Какие существуют санкции, и кому они грозят?

Базы персональных данных – законодательные нововведения

01 июня 2010 года был принят Закон «О защите персональных данных» (далее - Закон), 06 июля 2010 года ВРУ ратифицировала Конвенцию о защите лиц в связи с автоматизированной обработкой персональных данных (далее - Конвенция). Кроме того, законодатель принял решение о ратификации Дополнительного протокола к Конвенции, касающегося органов надзора и трансграничных потоков данных. Согласно выше названным нормативно-правовым актам 01 июля 2011 года в Украине заработал отдел регистрации баз персональных данных.

Что такое регистрация баз персональных данных, и для чего она нужна?

Регистрация баз персональных данных - это наиболее простой метод сбора сведений контролирующими органами, который позволяет применять санкции в административном порядке к лицам, связанным с такими данными.

Регистрация является полезной для субъектов персональных данных. Это утверждение базируется на том, что записи в Государственном реестре могут быть основанием для подачи субъектами персональных данных исковых заявлений и жалоб к уполномоченным органам.

Кроме того, данная процедура полезна и для государственных органов, ведающих вопросами защиты персональных данных. Ведь эти органы, благодаря реестру, могут анализировать существующие записи и осуществлять безвыездные и выездные проверки для привлечения к ответственности.

Какие существуют санкции, и кому они грозят?

01 января 2012 года станет датой вступления в силу изменений в КоАП Украины. Нормы кодекса предусматривают ответственность за:

1. Несообщение или несвоевременное сообщение субъекту персональных данных о принадлежащих ему правах, связанных с внесением сведений о нем в базу данных, целях сбора таких данных и о лицах, имеющих доступ к данным. Такой административный проступок карается:

• Штрафом в размере от 3 400 до 5 100 гривен (в отношении граждан и должностных лиц);
• Штрафом в размере от 5 100 до 6 800 гривен (в отношении лиц-субъектов предпринимательской деятельности).

2. Несообщение или несвоевременное сообщение специальному уполномоченному центральному органу исполнительной власти, занимающемуся вопросами защиты персональных данных, о внесении изменений в сведения, подаваемые для регистрации базы персональных данных. Такое правонарушение карается:

• Штрафом в размере от 1 700 до 3 400 гривен (в отношении граждан и должностных лиц);
• Штрафом в размере от 3 400 до 6 800 гривен (в отношении лиц-субъектов предпринимательской деятельности);
• Штрафом в размере от 5 100 до 8 500 гривен (в отношении граждан и должностных лиц, совершивших деяние повторно в течение года);
• Штрафом в размере от 6 800 до 11 900 гривен (в отношении лиц-субъектов предпринимательской деятельности, совершивших деяние повторно в течение года).

3. Уклонение от прохождения процедуры государственной регистрации базы персональных данных. Наказывается в рамках следующих санкций:

• Штрафом в размере от 5 100 до 8 500 гривен (в отношении граждан и должностных лиц);
• Штрафом в размере от 8 500 гривен (в отношении лиц-субъектов предпринимательской деятельности).

4. Несоблюдение порядка защиты персональных данных в базе, установленного законодательством, при условии, что это привело к незаконному доступу к ним. Административный проступок наказывается:

• Штрафом в размере от 5 100 гривен до 17 000 гривен.

5. Невыполнение законных требований должностных лиц, уполномоченных заниматься вопросами защиты персональных данных, в отношении устранения нарушений законодательных норм. Правонарушение влечет за собой:

• Штраф в размере от 170 до 3 400 гривен (в отношении должностных лиц и граждан-субъектов предпринимательской деятельности).

Кроме того, 01 января 2012 года начинает действовать ст. 182 УК Украины, предусматривающая следующие виды преступлений и наказаний за них:

1. Незаконный сбор и хранение, а также использование, распространение, уничтожение конфиденциальной информации о лице либо незаконное изменение таких сведений наказываются:

• Штрафом от 8 500 до 17 000 гривен;
• Исправительными работами до 2-х лет;
• Арестом до 6 месяцев;
• Ограничением свободы до 3-х лет.

2. Повторное совершение указанных выше деяний при условии, что они причинили существенный вред правам, свободам и законным интересам лица, караются:

• Арестом до 3,5 лет;
• Ограничением свободы от 3-х до 5-ти лет;
• Лишением свободы от 3-х до 5-ти лет.

Существенный вред, оговариваемый в данной статье УК, - это причинение материальных убытков на сумму в 100 и более раз, превышающую необлагаемый налогом минимум доходов граждан.

Что подразумевается под термином «персональные данные»?

Ст. 2 Закона гласит, что персональные данные представляют собой сведения (или их совокупность) о физическом лице, которое было идентифицировано или может быть конкретно идентифицировано.

С точки зрения Конвенции персональные данные - это любая информация, касающаяся определенного лица либо того лица, которое может быть конкретно определенным.

Законодатель не дает точного толкования указанного термина, поэтому персональными данными можно считать даже фамилию, номер телефона или адрес лица.

Кого касаются нормы о персональных данных?

Субъект персональных данных - это физическое лицо, в отношении которого согласно законодательству, производится обработка его персональных данных (ст. 2 Закона).

Ст. 4 Закона указывает, что субъекты отношений, касающихся персональных данных, - это субъекты персональных данных, владельцы базы данных, третьи лица, уполномоченный государственный орган, занимающийся вопросами защиты персональных данных, а также другие органы местного самоуправления и государственной власти, ведающие защитой персональных данных.

К владельцам и распорядителям базы данных относятся юридические лица всех форм собственности, органы власти или местного самоуправления, а также физические лица-предприниматели, занимающиеся обработкой данных в рамках закона.

Какую информацию можно считать персональными данными?

Проанализировав Положение о Государственном реестре баз персональных данных и порядке их ведения, все данные можно классифицировать следующим образом:

1. По природе сведений: объективные и субъективные данные. К объективным относятся биометрические сведения, информация о банковских счетах и т.д. К субъективным - характеристика, биография, досье, аттестационные материалы и т.д.
2. По источнику получения сведений: данные из первичных и прочих источников.
3. По способу обработки сведений: алфавитный или цифровой формат, видео-, фото-, кино-, аудиоформат и т.д., графический формат, обработка сведений, на бумажных, электронных, оптических, магнитных и других носителях.
4. По связи сведений с физическим лицом: непосредственные данные (личное дело, мед. карта, банковский счет) и опосредованные данные (записи видеонаблюдения, записи о тех. обслуживании ТС).

Основные вопросы

После того, как была осуществлена регистрация фирм и компании наняли работников, должны ли они в соответствии с ч. 5 ст. 6 Закона получать от таких работников документально подтвержденное согласие на обработку документации, связанной с осуществляемой ими деятельностью?

П. 1 ст. 11 Закона называет основание возникновения права использовать персональные данные, это согласие самого субъекта. Последний имеет право, предоставляя согласие, сделать оговорку об ограничениях на обработку своих данных. Только получение согласия от наемных работников является основанием для возникновения права на обработку их данных.

Регистрация фирм и деятельность по найму работников предполагает наличие определенной бумажной документации, будет ли она считаться базой персональных данных?

Документация юридического лица (бумажная или электронная), содержащая определенным образом структурированные сведения о наемных сотрудниках, с точки зрения ст. 2 Закона является базой персональных данных.

Правила регистрации базы персональных данных

Нормы, касающиеся этого вопроса, содержатся в ЗУ «О защите персональных данных», в Положении о Государственном реестре баз персональных данных и порядке их ведения (утверждено Постановлением КМУ № 616 от 25.05.2011 года), в Порядке подачи заявлений о регистрации базы персональных данных и о внесении изменений в сведения Государственного реестра баз данных (утвержден Приказом Министерства юстиции Украины № 1824/5 от 08.07.2011 года).

Согласно эти нормативно-правовым актам регистрация фирм, организаций, учреждений и других юридических лиц, владеющих базами данных, касается напрямую. Эти субъекты обязаны подать отдельные заявления в отношении каждой базы данных (в электронном виде и/или в картотеках) вне зависимости от формы ее применения, объема или вида деятельности.