Закон украины о защиты персональных данных

Рубрики Новости

Защита персональных данных: насколько вы подготовлены

25 мая в Европе вступает в силу Общий регламент по защите персональных данных (GDPR). Как не подставить компанию под удар и проверить, готовы ли вы к нему?

В полном непредвиденных ситуаций мире для достижения долгосрочного успеха компаниям необходимо выстраивать инфраструктуру, обеспечивающую чувствительность и устойчивость к рискам. Соблюдение требований законодательства по защите персональных данных является неотъемлемой частью комплаенса, поскольку способствует своевременному выявлению регуляторных рисков и принятию соответствующих решений по их минимизации.

25 мая 2018 года вступает в силу Общий регламент по защите персональных данных (Регламент, GDPR). Действие Регламента направлено на защиту персональных данных физических лиц и требует принятия дополнительных мер для обеспечения их безопасности.

Многие концепции GDPR основываются на положениях действующей Директивы (Data Protection Directive), поэтому если вы придерживаетесь действующего законодательства, то большинство из подходов останутся неизменными и станут основой для внедрения соответствующих изменений. Но все же Регламент содержит и нововведения, среди которых крупные штрафы за нарушение законодательства.

Итак, с чего начать? В первую очередь необходимо определить, применяется ли Регламент к вашей компании. Затем проанализируйте, какие данные вы обрабатываете, какие системы сбора, хранения и обработки персональных данных вы используете. Исходя из этого, оцените риски и обозначьте для себя ваши проблемные точки (red flags) . Следующий шаг — это разработка и внедрение внутренних политик по защите персональных данных, что включает в себя: разработку внутренних документов, назначение уполномоченного лица и информирование сотрудников о порядке обращения с персональными данными (ознакомление с внутренними процедурами, проведение плановых тренингов, пр.).

Регламент уже вызвал много противоречий и поднял ряд вопросов, и один из самых важных — это, безусловно, какие документы необходимы для соблюдения требований GDPR.

Если вы используете социальные сети и мессенджеры, то уже наверняка видели всплывающие окна с уведомлениями о смене правил компании и запросами на ваше согласие. Но достаточно ли таких уведомлений для выполнения требований нового законодательства?

В соответствии с Регламентом в компании должен быть утвержден ряд документов, регулирующий внутренние процессы в части защиты персональных данных. Политика по защите персональных данных является основным внутренним документом компании. Её наличие является огромным преимуществом, поскольку позволяет сотрудникам вашей компании быть осведомлёнными и надлежащим образом выполнять требования Регламента. Политика регулирует процесс обработки персональных данных и содержит основные элементы такие, как:

  • цель (т.е. для чего предназначена настоящая политика в компании);
  • основные термины (например, персональные данные и их категории);
  • принципы и цель обработки (часть политики, отвечающая на вопрос, в рамках какой деятельности компании осуществляется сбор и обработка персональных данных);
  • ответственные и их обязанности (например, назначение ответственного сотрудника или же передача функционала на аутсорсинг);
  • контроль по соблюдению политики (устанавливает необходимые меры, принимающиеся компанией для соблюдения законодательства).

Не менее значимым является согласие на обработку персональных данных. В соответствии с пунктом 11 статьи 4 Регламента согласие субъекта персональных данных означает любое предоставленное по своему усмотрению, конкретное и однозначное указание желания субъекта персональных данных, посредством которого он или она заявляет или четким утвердительным действием дает согласие на обработку своих персональных данных.

Еще один документ — это уведомление о конфиденциальности, например, сообщение, публикуемое на вашем сайте, которое простыми словами объясняет, каким образом вы обрабатываете персональные данные ваших клиентов и третьих лиц.

Среди остальных обязательных документов Регламент предусматривает: уведомление о конфиденциальности для сотрудников, политика о хранении персональных данных (описывает процесс хранения данных, сроки и каким образом данные будут удалены); реестр персональных данных, уведомление о нарушении и пр.

Законодатель также устанавливает перечень документов, необходимых при определенных обстоятельствах, например, стандартные договорные положения для передачи персональных данных контролеру/процессору (обязательно при условии передачи данных контролеру/процессору за пределы Европейской Экономической Зоны).

Следует обратить внимание и на инструменты, не предусмотренные GDPR, но полезные для эффективного внедрения системы по защите персональных данных в вашей компании. К таким можно отнести: политику по защите персональных данных для сотрудников (аналогично общей политике по защите персональных данных, но основное внимание уделяется сотрудникам), реестр уведомлений о конфиденциальности (целесообразно в случае, если вы публикуете такие уведомления во многих местах и хотите контролировать процесс их размещения/внесения изменений), проектный план по соблюдению требований GDPR (в случае, если вы являетесь крупной компанией и делегируете обязанности аффилированным лицам, подразделениям); чек-листы с целью проведения внутренних проверок на предмет соответствия законодательству, форму отзыва согласия на обработку (в случае если субъект персональных данных отзывает свое согласие) и другие.

На сегодня Регламент является удобным механизмом, который существенно повышает уровень защиты персональных данных физических лиц. Важной особенностью GDPR является то, что он имеет экстерриториальное действие, и не ограничивается Европейским Союзом. Среди украинских компаний, которые могут попасть под действие GDPR, речь идет о компаниях, которые экспортируют свои товары или услуги физическим лицам на территории ЕС, в том числе онлайн-магазины, туроператоры, транспортные компании, а также компании, которые в ходе осуществления своей деятельности получают доступ к персональным данным субъектов в ЕС (IT, финансовые, фармацевтические и медиакомпании). Украинскому бизнесу также стоит принять во внимание новые требования GDPR и его инновационные положения.

Закон украины о защиты персональных данных

Первого января 2011 года в Украине вступил в силу закон №2297-VI “О защите персональных данных”. Многие слышали об этом событии, некоторые знали об открытии регистрации баз ПД в июле этого года, но совсем немногие из тех, кого касается этот закон, поспешили предпринять какие-то конкретные действия. А тем временем с 1-го января 2012 года вступают в силу изменения в административном и уголовном кодексах Украины, определяющие ответственность за несоблюдение соответствующего закона. Далее мы постараемся ответить на самые главные вопросы:

  • кого это касается?
  • что нужно делать?
  • и что будет, если ничего не сделать?

Кому нужно принимать во внимание закон о защите персональных данных

Любому лицу (физическому или юридическому) Украины, которое владеет какой-либо персональной информацией физических лиц. Закон широко трактует понятие “персональных данных”. В своих разъяснениях служба ЗПД ссылается на Конвенцию Совета Европы и определяет персональные данные как сведения или совокупность сведений о физическом лице, которое может быть конкретно идентифицировано при помощи этих сведений. Таким образом, персональным данными может быть практически любая информация: email, IP-адрес, GPS позиция пользователя. Не говоря уже о таких данных, как ФИО, дата рождения, адрес и телефон. База персональных данных — именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных.

Очевидно, что согласно закону регистрировать свои базы должны владельцы практических любых веб-сайтов, имеющих зарегистрированных пользователей. Сюда же попадают все интернет магазины с их базами покупателей. Но самое интересное, что персональными данными также считается информация о наемных работниках. А значит, зарегистрировать свою базу сотрудников обязана любая украинская компания.

После такого пессимистического начала перейдем к конкретным действиям.

Как обеспечить соблюдение закона о защите персональных данных

Для того, чтобы служба ЗПД не имела к вам вопросов, нужно обеспечить выполнение трех концептуальных пунктов:

  1. получить разрешение каждого субъекта персональных данных (например, пользователя) на обработку и использование его ПД, уведомив его о цели сбора этих данных и их обработки, его правах, в связи с включением информации о нем в базу персональных данных, и лиц, которым эти данные передаются;
  2. зарегистрировать базу персональных данных в государственном реестре;
  3. обеспечить защиту базы персональных данных.

Если говорить о конкретных действиях, то они будут немного различными для разных баз ПД. Выделим два образных случая: веб-сайт и компания, имеющая базу данных сотрудников.

Сайт
Для реализации первого пункта вам потребуется модифицировать пользовательское соглашение. Необходимо добавить информацию о правах пользователя (возможно дать ссылку или процитировать статью 8 закона о защите персональных данных), цели обработки ПД, а также пункт “я разрешаю администрации сайта example.com собирать и обрабатывать мои персональные данные. С правами, возникающими в связи с обработкой моих персональных данных, и целями обработки и использования моих персональных данных ознакомлен”.

Компания
Нужно принять положения, в которых будут изложены права сотрудников, возникающие в связи с обработкой их ПД, а также цели обработки ПД (пример приказа и положения). Также нужно получить письменное разрешение каждого сотрудника на обработку его ПД (пример).

Регистрация баз ПД будет одинаковой для всех случаев и не должна занять много времени. Мы подготовили необходимый инструмент и подробную инструкцию в нашем блоге.

Кроме этого закон обязывает владельца баз ПД обеспечивать их защиту. Однако выбор конкретных мер и способов защиты возлагается целиком на владельца баз ПД и никак не обозначен. Отметим, что существует проект рекомендаций по обеспечению защиты баз ПД, и в будущем этот вопрос будет урегулирован намного точнее.

Какая ответственность предусмотрена за несоблюдение закона о защите персональных данных

Процитируем Кодекс Украины об административных правонарушениях. Необлагаемый минимум доходов граждан составляет 17 гривен.

Административная ответственность:

  • неуведомление (несвоевременное уведомление) субъекта персональных данных о его правах в связи с включением его персональных данных в базу, цели сбора данных и лиц, которым эти данные передаются – штраф до 300 НМДГ для граждан и от 300 до 400 – для должностных лиц и СПД;
  • неуведомление (несвоевременное уведомление) специально уполномоченного органа по вопросам защиты ПД об изменении ведомостей, которые подаются для государственной регистрации базы персональных данных – штраф от 100 до 200 НМДГ для граждан и от 200 до 400 НМДГ – для должностных лиц и СПД;
  • уклонение от регистрации базы персональных данных – штраф от 300 до 500 НМДГ для граждан и от 500 до 1000 НМДГ – для должностных лиц и СПД;
  • несоблюдение установленного законодательством порядка защиты базы ПД, которое повлекло к незаконному доступу к ПД – от 300 до 1000 НМДГ;
  • невыполнение законных требований должностных лиц специально уполномоченного органа по вопросам защиты ПД – штраф от 100 до 200 НМДГ.

Также существует уголовная ответственность за незаконный сбор, хранение, использование, уничтожение и распространение конфиденциальной информации (согласно ст.182 УК Украины), но мы искренне надеемся, что до этого дело не дойдет.

Составление протоколов о нарушениях в сфере защиты персональных данных возложено на уполномоченный орган – Государственную службу по вопросам защиты персональных данных. Привлекать к ответственности и принимать решение о взыскании штрафа уполномочены местные суды.

Закон не распространяет свое действие в следующих случаях:

  • если база используется физическим лицом для личных непрофессиональных нужд;
  • если база используется физическим лицом для бытовых нужд;
  • если база используется журналистом для исполнения его должностных обязанностей;
  • если база используется творческим работником для осуществления его творческой деятельности.

Поэтому, если вы ведете личный блог и у вас есть база данных подписчиков, то регистрировать ничего не нужно.

В: Есть ли какая-то минимальная совокупность сведений, которая считается персональными данными?
О: Нет. Любые сведения о лице, по которым его можно идентифицировать считаются персональными данными

В: Данные хранятся на серверах в США, нужно ли мне регистрировать базу ПД?
О: Да.

В: Какой крайний срок регистрации баз ПД?
О: Такого срока нет, но с 1-го января 2012 года за несоблюдение норм закона о защите ПД вас могут привлечь к административной ответственности. Однако, скорее всего, служба ЭПД не приедет к вам с плановой проверкой, и реальные проблемы могут возникнуть только, если на вас подадут жалобу. В любом случае, базу лучше зарегистрировать как можно скорее, это не так сложно.

В: Считаются ли персональными данными сведения о сотрудниках?
О: Да

В: Нужно ли мне получать разрешение на использование ПД у уже существующих пользователей на моем сайте?
О: Нет, но вам нужно внести изменения в порядок регистрации всех новых пользователей.

Какие изменения претерпел закон «О защите персональных данных»

Наталия Герус, старший юрист юридической фирмы «Клиффорд Чанс», об изменениях в законе «О защите персональных данных», которые вступили в силу в январе 2014 года

1 января 2014 года вступили в силу изменения к Закону Украины «О защите персональных данных» (далее — «Закон»). Среди основных изменений необходимо отметить следующие.

Новый уполномоченный орган в сфере защиты персональных данных

Согласно Закону, функции Государственной службы Украины по вопросам защиты персональных данных — уполномоченного органа в сфере защиты персональных данных — передаются Уполномоченному Верховной Рады Украины по правам человека (далее — «Омбудсмен»). Кроме того, полномочия Омбудсмена были значительно расширены.

Так, Омбудсмен имеет право проводить выездные и безвыездные, плановые и внеплановые проверки владельцев и распорядителей персональных данных. Причем порядок проведения таких проверок утверждается самим Омбудсменом. Основанием для проведения внеплановой проверки может быть обращение или жалоба физического или юридического лица, наличие фактов или информация о нарушении законодательства о защите персональных данных, а также инициатива самого Омбудсмена.

По результатам проведения проверки или рассмотрения обращения или жалобы от физического или юридического лица Омбудсмен имеет право выдавать обязательные для выполнения требования (предписания), составлять протоколы о привлечении к административной ответственности и передавать их на рассмотрение в суд.

Кроме того, Омбудсмен имеет право доступа к любой информации (документам) владельцев или распорядителей персональных данных, в том числе право доступа к самим персональным данным. Необходимо отметить, что Государственная служба Украины по вопросам защиты персональных данных ранее не имела права доступа к самим персональным данным.

Также Омбудсмен уполномочен предоставлять рекомендации относительно практического применения законодательства о защите персональных данных, утверждать нормативно-правовые акты в сфере защиты персональных данных, а также выдавать заключения относительно проектов кодексов поведения в сфере защиты персональных данных.

Поскольку изменения к Закону вступили в силу только 1 января 2014 года, еще пока рано судить или характеризовать деятельность Омбудсмена, однако сам факт предоставления ему достаточно широких полномочий в сфере контроля может способствовать усилению давления со стороны контролирующих органов на бизнес.

Отмена обязательной регистрации баз персональных данных

Закон отменяет обязательную регистрацию баз персональных данных, однако Закон вводит требование об обязательном уведомлении Омбудсмена в случае, если владелец персональных данных производит обработку персональных данных, которая представляет особый риск для прав и свобод субъектов персональных данных. 8 января 2014 года Омбудсмен разъяснил, обработка каких персональных данных представляет особый риск для прав и свобод субъектов персональных данных, а именно это персональные данные относительно:

• расового, этнического и национального происхождения;

• политических, религиозных или мировоззренческих убеждений;

• членства в политических партиях и/или организациях, профессиональных союзах, религиозных организациях или в общественных организациях мировоззренческой направленности;

• состояния здоровья, половой жизни;

• биометрические или генетические данные;

• привлечения к административной или уголовной ответственности;

• применения к лицу мер в рамках досудебного расследования или мер, предусмотренных Законом Украины «Об оперативно-розыскной деятельности»;

• совершения в отношении лица тех или иных видов насилия;

• местонахождения и/или путей передвижения лица.

Такое уведомление должно быть сделано на протяжении 30 дней со дня начала такой обработки. Также владельцы персональных данных обязаны уведомлять Омбудсмена о каждом изменении сведений, подлежащих уведомлению, в течение 10 дней со дня наступления такого изменения.

Владельцы персональных данных, которые на момент вступления в силу изменений к Закону (т.е. по состоянию на 1 января 2014 года) осуществляют обработку персональных данных, которая подлежит уведомлению, обязаны подать соответствующее уведомление Омбудсмену в течение 6 месяцев со дня вступления изменений в силу, т.е. до 1 июля 2014 года.

В целом отмена обязательной регистрации персональных баз данных является позитивным нововведением. Также учитывая, что на практике достаточно немного компаний осуществляют обработку выше указанных персональных данных, есть основания надеяться, что эта норма Закона будет иметь лишь позитивное влияние на бизнес-среду в Украине.

Другие изменения

Из Закона было удалено определение «согласие субъекта персональных данных». Таким образом, Закон не устанавливает форму, в которой согласие должно быть предоставлено. Однако Омбудсмен разъяснил , что согласие может быть предоставлено как в письменной форме, так и в электронной форме, которая дает возможность сделать заключение о ее предоставлении.

Также был дополнен перечень оснований для обработки персональных данных. Так, согласие субъекта персональных данных на обработку его персональных данных не требуется, если такая обработка вызвана необходимостью исполнения владельцем или распорядителем персональных данных его обязанностей, предусмотренных законом.

Кроме того, срок уведомления субъекта персональных данных о владельце персональных данных, содержание собранных персональных данных и его правах, предусмотренных Законом, в некоторых определенных Законом случаях, был продлен с 10 до 30 дней.

Типовой порядок обработки персональных данных

8 января 2014 года Омбудсмен утвердил Типовой порядок обработки персональных данных (далее — «Порядок»), в котором детализируются многие положения Закона. Однако в Порядке нашли отображение и достаточно много нововведений. Так, владельцы и распорядители персональных данных обязаны осуществлять меры по обеспечению защиты персональных данных, которые, предусматривают обязанность владельцев и распорядителей персональных данных, среди прочих:

• вести учет операций, связанных с обработкой персональных данных;

• разработать план действий на случай несанкционированного доступа к персональным данным, повреждения технического оборудования или возникновения чрезвычайных ситуаций;

• проводить регулярное обучение сотрудников, которые работают с персональными данными.

В целом изменения к Закону, которые вступили в силу 1 января 2014 года, можно считать позитивными, поскольку отменяется обязательная регистрация баз персональных данных, устанавливаются дополнительные основания для обработки персональных данных, которые позволят сократить количество случаев, в которых необходимо получать согласие субъекта персональных данных.

Однако среди возможных негативных нововведений следует отметить расширение полномочий Омбудсмена, что может привести к увеличению давления контролирующих органов на бизнес-среду. Также уточненные и детализированные требования к обработке персональных данных, изложенные в Порядке, несут в себе достаточно много новых и обременительных требований для владельцев и распорядителей персональных данных. А их несоблюдение может привести к административной, а в самых крайних случаях, даже к уголовной ответственности должностных лиц владельцев и распорядителей персональных данных.

Наш МВА-партнер

Обработка персональных данных физических лиц

В последнее время тема использования и защиты персональных данных физических лиц приобрела особую актуальность. Как известно, не так давно Украина ратифицировала Конвенцию Совета Европы о защите лиц в связи с автоматизированной обработкой персональных данных и Дополнительный протокол к этой Конвенции относительно органов надзора и трансграничных потоков данных.

Выполняя принятые обязательства, с целью адаптации украинского законодательства к международным нормам, 1 июня 2010 года Верховная Рада Украины приняла Закон Украины «О защите персональных данных» № 2297-VI (далее – Закон № 2297-VI). Данный Закон вступил в силу с 1 января 2011 года и практически с этого момента стали формироваться государственные органы, которые уполномочены осуществлять регистрационные процедуры и контроль в данной сфере. В настоящий момент такие полномочия получила Государственная служба Украины по вопросам защиты персональных данных (далее – Служба). К функциям Службы относятся регистрация баз персональных данных, ведение Государственного реестра баз персональных данных, а также контроль в данной сфере. С начала июля 2011 года Служба начала активную деятельность.

Базы персональных данных физических лиц в медицинских и оздоровительных учреждениях, аптеках и салонах красоты, гостиниц, а также других субъектов хозяйствования

В соответствии с действующим законодательством персональными данными является любая информация о физическом лице, которая позволяет его идентифицировать, в частности об: имени, дате и месте рождения, месте работы и проживания, образовании и т.д. Персональными данными также могут быть сведения о: национальности, образовании, семейном положении, религиозности, состоянии здоровья и др. Кроме того, согласно решению Конституционного Суда Украины от 30 октября 1997 № 5-зп к персональным данным также относятся данные об имущественном состоянии и медицинская информация (информация о состоянии здоровья, в т.ч. из истории болезни).

В соответствии с Законом № 2297-VI объектами защиты являются лишь те персональные данные, которые обрабатываются и вносятся в базу персональных данных.

Статьей 2 указанного Закона определено, что база персональных данных — это именуемая совокупность упорядоченных персональных данных в электронном виде и/или в виде картотек персональных данных. Поэтому базы пациентов и медицинские карточки последних в медицинских и оздоровительных учреждениях и у частнопрактикующих врачей, базы и карточки клиентов салонов красоты, аптек и иные подобные клиентские базы других субъектов хозяйствования являются базами персональных данных. Причем, следует отметить, что как минимум одна база персональных данных физических лиц есть у каждого работодателя. Это база наемных работников, которая формируется при оформлении их кадровых дел.

Говоря о базах персональных данных, возникает вопрос о том, из какого минимального количества лиц может состоять База персональных данных. Отвечая на этот вопрос необходимо учитывать два важных момента. Во-первых, база персональных данных – это совокупность сведений о физических лицах. То есть, формально это могут быть сведения даже о двух физических лицах. Во-вторых, персональные данные даже одного физического лица уже должны охраняться. Поэтому специалисты Службы советуют регистрировать Базы персональных данных, начиная с появления первого лица в этой базе. В ближайшее время планируется внести изменения в Закон № 2297-VI, в соответствии с которыми юридические лица и физические лица–предприниматели должны будут регистрировать Базы персональных данных еще до создания такой базы и внесения первых данных.

Баз персональных данных на одном предприятии или в организации может быть несколько. Нередко одни и те же данные дублируются в электронном и бумажном виде (например, картотека). Однако, если цель обработки сведений, которые обрабатываются в электронном виде и в виде картотек, одна и та же, то это и будет одна база данных. Просто способ обработки данных в данном случае смешанный.

Владельцами базы персональных данных являются физические или юридические лица, которым законом или по согласию субъекта персональных данных предоставлено право на обработку этих данных, которое утверждает цель обработки данных в этой базе данных, устанавливает состав этих данных и процедуры их обработки, если иное не установлено Законом.

В соответствии с Законом № 2297-VI все субъекты, которые обрабатывают, вносят в базы или используют персональные данные физических лиц, должны регистрировать такие базы персональных данных в установленном законом порядке.

Процедура регистрации базы персональных данных

Существующая сегодня процедура регистрации баз персональных данных не предполагает передачу в специально уполномоченный государственный орган (Службу) персональных данных физических лиц, которые были переданы последними тем или иным предприятиям, организациям или физическим лицам. Фактически в Службу передаются лишь общие данные о такой базе (картотеке) в частности информация о: цели сбора информации, предполагаемом количестве лиц, которые предоставили (или могут предоставить в будущем) такую информацию, каким образом персональная информация будет храниться, может ли она передаваться третьим лицам и др. Такие сведения указываются в заявлении установленного образца. Форма такого заявления предполагает довольно подробную информацию не только о самой базе, но и о лицах, ответственных за сбор, обработку, хранение и выдачу таких данных.

Зарегистрировать базу персональных данных можно как лично, так и через представителя (документы необходимо подавать непосредственно в Службу, которая находиться в г. Киеве). На первый взгляд, процедура не сложная, однако уже сегодня около 20% заявителей уже получили отказ в регистрации баз персональных данных. Отправка заявлений на регистрацию БПД возможна и по почте, в т.ч. заказным письмом.

Государственный контроль над соблюдением норм законодательства о защите персональных данных

В соответствии с Законом № 2297-VI специально уполномоченным государственным органом по вопросам защиты персональных данных физических лиц является именно Государственная служба Украины по вопросам защиты персональных данных. Указом Президента Украины от 6 апреля 2011 года № 390/2011 было утверждено Положение о Государственной службе Украины по вопросам защиты персональных данных (далее — Положение). В соответствии с Положением деятельность Службы направляется и координируется Кабинетом Министров Украины через министра юстиции Украины. Как уже упоминалось, в число полномочий Службы входит и контроль над соблюдением требований соответствующего законодательства по защите персональных данных.

В составе Службы уже действует Отдел контроля над соблюдением законодательства о защите персональных данных (далее – Отдел контроля). Это подразделение уполномочено проводить плановые и внеплановые проверки предприятий, организаций, физических лиц-предпринимателей и по их результатами давать предписания об устранении нарушений, а также налагать штрафные санкции на нарушителей.

С 1 июля 2012 года полномочия у Отдела контроля существенно расширены, а к нарушителям будут применяться санкции как административного, так и уголовного характера.

Юридическая ответственность за нарушения законодательства в сфере защиты персональных данных

Какое же наказание ожидает нарушителей законодательства о защите персональных данных физических лиц? Ответ на этот вопрос указан в Законе Украины «О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных» от 02.06.2011 г. № 3454-VI. Данный закон установил довольно серьезные санкции административной и уголовной ответственности, которые указаны в новых статьях Кодекса Украины об административных правонарушениях (188-39 и 188-40 КоАП) и в измененной ст. 182 Уголовного кодекса Украины (далее – УК Украины).

13 января 2012 года Верховной Радой Украины был принят новый Закон, которым вступление в силу норм об ответсвенности за нарушение законодательства о защите персональных данных было перенесено на 1 июля 2012 . С этой даты в Украине уже применяются санкции за правонарушения и преступления, связанные с персональными данными физических лиц.

В соответствии со ст. 188-39 КоАП несообщение или несвоевременное сообщение субъекту персональных данных об его правах в связи с включением его персональных данных в базу персональных данных, или цели сбора этих данных и лиц, которым эти данные передаются, – влекут за собой наложение штрафа на должностные лица, граждан-субъектов предпринимательской деятельности – от трехсот до четырехсот (от 5100 грн. до 6800 грн.) необлагаемых минимумов доходов граждан (НМДГ). То есть, физическое лицо должно ОБЯЗАТЕЛЬНО подписать письменное согласие на включение обработку его данных в базу. Причем в медучреждении или салоне это касается не только пациентов (клиентов), но и нанятых сотрудников предприятия, организации или физического лица-предпринимателя, если они трудоустроены после 1 января 2011 года.

Уклонение от государственной регистрации базы персональных данных – влечет за собой наложение штрафа на должностные лица, граждан-субъектов предпринимательской деятельности – от пятисот до тысячи НМДГ (от 8500 до 17000 грн.).

Несоблюдение установленного законодательством порядка защиты персональных данных в базе персональных данных, которое привело к незаконному доступу к ним, влечет за собой наложение штрафа от трехсот до тысячи НМДГ (от 5100 до 17000 грн.).

Статья 182 УК Украины предусматривает уголовную ответственность, в т.ч. санкции в виде ограничения или лишения свободы за незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о личности.

Учитывая столь серьезные санкции субъектам хозяйствования всех форм собственности рекомендуется обязательно зарегистрировать базы персональных данных. Причем следует помнить, что на предприятии может быть несколько таких баз.

Как правильно организовать работу с персональными данными физических лиц на предприятии или в организации

Если на предприятии или в организации собираются и обрабатываются персональные данные физических лиц, то они обязаны соблюдать требования, указанные в Законе № 2297-VI. Для этого необходимо не только зарегистрировать базу персональных данных. Еще до регистрации базы необходимо установить цель обработки входящих в нее данных, назначить ответственное лицо, на которое возложить обязанности относительно обеспечения защиты персональных данных, обеспечить получение в письменной форме согласия от физических лиц на обработку их персональных данных. Пока нормативно четко не установлены требования к таким процедурам, каждый субъект самостоятельно определяет, что именно нужно сделать для того, чтобы привести свои базы персональных данных в соответствие с действующим законодательством.

Статья 24 Закона № 2297-VI определяет, что государство гарантирует защиту персональных данных. Все субъекты правоотношений, связанных с персональными данными, обязаны обеспечить защиту таких данных от незаконной обработки, и также от незаконного доступа к ним. Причем обеспечение защиты таких данных в базе персональных данных полагается на владельца этой базы.

Специалисты Службы для обеспечения защиты на предприятии (в организации) персональных данных рекомендуют оформить ряд документов, в частности таких как: Положение о базах персональных данных, Приказ о создании Базы персональных данных, Приказ о назначении ответственного лица, Должностную инструкцию ответственного лица, Положение о конфиденциальной информации, Соглашение о неразглашении конфиденциальной информации и др.

Если Вам необходима помощь по оформлению и подаче заявления о регистрации Баз персональных данных, разработке пакета необходимых документов по их защите или Вы хотите получить квалифицированную консультацию, – обращайтесь к специалистам ЮК «Центра медицинского и фармацевтического права».

Тел.: +380 50 691 85 76; + 380 (44) 585 06 31 — Центральный офис в Киеве

Если вы не смогли дозвониться, заполните, пожалуйста, форму обратной связи:

ОБРАТИТЕ ВНИМАНИЕ!

ЮК «Центр медицинского и фармацевтического права» НЕ ЯВЛЯЕТСЯ подразделением или представителем Государственной службы Украины по вопросам защиты персональных данных или связанным каким-либо способом с нею лицом! Мы предлагаем платные юридические услуги по правильному оформлению и подаче заявления на регистрацию БПД и консультации. Поэтому мы не берем на себя обязательства по ускорению получения бланка Свидетельства о регистрации БПД!

К СВЕДЕНИЮ!

В 5 номере журнала «Медицинская практика: организационные и правовые аспекты» было напечатано эксклюзивное интервью с Председателем Государственной службы Украины по вопросам защиты персональных данных Алексеем Мервинским, в котором рассказано об основных положениях Закона № 2297-VI и особенностях деятельности органа, который он возглавляет.

В настоящее время Государственная служба в связи с огромным количеством поданных заявок значительно задерживает сроки оформления Свидетельств. Пока еще не выданы Свидетельства по заявкам, поданным в декабре 2011 г.

Европейская правда

Защита персональных данных уже стала частью законодательства каждой развитой страны.

А что Украина? В 2010 году был принят закон «О защите персональных данных». Год спустя президент определил уполномоченный орган по вопросам защиты персональных данных — Государственную службу Украины по вопросам защиты персональных данных.

В 2013 году правительство прислушалось к мнению европейских специалистов. Последние считали украинскую службу по вопросам защиты персональных данных недостаточно независимой. Для устранения этого недостатка ее передали уполномоченному Верховной рады Украины по правам человека.

Использование в качестве государственного регулятора омбудсмена — привычное явление в Европе.

Украина в вопросе защиты персональных данных опирается на международный опыт. Но в государстве пока нет достаточной законодательной базы и системы, способной эффективно работать в современных условиях.

Чтобы обозначить вектор развития и исправить недоработки, стоит обратить внимание на то, как этот вопрос регулируется в других странах.

Защита персональных данных в ЕС

Поскольку Украина берет пример с Европы, хотелось бы подробнее остановиться на развитии системы в ЕС.

Европейское законодательство больше двух десятилетий совершенствует систему защиты персональных данных.

В мае 2018 года вступит в силу новое положение о защите данных. В числе нововведений — запрет на сбор персональных данных компаниями и государством без разрешения со стороны физлица. Исключения допускаются только в том случае, если в стране существуют законодательные положения, которые принуждают к передаче информации.

Вторым пунктом стало «право на забвение».

Это означает, что Facebook, Google, Twitter и другие крупные компании обязаны удалить аккаунт и личные данные пользователя по первому запросу.

Компании не имеют права передавать персональные данные пользователей в страны, где уровень защиты ниже, чем в ЕС.

Также подтверждать разрешение на обработку персональных данных теперь можно не с 13, а с 16 лет. На компании с европейскими представительствами накладывается ряд ограничений.

Им нельзя обмениваться данными с другими подразделениями, если не соблюдаются правила по защите данных. Также нельзя передавать информацию властям США и других стран.

Каждый человек может обратится с жалобой в ведомство в одной из 28 стран ЕС. Все они подконтрольны Европейскому комитету по защите персональных данных.

Нарушения в этой области наказываются в зависимости от серьезности. В том числе и штрафом до 4% годового оборота. С оригинальным текстом документа можно ознакомиться на сайте права Европейского Союза.

Кто еще может служить нам примером

Помимо европейской системы защиты, каждая страна прошла свой путь создания. Например, в Германии первый закон в сфере защиты персональных даных был принят в еще 1970 году в земле Гессен. А спустя семь лет появился первый федеральный закон, защищающий персональные данные немцев.

Его пересмотрели в 1990 году, адаптировав под новые реалии. Главной целью закона стала защита неприкосновенности частной жизни при использовании персональных данных. Уже та редакция закона регламентировала сбор, обработку и использование персональной информации, которые собирало государство и негосударственные учреждения.

Исполнение закона правительство возложило на Федеральную комиссию по защите персональных данных. В каждой из 16 земель приняли собственные законы в этой сфере. Их исполнение регулируется специальными комиссиями. Внедренное в ЕС с 2018 года положение о защите данных распространяется и на Германию.

Служить примером может также Франция. В процессе создания системы

французское общество прошло через попытку тотального контроля над гражданами, но сумело сохранить демократические принципы.

В начале 1970-х годов правительство приняло Национальный информационный план. Его целью стало создание банков данных. Правительство запустило проекты SIRENE и SAFARI, которые выдавали идентификационные коды компаниям и частным лицам. В дальнейшем их планировали использовать, чтобы устанавливать взаимосвязи между различными базами данных.

Французскому обществу подобный подход не понравился, что вызвало волну негативных публикаций в прессе. В итоге правительство свернуло план и занялось созданием системы защиты персональных данных.

С 1974 года действует «Французская национальная комиссия по обработке данных и гражданским свободам». Она стала регулятором системы защиты персональных данных в стране.

В 1978 году правительство приняло закон «Об обработке данных, файлах данных и индивидуальных свободах». В нем, помимо определения ключевых понятий, установлены наказания за нарушения. Правонарушители штрафуются, а также могут получить тюремный срок до 5 лет.

Впоследствии правительство приняло ряд законов для укрепления этой системы. Франция чрезвычайно жестко следит за защитой прав и свобод своих граждан. Нарушения в области персональных данных освещаются в прессе.

Франция — отличный пример страны с развитой системой защиты персональной информации, базирующейся на проработанном законодательстве. Государство активно борется с нарушениями, в том числе штрафует крупные компании.

Еще один пример — Великобритания. Система защиты персональных данных здесь начала формироваться позже, чем во Франции и Германии, профильный закон был принят в 1984 году.

В нем, помимо основных положений, указывались требования к структурам, собирающим и обрабатывающим персональную информацию. Каждый из таких пользователей обязан сообщить об информации, которую собирает, и целях.

Для этого правительство создало специальный Регистр защиты данных. Невыполнение этого требования карается законом.

Каждый житель страны имеет право узнать, владеет ли та или иная организация его персональными данными.

Особенно жестко в Великобритании наказывают за потерю персональных данных. Регулятором в этой сфере выступает Комиссариат по защите информации, а также ряд независимых комиссий.

Система защиты персональных данных в Украине нуждается в реформировании и развитии. У государства нет достаточной законодательной базы и структуры для улучшения ее эффективности.

Свою роль в этом сыграла попытка скопировать идеи западных стран. Последние постепенно выстраивали системы, устраняли слабые места и адаптировались к новым условиям.

Украинская система пока слишком молода и уязвима. Усложняет ситуацию низкая осведомленность граждан, в том числе и правовая.

Решение этих проблем — длительный процесс, который может длиться годами.

Публикации в рубрике «Экспертное мнение» не являются редакционными статьями и отражают исключительно точку зрения автора

Еще по теме:

  • Купить права водительские москва Поможем купить права быстро, легально, недорого и без предоплаты! Наша электронная почта: [email protected] Для оформления заказа Вам нужно просто отправить на нашу электронную почту […]
  • Задать свой вопрос на астро Задать свой вопрос на астро Ведущий рубрики - Денис Куталёв Очень часто люди, не знакомые с астрологией, задают мне разные вопросы о том, что астрология может и что - нет, какую роль […]
  • 392 ст ук рф Статья 392 УПК РФ. Обязательность приговора, определения, постановления суда Новая редакция Ст. 392 УПК РФ 1. Вступившие в законную силу приговор, определение, постановление суда […]
  • Поправки в уголовный кодекс рф 228 Есть ли изменения по ч 2 ст 228 УК РФ в 2018 году? Есть ли изменения по ч2 ст.228 ук ,вроде говорят что санация с 0 начинается,с 1.01 18 изменили,так ли это Ответы юристов (2) Доброго […]
  • Высший законодательный орган советского государства Российская Советская Федеративная Социалистическая Республика РСФСР (Российская Советская Федеративная Социалистическая Республика) - название России с момента развала Империи и до 1991 г. […]