Тема: Базы данных

Надіслано DIMA-050 December 04 2011 12:01
#1
Портал сметчиков

Тема переехала в отдельную ветку
http://stroysmeta...ad_id=5030


Надіслано АБорис December 06 2011 12:23
#2
Портал сметчиков

Свежая сводка с фронта:

[spoiler]Адміністративна відповідальність

З 1 січня 2012 року набувають чинності зміни до Кодексу України про адміністративні правопорушення, які були внесені Законом України «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» № 3454-VI від 2 червня 2011 року. З цього моменту норми Закону про персональні дані перестануть бути суто декларативними, а перетвориться на дієвий правовий інструмент в руках держави.

Адміністративна відповідальність може наставати за наступні види діянь:
неповідомлення або несвоєчасне повідомлення суб'єкта персональних даних про його права у зв'язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються;
неповідомлення або несвоєчасне повідомлення спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних про зміну відомостей, що подаються для державної реєстрації бази персональних даних;
ухилення від державної реєстрації бази персональних даних.

Таким чином, з 1 січня 2012 року відсутність реєстрації бази персональних даних є не лише порушенням встановленого обов’язку, але й адміністративним правопорушенням.

У випадку виявлення баз персональних даних, які не були зареєстровані на винних осіб може бути накладено штраф в розмірі від трьохсот до п'ятисот неоподатковуваних мінімумів доходів громадян (тобто від 5100 до 8500 грн.).

Інші розміри штрафних санкцій було визначено для посадових осіб юридичних осіб та фізичних-підприємців. Для такої категорії осіб розмір штрафних санкцій становить від п'ятисот до тисячі неоподатковуваних мінімумів доходів громадян, тобто від 8500 до 17000 грн.


Кримінальна відповідальність

Окрім адміністративної відповідальності з 1 січня 2012 року за деякі порушення вимог Закону про персональні дані може наставати кримінальна відповідальність.

Статтею 182 Кримінального кодексу України буде визначено, що незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації, крім випадків, передбачених іншими статтями цього Кодексу караються:
штрафом від п'ятисот до однієї тисячі неоподатковуваних мінімумів доходів громадян (від 8500 до 17000грн) або;
виправними роботами на строк до двох років, або;
арештом на строк до шести місяців, або;
обмеженням волі на строк до трьох років.
[/spoiler]


Надіслано gvb December 06 2011 15:51
#3
Портал сметчиков

есть сайт http://www.zpd.go...


Надіслано ksilit December 06 2011 16:50
#4
Портал сметчиков

да с этими БД, морока....сейчас то же пытаемся регистрировать. у нас их 2 - Сотрудники и Контрагенты.
а то штрафы как то платить не охота
на эту тему форум на Д-К
http://club.dtkt....?13,757451

Надіслано DIMA-050 December 13 2011 10:31
#5
Портал сметчиков

Господа, а про PGP забыли?
Шифруем диск - и нету у вас никаких баз, только абракадабра на винте.
И с каких делов мусора в мои компы полезут? непонятно.

Надіслано ksilit December 13 2011 10:43
#6
Портал сметчиков

если ты выдаешь зарплату, заключаешь договора...значить есть данные о контрагентах. значить есть эта самая БД.

Надіслано DIMA-050 December 13 2011 11:56
#7
Портал сметчиков

совсем идиоты рехнулись.
И куда ее они думают .... регистрировать?!

Надіслано ksilit December 13 2011 12:20
#8
Портал сметчиков

они просто реестр ведут, что существует такая база, распорядитель этой базы ты (например), защита этой базы на тебе лежит целиком и полностью.
а если такая база есть, а ты ее не зарегистрировал(уклоняешься) штраф могут впаять до 17000 грн.
хотя там на форуме рассказывали, что как бы даты до которой надо это сделать нет. но мало ли что в голове у проверяющих

Надіслано DIMA-050 December 13 2011 21:41
#9
Портал сметчиков

Спасибо за толковое разьяснение.
Думаю не только мне пригодилось.

ето значит опять предлагают пи...ры на площадь выйти, раком стать и вазелин приготовить. Заходите, грабьте дальше.
Однако многие застрелятся, если я реестр своих баз выложу.
если раньше в тени были, сейчас в ночь уйдем.
PGP forever.


Надіслано ksilit December 13 2011 22:49
#10
Портал сметчиков

его выкладывать не надо...они просто знают что у тебя есть скажем БД "Сотрудники" и ты ею владеешь. Хотя кто знает что потом будет.
Человек может против быть, что бы ты его включал в БД. Должно быть его согласие письменное.
Вот сегодня из школы принесли бумажку, где родители должны расписаться о том, что они не против внести данные детей в эту базу.
Если новый сотрудник не дает разрешение занести его в базу, то он как бы и ЗП не получит. Бред конечно...
с кем были отношения трудовые до вступления в силу этого закона, таких разрешений вроде не надо. В любом случае ссылки кидаю может пригодятся, это для юр.лиц

[spoiler]это сайт регистратора БД
http://www.zpd.go...vices.html

это рекомендации по заполнению заявки
http://www.zpd.go..._osoba.pdf

это инструкция о создании в електронном виде
http://www.zpd.go...ukciya.htm

это сама заявка
http://www.zpd.go...yu_bpd.doc[/spoiler]

Надіслано АБорис December 14 2011 10:23
#11
Портал сметчиков

Вроде как от уже устроеных сотрудников ненадо заявлений, а вот на тех кто будет устраиватся с 2012 надо. Но основной подвох в том, что эта заява должна подаватся каждый раз, в течении 10 дней, если Вы впервые купили что нибудь у ППшника. Так что скорее всего это ещё один рычаг по притеснению раноправия ФОП.

Надіслано ksilit December 14 2011 11:03
#12
Портал сметчиков

в новом номере Д-К
[spoiler]База персональных данных: защищаем — кого и от кого?
С 01.01.2011 года вступил в силу Закон Украины от 01.06.2010 г. №2297-VI «О защите персональных данных»1, однако до сих пор не принято ни одного подзаконного нормативного документа и Государственной службой по защите персональных данных не предоставлено разъяснений по применению положений этого Закона.
А вопросов становится все больше и больше, особенно с приближением времени применения достаточно больших штрафных санкций за невыполнение положений данного Закона. Некоторые из них попробуем прояснить для себя в настоящей статье.
Кого защищает Закон №2297?
Деятельность предприятий независимо от формы собственности и подчинения, физлиц, осуществляющих хозяйственную или независимую профессиональную деятельность, определенным образом связана с использованием и обработкой данных, которые предоставляются физлицами по трудовым, гражданско-правовым договорам либо иным путем, например, при регистрации на Интернет-форумах.
Закон №2297 призван защитить сведения или совокупность сведений о физлице, которое идентифицировано или может быть конкретно идентифицировано при обработке полученных данных.
Итак, согласно Закону №2297 объектами защиты являются персональные данные, которые обрабатываются в базах персональных данных (далее — БПД).
Какой объем персональных данных подпадает под защиту? Какого-либо минимального или максимального объема персональных данных Закон №2297 не устанавливает, говорит только о возможности идентифицировать физлицо. В соответствии с ч. 11 ст. 9 Закона Украины от 28.11.2002 г. №249-IV «О предотвращении и противодействии легализации (отмыванию) доходов, полученных преступным путем, или финансированию терроризма» с целью идентификации резидентов субъекты первичного финансового мониторинга устанавливают для физического лица Ф. И. О., дату рождения, серию и номер паспорта (или иного документа, удостоверяющего личность), дату выдачи и выдавший его орган.
При идентификации выясняют место жительства или местонахождение физического лица, ИНН или серию и номер паспорта, в котором проставлена отметка органов ГНС об отказе от получения ИНН.
Согласно ст. 9 Закона №2297 база персональных данных подлежит государственной регистрации2 путем внесения соответствующей записи уполномоченным государственным органом по вопросам защиты персональных данных в Государственный реестр баз персональных данных. В связи с этим уже едва ли не у каждого предприятия возникли вопросы: что такое БПД, что такое обработка БПД и какие БПД подлежат регистрации?
1 С документом можно ознакомиться на нашем сайте www.dtkt.com.ua в «ДК» №49/2011 в разделе «Документы для работы».
2 Положение о государственном реестре баз персональных данных и порядке его ведения, утвержденное постановлением КМУ от 25.05.2011 г. №616.
Для целей нашего рассмотрения стоит обратить внимание на термины, предусмотренные Законом . Как видим, понятие персональных данных — достаточно широкое. Речь идет практически обо всех данных о физлице, если такое лицо может быть идентифицировано (то есть когда собирается информация о вышеупомянутом (имя, ИНН, адрес и т. п.), и практически обо всех возможных операциях с такими данными. Собственно говоря, в случае если предприятие использует в информационной (автоматизированной) системе и/или в картотеках какие-либо данные о физическом лице, относительно которого известны его имя, ИНН и т. п., такое действие уже может считаться обработкой персональных данных.
Определение терминов
Персональные данные — сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано;
база персональных данных — именуемая совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных;
обработка персональных данных — любое действие или совокупность действий, совершенных полностью или частично в информационной (автоматизированной) системе и/или в картотеках персональных данных, которые связаны со сбором, регистрацией, накоплением, хранением, адаптированием, изменением, восстановлением, использованием и распространением (реализацией, передачей), обезличением, уничтожением сведений о физическом лице.
Одновременно подчеркнем, что регистрации подлежат не действия по обработке ПД, а сами базы ПД. То есть, по нашему мнению, — факт наличия таких данных у СХД.
Государственная служба по защите персональных данных на своем сайте дает разъяснение по отдельным вопросам, в котором сказано, что документация предприятий, учреждений и организаций в электронной форме и/или в форме картотек, содержащая определенным образом структурированные персональные данные наемных работников, также считается базой персональных данных или ее частью. А следовательно, подлежит регистрации.
Каким образом защищаются данные?
В первую очередь Закон №2297 определяет, что персональные данные, кроме обезличенных персональных данных, по режиму доступа являются информацией с ограниченным доступом (ч. 2 ст. 5).
Поэтому необходимо не только зарегистрировать базу данных, но и установить режим доступа к ней, возложив соответствующие обязанности на ответственное лицо предприятия.
Во-вторых, объем персональных данных, которые могут быть включены в базу персональных данных, определяется условиями согласия субъекта персональных данных или в соответствии с законом (п. 3 ст. 6).
Поэтому при приеме на работу следует получить согласие работника на обработку его данных в хозяйственных или иных целях предприятия.
Способов предоставления согласия может быть несколько.
В соответствии со статьей 2 Закона согласием субъекта персональных данных является любое документированное, в частности письменное, добровольное волеизъявление физического лица относительно предоставления разрешения на обработку его персональных данных в соответствии со сформулированной целью их обработки.
Государственная служба Украины по защите персональных данных рекомендует считать формами дачи согласия субъекта персональных данных, в частности, бумажную, электронную или путем проставления соответствующей отметки на отдельном документе предприятия.
В то же время отметим, что согласие субъекта персональных данных на обработку его персональных данных повторно не предоставляется, если владелец продолжает обрабатывать персональные данные субъекта, в соответствии с правоотношениями на основе свободного волеизъявления физического лица, которые возникли до вступления Закона в силу.
В целом вопрос защиты персональных данных является самым сложным, поскольку:
1. Закон предусматривает только общие требования к обработке персональных данных.
2. Обработка персональных данных осуществляется для конкретных и законных целей, определенных с согласия субъекта персональных данных, или в случаях, предусмотренных законами Украины, в порядке, установленном законодательством. Не допускается обработка данных о физическом лице без его согласия, кроме случаев, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека.
3. Цели обработки персональных данных должны соответствовать целям деятельности владельца базы персональных данных, которые зафиксированы в его учредительных документах и/или предусмотрены законодательством Украины, регулирующим их деятельность.
4. Типовой порядок обработки персональных данных в базах персональных данных утверждается уполномоченным государственным органом по защите персональных данных.
На данный момент такой типовой порядок Государственной службой защиты персональных данных еще не утвержден. Поэтому непонятно, должно ли предприятие принимать и разрабатывать такой порядок самостоятельно.
От кого защищаем?
Согласно ст. 4 Закона субъектами отношений, связанных с персональными данными, являются:
1) субъект персональных данных — физлицо, в отношении которого в соответствии с законом осуществляется обработка его персональных данных;
2) владелец базы персональных данных;
3) распорядитель базы персональных данных;
4) третье лицо;
5) уполномоченный государственный орган по защите персональных данных;
6) другие органы государственной власти и органы местного самоуправления, в полномочия которых входит защита персональных данных.
Сам субъект персональных данных имеет свободный доступ к своим данным.
Владельцем базы данных является физлицо и юрлицо, которому по закону или с согласия субъекта персональных данных предоставлено право на обработку этих данных, которое утверждает цель обработки персональных данных в этой базе данных, устанавливает их состав и процедуры их обработки, если иное не определенно законом.
Обращаем внимание на то, что о физлицах-СПД не сказано ни слова. В то же время Государственная служба защиты персональных данных считает, что физлица-СПД также подпадают под действие данного Закона и должны регистрировать имеющиеся у них базы персональных данных.
Что касается распорядителя, то им может быть физическое или юридическое лицо, которому владельцем базы персональных данных или законом предоставлено право обрабатывать эти данные.
Что касается третьих лиц, то, по мнению Государственной службы, это может быть также и физлицо (не предприниматель), в том числе самозанятое лицо, получающее персональные данные от владельцев или распорядителей персональных данных для профессиональных и/или небытовых потребностей.
Впрочем, понятно, что поскольку персональные данные, кроме обезличенных персональных данных, по режиму доступа являются информацией с ограниченным доступом (п. 2 ст. 5), то допускать к базе данных перечисленных в ст. 4 Закона субъектов следует с учетом как Закона №2297, так и других законов, которыми органы государственной власти наделены соответствующими полномочиями.
Какие базы и как нужно регистрировать?
Здесь необходимо обратить внимание на следующее.
Многие предприятия имеют филиалы или другие обособленные подразделения, у которых также есть работники и соответствующие свои базы персональных данных.
Для юрлица понятно — принял работников, регистрируешь базу данных. А как быть с обособленными подразделениями? В целом Государственная служба защиты персональных данных указывает, что если хозсубъект имеет обособленные структурные подразделения, не имеющие статуса юридического лица и расположенные вне мест нахождения таких юридических лиц, то в заявлении о регистрации базы персональных данных в разделе II необходимо указывать адреса местонахождения базы персональных данных и каждого обособленного структурного подразделения при условии, что эти БПД носят одинаковое наименование и к их ведению применяются требования одних и тех же нормативно-правовых актов, в частности, и локальных актов владельца.
В случае когда базы персональных данных предприятия и его обособленного структурного подразделения имеют разное наименование и/или их ведение регулируется разными нормативно-правовыми актами и/или структурное подразделение является отдельным юридическим лицом, то такие БПД обособленных структурных подразделений должны регистрироваться как отдельные БПД конкретного обособленного структурного подразделения.
То есть нужно различать структурные подразделения, которые внесены в сведения о юрлице в ЕГР, и те, которые не внесены. По нашему мнению, если работники принимаются на работу юрлицом и уплачивают налоги по месту учета юрлица, то база персональных данных будет одна.
Не надо забывать и о базе персональных данных контрагентов-физлиц. Такая база, согласно предписаниям Закона №2297, также должна быть зарегистрирована.
Что касается регистрации, то порядок на сегодня несложный.
Регистрация происходит на основании заявления по форме, утвержденной Приказом от 08.07.2011 г. №1824, от владельца базы персональных данных. Заявление подается в Государственную службу по защите персональных данных, которая находится по адресу: 02660, г. Киев, ул. Марины Расковой, д. 15.
Как указано на сайте Государственной службы, «заявление подается в бумажной форме (желательно, с представлением электронной копии) либо в форме электронного документа на электронную почту register@zpd.gov.ua <...>. При этом ГСЗПД обрабатывает заявления в форме электронного документа, подписанные владельцами, которые получают услуги электронной цифровой подписи (ЭЦП) в аккредитованных центрах сертификации ключей, предоставивших в распоряжение ГСЗПД надежные средства ЭЦП».
В случае подачи заявлений в бумажной форме заявитель подписывает каждую страницу заявления и скрепляет ее печатью (при наличии). Ни в одном нормативном документе не сказано, что можно подавать такое заявление по почте. Однако отсутствует и запрет или требование подавать такое заявление лично. Поэтому на практике в 2011 г. многие из владельцев баз персональных данных отправляли заявления письмом с уведомлением о вручении и с описью вложенных в письмо документов.
В соответствии со ст. 9 Закона №2297 специалисты Государственной службы по защите персональных данных должны:
1. Сообщить заявителю не позднее следующего рабочего дня со дня поступления заявления о его получении.
2. Принять решение о регистрации (или отказе в регистрации) базы персональных данных в течение десяти рабочих дней со дня поступления заявления. Владельцу базы персональных данных выдается свидетельство установленного Приказом №1823 образца о регистрации базы персональных данных в Государственном реестре.
К сожалению, на практике такие сроки, по крайней мере в 2011 г., не соблюдаются из-за огромного количества заявок. Уведомление владельцев баз персональных данных о том, что их заявление получено и принято к обработке, происходит довольно быстро — в течение двух недель. А вот чтобы получить свидетельство, придется ждать в лучшем случае около месяца.
Какова ответственность?
В соответствии с Законом Украины от 02.06.2011 г. №3454-VI субъекты отношений в сфере персональных данных начиная с 01.01.2012 года несут такую ответственность, в частности, в соответствии со ст. 188-39 КУоАП:
1) за неуведомление или несвоевременное уведомление субъекта персональных данных о его правах в связи с включением его персональных данных в базу персональных данных, цели сбора этих данных и лицах, которым эти данные передаются, — наложение штрафа на граждан от 3400 грн до 5100 грн и на должностных лиц, граждан — субъектов предпринимательской деятельности — от 5100 грн до 6800 грн;
2) за уклонение от государственной регистрации базы персональных данных — наложение штрафа на граждан от 5100 грн до 8500 грн и на должностных лиц, граждан — субъектов предпринимательской деятельности — от 8500 грн до 17000 грн;
3) за несоблюдение установленного законодательством о защите персональных данных порядка защиты персональных данных в базе персональных данных, что привело к незаконному доступу к ним, — наложение штрафа от 5100 грн до 17000 грн.
Дела будут рассматривать суды, протоколы будет составлять Госслужба по защите ПД.
Напомним, что УК Украины предусматривает уголовную ответственность за нарушение неприкосновенности частной жизни, которое с учетом изменений, предусмотренных Законом №3454, будет заключаться в незаконном сборе, хранении, использовании, уничтожении, распространении конфиденциальной информации о лице или незаконном изменении такой информации, кроме случаев, предусмотренных другими статьями этого Кодекса. Соответствующее преступление карается различными видами наказания — от штрафа до ограничения свободы на срок до 3 лет.
Наталия КАНАРЕВА, «Дебет-Кредит»
[/spoiler]