Наш ассоциированный член www.Bikinika.com.ua

Бази персональних даних

  1. Що таке БПД
  2. Згода на обробку персональних даних
  3. алгоритм дій
  4. Реєстрація БПД
  5. Бази даних установ охорони здоров'я
  6. Контроль за захистом персональних даних
  7. Відповідальність за порушення законодавства

На шляху гармонізації вітчизняного законодавства в сфері захисту персональних даних осіб до стандартів ЄС Україна здійснила важливий крок - 01.06.2010 р був прийнятий закон № 2297-VI «Про захист персональних даних» . Відповідно до цього документа, який вступив в силу 01.01.2011 р, бази персональних даних (БПД) фізичних осіб підлягають реєстрації в Державній службі України з питань захисту персональних даних (ДСЗПД). Практично реєстрація БПД стала можлива з 1 липня 2011 р Даною тематиці був присвячений семінар «Правові аспекти діяльності фармацевтичних компаній», що відбувся 28-29 листопада 2011 р ролі доповідачів виступили Борис Даневич, адвокат, партнер адвокатської фірми «Паритет» та Вадим Шестаков , юрист адвокатської фірми «Паритет».

Що таке БПД

Крім законів «Про захист персональних даних» (далі - закон) і «Про інформацію» питання захисту персональних даних фізичних осіб регулюється такими актами: Конвенція Ради Європи «Про захист осіб у зв'язку з автоматизованою обробкою персональних даних» від 28 Крім законів «Про захист персональних даних» (далі - закон) і «Про інформацію» питання захисту персональних даних фізичних осіб регулюється такими актами: Конвенція Ради Європи «Про захист осіб у зв'язку з автоматизованою обробкою персональних даних» від 28.01.1981 р .; Європейська Директива «Про захист осіб у зв'язку з обробкою персональних даних та переміщенні (передачі) таких даних» від 24.10.1995 р .; Британський Акт про захист персональних даних 1998 р .; а також внутрішніми законами країн - членів ЄС. Українське законодавство в цій сфері створювалося на підставі перерахованих документів, однак не позбавлене неясностей, що викликає ряд питань осіб, які ведуть БПД.

Відповідно до закону, БПД - це іменована сукупність упорядкованих персональних даних в електронному вигляді та / або в вигляді картотек персональних даних. Слід зазначити, що персональними даними є тільки дані фізичних осіб (включаючи суб'єктів підприємницької діяльності), тому дані клієнтів юридичних осіб не підлягають реєстрації в базах даних. Зокрема, до БПД, які необхідно реєструвати, відносяться бази даних працівників підприємств, установ, організацій. В такому випадку з упевненістю можна сказати, що кожна компанія, організація зобов'язана зареєструвати як мінімум одну БПД - базу даних співробітників.

Важливим критерієм визначення того, чи обов'язкова реєстрації конкретної бази даних, є можливість ідентифікувати людину за наявною інформацією. Як правило, повного імені людини і будь-якої іншої інформації для цього буває достатньо, проте не завжди. Наприклад, інформації про прізвища, імені та по батькові лікаря чи провізора, а також його посади і місце роботи цілком достатньо для того, щоб ці дані захищалися законом. Дата народження, місце проживання, номери телефонів, інформація про пільги, освіту і т.д. дають додаткову можливість для точної ідентифікації особистості. Важливим критерієм визначення того, чи обов'язкова реєстрації конкретної бази даних, є можливість ідентифікувати людину за наявною інформацією

БПД повинна мати певну назву і систематизовано містити персональні дані більше ніж однієї людини, а самі дані повинні мати певну мету обробки. Зараз не можна сказати з упевненістю, що конкретно при перевірках ДСЗПД буде викликати особливий інтерес її представників, оскільки ця система тільки почала працювати. Ймовірно, БПД не вважатиметься інформація, зібрана в визитницах, списки контактів в мобільному телефоні або комунікаторі, інші неіменовані, невпорядковані або не мають чіткої мети обробки сукупності персональних даних. Хоча, це питання досить спірне.

Обробкою персональних даних вважається будь-яка дія, яка пов'язана зі збором, реєстрацією, накопиченням, зберіганням, адаптацією, зміною, поновленням, використанням і поширенням, реалізацією, передачею, знеособлення, знищенням відомостей про фізичну особу. При формальному підході до закону під категорію баз, що підлягають реєстрації, можна підвести велику кількість таких. Наприклад, вимога закону про реєстрацію БПД співробітників компаній для використання цієї інформації відповідно до вимог трудового та податкового законодавства буває зайвою регуляцією.

Безпосередньою реєстрації БПД в ДСЗПД передує виконання низки регуляторних вимог: отримання згоди суб'єктів на обробку інформації про них; напрямок повідомлень про таке внесення протягом 10 днів з моменту внесення даних про особу (однак повідомлення не обов'язкове, якщо інформація зібрана із загальнодоступних джерел); отримання згоди на передачу даних третім особам (наприклад банкам); виконання вимог до транскордонної передачі персональних даних; прийняття внутрішнього порядку обробки персональних даних, призначення відповідальних осіб (HR-менеджер, бухгалтер, працівник служби безпеки).

Згода на обробку персональних даних

Право на обробку персональних даних суб'єктів виникає на підставі письмової згоди або ж відповідно до законодавства виключно для здійснення повноважень власника такої бази. Однак в законі чітко не визначено, які законодавчі акти і / або законні підстави дають право власнику БПД на обробку даних суб'єктів без їх згоди, а ДСЗПД ще не виробила чіткої позиції щодо цього питання. Тому зараз надійніше отримувати згоду на обробку персональних даних.

Відповідно до позиції ДСЗПД згоду суб'єкта на використання його персональних даних не надається повторно, якщо власник БПД продовжує їх обробку відповідно до правовідносинами, які виникли до набрання чинності законом (до 01.01.2011 р), на підставі вільного волевиявлення фізичної особи. У той же час із закону це прямо не слід.

Крім повідомлення фізичної особи про внесення інформації про нього в БПД, необхідно повідомляти його про передачу персональних даних третім особам. Однак повідомлення при передачі даних для виконання обов'язків державними органами або органами місцевого самоврядування, передбачених законодавством, не потрібно. Тобто, якщо інформація про співробітника компанії передається органам податкової служби (в законних цілях), повідомляти його про це не потрібно, якщо ж дані передаються, наприклад, в банк - ситуація прямо протилежна. При передачі даних третім особам рекомендується переконатися в тому, що одержувач забезпечить захист отриманих персональних даних, наприклад, шляхом обміну листами, включенням зобов'язань щодо захисту персональних даних в типові договори, укладення договору між власником і розпорядником (якщо власник передає БПД розпоряднику).

Для того щоб передача персональних даних за кордон (наприклад в головний офіс компанії) була законною, необхідно отримати у суб'єкта документальний дозвіл на транскордонну передачу його персональних даних. Якщо передача персональних даних здійснюється в країну - учасницю Конвенції про захист осіб у зв'язку з автоматизованою обробкою даних (включаючи додатковий протокол від 2001 р, який для України вступили в силу 01.01.2011 р), то свобода такої передачі не обмежена. Передача персональних даних з України в країну, яка не є учасницею Конвенції (США, Росія) допускається, якщо суб'єкт дав однозначну згоду на це.

Можна прямо вказувати в письмовій згоді фізичної особи на обробку його даних, що повідомлення про передачу їх третім особам не потрібно, доповнюючи його пунктом про згоду на можливу транскордонну передачу даних в подальшому - максимально широку згоду. Якщо мова йде про співробітників компанії - має сенс прописувати це у трудових договорах. Якщо суб'єкт відмовляється оформляти згоду на обробку його персональних даних, в БПД можна обробляти тільки ту інформацію, яка необхідна відповідно до трудового і податкового законодавства.

Для підприємств зручним вирішенням питань з різних сфер діяльності є аутсорсинг. Таким чином можна перекласти функцію ведення БПД на компанію, що спеціалізується в цій сфері. Для ведення БПД іншою юридичною особою необхідно оформляти ці відносини у формі договору про доручення обробки персональних даних.

алгоритм дій

В першу чергу слід визначити, які персональні дані обробляються в компанії. Такими можуть бути: персональні дані співробітників і їх родичів; контрагентів (фізичних осіб); представників контрагентів (директорів, контактних осіб тощо); опіньон-лідерів, пацієнтів; дослідників; клієнтів / споживачів. Далі необхідно визначити, кому і з якою метою передаються дані, які БПД фактично існують в компанії, в якій формі і де вони зберігаються, посадових осіб компанії, які матимуть доступ до персональних даних, призначити відповідальну особу, розробити і прийняти внутрішній порядок обробки даних в БПД. Присвоївши назву БПД, необхідно оформити згоду фізичних осіб на обробку їх даних, повідомити суб'єктів про включення їх персональних даних в БПД, де вказати власника БПД, назва, цілі обробки, права суб'єкта в сфері захисту персональних даних, умови їх передачі третім особам і т. д.

Визначаючи цілі БПД, доповідачі порадили формулювати їх максимально широко в рамках передбачуваних дій з обробки персональних даних. У разі зміни мети обробки, необхідно отримати згоду на це у суб'єкта персональних даних. Наступним кроком має стати врегулювання питань передачі даних іншим особам і їх отримання від третіх осіб. При цьому необхідно визначити статус компанії як одержувача даних (власник, розпорядник або третя особа) і відобразити затверджену правову позицію в договорах з третіми особами.

Реєстрація БПД

21.06.2011 р вступило в силу Положення про Державний реєстр баз персональних даних, затвердженого постановою КМУ від 25.05.2011 р № 616. Адміністратором цього реєстру визначено ДП «Інформаційний центр» Міністерства юстиції України (http://www.informjust.ua ). ДСЗПД функціонує на підставі Указу Президента від 06.04.2011 р № 390/2011 як орган центральної виконавчої влади, діяльність якого координується через міністра юстиції України. Зараз служба складається з управління реєстрації БПД, управління юридичного забезпечення, відділу контролю за дотриманням вимог законодавства про захист персональних даних (51 співробітник).

Для реєстрації БПД в ДСЗПД подається заява, яка повинна відповідати вимогам, наведеним у наказі Міністерства юстиції України від 08.07.2011 р № 1824/5 «Про затвердження форм заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних і порядку їх подання ». Не потрібно подавати перелік персональних даних, інформацію про їх суб'єктах, кількості і т.д., точно так же, як і при зміні кількості цих суб'єктів, складу даних.

Подавати заяву про реєстрацію БПД можна особисто, рекомендованим листом або в електронній формі за допомогою сайту http://www.rbpd.informjust.ua. В останньому випадку необхідно використовувати електронний цифровий підпис. Отримати сертифікат ключа можна в акредитованому центрі сертифікації ключів.

Слід зазначити, що при реєстрації БПД в Державному реєстрі баз персональних даних самі дані не надаються, а реєструється тільки факт наявності у компанії БПД. Після закінчення процедури реєстрації видається свідоцтво про реєстрацію БПД, зразок якого затверджено наказом Міністерства юстиції України від 08.07.2011 р № 1823/5. Підставою для відмови в реєстрації БПД може стати тільки неналежним чином оформлена заява про реєстрацію.

Бази даних установ охорони здоров'я

01.12.2011 р МОЗ України листом № 11-02-09 / 10-299 затвердив Методичні рекомендації щодо приведення обробки персональних даних у закладах охорони здоров'я (освіти) галузі у відповідність до вимог закону «Про захист персональних даних». В даному акті зазначено, що в процесі діяльності установ охорони здоров'я відповідним чином використовується певна кількість документів, які містять персональні дані, наприклад, облікові медичні форми (історії хвороб, амбулаторні карти пацієнтів і т.п.). Вони є основою для формування в певній установі умовної БПД, наприклад:

  • облікові медичні форми (історії хвороб, амбулаторні карти пацієнтів та інші), які потрібні для обліку (БПД «Пацієнти»);
  • відомості про осіб, які використовуються при здійсненні бухгалтерського обліку працівників закладу (БПД «Бухгалтерія» / «Бухгалтерський облік»);
  • працівники кадрової служби обробляють персональні дані у вигляді картотеки особових карток, особистих справ, трудових книжок і персональних даних працівників, в автоматизованій системі (БПД «Працівники» / «Кадровий облік»);
  • в разі залучення до господарської діяльності закладу фізичних осіб - підрядників, клієнтів, і т.д. (БПД «Фізичні особи, персональні дані яких обробляються в ході ведення господарської діяльності»).

Контроль за захистом персональних даних

Нещодавно на своєму офіційному сайті ДСЗПД опублікувала для обговорення проект Положення щодо здійснення контролю за захистом персональних даних. Згідно з цим документом, перевірки законності БПД будуть розділятися на планові і позапланові. Проектом вводиться обмеження щодо кількості планових перевірок - не частіше 1 разу на 5 років. До підстав для проведення позапланової перевірки розробники проекту запропонували віднести:

  • отримання ДСЗПД судового рішення або постанови слідчого (прокурора) про проведення перевірки;
  • звернення органів державної влади про необхідність перевірки;
  • заява власника або розпорядника БПД про ініціювання ним перевірки;
  • ненадання на письмовий запит ДСЗПД протягом 10 робочих днів з дня його отримання перевіряється суб'єктом, проти якої спрямована надійшла скарга про порушення, пояснень або документального підтвердження відсутності відповідних порушень;
  • виявлення недостовірності (імовірною недостовірності) в відомостях, наданих суб'єктом перевірки на письмовий запит ДСЗПД, або недостатність таких відомостей;
  • надання суб'єктом перевірки ДСЗПД заперечення щодо акту перевірки або скарги на прийняте рішення, що містять вимоги про повний або частковий перегляд результатів відповідної перевірки або скасування прийнятого за її результатами рішення в разі, якщо є посилання на обставини, що не були досліджені під час перевірки, і об'єктивне їх розгляд неможливий без проведення перевірки (виключно з питань, що стали предметом оскарження);
  • закінчення терміну виконання суб'єктом перевірки розпорядження ДСЗПД про усунення порушень законодавства у сфері захисту персональних даних.

Відповідальність за порушення законодавства

З 1 січня 2012 р вводиться адміністративна і посилюється кримінальна відповідальність за порушення законодавства у сфері захисту персональних даних. Дотримання вимог законодавства контролює ДСЗПД, яка виявляє і складає протокол про адміністративне правопорушення. Суд в свою чергу приймає рішення про притягнення / непритягнення до адміністративної відповідальності, а прокуратура розслідує кримінальні справи.

Кодексом про адміністративні правопорушення для посадових осіб передбачено штраф у розмірі від 100 до 1000 неоподатковуваних податком мінімумів доходів громадян (н.м.д.г.) за:

  • неповідомлення / несвоєчасне повідомлення суб'єкта персональних даних про його права, метою їх збору та осіб, яким ці дані передаються;
  • неповідомлення / несвоєчасне повідомлення ДСЗПД про зміну відомостей, що подаються для державної реєстрації БПД;
  • ухилення від державної реєстрації БПД;
  • недотримання порядку захисту даних в БПД, що призвело до незаконного доступу до них;
  • невиконання законних вимог ДСЗПД щодо усунення порушень законодавства.

Кримінально караним є незаконний збір, зберігання, використання, знищення, поширення, а з 01.01.2012 р - і незаконну зміну конфіденційної інформації про особу. З 10 травня 2011 р до конфіденційної інформації про фізичну особу відносяться всі його персональні дані (Закон України «Про інформацію»). За подібні порушення з 01.01.2012 р буде передбачений штраф в розмірі від 500 до 1000 н.м.д.г. або виправні роботи на строк до 2 років, або арешт на період до 6 міс, або обмеження волі на строк до 3 років. Ті самі дії, вчинені повторно, або якщо при їх здійсненні завдано істотної шкоди (зараз в грошовому еквіваленті він становить близько 47 050 грн.) Передбачена санкція у вигляді арешту на строк 3-6 міс або обмеження волі / позбавлення волі на період 3-5 років.

«Щотижневик АПТЕКА» Ранее ділівся з читачами досвідом компании «МОРІОН» в сфере реєстрації БПД. Тим, хто ще не замислювався про реєстрацію такої бази, нагадуємо, що до 1 січня 2012 р залишилися лічені дні, і для того, щоб не стати першопрохідцем в спілкуванні з ДСЗПД щодо порушень норм закону, рекомендуємо подати заявки на реєстрацію БПД до кінця року, що минає року. Ухиленням від державної реєстрації БПД не вважатиметься факт подачі власником такої бази заяви про її реєстрацію до цього терміну.

Наталія Співак

Цікава інформація для Вас:

Новости