РЕЄСТРАЦІЯ БАЗ ПЕРСОНАЛЬНИХ ДАНИХ. Хто зобов’язаний зареєструватися?
З 01.01.2011р. набув чинності Закон України «Про захист персональних даних».
Цей Закон регулює відносини, пов’язані із захистом персональних даних під час їх обробки.
Згідно ст. 9 Закону, база персональних даних підлягає державній реєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних (ДСЗПД).
Положення про Державний реєстр баз персональних даних та порядок його ведення затверджуються Кабінетом Міністрів України.
На офіційному сайті Державної служби України з питань захисту персональних даних https://www.zpd.gov.ua/ розміщена інформація про обов’язок порядок реєстрації баз персональних даних.
«Заява подається в паперовій формі (бажано, з наданням електронної копії) або у формі електронного документа через веб-сайт Державного реєстру баз персональних даних (https://rbpd.informjust.ua), а також на електронну пошту register@zpd.gov.ua відповідно до вимог Законів України «Про електронні документи та електронний документообіг» та «Про електронний цифровий підпис».
Адреса ДСЗПД: 02660, м. Київ, вул. Марини Раскової, 15.
тел: (044)517-68-00 (канцелярія); 517-89-66 (гаряча лінія); 517-65-83 (для консультацій).» /https://www.zpd.gov.ua//
Заява подається за формами та згідно з Порядком подання заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних, що затверджені наказом Міністерства юстиції України від 08.07.2011 № 1824/5, та повинна містити:
звернення про внесення бази персональних даних до Державного реєстру баз персональних даних;
інформацію про володільця бази персональних даних;
інформацію про найменування і місцезнаходження бази персональних даних;
інформацію про мету обробки персональних даних у базі персональних даних, сформульовану відповідно до вимог статей 6 і 7 цього Закону;
інформацію про інших розпорядників бази персональних даних;
підтвердження зобов’язання щодо виконання вимог захисту персональних даних, встановлених законодавством про захист персональних даних.
Протягом 10 днів володільцю бази персональних даних видається документ встановленого зразка про реєстрацію бази персональних даних у Державному реєстрі баз персональних даних.
На вказаному сайті зазначено, що з 1 січня 2012 року набирають чинності зміни до Кодексу України про адміністративні правопорушення та Кримінального кодексу України, якими введена адміністративна та кримінальна відповідальність (за порушення недоторканності приватного життя стосовно незаконного збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконної зміни такої інформації).
Проаналізувавши норми діючого законодавства України, можна дійти наступного висновку щодо кола осіб, які повинні зареєструвати бази персональних даних:
Законом України «Про захист персональних даних» визначено, що база персональних даних – іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних.
Державний реєстр баз персональних даних – єдина державна інформаційна система збору, накопичення та обробки відомостей про зареєстровані бази персональних даних.
Згідно ст. 1 Закону України «Про захист персональних даних», дія цього Закону не поширюється на діяльність зі створення баз персональних даних та обробки персональних даних у цих базах:
фізичною особою – виключно для непрофесійних особистих чи побутових потреб;
журналістом – у зв’язку з виконанням ним службових чи професійних обов’язків;
професійним творчим працівником – для здійснення творчої діяльності.
Володілець бази персональних даних – фізична або юридична особа, якій законом або за згодою суб’єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом;
Таким чином, дія цього Закону поширюється, зокрема, на діяльність господарюючих суб’єктів та самозайнятих осіб, а також усіх підприємств, установ, організацій незалежно від форми власності.
.До того ж, Законом чітко визначено, що особа – володілець, повинна мати за законом, або за згодою суб’єкта (фізичної особи, щодо особи якої збираються дані).
Статтею 4 Закону визначено коло суб’єктів відносин, пов’язаних із персональними даними, а саме:
суб’єкт персональних даних;
володілець бази персональних даних;
розпорядник бази персональних даних;
третя особа;
уповноважений державний орган з питань захисту персональних даних;
інші органи державної влади та органи місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних.
Об’єктами захисту є персональні дані, які обробляються в базах персональних даних.
Статтею 32 Конституції України проголошено право людини на невтручання в її особисте життя.
Статтею 7 Закону України «Про доступ до публічної інформації» визначено, що конфіденційна інформація – інформація, доступ до якої обмежено фізичною або юридичною особою, крім суб’єктів владних повноважень, та яка може поширюватися у визначеному ними порядку за їхнім бажанням відповідно до передбачених ними умов.
Розпорядники інформації, визначені частиною першою статті 13 цього Закону, які володіють конфіденційною інформацією, можуть поширювати її лише за згодою осіб, які обмежили доступ до інформації, а за відсутності такої згоди – лише в інтересах національної безпеки, економічного добробуту та прав людини.
Метою обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця бази персональних даних, та відповідати законодавству про захист персональних даних.
Первинними джерелами відомостей про фізичну особу є: видані на її ім’я документи; підписані нею документи; відомості, які особа надає про себе.
Не допускається обробка даних про фізичну особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
Особливі вимоги до обробки персональних даних єнадання суб’єктом персональних даних однозначної згоди на обробку таких даних.
У відповідності до ст. 11 Закону підставами виникнення права на використання персональних даних є:
1) згода суб’єкта персональних даних на обробку його персональних даних;
2) дозвіл на обробку персональних даних, наданий володільцю бази персональних даних відповідно до закону виключно для здійснення його повноважень.
Таким чином, не може будь яка особа, використовувати та вносити до бази даних інформацію про третіх осіб, без їх згоди.
Слід звернути увагу, також на питанні щодо підстави обробки персональних даних працівника.
Відповідно до статті 24 Кодексу законів про працю України громадянин при укладенні трудового договору зобов’язаний подати паспорт або інший документ, що посвідчує особу, трудову книжку, а у випадках, передбачених законодавством, – також документ про освіту (спеціальність, кваліфікацію), про стан здоров’я та інші документи.
У зв’язку з цим персональні дані працівника, які містяться в паспорті або документі, що посвідчує особу, в трудовій книжці, документі про освіту (спеціальність, кваліфікацію), документі про стан здоров’я та інших документах, які він подав при укладенні трудового договору, обробляються володільцем бази персональних даних на підставі статті 24 Кодексу законів про працю України виключно для здійснення повноважень володільця бази персональних даних у сфері правовідносин, які виникли в нього з працівником на підставі трудового договору (контракту).
Що стосується притягнення до відповідальності, то воно провадиться за таких умов:
1) До ДСЗПД повинна бути надіслана скарга громадянина України (при цьому скарга має бути підкріплена документами, що підтверджують порушення у сфері захисту персональних даних).
2) На підставі скарги ДСЗПД буде проведено перевірку володільців та (або) розпорядників баз персональних даних щодо дотримання ними вимог законодавства у сфері захисту персональних даних, в результаті якої буде надано припис на усунення порушень.
3) В разі невиконання припису ДСЗПД складає адміністративний протокол, який потім передається до суду.
4) На підставі адміністративного протоколу проводиться судове засідання і приймається рішення про накладення адміністративного стягнення, передбаченого Кодексом України про адміністративні правопорушення, на підставі якого володільцем бази персональних даних сплачується штраф.
Таким чином, проаналізувавши норми діючого законодавства, база персональних даних підлягає державній реєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних.
Державній реєстрації підлягають усі бази персональних даних в електронному вигляді та/або в картотеках, в яких обробляються персональні дані, незалежно від обсягу та форми їх застосування, виду діяльності. При цьому, щодо кожної бази даних, яка перебуває у володінні заявника, подається окрема заява.
Однак, обов’язковою умовою реєстрації такої бази даних є законність використання таких даних, саме на фізичну особу (наприклад наявність трудових відносин, договірних відносин із контрагентами), її письмова згода на таке використання, дозвіл на обробку персональних даних, наданий особі – володільцю відповідно до закону виключно для здійснення його повноважень, а також фактична наявність відповідних баз персональних даних.
Навіть за наявності згоди, наприклад контрагентів, володілець не може складати базу персональних даних, не передбачену нормами діючого законодавства у довільній формі. Така підстава повинна бути законодавчо обґрунтованою (наприклад: внесення відомостей про працівника в програму 1-С, АРМ – звіт страхувальника, в податкову звітність, у випадку необхідності ідентифікації контрагента).
Крім того, що стосується перевірки наявності реєстрації баз персональних даних та накладення адміністративного стягнення, підставою для проведення такої перевірки є скарга фізичної особи на конкретну особу, про порушення нею норм, щодо розповсюдження конфіденційної інформації про особу.
Тому, фактично, виявити особу, яка була зобов’язана, однак не зареєструвала базу персональних даних можна лише на підставі скарги.
Отже, не всі суб’єкти господарювання, та самозайняті особи зобов’язані реєструвати бази даних, а лише ті, які мають на це законні підстави. Наприклад: база персональних даних про працівників, оскільки роботодавець – володілець звітує про них у електронній формі, та особи з контрагентами, інформація про яких подається у податкові інспекції та інші органи державної влади та управління при поданні звітності. При цьому, повинна бути письмова згода особи на можливість розповсюдження інформації про неї.
Тому, вимагання зареєструвати персональні бази даних з боку державних органів не є підставою для такої реєстрації, оскільки необхідно проаналізувати усі умови, для проведення такої реєстрації, та визначити наявність підстав.
Слід відмітити, що не є ухиленням від державної реєстрації бази персональних даних факт подачі володільцем бази персональних даних заяви про реєстрацію бази персональних даних до ДСЗПД до 1 січня 2012 року.
Що стосується правильності заповнення заяви про реєстрацію Бази персональних даних, то вона має досить багато нюансів. У випадку неправильного заповнення, реєстратор має право відмовити у реєстрації такої бази. Тому, є необхідність у точному, правильному та чіткому її заповненні.
Для отримання консультації щодо обов’язку реєстрації вказаної бази персональних даних, а також отримання допомоги щодо правильності заповнення такої заяви, Ви можете звернутись до нас за телефоном розміщеному на сайті.