ул. Александра Довженка,
дом 2
, оф. 41, г. Киев, 03057
Украина
+380 (44) 456-08-22

Регистрация баз персональных данных



В 2005 году Украина ратифицировала Конвенцию 1981 года Совета Европы № 108 « О защите лиц в связи с автоматизированной обработкой персональных данных». Среди основных обязательств государства по данной Конвенции есть также принятие нормативно-правовых актов, которые должны содействовать защите персональных данных. Принятый 01.06.2010 года Закон Украины « О защите персональных данных»( далее Закон О персональных данных) определил способы защиты персональных данных, одним из которых стала регистрация баз персональных данных.

Основную юридическую значимость закон будет иметь лишь тогда, когда законодательством будет предусмотрены формы ответственности за нарушение его положений

 

ОСОБЕННОСТИ РЕГИСТРАЦИИ БАЗ ПЕРСОНАЛЬНЫХ ДАННЫХ, СОЗДАННЫХ ДО 01.01.2011 ГОДА

 

Законом о персональных данных оставлено без внимания базы данных и информация, которая была сформирована до 01.01.2011 года, то есть до вступления в силу этого Закона. Согласно ч. 1 ст. 9 Закона о персональных данных определено, что база персональных данных подлежит государственной регистрации. Закон не содержит предостережений относительно баз, которые были созданы до принятия Закона. То есть, такое условие абсодютно по своей природе, любая база данных подлежит государственной регистрации

Кроме того, при обработке баз данных, внесении новой или изменении существующей информации происходит изменение в идентифицирующей информации о файле (и) базы данных (дата создания и изменения файлов, хеш-сумма и др.). В случае, если компетентные органы будут проводить проверку владельца относительно соблюдения требований Закона о персональных данных, будет тяжело доказать, что база данных создана и не менялась до 01.01.2011 года. Любые изменения в базе данных, осуществляемые после 01.01.2011 года, приводят к тому, что на соответствующую базу данных распространяется действие Закона о персональных данных

Согласно ст. 58 Конституции Украины законы и другие нормативно-правовые акты не имеют обратного действия во времени, кроме случаев, когда они смягчают или отменяют ответственность лица. Изменения в законодательство относительно ответственности за уклонение от регистрации баз персональных данных вступают в силу с 01.01.2012 года. Хотя база персональных данных и подлежит государственной регистрации, однако привлечь к юридической ответственности за отсутствие регистрации баз данных созданных до 01.01.2012 года окажется невозможным

С практической точки зрения и с учетом меркантильности представителей государственных органов, может быть тяжело доказать дату создания базы данных

Согласие лиц, чьи данные содержатся в базе данных, также необходимо получить независимо от времени создания базы данных

Согласно ч.6 ст. 6 Закона о персональных данных не допускается обработка данных о физическом лице без его согласия, кроме случаев, определенных законом, и лишь в интересах национальной безопасности, экономического благосостояния и прав человека. В понимании Закона о персональных данных обработка определяется как любое действие или совокупность действий, осуществленных полностью или частично в информационной (автоматизированной) системе и/или в картотеках персональных данных, которые связаны с собиранием, регистрацией, накоплением, хранением, адаптацией, изменением, возобновлением, использованием и распространением (распространением, реализацией, передачей), обезличением, уничтожением ведомостей о физический лице

Таким образом, даже в случае, если владелец базы данных не использует помещенную в ней информацию, а лишь сохраняет такую информацию, он обязан получить согласие на такое действие
 

РЕГИСТРАЦИЯ БАЗ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

Требования Закона о персональных данных довольно лояльны к владельцам таких баз данных. Закон не определяет обязанность передавать структуру и ведомости из базы персональных данных при осуществлении ее регистрации. Согласно ч. 3 ст. 9 Закона о персональных данных регистрации подлежат лишь информация о базе данных и ее владельце, а не сами персональные данные

В Положении о Государственном реестре баз персональных данных и порядке его ведения, который утвержден постановлением Кабинета Министров Украины от 25 мая 2011 г. № 616 определено, что к информации о владельце базы персональных данных относится наименование, резидент/нерезидент, код налогоплательщика согласно ЕГРПОУ или налоговый номер (для резидента), местонахождение – для юридических лиц, или фамилия, имя и отчество (при наличии), гражданство, номер, серия паспорта и орган, который его выдал, а также для граждан Украины регистрационный номер учетной карточки налогоплательщика, местожительство - для физических лиц.

При регистрации необходимо будет указать информацию о наименовании и местонахождении базы персональных данных:

  • адрес фактического размещения – для баз данных в форме картотек;
  • фактических адресов хранения носителей информации – для баз данных в электронной форме

Особое внимание при регистрации баз персональных данных следует уделить информации о цели обработки персональных данных в базе персональных данных со ссылкой на нормативно-правовые акты, положения, учредительные или другие документы, которые регулируют деятельность владельца базы персональных данных, в том числе о их категории и правовые основания такой обработки. Правильное указание цели обработки персональных данных является гарантией ее государственной регистрации. Заявителю необходимо согласовать цель обработки данных с видами собственной хозяйственной деятельности. При внесении информации о лице в базу данных владелец обязан получить согласие лица на такое внесение, для этого владелец должен сообщить лицу цель сбора такой информации. Цель сбора информации, которая сообщается лицу и цель, которая отмечается при регистрации базы данных, должна быть одинаковой. Для этого владельцу перед регистрацией базы персональных данных следует утвердить собственные локальные акты по обработке такой информации, а также сформировать порядок сообщения такой цели лицам

Кроме информации о владельце также необходимо указать информацию о распорядителях базы, то есть физических или юридических лицах, которые являются владельцами базы персональных данных или которым законом предоставлено право обрабатывать эти данные

Заявитель также отмечает, что подтверждает обязательства относительно выполнения требований законодательства по защите персональных данных. Владельцы баз персональных данных должны разработать собственные локальные акты, которые детально определяют их взаимоотношения с лицами, чьи данные содержатся в базах данных. Это, в первую очередь, необходимо во избежание в дальнейшем проблем относительно незаконности обработки данных

Регистрация баз персональных данных является бесплатной процедурой. Учитывая такую бесплатность для субъектов хозяйствование выгодно провести такую регистрацию по избежание применения санкций со стороны Государственной службы Украины по вопросам защиты персональных данных.

 

СЛЕДСТВИЯ УКЛОНЕНИЯ ОТ РЕГИСТРАЦИИ БАЗЫ ПЕСОНАЛЬНЫХ ДАННЫХ

 

Административная ответственность

С 1 января 2012 года приобретают силу изменения Кодекса Украины об административных правонарушениях, которые были внесены Законом Украины « О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушения законодательства о защите персональных данных» № 3454-VI от 2 июня 2011 года. Из этого момента нормы Закона о персональных данных перестанут быть сугубо декларативными, а превратятся на действенный правовой инструмент в руках государства.

Административная ответственность может наступать за следующие виды действий:

  • неуведомление или несвоевременное уведомление субъекта персональных данных о его правах в связи с включением его персональных данных в базы персональных данных, цель сбора этих данных и лиц, которым эти данные передаются;
  • неуведомление или несвоевременное сообщение специально уполномоченного центрального органа исполнительной власти по вопросам защиты персональных данных об изменении ведомостей, которые подаются для государственной регистрации базы персональных данных;
  • уклонение от государственной регистрации базы персональных данных.

Таким образом, с 1 января 2012 года отсутствие регистрации базы персональных данных является не только нарушением установленной обязанности, но и административным правонарушением.

В случае выявления баз персональных данных, которые не были зарегистрированы на виновных лиц может быть наложен штраф в размере от трехсот до пятисот необлагаемых минимумов доходов граждан (то есть от 5100 до 8500 грн.).

Другие размеры штрафных санкций было определено для должностных лиц юридических лиц и физических лиц предпринимателей. Для такой категории лиц размер штрафных санкций представляет от пятисот до тысяче необлагаемых минимумов доходов граждан, то есть от 8500 до 17000 грн.
 

Уголовная ответственность

Кроме административной ответственности с 1 января 2012 года за некоторые нарушения требований Закона о персональных дани может наступать уголовная ответственность

Статьей 182 Уголовного кодекса Украины будет определено, что незаконное собирание, хранение, использование, уничтожение, распространение конфиденциальной информации о лице или незаконное изменение такой информации, кроме случаев, предусмотренных другими статьями этого Кодекса наказываются:

  • штрафом от пятисот до одной тысячи необлагаемых минимумов доходов граждан (от 8500 до 17000грн) или;
  • исправительными роботами на срок до двух лет, или;
  • арестом на срок до шести месяцев, или;
  • ограничением воли на срок до трех лет.

На данное время отсутствие регистрации базы персональных данных не тянет за собой уголовную ответственность лиц, которые являются владельцами баз данных. Ответственность может наступать в случае собирания, хранения, использования, уничтожения или распространения информации из баз данных осуществляется без согласия лица, чьи персональные данных внесенные в базы данных. Итак, одной из предпосылок законности формирования и использование базы данных является получение согласия лица, чьи персональные дани внесены в базу данных

Субъектами, которые формируют базы данных необходимо разработать юридические механизмы взаимодействия с физический лицами, чтобы в дальнейшем их действия нельзя было расценивать как преступление


Вверх