вул. Олександра Довженка,
буд. 2
, оф. 41, м. Київ, 03057
Україна
+380 (44) 456-08-22

Реєстрація баз персональних даних



В 2005 році Україна ратифікувала Конвенцію1981 року Ради Європи № 108 «Про захист осіб у зв’язку з автоматизованою обробкою персональних даних». Серед основних зобов’язань держави за даною Конвенцією є також прийняття нормативно-правових актів, які повинні сприяти захисту персональних даних. Прийнятий 01.06.2010 року Закон України «Про захист персональних даних» (далі Закон Про персональні дані) визначив способи захисту персональних даних, одним із яких стала реєстрація баз персональних даних.

Основну юридичну значимість відповідний закон матиме лише тоді, коли законодавством буде передбачено форми відповідальності за порушення його положень.

 

ОСОБЛИВОСТІ РЕЄСТРАЦІЇ БАЗ ПЕРСОНАЛЬНИХ ДАНИХ СТВОРЕНИХ ДО 01.01.2011 РОКУ

 

Законом про персональні дані залишено поза увагою бази даних та інформація яка була сформована до 01.01.2011 року, тобто до набрання чинності цим Законом. Відповідно до ч. 1 ст. 9 Закону про персональні дані визначено, що база персональних даних підлягає державній реєстрації. Закон не містить застережень стосовно баз, які були створені до прийняття Закону. Тобто, така умова є абсолютною за своєю природою, будь-яка база даних підлягає державній реєстрації.

Крім того, при обробці баз даних, із внесення нової чи зміні існуючої інформації, відбувається зміна в ідентифікуючій інформації про файл (и) бази даних (дата створення та зміни файлів, хеш-сума та ін.). У випадку, якщо компетентні органи будуть проводити перевірку володільця стосовно дотримання вимог Закону про персональні дані, буде важко довести, що база даних створена та не змінювалася до 01.01.2011 року. Будь-які зміни в базі даних здійснення після 01.01.2011 року призводять до того, що на відповідну базу даних поширюється дія Закону про персональні дані.

Відповідно до ст. 58 Конституції України закони та інші нормативно-правові акти не мають зворотної дії в часі, крім випадків, коли вони пом'якшують або скасовують відповідальність особи. Зміни до законодавства стосовно відповідальності за ухилення від реєстрації баз персональних даних вступають в силу з 01.01.2012 року. Хоча база персональних даних і підлягає державній реєстрації, проте притягнути до юридичної відповідальності за відсутність реєстрації баз даних створених до 01.01.2012 року виявляється неможливим.

З практичної точки зору та з урахуванням меркантильності представників державних органів, може бути важко довести дату створення бази даних.

Згоду осіб, чиї дані містяться в базі даних, також необхідно отримати незалежно від часу створення бази даних.

Відповідно до ч.6 ст. 6 Закону про персональні дані не допускається обробка даних про фізичну особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини. У розумінні Закону про персональні дані обробка визначається як будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов'язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу.

Таким чином, навіть у випадку, якщо володілець бази даних не використовує вміщену в ній інформацію, а лише зберігає таку інформацію, він зобов’язаний отримати згоду на таку дію.
 

РЕЄСТРАЦІЯ БАЗ ПЕРСОНАЛЬНИХ ДАНИХ

 

Вимоги Закону про персональні дані є доволі лояльними до володільців таких баз даних. Закон не визначає обов’язок передавати структуру та відомості з бази персональних даних при здійсненні її реєстрації. Відповідно до ч. 3 ст. 9 Закону про персональні дані реєстрації підлягають лише інформація про базу даних та її володільця, а не самі персональні дані.

В Положенні про Державний реєстр баз персональних даних та порядок його ведення, який був затверджений постановою Кабінету Міністрів України від 25 травня 2011 р. № 616 визначено, що до інформації про володільця бази персональних даних відноситься найменування, резидент/нерезидент, код платника податків згідно з ЄДРПОУ або податковий номер (для резидента), місцезнаходження - для юридичних осіб, або прізвище, ім'я та по батькові (за наявності), громадянство, номер, серія паспорта та орган, що його видав, а також для громадян України реєстраційний номер облікової картки платника податків, місце проживання - для фізичних осіб.

При реєстрації необхідно буде зазначити інформацію про найменування і місцезнаходження бази персональних даних, яка полягає в зазначенні:

  • адреси фактичного розміщення - для баз даних у формі картотек;
  • фактичних адрес зберігання носіїв інформації - для баз даних в електронній формі.

Особливу увагу при реєстрації баз персональних даних варто приділити інформації про мету обробки персональних даних у базі персональних даних з посиланням на нормативно-правові акти, положення, установчі чи інші документи, які регулюють діяльність володільця бази персональних даних, у тому числі про їх категорії та правові підстави такої обробки. Правильне зазначення мети обробки персональних даних є запорукою її державної реєстрації. Заявнику необхідно узгодити мету обробки даних із видами власної господарської діяльності. При внесенні інформації про особу до бази даних володілець зобов’язаний отримати згоду особи на таке внесення, для цього володілець повинен повідомити особі мету збору такої інформації. Мета збору інформації, яка повідомляється особі та мета, яка зазначається при реєстрації бази даних повинна бути однаковою. Задля цього володільцю перед реєстрацією бази персональних даних варто затвердити власні локальні акти по обробці такої інформації, а також сформувати порядок повідомлення такої мети особам.

Окрім інформації про володільця також необхідно вказати інформацію про розпорядників бази, тобто фізичну чи юридичну особу, яка є володільцем бази персональних даних або законом надано право обробляти ці дані.

Заявник також зазначає, що підтверджує зобов'язання стосовно виконання вимог законодавства щодо захисту персональних даних. Володільці баз персональних даних повинні розробити власні локальні акти, які детально визначають їх взаємовідносини із особами, чиї дані містяться в базах даних. Це, в першу чергу, необхідно для уникнення в подальшому проблем щодо незаконності обробки даних.

Реєстрація баз персональних даних є безкоштовною процедурою. Враховуючи таку безкоштовність для суб’єктів господарювання є вигіднішим провести таку реєстрацію задля уникнення застосування санкцій зі сторони Державної служби України з питань захисту персональних даних.

 

НАСЛІДКИ УХИЛЕННЯ ВІД РЕЄСТРАЦІЇ БАЗИ ПЕСОНАЛЬНИХ ДАНИХ

 

Адміністративна відповідальність

З 1 січня 2012 року набувають чинності зміни до Кодексу України про адміністративні правопорушення, які були внесені Законом України «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» № 3454-VI від 2 червня 2011 року. З цього моменту норми Закону про персональні дані перестануть бути суто декларативними, а перетвориться на дієвий правовий інструмент в руках держави.

Адміністративна відповідальність може наставати за наступні види діянь:

  • неповідомлення або несвоєчасне повідомлення суб'єкта персональних даних про його права у зв'язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються;
  • неповідомлення або несвоєчасне повідомлення спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних про зміну відомостей, що подаються для державної реєстрації бази персональних даних;
  • ухилення від державної реєстрації бази персональних даних.

Таким чином, з 1 січня 2012 року відсутність реєстрації бази персональних даних є не лише порушенням встановленого обов’язку, але й адміністративним правопорушенням.

У випадку виявлення баз персональних даних, які не були зареєстровані на винних осіб може бути накладено штраф в розмірі від трьохсот до п'ятисот неоподатковуваних мінімумів доходів громадян (тобто від 5100 до 8500 грн.).

Інші розміри штрафних санкцій було визначено для посадових осіб юридичних осіб та фізичних-підприємців. Для такої категорії осіб розмір штрафних санкцій становить від п'ятисот до тисячі неоподатковуваних мінімумів доходів громадян, тобто від 8500 до 17000 грн.
 

Кримінальна відповідальність

Окрім адміністративної відповідальності з 1 січня 2012 року за деякі порушення вимог Закону про персональні дані може наставати кримінальна відповідальність.

Статтею 182 Кримінального кодексу України буде визначено, що незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації, крім випадків, передбачених іншими статтями цього Кодексу караються:

  • штрафом від п'ятисот до однієї тисячі неоподатковуваних мінімумів доходів громадян (від 8500 до 17000грн) або;
  • виправними роботами на строк до двох років, або;
  • арештом на строк до шести місяців, або;
  • обмеженням волі на строк до трьох років.

На даний час відсутність реєстрації бази персональних даних не тягне за собою кримінальну відповідальність осіб, які є володільцями баз даних. Відповідальність може наставати у випадку коли збирання, зберігання, використання, знищення чи поширення інформації з баз даних здійснюється без згоди особи, чиї персональні дані внесені до бази даних. Отже, однією із передумов законності формування та використання бази даних є одержання згоди особи, чиї персональні дані внесені до бази даних.

Суб’єктам, які формують бази даних необхідно розробити юридичні механізми взаємодії із фізичними особами, щоб в подальшому їх дії не можна було розцінювати як злочин.


Догори