asyan.org
добавить свой файл
1

Гребінківське районне управління юстиції

2012 рік

Г


Зміст методичної рекомендації



  1. Вступ

  2. Поняття «персональні дані» у сенсі Закону.

  3. Обробка персональних даних фізичними особами-підприємцями та самозайнятими особами

  4. Володілець та розпорядник бази персональних даних.

  5. Підстави обробки персональних даних. Обробка персональних даних працівника.

  6. Деякі питання оформлення заяви про реєстрацію бази персональних даних.

  7. Довідково

  8. Використана література




Статтею 32 Конституції України проголошено право людини на невтручання в її особисте життя. Крім того, не допускається збирання, зберігання, використання поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.     
З метою конкретизації права людини гарантованого статтею 32 Конституції України та визначення механізмів його реалізації, 1 червня 2010 року, Верховною Радою України було прийнято Закон України «Про захист персональних даних» (далі – Закон. Предметом правового регулювання Закону є правовідносини, пов’язані із захистом персональних даних під час їх обробки. 

Мін’юст роз’яснив деякі питання практичного застосування Закону України «Про захист персональних даних». Як відомо, Закон набрав чинності з 1 січня 2011 року, а вже з 1 січня 2012 року набрав чинності ще один Закон «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних». Тож, за порушення законодавства про захист персональних даних суб’єкти підприємницької діяльності притягуватимуться до адміністративної, а в деяких випадках, і до кримінальної відповідальності.

Відповідно до роз’яснень Міністерства юстиції, персональними даними є відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Законодавство України не встановлює чіткого переліку відомостей про фізичну особу, які є персональними даними. На думку парламентарів, це дозволить застосовувати Закон до різних ситуацій, які можуть виникнути при обробці персональних даних в майбутньому, у зв’язку зі зміною в технологічній, соціальній, економічній та інших сферах суспільного життя. В той же час, відсутність інформації про те, яка мінімальна сукупність відомостей дає можливість конкретно ідентифікувати особу та складає собою суть визначення «персональні дані» робить практичне застосування цього Закону проблемним. А, отже, відкриває можливість застосування до підприємців штрафних санкцій.

Так, неповідомлення або несвоєчасне повідомлення суб‘єкта персональних даних про включенням його персональних даних до бази, а також  мету збору цих даних та осіб, яким ці дані передаються – на громадян накладаються штрафи від двохсот до трьохсот неоподатковуваних мінімумів доходів громадян (НМДГ) а на посадових осіб і громадян – суб’єктів підприємницької діяльності – від трьохсот до чотирьохсот НМДГ.

Згідно із документом, недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них, – тягне за собою накладення штрафу відтрьохсот до тисячі НМДГ. Крім того, накладається штраф у разі «неповідомлення або несвоєчасне повідомлення спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних про зміну відомостей, що подаються для державної реєстрації бази персональних даних». У такому випадку на громадян накладається штраф від ста до двохсот НМДГ, а на посадових осіб і громадян – суб’єктів підприємницької діяльності – від двохсот до чотирьохсот НМДГ.

Ухилення від державної реєстрації бази персональних даних, – тягне за собою накладення штрафу на громадян від трьохсот до п‘ятисот НМДГ, а на посадових осіб і громадян – суб’єктів підприємницької діяльності від п‘ятисот до тисячі НМДГ.

Дія цього Закону не поширюється лише на діяльність зі створення баз персональних даних та обробки персональних даних у цих базах:

  • фізичною особою – виключно для непрофесійних особистих чи побутових потреб;

  • журналістом – у зв'язку з виконанням ним службових чи професійних обов’язків;

  • професійним творчим працівником – для здійснення творчої діяльності.

Фізичні особи-підприємці та самозайняті особи на власний розсуд визначають чи володіють вони базами персональних даних у сенсі Закону. У випадку, якщо фізичні особи – підприємці укладають договори виконання робіт або надання послуг з фізичними особами, такі договори також не є базою персональних даних та не підлягають державній реєстрації

Поняття «персональні дані» у сенсі Закону.

«База персональних даних» – це іменована сукупність упорядкованих персональних даних в електронній формі або у формі картотек персональних даних (другий абзац статті 2 Закону). Тобто сукупність логічно пов’язаних даних про фізичних осіб, які зберігаються та обробляються відповідним програмним забезпеченням в електронній формі, або на паперових носіях інформації у формі картотек. При цьому картотекою персональних даних вважається будь-який структурований масив персональних даних, незалежно від того, чи є такий масив централізованим, децентралізованим або розділеним на функціональних або географічних засадах.

Наприклад, відповідно до статті 24 Кодексу законів про працю України громадянин при укладенні трудового договору зобов’язаний подати паспорт або інший документ, що посвідчує особу, трудову книжку, а у випадках, передбачених законодавством, – також документ про освіту (спеціальність, кваліфікацію), про стан здоров’я та інші документи. Таким чином, інформація про найманих працівників є базою персональних даних, оскільки, особові справи, трудові книжки, копії паспортів, документів про освіту зберігаються та (на підставі статті 24 Кодексу законів про працю України) обробляються роботодавцем.

Чи потрібна згода суб’єкта персональних даних

Обробка персональних даних відповідно до частини 5 статті 6 Закону здійснюється за згодою суб’єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством.

Так, відповідно до абзацу п’ятого статті 2 Закону згодою суб’єкта персональних даних є будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки.

Обробка даних про фізичну особу без її згоди не допускається, крім випадків, визначених Законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

Згідно з вимогами Закону згода суб’єкта персональних даних на обробку персональних даних повинна містити інформацію щодо:

  • мети , яка визначається володільцем бази персональних даних в залежності від виду його діяльності, при здійсненні якої виникає необхідність у обробці персональних даних у базах персональних даних, конкретних цілей обробки персональних даних, для досягнення яких володілець бази персональних даних обробляє персональні дані у цій базі (стаття 2 Закону);

  • обсягу персональних даних, а саме чіткого переліку персональних даних фізичної особи, які можуть обробляються володільцем бази персональних даних у цій базі(стаття 6 Закону);

  • порядку використання персональних даних , який передбачає дії володільця бази щодо обробки цих даних, в тому числі використання персональних даних працівниками володільця бази персональних даних, відповідно до їхніх професійних чи службових або трудових обов’язків, дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншим суб’єктам відносин, пов’язаних із персональними даними (стаття 10 Закону);

  • порядку поширення персональних даних , який передбачає дії володільця бази персональних даних щодо передачі відомостей про фізичну особу з бази персональних даних (стаття 14 Закону);

  • порядку доступу до персональних даних третіх осіб , який визначає дії володільця бази персональних даних у разі отримання запиту від третьої особи щодо доступу до персональних даних, у тому числі порядок доступу суб’єкта персональних даних до відомостей про себе (стаття 16 Закону).

Чи повідомляти суб’єкта про збір персональних даних

Однією зі складових процесу обробки персональних даних є їх збирання, що передбачає дії з підбору чи впорядкування відомостей про фізичну особу та внесення їх до бази персональних даних.

Так, згідно зі статтею 12 Закону володілець бази персональних даних протягом десяти робочих днів з дня включення персональних даних до бази персональних даних, що є дією зі збирання персональних даних, зобов’язаний повідомити суб’єкта персональних даних, виключно в письмовій формі, про його права, що визначені статтею 8 Закону, мету збору даних, яка визначається володільцем бази персональних даних, та осіб, яким будуть передаватися персональні дані.

Володілець бази звільняється від виконання вказаного обов’язку лише у разі, якщо персональні дані збираються ним із загальнодоступних джерел. Під визначенням «загальнодоступні джерела інформації», зокрема, розуміються друковані засоби масової інформації, засоби телерадіомовлення, інтернет-портали, публічні виступи та інші джерела інформації, до яких фізичні та юридичні особи мають вільний, необмежений чинним законодавством, доступ.

Обробка персональних даних фізичними особами-підприємцями та самозайнятими особами

Частиною 1 статті 24 Закону визначено, що фізичні особи-підприємці, у тому числі лікарі, які мають відповідну ліцензію, адвокати, нотаріуси особисто забезпечують захист персональних даних, якими вони володіють згідно з вимогами закону.

Володілець та розпорядник бази персональних даних.

Володільцем бази персональних даних, згідно абзацу третього статті 2 Закону є фізична або юридична особа, якій законом або за згодою суб’єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних та процедуру їх обробки, якщо інше не визначене законом, а її розпорядником, згідно абзацу дев’ятого статті 2 Закону фізична чи юридична особа, якій володільцем бази персональних даних або законом надано право обробляти ці дані. 
Згідно зі статтею 4 Закону володільцем чи розпорядником бази персональних даних можуть бути підприємства, установи і організації усіх форм власності, органи держави влади чи органи місцевого самоврядування, які обробляють персональні дані відповідно до закону. 
 Але, якщо володільцем бази персональних даних є орган державної влади чи орган місцевого самоврядування, то розпорядником бази персональних даних, крім цих органів, може бути лише підприємство державної або комунальної форми власності, що належить до сфери управління цього органу.

Підстави обробки персональних даних.

Обробка персональних даних працівника.

Згідно зі статтею 11 Закону підставами виникнення права на використання персональних даних є:

1) згода субєкта персональних даних на обробку його персональних даних;

2) дозвіл на обробку персональних даних, наданий володільцю бази персональних даних відповідно до закону виключно для здійснення його повноважень.

Окремої уваги потребує питання щодо підстави обробки персональних даних працівника. Відповідно до статті 24 Кодексу законів про працю України громадянин при укладенні трудового договору зобов'язаний подати паспорт або інший документ, що посвідчує особу, трудову книжку, а у випадках, передбачених законодавством, - також документ про освіту (спеціальність, кваліфікацію), про стан здоров'я та інші документи. У зв’язку з цим персональні дані працівника, які містяться в паспорті або документі, що посвідчує особу, в трудовій книжці, документі про освіту (спеціальність, кваліфікацію), документі про стан здоров’я та інших документах, які він подав при укладенні трудового договору, обробляються володільцем бази персональних даних на підставі статті 24 Кодексу законів про працю України виключно для здійснення повноважень володільця бази персональних даних у сфері правовідносин, які виникли в нього з працівником на підставі трудового договору (контракту).

Деякі питання оформлення заяви про реєстрацію бази персональних даних.
Відповідно до статті 9 Закону база персональних даних підлягає державній реєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних. 
 Указом Президента України «Про затвердження Положення про Державну службу України з питань захисту персональних даних» від 6 квітня 2011 року визначено уповноваженим державним органом з питань захисту персональних даних – Державну службу України з питань захисту персональних даних, одним із основних завдань якої є: реєстрація баз персональних даних. 
Реєстрація бази персональних даних здійснюється за заявочним принципом шляхом повідомлення. 
Заява про реєстрацію бази персональних даних подається володільцем такої бази або уповноваженим представником в паперовій або електронній формі, вимоги до заповнення та порядок подання якої, визначені постановою Кабінету Міністрів України «Про затвердження Положення про Державний реєстр баз персональних даних та порядок його ведення» від 25 травня 2011 року № 616 та наказом Міністерства юстиції України «Про затвердження форм заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних і порядку їх подання» від 8 липня 2011 року № 1824/5. 
Зокрема, заява про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних повинна містити інформацію про мету обробки персональних даних з визначенням категорії обробки персональних даних. 
Відповідно до частини першої статті 6 Закону мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих документах, які регулюють діяльність володільця бази персональних даних, та відповідати законодавству про захист персональних даних. 
З огляду на вищевикладене метою обробки персональних даних є забезпечення володільцем бази персональних даних належного здійснення діяльності, визначеної в законах, інших нормативно-правових актах, положеннях, установчих документах, які регулюють його діяльність, та внаслідок якої виникає необхідність у вчиненні будь-якої дії або сукупності дій з обробки персональних даних у базах. Слід звернути увагу на те, що склад та зміст персональних даних мають бути відповідними та не надмірними стосовно визначеної мети їх обробки. 
Визначення категорії обробки персональних даних залежить від вимог до обробки персональних даних, які містяться в базах персональних даних заявника. 
Так, Законом передбачені загальні та особливі вимоги обробки персональних даних. Статтею 6 Закону встановлені загальні вимоги обробки всіх наявних у суспільному житті персональних даних особи, за винятком персональних даних, для яких, статтею 7 Закону визначені особливі вимоги обробки. До таких персональних даних належать дані про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров’я чи статевого життя. 
Підсумовуючи викладене, категорія обробки персональних даних визначається володільцем бази персональних даних в залежності від вимог до обробки персональних даних, що встановлені статтями 6, 7 Закону та яких володілець бази персональних даних зобов’язаний дотримуватися при обробці персональних даних.

Важливі моменти

Додаткової уваги потребує те, що володілець реєструє базу персональних даних, а саме надає відомості про неї, які включаються до Державного реєстру баз персональних даних, однак не передає Державній службі України з питань захисту персональних даних наявні в ній персональні дані.

Згідно частини 4 статті 9 Закону володілець бази персональних даних зобов’язаний повідомляти Державну службу України з питань захисту персональних даних про кожну зміну відомостей, необхідних для реєстрації бази персональних даних не пізніш ніж протягом 10 робочих днів з дня настання такої зміни.

Володілець бази персональних даних надсилає Державній службі України з питань захисту персональних даних заяву про внесення змін до відомостей необхідних для реєстрації, за формою встановленою наказом Міністерства юстиції України «Про затвердження форм заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних і порядку їх подання» від 8 липня 2011 року № 1824/5. Володілець позначає «видалити» тих відомостей заяви, які змінились. На заміну ним шляхом позначення «додати» володілець подає нові відомості.

Свідоцтво про внесення змін до відомостей, необхідних для реєстрації бази персональних даних не надається. Натомість, Державна служба приймає рішення про внесення змін до відомостей, необхідних для реєстрації бази персональних даних шляхом надсилання володільцю бази персональних даних листа, в якому повідомляє про прийняте рішення.

Для видалення бази персональних даних з Державного реєстру баз персональних даних, володілець такої бази направляє в Державну службу захисту персональних даних заяву про внесення змін до відомостей Державного реєстру баз персональних даних та позначає «вилучити» всі поля відомостей, які були внесені

Щодо повноважень Державної служби України з питань захисту персональних даних (далі - ДСЗПД) у сфері державного контролю за додержанням вимог законодавства про захист персональних даних.

Відповідно до Положення про Державну службу України з питань захисту персональних даних, затвердженого Указом Президента України від 06.04.2011 № 390, ДСЗПД здійснює повноваження у сфері державного нагляду та контролю за додержанням вимог законодавства про захист персональних даних: 
- розробляє та затверджує плани перевірок володільців та (або) розпорядників баз персональних даних щодо дотримання ними вимог законодавств у сфері захисту персональних даних
- проводить у межах своїх повноважень виїзні та безвиїзні перевірки володільців та (або) розпорядників баз персональних даних
- видає володільцям та (або) розпорядникам баз персональних даних обов’язкові до виконання приписи щодо усунення порушень законодавства про захист персональних даних та вимагає надання необхідної інформації та документів, що підтверджують усунення виявлених порушень
- складає адміністративні протоколи про виявлені порушення законодавства у сфері захисту персональних даних
- передає правоохоронним органам матеріали про виявлені порушення у сфері захисту персональних даних
- здійснює контроль за дотримання правил передачі персональних даних іноземних суб’єктам відносин, пов’язаних з персональними даними.
З 1 січня 2012 року набирають чинності зміни до Кодексу України про адміністративні правопорушення та Кримінального кодексу України, якими введена адміністративна (за неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних про його права у зв’язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються та ухилення від державної реєстрації бази персональних даних та невиконання законних вимог посадових осіб спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних) та кримінальна відповідальність (за порушення недоторканності приватного життя стосовно незаконного збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконної зміни такої інформації), але лише за наступних умов.

1) До ДСЗПД повинна бути надіслана скарга громадянина України (при цьому скарга має бути підкріплена документами, що підтверджують порушення у сфері захисту персональних даних).

2) На підставі скарги ДСЗПД буде проведено перевірку володільців та (або) розпорядників баз персональних даних щодо дотримання ними вимог законодавства у сфері захисту персональних даних, в результаті якої буде надано припис на усунення порушень.
3) В разі невиконання припису ДСЗПД складає адміністративний протокол, який потім передається до суду. 
4) На підставі адміністративного протоколу проводиться судове засідання і приймається рішення про накладення адміністративного стягнення, передбаченого Кодексом України про адміністративні правопорушення, на підставі якого володільцем бази персональних даних сплачується штраф. 
Довідково

Ухиленням від державної реєстрації бази персональних даних не вважатиметься факт подачі володільцем бази персональних даних заяви про реєстрацію бази персональних даних до ДСЗПД до 1 січня 2012 року.
Відповідно до наданих ДСЗПД повноважень у 2012 році здійснюватимуться перевірки володільців баз персональних даних. Такі перевірки можуть бути виїзними та безвиїзними, а також плановими і позаплановими. З Планом проведення перевірок володільців та (або) розпорядників баз персональних даних щодо дотримання ними вимог законодавства у сфері захисту персональних даних можна ознайомитись на веб-сайті ДСЗПД. Позапланові перевірки будуть проводитися лише за скаргами громадян (при цьому скарга повинна бути підкріплена документами, що підтверджують порушення у сфері захисту персональних даних). 
Також інформуємо, що ДСЗПД розроблено проект наказу Міністерства юстиції України «Про затвердження Положення про порядок здійснення Державною службою України з питань захисту персональних даних державного контролю за додержанням законодавства про захист персональних даних», який наразі проходить громадське обговорення, за результатами якого буде надісланий на погодження уповноваженому органу з питань регуляторної політики (Міністерство економічного розвитку і торгівлі України) у встановленому законодавством порядку. Лише після цього наказ буде поданий на підпис Міністру юстиції України. Зауважимо, що перевірки здійснюватимуться тільки після затвердження відповідного наказу.

Наголошуємо на тому, що згідно Закону України «Про захист персональних даних», контроль за додержанням законодавства про захист персональних даних покладено на уповноважений державний орган з питань захисту персональних даних, яким, згідно Указу Президента України «Про затвердження Положення про Державну службу України з питань захисту персональних даних» № 390/2011, визначено Державну службу України з питань захисту персональних даних. На даний час законодавством не визначено жодного іншого органу державної влади та/або місцевого самоврядування, уповноважених на здійснення контролю за додержанням вимог законодавства про захист персональних даних. 
Єдиним органом виконавчої влади, на який законом покладеного завдання щодо контролю за додержанням вимог законодавства про захист персональних даних є Державна служба України з питань захисту персональних даних, а рішення про адміністративне стягнення прийматиме лише суд.

Використана література

  1. Конституції України

  2. Закон України «Про захист персональних даних»

  3. Роз’яснення Мін’юсту деякі питання практичного застосування Закону України «Про захист персональних даних»

  4. Указу Президента України «Про затвердження Положення про Державну службу України з питань захисту персональних даних»

  5. НаказоМіністерства юстиції України «Про затвердження форм заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних і порядку їх подання»