Еще раз о базах персональных данных

Недавно на официальном сайте Министерства юстиции Украины появилось разъяснение относительно практического применения норм Закона Украины «О защите персональных данных» (далее - Закон). В связи с этим prostopravo.com.ua решил еще раз коснуться этой темы и попытаться окончательно прояснить для себя некоторые моменты, связанные с регистрацией баз персональных данных, ответственности за разглашение.

Краткое содержание и ссылки по теме

  1. Что такое персональные данные
  2. Что является базой персональных данных, а что – нет?
  3. Владельцы и распорядители баз персональных данных
  4. Порядок регистрации баз персональных данных
  5. Обработка персональных данных
  6. Контроль за соблюдением законодательства о защите персональных данных и ответственность

Что такое персональные данные

Определение понятия персональных данных приводится в абзаце восьмом статьи 2 Закона «О защите персональных данных», согласно которому персональными данными являются сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано.

База персональных данных - именованная совокупность упорядоченных персональных данных в электронной форме и / или в форме картотек персональных данных.

Законодательством Украины не установлен и не может быть установлен четкий перечень сведений о физическом лице, которые являются персональными данными, для возможности применения положений Закона к различным ситуациям, которые могут возникнуть в будущем, в связи с изменением в технологической, социальной, экономической и других сферах общественной жизни.

Согласно статье 24 Кодекса законов о труде гражданин при заключении трудового договора обязан предоставить паспорт или другой документ, удостоверяющий личность, трудовую книжку, а в случаях, предусмотренных законодательством, - также документ об образовании (специальности, квалификации), о состоянии здоровья и другие документы.

В этой связи персональные данные работника, которые содержатся в паспорте или документе, удостоверяющем личность, в трудовой книжке, документе об образовании (специальности, квалификации), документе о состоянии здоровья и других документах, которые он подал при заключении трудового договора, обрабатываются владельцем базы персональных данных на основании статьи 24 Кодекса законов о труде Украины исключительно для осуществления полномочий владельца базы персональных данных в сфере правоотношений, возникших у него с работником на основании трудового договора (контракта).

Таким образом, информация о наемных работниках является базой персональных данных, поскольку, личные дела, трудовые книжки, копии паспортов, документов об образовании хранятся и обрабатываются работодателем.

Что является базой персональных данных, а что – нет?

Понятие «база персональных данных» определено абзацем вторым статьи 2 Закона, согласно которому база персональных данных - именованная совокупность упорядоченных персональных данных в электронной форме и / или в форме картотек персональных данных.

Учитывая это база персональных данных является упорядоченной совокупностью логически связанных данных о физических лицах:

  • хранящихся и обрабатываемых соответствующим программным обеспечением (база персональных данных в электронной форме);
  • хранящихся и обрабатываемых на бумажных носителях информации (база персональных данных в форме картотек).

Картотекой персональных данных является любой структурированный массив персональных данных, доступный по определенным критериям, независимо от того, является ли такой массив централизованным, децентрализованным или разделенным на функциональных или географических принципах. Такие данные должны быть структурированы по определенным критериям, касающимся физических лиц, чтобы обеспечить легкий доступ к соответствующим персональным данным.

Важно отметить, что физические лица-предприниматели и самозанятые лица самостоятельно определяют обладают ли они базами персональных данных в смысле Закона.

Однозначно не являются базами персональных данных в понимании Закона сведения, которые собираются и обрабатываются:

  • физическим лицом - исключительно для непрофессиональных личных или бытовых нужд,
  • журналистом - в связи с исполнением им служебных или профессиональных обязанностей,
  • профессиональным творческим работником - для осуществления творческой деятельности.

Кроме того, по мнению Министерства юстиции, в случае, если физические лица - предприниматели заключают договора выполнения работ или оказания услуг с физическими лицами, такие договора также не является базой персональных данных и не подлежат государственной регистрации.

При осуществлении своей профессиональной деятельности на адвокатов законодательством не возложена обязанность ведения баз персональных данных клиентов. Но, если адвокаты формируют дела на своих клиентов, они постоянно обновляют и поддерживают в актуальном состоянии, такие дела является базой персональных данных и подлежат государственной регистрации.

Нотариусы могут обрабатывать персональные данные своих наемных работников, клиентов в базах персональных данных, однако, документы нотариального делопроизводства и архив нотариуса, определенные в статье 14 Закона Украины «О нотариате» не являются базой персональных данных в смысле Закона Украины «О защите персональных данных» и не подлежат государственной регистрации.

Владельцы и распорядители баз персональных данных

Владельцем базы персональных данных согласно абзацу третьему статьи 2 Закона является физическое или юридическое лицо, которому законом или с согласия субъекта персональных данных предоставлено право на обработку этих данных, которое утверждает цель обработки персональных данных и процедуру их обработки, если иное не определено законом .

Так, если персональные данные обрабатываются юридическим лицом, то владельцем базы персональных данных является юридическое лицо.

Распорядителем базы персональных данных согласно абзацу девятому статьи 2 Закона может быть физическое или юридическое лицо, которому владельцем базы персональных данных или законом предоставлено право обрабатывать эти данные.

В качестве практического примера приводятся отношения между юридическими лицами и их представительствами, филиалами, отделениями и т.д. Так, в смысле Закона эти представительства, филиалы, отделения могут выступать распорядителями баз персональных данных, владельцем которых является юридическое лицо.

Согласно статье 4 Закона владельцем или распорядителем базы персональных данных могут быть предприятия, учреждения и организации всех форм собственности, органы государства власти или органы местного самоуправления, которые обрабатывают персональные данные в соответствии с законом.

Но если владельцем базы персональных данных является орган государственной власти или орган местного самоуправления, то распорядителем базы персональных данных, кроме этих органов, может быть только предприятие государственной или коммунальной формы собственности, принадлежащей к сфере управления этого органа.

Порядок регистрации баз персональных данных

Согласно статье 9 Закона регистрация баз персональных данных носит уведомительный характер.

Владелец персональных данных сообщает Уполномоченному ВРУ по правам человека (далее – Уполномоченный) об обработке персональных данных, которые представляют особый риск для прав и свобод субъектов персональных данных, за тридцать рабочих дней со дня начала такой обработки.

Виды обработки персональных данных, которые представляют особый риск для прав и свобод субъектов персональных данных, и категории субъектов, на которых распространяется требование об уведомлении, определяются уполномоченным.

Обработка персональных данных, которая представляет особый риск для прав и свобод субъектов - это любое действие или совокупность действий, а именно сбор, регистрация, накопление, хранение, адаптирование, изменение, возобновление, использование и распространение (распространение, реализация, передача), обезличивание, уничтожение, в том числе с использованием информационных (автоматизированных) систем, которая осуществляется в отношении персональных данных про:

- расовое, этническое и национальное происхождение;

- политические, религиозные или мировоззренческие убеждения;

- членство в политических партиях и / или организациях, профессиональных союзах, религиозных организациях или в общественных организациях мировоззренческой направленности;

- состояние здоровья;

- половая жизнь;

- биометрические данные;

- генетические данные;

- привлечение к административной или уголовной ответственности;

- применение в отношении лица меры в рамках досудебного расследования;

- принятие по лицу мер, предусмотренных Законом Украины «Об оперативно-розыскной деятельности»;

- совершение в отношении лица тех или иных видов насилия;

- местонахождение и / или пути передвижения лица.

Сообщение об обработке персональных данных подается по форме и в порядке, определенными Уполномоченным.

Владелец персональных данных подает в Секретариат Уполномоченного заполненный бланк заявления по установленной форме. Каждая страница заявления должна быть пронумерована и скреплена печатью (при наличии) и подписью уполномоченного на то лица.

Владелец персональных данных уведомляет Уполномоченного письмом в адрес Секретариата Уполномоченного: ул. Институтская, 21/8; м. Киев, 01008, или другим доступным заявителю способом (по факсу, электронной почте, через ящик, специально размещенный на 1 этаже Секретариата Уполномоченного). В случае направления заявления по электронной почте заявление должно быть отсканировано.

Владелец персональных данных обязан сообщать Уполномоченного о каждом изменении сведений, подлежащих сообщению, в течение десяти рабочих дней со дня наступления такого изменения. Такая информация подлежит обнародованию на официальном сайте Уполномоченного.

Обработка персональных данных

Цель обработки персональных данных должна быть сформулирована в законах, других нормативно-правовых актах, положениях, учредительных или иных документах, регулирующих деятельность владельца персональных данных, и соответствовать законодательству о защите персональных данных.

Обработка персональных данных осуществляется открыто и прозрачно с применением средств и способом, которые отвечают определенным целям такой обработки.

В случае изменения определенной цели обработки персональных данных на новую цель, которая несовместима с предыдущей, для дальнейшей обработки данных владелец персональных данных должен получить согласие субъекта персональных данных на обработку его данных в соответствии с измененной целью, если иное не предусмотрено законом.

Персональные данные должны быть точными, достоверными и обновляться по мере необходимости, определенной целью их обработки.

Состав и содержание персональных данных должны быть соответствующими, адекватными и соответсвовать определенной цели их обработки.

Первичными источниками сведений о физическом лице являются: выданные на его имя документы; подписанные им документы; сведения, которые лицо предоставляет о себе.

Обработка персональных данных осуществляется для конкретных и законных целей, определенных по согласию субъекта персональных данных или в случаях, предусмотренных законами Украины, в порядке, установленном законодательством.

Не допускается обработка данных о физическом лице, которые являются конфиденциальной информацией, без его согласия, кроме случаев, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека.

Если обработка персональных данных необходима для защиты жизненно важных интересов субъекта персональных данных, обрабатывать персональные данные без его согласия можно до времени, когда получение согласия станет возможным.

Персональные данные обрабатываются в форме, допускающей идентификацию физического лица, которого они касаются, не дольше, чем это необходимо для законных целей, в которых они собирались или в дальнейшем обрабатывались.

Дальнейшая обработка персональных данных в исторических, статистических или научных целях может осуществляться при условии обеспечения их надлежащей защиты.

Запрещается обработка персональных данных о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, осуждении к уголовному наказанию, а также данных, касающихся здоровья, половой жизни, биометрических или генетических данных.

Запрет не действует, если:

1) осуществляется при условии предоставления субъектом персональных данных однозначного согласия на обработку таких данных;

2) необходима для осуществления прав и исполнения обязанностей владельца в сфере трудовых правоотношений в соответствии с законом с обеспечением соответствующей защиты;

3) необходима для защиты жизненно важных интересов субъекта персональных данных или другого лица в случае недееспособности или ограничения гражданской дееспособности субъекта персональных данных;

4) осуществляется с обеспечением соответствующей защиты религиозной организацией, общественной организацией мировоззренческой направленности, политической партией или профессиональным союзом, созданным в соответствии с законом, при условии, что обработка касается исключительно персональных данных членов этих объединений или лиц, поддерживающих постоянные контакты с ними в связи с характером их деятельности, и персональные данные не передаются третьему лицу без согласия субъектов персональных данных;

5) необходима для обоснования, удовлетворения или защиты правового требования;

6) необходима в целях охраны здоровья, установления медицинского диагноза, для обеспечения попечительства или лечения или оказания медицинских услуг, функционирования электронной системы здравоохранения при условии, что такие данные обрабатываются медицинским работником или другим лицом учреждения здравоохранения или физической лицом - предпринимателем, получившим лицензию на осуществление хозяйственной деятельности по медицинской практике, и ее работниками, на которых возложены обязанности по обеспечению защиты персональных данных и на которых распространяется действие законодательства о врачебной тайне, работниками центрального органа исполнительной власти, реализующего государственную политику в сфере государственных финансовых гарантий медицинского обслуживания населения, на которых возложены обязанности по обеспечению защиты персональных данных;

7) касается приговоров суда, выполнения задач оперативно-розыскной или контрразведывательной деятельности, борьбы с терроризмом и осуществляется государственным органом в пределах его полномочий, определенных законом;

8) касается данных, которые были явно обнародованы субъектом персональных данных.

Таким образом, Законом предусмотрены общие и особые требования обработки персональных данных. Статьей 6 Закона установлены общие требования обработки всех имеющихся в общественной жизни персональных данных лица, за исключением персональных данных, для которых статьей 7 Закона определены особые требования обработки. К таким персональным данным относятся данные о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждений, членство в политических партиях и профессиональных союзах, а также данных, касающихся здоровья или половой жизни.

Подытоживая изложенное, категория обработки персональных данных определяется владельцем базы персональных данных в зависимости от требований к обработке персональных данных, установленных статьями 6, 7 Закона и которые владелец базы персональных данных обязан соблюдать при обработке персональных данных.

Контроль за соблюдением законодательства о защите персональных данных и ответственность

Контроль за соблюдением законодательства о защите персональных данных в пределах полномочий, предусмотренных законом, осуществляют следующие органы:

1) Уполномоченный по правам человека;

2) суды.

Уполномоченный имеет такие полномочия в сфере защиты персональных данных:

1) получать предложения, жалобы и иные обращения физических и юридических лиц по вопросам защиты персональных данных и принимать решения по результатам их рассмотрения;

2) проводить на основании обращений или по собственной инициативе выездные и невыездные, плановые, внеплановые проверки владельцев или распорядителей персональных данных в порядке, определенном уполномоченным, с обеспечением в соответствии с законом доступа в помещения, где осуществляется обработка персональных данных;

3) получать на свое требование и иметь доступ к любой информации (документам) владельцев или распорядителей персональных данных, которые необходимы для осуществления контроля за обеспечением защиты персональных данных, в том числе доступ к персональным данным, соответствующим базам данных или картотек, информации с ограниченным доступом;

4) утверждать нормативно-правовые акты в области защиты персональных данных в случаях, предусмотренных Законом;

5) по итогам проверки, рассмотрения обращения выдавать обязательные для исполнения требования (предписания) о предотвращении или устранении нарушений законодательства о защите персональных данных, в том числе по изменению, удалению или уничтожению персональных данных, обеспечению доступа к ним, предоставлению или запрету их предоставления третьему лицу, приостановлению или прекращению обработки персональных данных;

6) давать рекомендации по практическому применению законодательства о защите персональных данных, разъяснять права и обязанности соответствующих лиц по обращению субъектов персональных данных, владельцев или распорядителей персональных данных, структурных подразделений или ответственных лиц по организации работы по защите персональных данных, других лиц;

7) взаимодействовать со структурными подразделениями или ответственными лицами, которые организуют работу, связанную с защитой персональных данных при их обработке; обнародовать информацию о таких структурных подразделениях и ответственных лицах;

8) обращаться с предложениями в Верховную Раду Украины, к Президенту Украины, Кабинету Министров Украины, другие государственные органы, органы местного самоуправления, их должностным лицам по принятию или внесению изменений в нормативно-правовые акты по вопросам защиты персональных данных;

9) предоставлять по обращению профессиональных, самоуправляющихся и других общественных объединений или юридических лиц заключения по проектам кодексов поведения в сфере защиты персональных данных и изменений в них;

10) составлять протоколы о привлечении к административной ответственности и направлять их в суд в случаях, предусмотренных законом;

11) информировать о законодательстве по вопросам защиты персональных данных, проблемах его практического применения, правах и обязанностях субъектов отношений, связанных с персональными данными;

12) осуществлять мониторинг новых практик, тенденций и технологий защиты персональных данных;

13) организовывать и обеспечивать взаимодействие с иностранными субъектами отношений, связанных с персональными данными, в том числе в связи с выполнением Конвенции о защите лиц в связи с автоматизированной обработкой персональных данных и Дополнительного протокола к ней, других международных договоров Украины в сфере защиты персональных данных;

14) участвовать в работе международных организаций по вопросам защиты персональных данных.

Уполномоченный Верховной Рады Украины по правам человека включает в свой ежегодный доклад о состоянии соблюдения и защиты прав и свобод человека и гражданина в Украине отчет о состоянии соблюдения законодательства в сфере защиты персональных данных.

За нарушение законодательства о защите персональных данных предусмотрена административная ответственность:

Статья 188-39 Кодекса об административных правонарушениях. Нарушение законодательства в сфере защиты персональных данных

Несообщение или несвоевременное сообщение Уполномоченному Верховной Рады Украины по правам человека об обработке персональных данных или об изменении сведений, подлежащих уведомлению согласно закону, сообщение неполных или недостоверных сведений -

влекут наложение штрафа на граждан от ста до двухсот необлагаемых минимумов доходов граждан и на должностных лиц, граждан - субъектов предпринимательской деятельности - от двухсот до четырехсот необлагаемых минимумов доходов граждан.

Невыполнение законных требований (предписаний) Уполномоченного Верховной Рады Украины по правам человека или определенных им должностных лиц секретариата Уполномоченного Верховной Рады Украины по правам человека по предотвращению или устранению нарушений законодательства о защите персональных данных -

влекут наложение штрафа на граждан от двухсот до трехсот необлагаемых минимумов доходов граждан и на должностных лиц, граждан - субъектов предпринимательской деятельности - от трехсот до одной тысячи необлагаемых минимумов доходов граждан.

Повторное на протяжении года совершение нарушения из числа предусмотренных частями первой или второй настоящей статьи, за которое лицо уже подвергалось административному взысканию, -

влечет наложение штрафа на граждан от трехсот до пятисот необлагаемых минимумов доходов граждан и на должностных лиц, граждан - субъектов предпринимательской деятельности - от пятисот до двух тысяч необлагаемых минимумов доходов граждан.

Несоблюдение установленного законодательством о защите персональных данных порядка защиты персональных данных, что привело к незаконному доступу к ним или нарушению прав субъекта персональных данных, -

влечет наложение штрафа на граждан от ста до пятисот необлагаемых минимумов доходов граждан и на должностных лиц, граждан - субъектов предпринимательской деятельности - от трехсот до одной тысячи необлагаемых минимумов доходов граждан.

Повторное на протяжении года совершение нарушения, предусмотренного частью четвертой настоящей статьи, за которое лицо уже подвергалось административному взысканию, -

влечет наложение штрафа от одной тысячи до двух тысяч необлагаемых минимумов доходов граждан.

Дела об административных правонарушениях в сфере защиты персональных данных рассматриваются согласно статье 221 Кодекса Украины об административных правонарушениях исключительно судами.

 



Советы юристов для граждан и бизнеса на ваш e-mail!




Полезные статьи по данной тематике