Вход на сайт

Эл. почта:
Пароль:

Регистрация на сайте

Фамилия: Область:
Имя: Населенный пункт:
    Отчество: Номер телефона:
    Эл. почта: Компания:
      Пароль: Должность:
      Повторите пароль: Год начала работы:
      Фото:
      С правилами размещения объектов согласен

      Забыли пароль?

      Укажите эл. почту — мы вышлем Вам новый пароль для входа
      Эл. почта:

      Проблема на сайте

      Закрыть
      Ваш email:
      (необязательно)
      Расскажите нам, что случилось

      LZ_logo_2014.jpg

      _________________.jpg



      Мін‘юст надав роз‘яснення щодо застосування з 1 січня 2012 року закону «Про захист персональних даних»

      22 декабря 2011, 11:32 комментариев: 4 просмотров: 4188

      У зв’язку з численними зверненнями громадян щодо практичного застосування деяких положень Закону України «Про захист персональних даних» Міністерство юстиції надало роз’яснення з найбільш актуальних та поширених питань.

      МЕТА ЗАКОНУ

      Статтею 32 Конституції України проголошено право людини на невтручання в її особисте життя. Крім того, не допускається збирання, зберігання, використання поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

      З метою конкретизації права людини, гарантованого статтею 32 Конституції України, та визначення механізмів його реалізації 1 червня 2010 року Верховною Радою України було прийнято Закон України «Про захист персональних даних» (далі – Закон), який набрав чинності з 1 січня 2011 року. Предметом правового регулювання Закону є правовідносини, пов’язані із захистом персональних даних під час їх обробки.

      ЩО ТАКЕ «ПЕРСОНАЛЬНІ ДАНІ»

      Визначення поняття персональні дані наводиться в абзаці восьмому статті 2 Закону, відповідно до якого персональними даними є відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.

      Але законодавством України не встановлено і не може бути встановлено чіткого переліку відомостей про фізичну особу, які є персональними даними, задля можливості застосування положень Закону до різноманітних ситуацій, в тому числі при обробці персональних даних в інформаційних (автоматизованих) базах та картотеках персональних даних, що можуть виникнути у майбутньому, у зв’язку зі зміною в технологічній, соціальній, економічній та інших сферах суспільного життя.

      Наприклад, відповідно до статті 24 Кодексу законів про працю України громадянин при укладенні трудового договору зобов’язаний подати паспорт або інший документ, що посвідчує особу, трудову книжку, а у випадках, передбачених законодавством, - також документ про освіту (спеціальність, кваліфікацію), про стан здоров’я та інші документи.

      У зв’язку з цим персональні дані працівника, які містяться в паспорті або документі, що посвідчує особу, в трудовій книжці, документі про освіту (спеціальність, кваліфікацію), документі про стан здоров’я та інших документах, які він подав при укладенні трудового договору, обробляються володільцем бази персональних даних на підставі статті 24 Кодексу законів про працю України виключно для здійснення повноважень володільця бази персональних даних у сфері правовідносин, які виникли в нього з працівником на підставі трудового договору (контракту).

      Таким чином, інформація про найманих працівників є базою персональних даних, оскільки, особові справи, трудові книжки, копії паспортів, документів про освіту зберігаються та обробляються роботодавцем.

      ЩО ТАКЕ «БАЗА ПЕРСОНАЛЬНИХ ДАНИХ»

      Поняття «база персональних даних» визначене абзацом другим статті 2 Закону, відповідно до якого база персональних даних – іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних.

      З огляду на це база персональних даних є упорядкованою сукупністю логічно пов’язаних даних про фізичних осіб:

      - що зберігаються та обробляються відповідним програмним забезпеченням, є базою персональних даних в електронній формі ;

      - що зберігаються та обробляються на паперових носіях інформації, є базою персональних даних у формі картотек .

      Картотекою персональних даних є будь-який структурований масив персональних даних, що є доступним з визначеними критеріями, незалежно від того, чи є такий масив централізованим, децентралізованим або розділеним на функціональних або географічних засадах

      Такі дані мають бути структуровані за визначеними критеріями, що стосуються фізичних осіб, щоб забезпечити легкий доступ до відповідних персональних даних.

      Варто зазначити, що, виходячи з положень статті 2 Закону, персональні дані одночасно можуть бути упорядковані і в електронній формі, і в формі картотек.

      ЩО НЕ Є БАЗОЮ ПЕРСОНАЛЬНИХ ДАНИХ

      Фізичні особи-підприємці та самозайняті особи самостійно визначають чи володіють вони базами персональних даних у сенсі Закону.

      Законодавець поширив дію Закону на всі види діяльності, пов’язані зі створенням баз персональних даних та обробкою персональних даних у цих базах, за винятком такої діяльності, яка здійснюється:

      - фізичною особою - виключно для непрофесійних особистих чи побутових потреб,

      - журналістом - у зв’язку з виконанням ним службових чи професійних обов’язків,

      - професійним творчим працівником - для здійснення творчої діяльності.

      Так, під час здійснення своєї професійної діяльності на адвокатів законодавством не покладено обов’язок ведення баз персональних даних клієнтів. Але, якщо адвокати формують справи на своїх клієнтів, які вони постійно оновлюють та підтримують в актуальному стані, такі справи є базою персональних даних та підлягають державній реєстрації

      Нотаріуси можуть обробляти персональні дані своїх найманих працівників, клієнтів у базах персональних даних, однак, документи нотаріального діловодства та архів нотаріуса, визначені у статті 14 Закону України «Про нотаріат» не є базою персональних даних у сенсі Закону України «Про захист персональних даних» та не підлягають державній реєстрації.

      Крім того, у випадку, якщо фізичні особи - підприємці укладають договори виконання робіт або надання послуг з фізичними особами, такі договори також не є базою персональних даних та не підлягають державній реєстрації.

      ХТО Є ВОЛОДІЛЬЦЕМ ТА РОЗПОРЯДНИКОМ БАЗИ ПЕРСОНАЛЬНИХ ДАНИХ

      Володільцем бази персональних даних згідно з абзацом третім статті 2 Закону є фізична або юридична особа, якій законом або за згодою суб’єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних та процедуру їх обробки, якщо інше не визначене законом.

      Так, якщо персональні дані обробляються юридичною особою, то володільцем бази персональних даних є юридична особа.

      Розпорядником бази персональних даних згідно з абзацом дев’ятим статті 2 Закону може бути фізична чи юридична особа, якій володільцем бази персональних даних або законом надано право обробляти ці дані.

      Практичним прикладом можуть бути відносини між юридичними особами та їх представництвами, філіями, відділеннями тощо. Так, у сенсі Закону ці представництва, філії, відділення виступатимуть розпорядниками баз персональних даних, володільцем яких є юридична особа.

      Згідно зі статтею 4 Закону володільцем чи розпорядником бази персональних даних можуть бути підприємства, установи і організації усіх форм власності, органи держави влади чи органи місцевого самоврядування, які обробляють персональні дані відповідно до закону.

      Але якщо володільцем бази персональних даних є орган державної влади чи орган місцевого самоврядування, то розпорядником бази персональних даних, крім цих органів, може бути лише підприємство державної або комунальної форми власності, що належить до сфери управління цього органу.

      ПОРЯДОК РЕЄСТРАЦІЇ БАЗИ ПЕРСОНАЛЬНИХ ДАНИХ

      Відповідно до статті 9 Закону база персональних даних підлягає державній реєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних.

      У випадку, якщо юридична особа, фізична особа - підприємець, самозайнята особа встановлює, що вона не обробляє персональні дані, в такої особи відсутній обов’язок реєструвати базу персональних даних.

      Указом Президента України «Про затвердження Положення про Державну службу України з питань захисту персональних даних» від 6 квітня 2011 року визначено уповноваженим державним органом з питань захисту персональних даних – Державну службу України з питань захисту персональних даних, одним із основних завдань якої є реєстрація баз персональних даних.

      Реєстрація бази персональних даних здійснюється за заявочним принципом шляхом повідомлення. Суть заявочного принципу полягає в тому, що основним є подання володільцем бази персональних даних заяви про реєстрацію бази персональних даних, а не отримання свідоцтва про державну реєстрацію бази персональних даних. Отже, ключовим та визначальним є факт внесення відповідного запису Державною службою України з питань захисту персональних даних до Державного реєстру баз персональних даних, а не отримання володільцем бази персональних даних свідоцтва про державну реєстрацію, що є наслідком зазначеного факту.

      Сайт Державного реєстру баз персональних даних https://rbpd.informjust.ua, на якому є можливість слідкувати за ходом державної реєстрації заяви в режимі он-лайн.

      ОФОРМЛЕННЯ ЗАЯВИ ПРО РЕЄСТРАЦІЮ БАЗИ ПЕРСОНАЛЬНИХ ДАНИХ

      Заява про реєстрацію бази персональних даних подається володільцем такої бази або уповноваженим представником в паперовій або електронній формі , вимоги до заповнення та порядок подання якої визначені постановою Кабінету Міністрів України «Про затвердження Положення про Державний реєстр баз персональних даних та порядок його ведення» від 25 травня 2011 року № 616 та наказом Міністерства юстиції України «Про затвердження форм заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних і порядку їх подання» від 8 липня 2011 року № 1824/5. Ознайомитися із вказаним наказом в електронному вигляді можна на сайті Верховної Ради України: http://zakon2.rada.gov.ua/laws/show/z0890-11.

      Зокрема заява про реєстрацію бази персональних даних, що подається в електронній формі, повинна відповідати вимогам Законів України «Про електронний цифровий підпис» та «Про електронні документи та електронний документообіг». А саме: така заява повинна містити електронний підпис, що є обов’язковим реквізитом електронного документа та який накладається володільцем бази персональних даних для його ідентифікації Державною службою України з питань захисту персональних даних.

      Заява про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних, зокрема, повинна містити інформацію про мету обробки персональних даних з визначенням категорії обробки персональних даних.

      Відповідно до частини першої статті 6 Закону мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих документах, які регулюють діяльність володільця бази персональних даних, та відповідати законодавству про захист персональних даних.

      З огляду на вищевикладене метою обробки персональних даних є забезпечення володільцем бази персональних даних належного здійснення діяльності, визначеної в законах, інших нормативно-правових актах, положеннях, установчих документах, які регулюють його діяльність, та внаслідок якої виникає необхідність у вчиненні будь-якої дії або сукупності дій з обробки персональних даних у базах. Слід звернути увагу на те, що склад та зміст персональних даних мають бути відповідними та не надмірним стосовно визначеної мети їх обробки.

      Визначення категорії обробки персональних даних залежить від вимог до обробки персональних даних, які містяться в базах персональних даних заявника.

      Так, Законом передбачені загальні та особливі вимоги обробки персональних даних. Статтею 6 Закону встановлені загальні вимоги обробки всіх наявних у суспільному житті персональних даних особи, за винятком персональних даних, для яких статтею 7 Закону визначені особливі вимоги обробки. До таких персональних даних належать дані про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров’я чи статевого життя.

      Підсумовуючи викладене, категорія обробки персональних даних визначається володільцем бази персональних даних в залежності від вимог до обробки персональних даних, що встановлені статтями 6, 7 Закону та яких володілець бази персональних даних зобов’язаний дотримуватися при обробці персональних даних.

      Додаткової уваги потребує те, що володілець реєструє базу персональних даних, а саме надає відомості про неї, які включаються до Державного реєстру баз персональних даних, однак не передає Державній службі України з питань захисту персональних даних наявні в ній персональні дані.

      Згідно частини 4 статті 9 Закону володілець бази персональних даних зобов’язаний повідомляти Державну службу України з питань захисту персональних даних про кожну зміну відомостей , необхідних для реєстрації бази персональних даних не пізніш ніж протягом 10 робочих днів з дня настання такої зміни.

      Володілець бази персональних даних надсилає Державній службі України з питань захисту персональних даних заяву про внесення змін до відомостей необхідних для реєстрації, за формою встановленою наказом Міністерства юстиції України «Про затвердження форм заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних і порядку їх подання» від 8 липня 2011 року № 1824/5. Володілець позначає «видалити» тих відомостей заяви, які змінились. На заміну ним шляхом позначення «додати» володілець подає нові відомості.

      Свідоцтво про внесення змін до відомостей, необхідних для реєстрації бази персональних даних не надається. Натомість, Державна служба приймає рішення про внесення змін до відомостей, необхідних для реєстрації бази персональних даних шляхом надсилання володільцю бази персональних даних листа, в якому повідомляє про прийняте рішення.

      Для видалення бази персональних даних з Державного реєстру баз персональних даних, володілець такої бази направляє в Державну службу захисту персональних даних заяву про внесення змін до відомостей Державного реєстру баз персональних даних та позначає «вилучити» всі поля відомостей, які були внесені.

      ЗГОДА СУБ’ЄКТА НА ОБРОБКУ ПЕРСОНАЛЬНИХ ДАНИХ ТА ВИМОГИ ДО ЇЇ ОФОРМЛЕННЯ

      Обробка персональних даних відповідно до частини 5 статті 6 Закону здійснюється за згодою суб’єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством.

      Так, відповідно до абзацу п’ятого статті 2 Закону згодою суб’єкта персональних даних є будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки.

      Обробка даних про фізичну особу без її згоди не допускається, крім випадків, визначених Законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини. В цьому випадку під Законами розуміються всі інші Закони, які надають право на обробку персональних даних із зазначенням чіткого переліку таких даних.

      Закон також дозволяє здійснювати обробку персональних даних без згоди субєкта персональних даних , якщо обробка персональних даних є необхідною для захисту його життєво важливих інтересів. У такому випадку обробляти персональні дані без згоди суб’єкта персональних даних можна до часу, коли отримання згоди стане можливим.

      Згідно з вимогами Закону згода суб’єкта персональних даних на обробку персональних даних повинна містити інформацію щодо:

      - мети , яка визначається володільцем бази персональних даних в залежності від виду його діяльності, при здійсненні якої виникає необхідність у обробці персональних даних у базах персональних даних, конкретних цілей обробки персональних даних, для досягнення яких володілець бази персональних даних обробляє персональні дані у цій базі (стаття 2 Закону);

      - обсягу персональних даних, а саме чіткого переліку персональних даних фізичної особи, які можуть обробляються володільцем бази персональних даних у цій базі (стаття 6 Закону);

      - порядку використання персональних даних , який передбачає дії володільця бази щодо обробки цих даних, в тому числі використання персональних даних працівниками володільця бази персональних даних, відповідно до їхніх професійних чи службових або трудових обов’язків, дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншим суб’єктам відносин, пов’язаних із персональними даними (стаття 10 Закону);

      - порядку поширення персональних даних , який передбачає дії володільця бази персональних даних щодо передачі відомостей про фізичну особу з бази персональних даних (стаття 14 Закону);

      - порядку доступу до персональних даних третіх осіб , який визначає дії володільця бази персональних даних у разі отримання запиту від третьої особи щодо доступу до персональних даних, у тому числі порядок доступу суб’єкта персональних даних до відомостей про себе (стаття 16 Закону).

      ПОРЯДОК ТА ПІДСТАВИ ПОВІДОМЛЕННЯ СУБ’ЄКТА ПЕРСОНАЛЬНИХ ДАНИХ ПРО ЙОГО ПРАВА, ЩО СТОСУЮТЬСЯ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ

      Однією зі складових процесу обробки персональних даних є їх збирання, що передбачає дії з підбору чи впорядкування відомостей про фізичну особу та внесення їх до бази персональних даних.

      Так, згідно зі статтею 12 Закону володілець бази персональних даних протягом десяти робочих днів з дня включення персональних даних до бази персональних даних, що є дією зі збирання персональних даних, зобов’язаний повідомити суб’єкта персональних даних, виключно в письмовій формі , про його права, що визначені статтею 8 Закону, мету збору даних, яка визначається володільцем бази персональних даних, та осіб, яким будуть передаватися персональні дані.

      Володілець бази звільняється від виконання вказаного обов’язку лише у разі, якщо персональні дані збираються ним із загальнодоступних джерел. Під визначенням «загальнодоступні джерела інформації», зокрема, розуміються друковані засоби масової інформації, засоби телерадіомовлення, інтернет-портали, публічні виступи та інші джерела інформації, до яких фізичні та юридичні особи мають вільний, необмежений чинним законодавством, доступ.

      ОБРОБКА ПЕРСОНАЛЬНИХ ДАНИХ ФІЗИЧНИМИ ОСОБАМИ-ПІДПРИЄМЦЯМИ ТА САМОЗАЙНЯТИМИ ОСОБАМИ

      Частиною 1 статті 24 Закону визначено, що фізичні особи-підприємці, у тому числі лікарі, які мають відповідну ліцензію, адвокати, нотаріуси особисто забезпечують захист персональних даних, якими вони володіють згідно з вимогами закону.

      КОНТРОЛЬ ЗА ДОДЕРЖАННЯМ ЗАКОНОДАВСТВА ПРО ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ

      Здійснення контролю за додержанням законодавства про захист персональних даних відповідно до статті 23 Закону покладено на Державну службу України з питань захисту персональних даних.

      Так, відповідно до підпункт 14 пункту 3 Положення про Державну службу України з питань захисту персональних даних, затвердженого Указом Президента України від 6 квітня 2011 року № 390, Державна служба України з питань захисту персональних даних здійснює контроль за додержанням законодавства про захист персональних даних шляхом проведення виїзних та безвиїзних перевірок володільців та (або) розпорядників баз персональних даних.

      Також відповідно до підпункту 16 пункту 3 цього Положення Державна служба України з питань захисту персональних даних складає адміністративні протоколи про виявленні порушення законодавства у сфері захисту персональних даних.

      Але справи про адміністративні правопорушення у сфері захисту персональних даних розглядаються згідно зі статтею 221 Кодексу України про адміністративні правопорушення виключно районними, районними у місті, міськими чи міськрайонними судами.

      ВІДПОВІДАЛЬНІСТЬ ЗА ПОРУШЕННЯ ЗАКОНОДАВСТВА ПРО ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ

      З метою забезпечення виконання громадянами, органами державної влади та місцевого самоврядування, підприємствами, установами організаціями незалежно від форми власності вимог Закону 2 червня 2011 року Верховною Радою України було прийнято Закон України «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних», який набирає чинності з 1 січня 2012 року.

      Відповідно до цього закону громадяни, посадові особи, громадяни – суб’єкти підприємницької діяльності притягуються до адміністративної відповідальності за вчинення таких правопорушень:

      1) неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних про його права у зв’язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються;

      2) неповідомлення або несвоєчасне повідомлення спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних про зміну відомостей, що подаються для державної реєстрації бази персональних даних;

      3) ухилення від державної реєстрації бази персональних даних;

      4) недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них;

      5) невиконання законних вимог посадових осіб спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних щодо усунення порушень законодавства про захист персональних даних.

      За порушення недоторканості приватного життя, а саме за незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації винна особа притягується до кримінальної відповідальності.

       


      С данным разьяснением можно ознакомится на сайте Минюст воспользовавшись ссылкой: У зв’язку з численними зверненнями громадян щодо практичного застосування деяких положень Закону України «Про захист персональних даних» Міністерство юстиції надало роз’яснення з найбільш актуальних та поширених питань.

       

      Конечно в разьяснении Минюста, в целом, ничего нового не содержится, в основном разъяснение основывается на структурированном изложении норм указанного закона. Однако некоторые интересные моменты, касающиеся физлиц-предпринимателей и самозанятых лиц, все же есть.

      Минюст считает, что физлица-предприниматели и самозанятые лица самостоятельно определяют, обладают ли они базами персональных данных в смысле Закона.

      Так, на адвокатов законодательством не возложена обязанность ведения баз персональных данных клиентов при осуществлении профессиональной деятельности. Но, если они формируют дела на своих клиентов, постоянно обновляемые и поддерживаемые в актуальном состоянии, то такие дела являются базой персональных данных и подлежат государственной регистрации.

      Нотариусы могут обрабатывать персональные данные своих наемных работников, клиентов в базах персональных данных, однако документы нотариального делопроизводства и архив нотариуса, по определению ст. 14 Закона "О нотариате", не являются базой персональных данных в смысле Закона "О защите персональных данных" и не подлежат государственной регистрации.

      Кроме того, в случае, если физлица - предприниматели заключают договоры выполнения работ или оказания услуг с физическими лицами, такие договоры, по мнению Минюста, также не является базой персональных данных и не подлежат государственной регистрации.

      Из разъяснения также явственно следует, что совокупность персональных данных, содержащиеся в паспортах, документах об образовании, о состоянии здоровья и в других документах наемных работников, (которые последние подают при оформлении на работу, заключении трудового договора) составляют базу персональных данных, обрабатываемую владельцем базы на основании ст. 24 КЗоТа.

      Базы персональных данных могут храниться и обрабатываться как в форме картотек, так и в электронной форме, а то и в обоих этих формах параллельно.

      Регистрация баз персональных данных проводится по "заявочному принципу", из которого, по мнению Министерства следует, что ключевым и определяющим моментом для владельца базы является подача заявки и внесение данных о базе в Государственный реестр персональных данных, а отнюдь не получение свидетельства о регистрации. Заявление о регистрации может быть подано как в бумажной, так и в электронной форме. Причем для последней необходима электронная подпись на заявлении - обязательный реквизит электронного документа. Обязательно указание в заявлении цели обработки персональных данных. Эта цель должна быть в обязательном порядке сформулирована в законе, ином нормативно-правовом акте, положении или в учредительных документах.

      Уделил внимание Минюст в своем разъяснении и даче согласия субъктом персональных данных на обработку этих данных. Такое согласие в обязательном порядке должно быть документировано, в частности, предоставлено в письменной форме. Без этого согласия обработка данных о физическом лице "не допускается, кроме случаев, определенных законом, и только в целях, национальной безопасности, экономического благосостояния и прав человека". Минюст считает, что под "законом" в данном случае понимаются все другие законы, предоставляющие право на обработку персональных данных с указанием четкого перечня этих данных.

      В согласии субъекта на обработку его персональных данных должно быть обязательно указано, на обработку данных с какой именно целью он дает согласие, в каком объем (то есть какие именно данные о себе разрешает обрабатывать), в каком порядке их использования, распространения и доступа к ним.

       

      Тема регистрации баз персональных данных на сайте АСНУ рассматривалась в публикациях:

      Чи потрібно створювати бази персональних даних відповідно до Закону № 2297, з якою метою та в якому порядку?

      ___2.jpg
      Закон України «Про захист персональних даних» від 01.06.2010 р. № 2297-VI регулює відносини, пов'язані із захистом персональних даних під час їх обробки.Наявність у підприємства будь-яких персональних даних – це ще недостатній критерій для визнання їх як бази даних, потрібно, щоб ці дані були упорядковані в іменовану сукупність….


      Условия привлечения с 1 января 2012 года к административной и уголовной ответственности за нарушения в сфере защиты персональных данных

      PersDani.jpgСегодня одной из наиболее горячих тем является введение с 1 января следующего года ответственности за нарушения в сфере защиты персональных данных. В связи с этим представляем комментарий уполномоченного госоргана в этой сфере - Государственной службы по вопросам защиты персональных данных.

      Так же здесь размещен примерный образец заполнения заявления о регистрации баз персональных данных. 

      Регистрация баз персональных данных

      14389e279938e560b416cc4fad60b342.jpgАСНУ нагадує, що згідно Закону України „Про захист персональних даних” від 01.06.2010   № 2297-VI, з 1 січня 2012 року здійснюється обов”язкова реєстрація баз персональних даних у Державному реєстрі баз персональних даних. Ухилення від державної реєстрації БПД загрожує штрафом від 3400 грн. до 17000 грн.

       

       

       

      Дополнительно сообщаем:

                                        АНОНС. Прес-конференція «Типові помилки та запитання щодо застосування з 1 січня 2012 року Закону України «Про захист персональних даних»

      23 грудня 2011 року, об 11-00, в Міністерстві юстиції України (пров.Рильський, 10, 3-й поверх, велика зала колегій) відбудеться прес-конференція за участю першого заступника Голови Державної служби України з питань захисту персональних даних Лілії Олексюк та директора Департаменту взаємодії з органами влади Міністерства юстиції Олени Зеркаль.

      Прес-конференцію буде присвячено роз’ясненню типових помилок та запитань щодо застосування з 1 січня 2012 року Закону України «Про захист персональних даних» - що є базою персональних даних та у яких випадках необхідна її реєстрація, чи наступає автоматична відповідальність за порушення законодавства про захист персональних даних тощо.

      Акредитація представників ЗМІ за тел. 271-17-62, 271-17-60.

      Довідки за тел. 271-17-33.

      Прес-служба Міністерства юстиції України.

      Комментарии

      • Гоцул Дмитрий

        Гоцул Дмитрий Евгеньевич

        22 декабря 2011 в 12:02

        Сроки вступления в силу норм об ответственности за нерегистрацию баз персональных данных могут быть перенесены на 1 июля 2012 года

        Народные депутаты Ксения Ляпина (НУНС) и Ирина Горина (ПР) подали в парламент законопроект № 9624, касающийся очень популярной темы - баз персональных данных.

        Проектом предлагается перенести срок введения в действие Закона "О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных" с 1 января в 2012 г. на 1 июля в 2012 г.

        Это означает, что, в случае принятия законопроекта, до 1 июля 2012 года не будут действовать нормы КоАП и УК, предусматривающие ответственность за нарушение законодательства в сфере защиты персональных данных, в частности - за уклонение от регистрации базы данных, за невыполнение законных требований органа исполнительной власти по вопросам защиты персональных данных относительно устранения нарушений законодательства о защите персональных данных и т.д.

        Таким образом, угроза применение значительных штрафных санкций, установленных новыми статьями КоАП, может быть отодвинута. К сожалению, до момента вступления в силу Закона, предусматривающего усиление ответственности, осталось совсем мало времени.

        Основной причиной разработки законопроекта послужило то, что в законодательстве существует еще много пробелов, связанных с регулированием вопросов регистрации, использования, сбора информации для баз персональных данных. К примеру, как отмечается авторами проекта, законом не предусмотрено, как следует поступать владельцу баз персональных данных, если субъект персональных данных отказывается дать согласие на обработку его персональных данных.

        Как говориться в пояснительной записке к проекту, введение в действие вышеуказанного Закона шокировало предпринимательское сообщество.

        Всеукраинская сеть ЛІГА:ЗАКОН

        #
      • Гоцул Дмитрий

        Гоцул Дмитрий Евгеньевич

        22 декабря 2011 в 12:17

        В парламент внесен еще один законопроект о переносе сроков вступления в силу норм об ответственности за нарушение в сфере защиты персональных данных.

        В Верховной Раде зарегистрирован альтернативный законопроект № 9624-1, переносящий сроки вступления в силу норм законов об ответственности за нарушение законодательства о защите персональных данных.

        Предложения об изменениях в Заключительные положения Закона "О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных", представлены народными депутатами от фракции НУНС - Ярославом Джоджиком, Юрием Костенко и Иваном Зайцем.

        Как значится в пояснительной записке к законопроекту, на практике срок, отведенный законом на регистрацию баз данных (до конца 2011 года), не соблюдается из-за огромного количества заявлений. Получения свидетельства о государственной регистрации базы персональных данных придется ожидать в лучшем случае около месяца. Это значит, что уже с 1 января нового года предприниматели, банки, суды, госорганы и т. д. рискуют быть оштрафованными за некорректное обращение с персональными данными граждан.

        Авторы проекта предлагают установить, что вышеуказанный закон (предусматривающий усиление административной и уголовной ответственности), вступает в силу через шесть месяцев после утверждения и введения в действие Порядка обработки персональных данных.

        Как сообщалось ранее, 20 декабря 2011 года в Верховной Раде уже был зарегистрирован законопроект № 9624, предлагающий перенести сроки вступления в силу ответственности за нарушения законодательства о защите персональных данных с 1 января на 1 июля в 2012 года.

        Всеукраинская сеть ЛІГА:ЗАКОН

        #
      • Гоцул Дмитрий

        Гоцул Дмитрий Евгеньевич

        23 декабря 2011 в 11:18

        23 грудня на телеканалі «Київ» у прямому ефірі програми «Громадська приймальня» директор Департаменту зв’язків з органами влади Олена Зеркаль дасть відповіді на запитання щодо деяких аспектів застосування Закону України «Про захист персональних даних».

        Початок передачі о 13.20.

        #
      • Гоцул Дмитрий

        Гоцул Дмитрий Евгеньевич

        23 декабря 2011 в 14:33

        Комментарий юриста АО Arzinger Александра Плотникова к разъяснению Минюста о применении Закона о защите персональных данных

        Министерство юстиции Украины 21.12.2011 г. обнародовало свое разъяснение по практическому применению Закона "О защите персональных данных". Это разъяснение для портала ЛІГА:ЗАКОН прокомментировал старший юрист Адвокатского объединения Arzinger Александр Плотников:

        "21 декабря 2011 года на официальном сайте Министерства юстиции было опубликовано разъяснение Минюста относительно нашумевшего Закона Украины "О защите персональных данных".

        В последнее время этот Закон стал одним из наиболее обсуждаемых как среди юристов, так и среди простых граждан.

        И, к сожалению, абсолютное большинство комментариев носит негативную окраску, так как Закон содержит массу некорректных формулировок и пробелов. А в свете вступления в силу с 1 января 2012 года изменений в Уголовный кодекс Украины и Кодекс Украины об административных правонарушениях, которые вводят административную ответственность за нарушение законодательства о защите персональных данных и дополняют перечень уголовно наказуемых деяний в отношении конфиденциальной информации физического лица, ситуация накалилась до предела.

        И вот, когда до вступления в силу этих изменений осталось 10 дней, Минюст предоставил своё разъяснение относительно Закона.

        Сразу оговоримся, что с большей частью разъяснения можно согласиться и не заострять на ней особого внимания, так как всё это уже давно и подробно обсуждается на многочисленных семинарах, конференциях и прочих мероприятиях, в том числе и с участием руководства Государственной службы по вопросам защиты персональных денных.

        Однако позиция Минюста по некоторым вопросам просто приводит в замешательство.

        В частности, вызывает удивление вывод о том, что документы нотариального делопроизводства и архив нотариуса, предусмотренные ст. 14 ЗУ "О нотариате", не являются базами персональных данных в понимании Закона. На чём основывается такое заключение, непонятно, поскольку аргументация отсутствует. Согласно ч. 5 ст. 14 ЗУ "О нотариате" документы нотариального делопроизводства и архив нотариуса являются собственностью государства и находятся во владении и пользовании частного нотариуса. В силу ст. 2-1 того же закона именно Минюст является органом, который осуществляет контроль за организацией нотариата в Украине. Очевидно, что именно Минюст является органом государственной власти, который реализовывает права и обязанности государства как собственника документов нотариального делопроизводства и архива нотариуса. В таком случае, если исходить из того, что владельцем базы персональных данных должно являться именно лицо, которое является собственником документов, содержащих персональные данные, из которых состоит база персональных данных, то Минюст должен быть владельцем баз персональных данных, находящихся во владении нотариусов.

        При этом Минюст почему-то обходит своим вниманием вопрос, а может ли в принципе частный нотариус или адвокат быть владельцем или распорядителем базы персональных данных. Как видно из заключения, у Минюста нет сомнений в том, что может. Однако, если обратиться к ст. 4 Закона "О защите персональных данных", то в ней можно прочесть, что владельцем или распорядителем базы персональных данных могут быть только предприятия, учреждения, организации, органы государственной власти и местного самоуправления, а также физические лица - предприниматели. Таким образом, ни нотариусы, ни адвокаты не могут быть владельцами или распорядителями баз персональных данных, поскольку не входят в перечень лиц, закреплённый Законом (согласно действующему законодательству адвокаты и нотариусы не являются физическими лицами - предпринимателями).

        Отдельно стоит также упомянуть вывод Минюста о том, что "в случае, если физические лица - предприниматели заключают договоры выполнения работ или предоставления услуг с физическими лицами, такие договоры также не являются базой персональных данных и не подлежат государственной регистрации". Понятно, что сам по себе договор базой персональных данных не является (исходя из определения базы, приведённого в Законе). То есть чисто с формальной точки зрения к этому выводу придраться сложно. Однако, нам представляется, что Минюст имел в виду, что даже упорядоченная совокупность таких договоров, содержащих персональные данные физических лиц, не является базой персональных данных. Понять аргументацию такого заключения достаточно сложно, поскольку она не приведена, а из Закона следует обратное. При этом возникает вопрос, почему ничего сказано про случаи заключения таких договоров юридическими лицами с гражданами. Ведь в данном случае разницы между физическим лицом - предпринимателем и юридическим лицом нет.

        Особого внимания заслуживает вывод Минюста о том, кто может являться распорядителем базы персональных данных. Так, в силу Закона, на что Минюст ссылается в своём заключении, распорядителем базы персональных данных может быть физическое или юридическое лицо, которому владельцем базы персональных данных или законом предоставлено право обрабатывать эти данные.

        При этом Минюстом приводится пример, согласно которому филиал или представительство юридического лица является распорядителем базы персональных данных этого юридического лица. Такой пример на сайте Минюста вызывает недоумение, поскольку согласно ст. 95 Гражданского кодекса Украины филиалы и представительства не являются юридическими лицами. Мы предполагали, что сотрудники Минюста должны быть об этом осведомлены.

        В заключение хочется сказать, что, на наш взгляд, Закон "О защите персональных данных" в нынешней редакции требует немедленной доработки с привлечением квалифицированных юристов, поскольку его влияние на общество слишком велико. И если даже Министерство юстиции спустя год с момента вступления Закона в силу не смогло разобраться во всех его тонкостях, то что тогда можно говорить о простых гражданах. Им можно только посочувствовать.

        На сегодня ситуация настолько накалилась, что народные депутаты всё же обратили на неё внимание и внесли в течение двух дней два законопроекта, которые предлагают перенести срок вступления в силу изменений в Уголовный кодекс Украины и Кодекс Украины об административных правонарушениях. Так законопроектом № 9624 от 20.12.2011 г. предлагается отложить вступление в силу дополнений в Уголовный кодекс Украины и Кодекс Украины об административных правонарушениях до 1 июля 2012 года.

        Второй законопроект, № 9624-1 от 21.12.2011 г., предполагает вступление в силу изменений в Уголовный кодекс Украины и Кодекс Украины об административных правонарушениях через 6 месяцев после утверждения и введения в действие Порядка обработки персональных данных (наверное имеется в виду Типовой порядок, который, согласно Закону "О защите персональных данных" должен быть утверждён Государственной службой по вопросам защиты персональных данных).

        На наш взгляд положения второго законопроекта более обоснованные.

        Остаётся надеяться, что один из этих законопроектов будет принят. Хотя это и не снимает необходимость скорейшего изменения Закона "О защите персональных данных"."

        Всеукраинская сеть ЛІГА:ЗАКОН

        #