У вас на предприятии создана база персональных данных?
Любое предприятие в Украине ведет учет наемных работников. Финансовые учреждения хранят информацию о своих вкладчиках и заемщиках. Подобная информация может быть представлена в виде картотек или же электронной базы данных.
6 июля 2010 года украинский парламент ратифицировал Конвенцию ETS N 108, а 1 января 2011 года вступил в силу Закон о защите ПД. Таким образом, уже почти год любое предприятие, которое собирает информацию о своих сотрудниках или клиентах, обязано регистрировать базу персональных данных, предварительно получив согласие от своих наемных работников или же клиентов на обработку их персональных данных.
Вместе с тем, с 1 января 2012 года вступит в силу Закон N 3454, который предусматривает административную и уголовную ответственность за нарушения при обработке персональных данных или же при регистрации базы персональных данных. Мерами административного взыскания и уголовного наказания за большинство из предусмотренных нарушений являются штрафы.
Что же стоило бы знать руководящим работникам предприятия о работе с базами персональных данных?
Во-первых, согласно абзацу 8 ст. 2 Закона о защите ПД, персональными данными считаются сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано. Таким образом, к подобным сведениям могут относиться и фамилия, имя, отчество работника или клиента, адрес его местожительства, должность, сведения о родном языке или же какая-либо иная информация о человеке.
Во-вторых, в соответствии с абзацем 2 ст. 2 Закона о защите ПД, базой персональных данных является именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных. Из этого следует, что любая документация о перечне сотрудников предприятия или клиентах уже является базой персональных данных в понимании данного Закона.
При этом само предприятие, в соответствии со ст. 2 Закона о защите ПД, будет рассматриваться как «владелец базы персональных данных». Граждане, о которых содержатся сведения в такой базе данных, будут иметь статус «субъекта персональных данных». Законодательство также предусматривает возможность существования «распорядителя базы персональных данных», которым признается физическое или юридическое лицо, которому владельцем базы персональных данных или законом предоставлено право обрабатывать эти данные.
В-третьих, как предусмотрено ч. 1 ст. 9 Закона о защите ПД, база персональных данных подлежит государственной регистрации внесением соответствующей записи уполномоченным государственным органом по вопросам защиты персональных данных в Государственный реестр баз персональных данных (далее - Реестр).
Во исполнение положений ст. 9 Закона о защите ПД Кабмин Украины утвердил Положение N 616, которое определяет порядок ведения реестра персональных данных.
Реализацию государственной политики в сфере защиты персональных данных обеспечивает Государственная служба Украины по вопросам защиты персональных данных, которая руководствуется в своей деятельности Положением N 390.
Как предусмотрено п. 5 Положения N 616, регистрация баз персональных данных осуществляется Государственной службой Украины по вопросам защиты персональных данных на основании заявления владельца такой базы или уполномоченного им лица.
В соответствии с п. 7 Положения N616 заявление о регистрации базы персональных данных должно содержать:
1. Обращение о внесении базы персональных данных в Реестр;
2. Информацию о владельце базы персональных данных:
- наименование, резидент/ нерезидент, код налогоплательщика согласно ЕГРПОУ или налоговый номер (для резидента), местонахождение - для юридического лица;
- фамилия, имя, отчество (при наличии), гражданство, номер и серия паспорта, а также данные об органе, его выдавшем, для граждан Украины номер учетной карточки налогоплательщика (не подается физическими лицами, которые по своим религиозным убеждениям отказались от присвоения регистрационного номера учетной карточки налогоплательщика и официально сообщили об этом соответствующим органам государственной власти, что подтверждается отметкой в паспорте), место жительства - для физических лиц;
3. Информацию о наименовании и месте нахождения базы персональных данных;
- адрес фактического размещения - для баз данных в форме картотек;
- фактический адрес хранения носителей информации - для баз данных в электронной форме;
4. Сведения о цели обработки персональных данных со ссылкой на нормативно-правовые акты, положения, учредительные или иные документы, которые регулируют деятельность владельца базы персональных данных;
5. Информация о распорядителе базы персональных данных:
- наименование, резидент/ нерезидент, код плательщика налогов согласно ЕГРПОУ или налоговый номер (для резидента), местонахождение - для юридических лиц;
- фамилия, имя и отчество (при наличии), гражданство, номер, серия паспорта и орган, который его выдал, а также для граждан Украины регистрационный номер учетной карточки налогоплательщика (не подается физическими лицами, которые по своим религиозным убеждениям отказались от присвоения регистрационного номера учетной карточки налогоплательщика и официально сообщили об этом соответствующим органам государственной власти, что подтверждается отметкой в паспорте), место жительства - для физических лиц;
- документ, подтверждающий обязательства по выполнению требований законодательства по защите персональных данных.
Как предусмотрено п. 11 Положения N 616, решение о регистрации или отказе в регистрации базы персональных данных принимается Государственной службой Украины по вопросам защиты персональных данных в течение 10 рабочих дней с момента поступления такого заявления. В случае регистрации такой базы данных ее владельцу выдается свидетельство о государственной регистрации базы персональных данных.
В-четвертых, согласно п. 1 ч. 1 ст. 11 Закона о защите ПД, основанием для возникновения права на использование персональных данных является согласие субъекта персональных данных на их обработку. При этом работник предприятия или клиент фирмы имеет право при предоставлении согласия внести оговорки относительно ограничения права на обработку своих персональных данных. То есть, прежде чем собирать данные о сотрудниках предприятия, работодателю необходимо получить от каждого наемного работника письменное заявление с разрешением на использование его персональных данных.
Об ответственности за нарушение законодательства
о защите персональных данных
Необходимо также указать и на то, что за нарушение законодательства о защите персональных данных с 1 января 2012 года будут установлены административные штрафы и уголовные наказания. Ведь вступят в силу изменения, внесенные Законом N 3454.
Административная ответственность Уклонение от государственной регистрации базы персональных данных может повлечь наложение штрафа на должностных лиц предприятия и граждан - субъектов предпринимательской деятельности в размере от 500 до 1000 НМДГ, то есть от 8500 до 17 000 грн.
Несоблюдение порядка защиты персональных данных, которое привело к незаконному доступу к таким данным, может повлечь административное взыскание в размере от 300 до 1000 НМДГ, то есть от 5100 до 17 000 грн.
Если же работодатель забудет сообщить своему сотруднику о его правах в связи с включением персональных данных работника в базу данных, а также о цели сбора таких данных, то результатом таких действий может стать административный штраф в размере от 800 до 400 НМДГ, то есть от 5100 до 6800 грн.
Несвоевременное уведомление Государственной службы Украины по вопросам защиты персональных данных об изменении сведений, необходимых для регистрации базы персональных данных, также, будет считаться административным правонарушением. В данном случае административное взыскание на должностных лиц предприятия и граждан - субъектов предпринимательской деятельности может быть применено в размере от 200 до 400 НМДГ, то есть от 3400 до 6800 грн.
Все вышеназванные административные правонарушения предусмотрены в ст. 188-39 КУоАП. А вот невыполнение законных требований работников Государственной службы Украины по вопросам защиты персональных данных об устранении нарушений законодательства о защите персональных данных, согласно ст. 188-40 КУоАП, повлечет административную ответственность в виде штрафа в размере от 100 до 200 НМДГ, то есть от 1700 до 3400 грн.
Уголовная ответственность
Обращаем внимание и на обновленную редакцию ст. 182 «Нарушение неприкосновенности частной жизни» УК Украины.
В соответствии с ч. 1 ст. 182 УК Украины незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о лице или незаконное изменение такой информации является преступлением. За совершение любого из вышеназванных действий может быть назначено наказание в виде штрафа в размере от 500 до 1000 НМДГ, то есть от 8500 до 17 000 грн.
Кроме штрафа, могут быть применены исправительные работы на срок до 2 лет или арест на срок до 6 месяцев или же ограничение свободы на срок до 3 лет.
Выводы
Таким образом, с января 2012 года у должностных лиц предприятий и физических лиц - предпринимателей возрастет риск подвергнуться административному штрафу в связи со вступлением в силу Закона N 3454.
Из всего вышеизложенного следует несколько основных выводов.
1. Любой перечень сведений о работниках предприятия или о клиентах фирмы уже является «базой персональных данных».
2. К «персональным данным» законодательство относит любые сведения, позволяющие идентифицировать человека, - фамилию, имя, отчество, адрес, место работы и др.
3. Для использования таких сведений необходимо получить согласие от самого работника или лее клиента.
4. Любая база персональных данных любого предприятия подлежит регистрации в Реестре. Администратором такого реестра является Государственная служба защиты персональных данных.
5. С 1 января 2012 года нарушение законодательства о защите персональных данных может повлечь как административную ответственность, так и уголовное наказание. Как правило, таким взысканием или наказанием будет штраф.
Возникает вполне логичный практический вопрос. Каким образом должно быть документально оформлено согласие клиента или работника на размещение данных о нем в базе персональных данных?
В соответствии с абзацем 4 ч. 1 ст. 2 Закона о защите ПД согласием субъекта персональных данных является любое документированное, в том числе письменное, добровольное волеизъявление физического лица о предоставлении разрешения на обработку его персональных данных в соответствии со сформулированной целью их обработки. Обратим ваше внимание на то, что согласие должно быть «документированное», в том числе письменное.
Конечно же, юридически верно и безукоризненно - оформлять такое согласие отдельным письменным заявлением клиента или работника о его согласии на размещение сведений о нем в любой базе персональных данных. При получении такого заявления от штатного работника или клиента, который периодически приезжает в офис предприятия, трудностей с его написанием не должно возникнуть.
Но как быть в том случае, если заказ на поставку товара поступает по электронной почте в системе Интернет, оплата производится на указанный в Интернет-объявлении счет, а товар доставляется с помощью «Укрпочты»? Или же если имеет место ситуация, когда покупателю выдается кассовый чек, а письменный договор купли-продажи с ним не заключается? Возможны и другие похожие обстоятельства. Поэтому относительно документированного оформления согласия клиента на размещение сведений о нем в базе персональных данных предприятия можно порекомендовать следующее.
1. При заключении гражданско-правового договора в письменной форме включить в него пункт такого содержания: «Клиент (заказчик, покупатель) дает согласие на размещение сведений о нем в базе персональных данных предприятия А».
2. При выдаче чека или расписки о приобретении продукции указывать в этом документе фразу: «Приобретая товар (продукцию), клиент (заказчик, покупатель) дает согласие на размещение сведений о нем в базе персональных данных предприятия А».
3. В правилах предоставления услуг, выполнения работ, правилах торговли упоминать о том, что: «Приобретая товар (продукцию) у предприятия А, клиент (заказчик, покупатель) дает согласие на размещение сведений о нем в базе персональных данных предприятия А».
4. При заказе товара через Интернет-магазин выслать клиенту (заказчику, покупателю) вместе с товаром бланк заявления о согласии на размещение сведений о нем в базе персональных данных предприятия А, также конверт с марками для отправки заявления на обратный адрес предприятия А. Возможно, выслать стандартное письмо в адрес клиента с просьбой заполнить это заявление и с разъяснением цели его написания. Однако же в этом случае есть риск того, что клиент не захочет, не найдет времени, не соберется с мыслями, чтобы отправить заполненный бланк заявления в адрес предприятия. В этом случае сведения о нем предприятие не сможет хранить в клиентской базе персональных данных.
Как говорится, выбирать вам.
Принятие Закона о защите ПД, безусловно, продиктовано необходимостью выполнения норм международной Конвенции. Однако же результатом вступления в силу этого Закона уже стало создание нового органа власти - Государственной службы защиты персональных данных.
Представляется, что вступление в силу Закона N 3454, предусматривающего немалые штрафы за нарушение правил защиты персональных данных, не должно стать источником для произвольного применения таких штрафов к субъектам хозяйственной деятельности. Ведь там, где есть полномочия, могут быть и злоупотребления.
Список использованных документов
КУоАП Украины - Кодекс Украины об административных правонарушениях
УК Украины - Уголовный кодекс Украины
Закон N 3454 - Закон Украины от 02.06.2011 г. N 3454-VI «О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных»
Закон о защите ПД - Закон Украины от 01.06.2010 г. N 2297-VI «О защите персональных данных»
Конвенция ETS N 108 - Конвенция о защите лиц в связи с автоматизированной обработкой персональных данных Стран-участниц от 28.01.1981 г. ETS N 108 (дата вступления в силу для Украины - ! 01.01.2011г.)
Постановление N 616 - Постановление КМУ от 25.05.2011 г. N 616 «Об утверждении Положения о Государственном реестре баз персональных данных и порядке его ведения»
Положение N 390 - Положение о Государственной службе Украины по вопросам защиты персональных данных, утвержденное Указом Президента Украины от 06.04.2011 г. N 390/2011
Положение N 616 - Положение о Государственном реестре баз персональных данных и порядке его ведения, утвержденное Постановлением КМУ от 25.05.2011 г. N 616
“Экспресс анализ законодательных и нормативных актов”, N 50 (832),
12 декабря 2011 г.
Подписной индекс 40783