи не облагаемых налогом минимумов доходов граждан.

Повторное в течение года совершение нарушения, предусмотренного частью четвертой настоящей статьи, за которое лицо уже было подвергнуто административному взысканию, -

  • влечет наложение штрафа от одной тысячи до двух тысяч не облагаемых налогом минимумов доходов граждан.

Дела об административных правонарушениях в сфере защиты персональных данных рассматриваются согласно статье 221 Кодекса Украины об административных правонарушениях исключительно судами.

Читайте также:

Все статьи раздела

Поиск юридической помощи в защите бизнеса от проверок и штрафов

Нуждаетесь в юридической помощи?