Базы персональных данных: регистрация начинается
af7264c6e0d6a80f1a92ea79c297c391.jpg

Завтра, 1 июля этого года все украинские компании и организации должны будут регистрировать базы персональных данных – ПД (например, базу клиентов, сотрудников компании) в государственном реестре – согласно Закону "О защите персональных данных" и подзаконным актам*. Работу реестра контролирует Государственная служба по вопросам защиты персональных данных (ГСЗПД), а администрирует ГП Информационный центр при Министерстве юстиции.

Как будет проходить регистрация, какие данные следует классифицировать как персональные данные, а также – какие санкции ждут нарушителей, сегодня рассказывали представители госслужбы.

*после принятия закон вызвал бурные обсуждения, основной претензией со стороны отраслевых ассоциаций звучало то, что закон рамочный, а значит, до введения в действие требует принятия ряда подзаконных актов. Уже принято положение о ГСПЗД (указ президента N390/2011от 6 апреля 2011 года), постановлением Кабмина (N616 от 25 мая этого года) утверждено Положение о госреестре баз данных, служба разработана проект типового порядка обработки ПД в базах – он подан в Минюст и содержит общие требования к обработке таких данных, и т.д.

Как будут регистрировать

Порядок регистрации конкретизирован Положением о Государственном реестре баз персональных данных и порядке его ведения (упомянутое выше постановление Кабмина от 25 мая). Как отмечает заместитель главы госслужбы Владимир Козак, речь не идет о том, что службе станет доступно содержание баз данных, которыми владеют компании. Регистрируется не сама база, но факт ее наличия у конкретной компании и организации, чтобы субъект ПД знал, к кому ему следует обратиться, если он считает, что его данные обрабатываются неправомерно. Регистрируются базы данных бесплатно. С 1 января 2012 года также появится возможность для субъектов ПД запрашивать выписку из госреестра о том, кому какие базы данных принадлежат, но будет ли такая выписка предоставляться на платной или бесплатной основе, пока не установлено.

Напомним, по закону ПД могут быть включены в базу при письменном согласии субъекта, согласие может быть дано любым путем, который обеспечит его документирование: например, сюда относится регистрация на сайте. Субъекты, чьи персональные данные занесены в базу, имеют право получать информацию об условиях доступа к персональным данным, в частности, о тех третьих лицах, которым такой доступ будет предоставлен. Субъект может также предъявлять мотивированное требование запретить обработку своих персональных данных или изъять данные из базы: это сработает при борьбе пользователя с рассылками от неизвестных компаний, но не сработает при попытке избежать выплат по кредиту или за коммунальные услуги.

Количество баз ПД конкретного предприятия определяется целью обработки: например, по словам Козака, база, содержащая данные по сотрудникам компании, может использоваться внутри компании по частям и на разных носителях, но при этом оставаться единой базой, и информация по ней будет регистрироваться в реестре под одним названием. Определяющим для базы ПД является цель обработки данных, которая должна соответствовать деятельности компании и не противоречить законодательству.

Чтобы зарегистрировать свою базу, компания может скачать образец заявления с сайта госслужбы, хотя на данный момент строго придерживаться именно такой формы необязательно. Заявление может быть подано как в бумажном, так и в электронном, заверенном ЭЦП, виде. "Госслужба буде рассматривать все заявления, которые отвечают требованиям закона", – говорит Козак. Среди обязательных данных в заявлении:
– обращение о внесении базы в реестр;
– информация о владельце базы;
– название и месторасположение базы – фактическое размещение для картотек, адреса хранения носителей информации для электронных баз;
– данные о цели обработки ПД;
– данные о распорядителях ПД (третьих лицах, имеющих доступ к таким данным);
– документ, подтверждающий обязательства выполнять закон: в заявлении будет отведено специальное место для подписи и печати лица, ответственного за обработку данных в конкретной компании. Там же будет указываться его должность и имя.

В заявлении можно указывать дополнительные сведения о базе, например, о форме согласия субъектов ПД на обработку данных; способе ведения баз; категориях субъектов ПД, чьи данные обрабатываются и т.д.

Не позднее следующего рабочего дня после приема заявления ГСЗПД сообщает дату и регистрационный номер записи о заявлении в реестре, а также дату, когда можно обратиться за свидетельством о регистрации. Решение о регистрации или отказе принимается на протяжении 10 рабочих дней. Отказать в регистрации служба может, если ведомости в заявлении являются неполными или недостоверными.

Отдельно отметим, что порядок регистрации баз ПД для банков разрабатывается НБУ, а утверждает его Госслужба по защите ПД.

Как будут наказывать за нарушения

За то, что база ПД не зарегистрирована, ответственность уже установлена – нормами закона, принятого ВР 2 июня и подписанного президентом 22 июня текущего года. Но, как отметил глава Госслужбы Алексей Мервинский, данный закон вступит в силу только с 1 января 2012 года. Так что у компаний есть время зарегистрировать свои базы во время своеобразного переходного периода. В то же время, когда закон вступит в силу, его нарушители будут нести криминальную и административную ответственность. Его нормы предусматривают в частности: штрафы от 300 до 1000 не облагаемых налогом минимумов доходов граждан, а в некоторых "особо тяжких" случаях – лишение свободы сроком до 3-5 лет. Например, уклонение от госрегистрации, согласно тексту закона, повлечет за собой штраф от 500 до 1000 не облагаемых налогом минимумов, а нарушение порядка защиты персональных данных, которые привели к незаконному доступу к ним – штраф от 300 до 1000. Незаконное хранение, использование или распространение конфиденциальной информации о лице могут повлечь либо штраф от 500 до 1000 минимумов, либо ограничение свободы – до 3 лет. А повторные действия такого характера, либо действия которые привели к существенному вреду правам пострадавшего могут привести к заключению на срок до 5 лет.

Устанавливать нарушения, за которые наказывает данный закон, будет Госслужба. В ее полномочиях: проведение плановых и внеплановых проверок держателей или распорядителей баз, выдача владельцам баз обязательных к исполнению предписаний по устранению нарушений. Инспекторы Госслужбы будут составлять админпротоколы о нарушениях, передавать информацию правоохранительным органам.

Мнение рынка

Представители ассоциаций и отраслевых объединений, которые присутствовали на встрече, считают: сначала нужно посмотреть, как будет работать закон и механизмы, введенные подзаконными актами. Критические замечания к самому тексту закона по поводу возможности его двузначного прочтения остались, отмечает юридический представитель Украинской ассоциации директ маркетинга (УАДМ) Дмитрий Йовдий, но был достигнут компромисс, который позволит избежать таких разночтений на практике. "Будут создаваться кодексы поведения в различных сферах деятельности, которые дадут возможность свести на нет двузначные или неясные положения закона. Его проблема не в том, что его нормы содержат критически неправильные вещи, а в том, что отдельные нормы позволяют различные толкования, что могло бы вредить бизнесу и гражданам. А профессиональные кодексы по видам деятельности, которые прошли экспертизу в профильных организациях и были утверждены госслужбой, дадут возможность однозначного понимания того, как нужно реализовать ту или иную норму закона", – отметил Йовдий. Например, если говорить о возможностях в разночтении самого определения "персональные данные": для каждой сферы деятельности в кодексах будут указаны те данные, которые будут считаться персональными, и те, которые таковыми являться не будут.