Тема: Базы данных

Прислано ksilit December 14 2011 11:03
#12

Портал сметчиков
в новом номере Д-К
[spoiler]База персональных данных: защищаем — кого и от кого?
С 01.01.2011 года вступил в силу Закон Украины от 01.06.2010 г. №2297-VI «О защите персональных данных»1, однако до сих пор не принято ни одного подзаконного нормативного документа и Государственной службой по защите персональных данных не предоставлено разъяснений по применению положений этого Закона.
А вопросов становится все больше и больше, особенно с приближением времени применения достаточно больших штрафных санкций за невыполнение положений данного Закона. Некоторые из них попробуем прояснить для себя в настоящей статье.
Кого защищает Закон №2297?
Деятельность предприятий независимо от формы собственности и подчинения, физлиц, осуществляющих хозяйственную или независимую профессиональную деятельность, определенным образом связана с использованием и обработкой данных, которые предоставляются физлицами по трудовым, гражданско-правовым договорам либо иным путем, например, при регистрации на Интернет-форумах.
Закон №2297 призван защитить сведения или совокупность сведений о физлице, которое идентифицировано или может быть конкретно идентифицировано при обработке полученных данных.
Итак, согласно Закону №2297 объектами защиты являются персональные данные, которые обрабатываются в базах персональных данных (далее — БПД).
Какой объем персональных данных подпадает под защиту? Какого-либо минимального или максимального объема персональных данных Закон №2297 не устанавливает, говорит только о возможности идентифицировать физлицо. В соответствии с ч. 11 ст. 9 Закона Украины от 28.11.2002 г. №249-IV «О предотвращении и противодействии легализации (отмыванию) доходов, полученных преступным путем, или финансированию терроризма» с целью идентификации резидентов субъекты первичного финансового мониторинга устанавливают для физического лица Ф. И. О., дату рождения, серию и номер паспорта (или иного документа, удостоверяющего личность), дату выдачи и выдавший его орган.
При идентификации выясняют место жительства или местонахождение физического лица, ИНН или серию и номер паспорта, в котором проставлена отметка органов ГНС об отказе от получения ИНН.
Согласно ст. 9 Закона №2297 база персональных данных подлежит государственной регистрации2 путем внесения соответствующей записи уполномоченным государственным органом по вопросам защиты персональных данных в Государственный реестр баз персональных данных. В связи с этим уже едва ли не у каждого предприятия возникли вопросы: что такое БПД, что такое обработка БПД и какие БПД подлежат регистрации?
1 С документом можно ознакомиться на нашем сайте www.dtkt.com.ua в «ДК» №49/2011 в разделе «Документы для работы».
2 Положение о государственном реестре баз персональных данных и порядке его ведения, утвержденное постановлением КМУ от 25.05.2011 г. №616.
Для целей нашего рассмотрения стоит обратить внимание на термины, предусмотренные Законом . Как видим, понятие персональных данных — достаточно широкое. Речь идет практически обо всех данных о физлице, если такое лицо может быть идентифицировано (то есть когда собирается информация о вышеупомянутом (имя, ИНН, адрес и т. п.), и практически обо всех возможных операциях с такими данными. Собственно говоря, в случае если предприятие использует в информационной (автоматизированной) системе и/или в картотеках какие-либо данные о физическом лице, относительно которого известны его имя, ИНН и т. п., такое действие уже может считаться обработкой персональных данных.
Определение терминов
Персональные данные — сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано;
база персональных данных — именуемая совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных;
обработка персональных данных — любое действие или совокупность действий, совершенных полностью или частично в информационной (автоматизированной) системе и/или в картотеках персональных данных, которые связаны со сбором, регистрацией, накоплением, хранением, адаптированием, изменением, восстановлением, использованием и распространением (реализацией, передачей), обезличением, уничтожением сведений о физическом лице.
Одновременно подчеркнем, что регистрации подлежат не действия по обработке ПД, а сами базы ПД. То есть, по нашему мнению, — факт наличия таких данных у СХД.
Государственная служба по защите персональных данных на своем сайте дает разъяснение по отдельным вопросам, в котором сказано, что документация предприятий, учреждений и организаций в электронной форме и/или в форме картотек, содержащая определенным образом структурированные персональные данные наемных работников, также считается базой персональных данных или ее частью. А следовательно, подлежит регистрации.
Каким образом защищаются данные?
В первую очередь Закон №2297 определяет, что персональные данные, кроме обезличенных персональных данных, по режиму доступа являются информацией с ограниченным доступом (ч. 2 ст. 5).
Поэтому необходимо не только зарегистрировать базу данных, но и установить режим доступа к ней, возложив соответствующие обязанности на ответственное лицо предприятия.
Во-вторых, объем персональных данных, которые могут быть включены в базу персональных данных, определяется условиями согласия субъекта персональных данных или в соответствии с законом (п. 3 ст. 6).
Поэтому при приеме на работу следует получить согласие работника на обработку его данных в хозяйственных или иных целях предприятия.
Способов предоставления согласия может быть несколько.
В соответствии со статьей 2 Закона согласием субъекта персональных данных является любое документированное, в частности письменное, добровольное волеизъявление физического лица относительно предоставления разрешения на обработку его персональных данных в соответствии со сформулированной целью их обработки.
Государственная служба Украины по защите персональных данных рекомендует считать формами дачи согласия субъекта персональных данных, в частности, бумажную, электронную или путем проставления соответствующей отметки на отдельном документе предприятия.
В то же время отметим, что согласие субъекта персональных данных на обработку его персональных данных повторно не предоставляется, если владелец продолжает обрабатывать персональные данные субъекта, в соответствии с правоотношениями на основе свободного волеизъявления физического лица, которые возникли до вступления Закона в силу.
В целом вопрос защиты персональных данных является самым сложным, поскольку:
1. Закон предусматривает только общие требования к обработке персональных данных.
2. Обработка персональных данных осуществляется для конкретных и законных целей, определенных с согласия субъекта персональных данных, или в случаях, предусмотренных законами Украины, в порядке, установленном законодательством. Не допускается обработка данных о физическом лице без его согласия, кроме случаев, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека.
3. Цели обработки персональных данных должны соответствовать целям деятельности владельца базы персональных данных, которые зафиксированы в его учредительных документах и/или предусмотрены законодательством Украины, регулирующим их деятельность.
4. Типовой порядок обработки персональных данных в базах персональных данных утверждается уполномоченным государственным органом по защите персональных данных.
На данный момент такой типовой порядок Государственной службой защиты персональных данных еще не утвержден. Поэтому непонятно, должно ли предприятие принимать и разрабатывать такой порядок самостоятельно.
От кого защищаем?
Согласно ст. 4 Закона субъектами отношений, связанных с персональными данными, являются:
1) субъект персональных данных — физлицо, в отношении которого в соответствии с законом осуществляется обработка его персональных данных;
2) владелец базы персональных данных;
3) распорядитель базы персональных данных;
4) третье лицо;
5) уполномоченный государственный орган по защите персональных данных;
6) другие органы государственной власти и органы местного самоуправления, в полномочия которых входит защита персональных данных.
Сам субъект персональных данных имеет свободный доступ к своим данным.
Владельцем базы данных является физлицо и юрлицо, которому по закону или с согласия субъекта персональных данных предоставлено право на обработку этих данных, которое утверждает цель обработки персональных данных в этой базе данных, устанавливает их состав и процедуры их обработки, если иное не определенно законом.
Обращаем внимание на то, что о физлицах-СПД не сказано ни слова. В то же время Государственная служба защиты персональных данных считает, что физлица-СПД также подпадают под действие данного Закона и должны регистрировать имеющиеся у них базы персональных данных.
Что касается распорядителя, то им может быть физическое или юридическое лицо, которому владельцем базы персональных данных или законом предоставлено право обрабатывать эти данные.
Что касается третьих лиц, то, по мнению Государственной службы, это может быть также и физлицо (не предприниматель), в том числе самозанятое лицо, получающее персональные данные от владельцев или распорядителей персональных данных для профессиональных и/или небытовых потребностей.
Впрочем, понятно, что поскольку персональные данные, кроме обезличенных персональных данных, по режиму доступа являются информацией с ограниченным доступом (п. 2 ст. 5), то допускать к базе данных перечисленных в ст. 4 Закона субъектов следует с учетом как Закона №2297, так и других законов, которыми органы государственной власти наделены соответствующими полномочиями.
Какие базы и как нужно регистрировать?
Здесь необходимо обратить внимание на следующее.
Многие предприятия имеют филиалы или другие обособленные подразделения, у которых также есть работники и соответствующие свои базы персональных данных.
Для юрлица понятно — принял работников, регистрируешь базу данных. А как быть с обособленными подразделениями? В целом Государственная служба защиты персональных данных указывает, что если хозсубъект имеет обособленные структурные подразделения, не имеющие статуса юридического лица и расположенные вне мест нахождения таких юридических лиц, то в заявлении о регистрации базы персональных данных в разделе II необходимо указывать адреса местонахождения базы персональных данных и каждого обособленного структурного подразделения при условии, что эти БПД носят одинаковое наименование и к их ведению применяются требования одних и тех же нормативно-правовых актов, в частности, и локальных актов владельца.
В случае когда базы персональных данных предприятия и его обособленного структурного подразделения имеют разное наименование и/или их ведение регулируется разными нормативно-правовыми актами и/или структурное подразделение является отдельным юридическим лицом, то такие БПД обособленных структурных подразделений должны регистрироваться как отдельные БПД конкретного обособленного структурного подразделения.
То есть нужно различать структурные подразделения, которые внесены в сведения о юрлице в ЕГР, и те, которые не внесены. По нашему мнению, если работники принимаются на работу юрлицом и уплачивают налоги по месту учета юрлица, то база персональных данных будет одна.
Не надо забывать и о базе персональных данных контрагентов-физлиц. Такая база, согласно предписаниям Закона №2297, также должна быть зарегистрирована.
Что касается регистрации, то порядок на сегодня несложный.
Регистрация происходит на основании заявления по форме, утвержденной Приказом от 08.07.2011 г. №1824, от владельца базы персональных данных. Заявление подается в Государственную службу по защите персональных данных, которая находится по адресу: 02660, г. Киев, ул. Марины Расковой, д. 15.
Как указано на сайте Государственной службы, «заявление подается в бумажной форме (желательно, с представлением электронной копии) либо в форме электронного документа на электронную почту register@zpd.gov.ua <...>. При этом ГСЗПД обрабатывает заявления в форме электронного документа, подписанные владельцами, которые получают услуги электронной цифровой подписи (ЭЦП) в аккредитованных центрах сертификации ключей, предоставивших в распоряжение ГСЗПД надежные средства ЭЦП».
В случае подачи заявлений в бумажной форме заявитель подписывает каждую страницу заявления и скрепляет ее печатью (при наличии). Ни в одном нормативном документе не сказано, что можно подавать такое заявление по почте. Однако отсутствует и запрет или требование подавать такое заявление лично. Поэтому на практике в 2011 г. многие из владельцев баз персональных данных отправляли заявления письмом с уведомлением о вручении и с описью вложенных в письмо документов.
В соответствии со ст. 9 Закона №2297 специалисты Государственной службы по защите персональных данных должны:
1. Сообщить заявителю не позднее следующего рабочего дня со дня поступления заявления о его получении.
2. Принять решение о регистрации (или отказе в регистрации) базы персональных данных в течение десяти рабочих дней со дня поступления заявления. Владельцу базы персональных данных выдается свидетельство установленного Приказом №1823 образца о регистрации базы персональных данных в Государственном реестре.
К сожалению, на практике такие сроки, по крайней мере в 2011 г., не соблюдаются из-за огромного количества заявок. Уведомление владельцев баз персональных данных о том, что их заявление получено и принято к обработке, происходит довольно быстро — в течение двух недель. А вот чтобы получить свидетельство, придется ждать в лучшем случае около месяца.
Какова ответственность?
В соответствии с Законом Украины от 02.06.2011 г. №3454-VI субъекты отношений в сфере персональных данных начиная с 01.01.2012 года несут такую ответственность, в частности, в соответствии со ст. 188-39 КУоАП:
1) за неуведомление или несвоевременное уведомление субъекта персональных данных о его правах в связи с включением его персональных данных в базу персональных данных, цели сбора этих данных и лицах, которым эти данные передаются, — наложение штрафа на граждан от 3400 грн до 5100 грн и на должностных лиц, граждан — субъектов предпринимательской деятельности — от 5100 грн до 6800 грн;
2) за уклонение от государственной регистрации базы персональных данных — наложение штрафа на граждан от 5100 грн до 8500 грн и на должностных лиц, граждан — субъектов предпринимательской деятельности — от 8500 грн до 17000 грн;
3) за несоблюдение установленного законодательством о защите персональных данных порядка защиты персональных данных в базе персональных данных, что привело к незаконному доступу к ним, — наложение штрафа от 5100 грн до 17000 грн.
Дела будут рассматривать суды, протоколы будет составлять Госслужба по защите ПД.
Напомним, что УК Украины предусматривает уголовную ответственность за нарушение неприкосновенности частной жизни, которое с учетом изменений, предусмотренных Законом №3454, будет заключаться в незаконном сборе, хранении, использовании, уничтожении, распространении конфиденциальной информации о лице или незаконном изменении такой информации, кроме случаев, предусмотренных другими статьями этого Кодекса. Соответствующее преступление карается различными видами наказания — от штрафа до ограничения свободы на срок до 3 лет.
Наталия КАНАРЕВА, «Дебет-Кредит»
[/spoiler]