Чуть больше двух недель осталось до вступления в силу приказа Президента о законодательных изменениях, определяющих административную и уголовную ответственность за несоблюдение Закона №2297-VI «О защите персональных данных». Прямо или косвенно этот закон затронет практически каждого украинца, но особенно внимательно следует отнестись к нему владельцам баз персональных данных. Закон обязывает владельцев ПД провести ряд мероприятий, направленных на защиту персональных данных физических лиц от неправомерного доступа. Среди них регистрация базы ПД в государственном реестре, обязательное информирование субъектов ПД об их правах, возникающих в связи с обработкой ПД, и целях такой обработки.

В этой статье мы постараемся ответить на основные вопросы в сфере защиты ПД с точки зрения как владельца базы ПД, так и субъекта ПД. Кроме этого мы дадим конкретные указания по соблюдению закона о защите ПД тем предпринимателям и физическим лицам, которые в силу рода своей деятельности с такими данными связаны.

Терминология

Персональные данные — совокупность сведений, при помощи которых можно идентифицировать физическое лицо (email, ФИО, адрес проживания, IP адрес и GPS координаты пользователя и т. д.)

База ПД — именованная совокупность упорядоченных персональных данных (пользовательская база сайта, магазина, список сотрудников в бухгалтерии компании, список клиентов)

Субъект персональных данных — лицо, персональные данные которого используются и обрабатываются в базах персональных данных (сотрудник компании, зарегистрированный пользователь сайта, клиент и т. д.)

Владелец базы персональных данных — лицо, которому принадлежит какая-либо база персональных данных (компания с любым количеством сотрудников, владелец магазина, сайта и т. д.)

Таким образом, закон о защите ПД имеет значение как для владельцев таких баз, так и для обычных граждан. Но если для субъектов ПД этот закон несет права и гарантии, то для владельцев баз ПД приносит в основном обязанности.

Защита персональных данных с точки зрения субъекта ПД

Закон охраняет ваши персональные данные от неправомерного использования. Без вашего прямого согласия никто не сможет эти персональные данные как-либо собирать и обрабатывать. Если ваши данные по каким-либо причинам стали доступны третьим лицам, существует лицо (распорядитель или владелец баз ПД), которое будет нести административную и, возможно, уголовную ответственность. Кроме этого, согласно статье 8 соответствующего закона, вы имеете право:

  • знать о местонахождении и назначении базы ПД, местонахождении владельца или распорядителя этой базы;
  • получать полную информацию об условиях предоставления доступа к ПД;
  • получать ответ на запрос о том, хранятся ли ваши ПД в базе, а также получать содержимое своих ПД;
  • предъявлять мотивированное требование с возражением против обработки своих ПД органами власти;
  • предъявлять мотивированное требование об изменении или уничтожения своих ПД любым владельцем или распорядителем базы ПД, если эти данные обрабатываются незаконно или они недостоверны;
  • обращаться по вопросам защиты своих прав, связанных с персональными данными, в уполномоченные органы власти.


Защита персональных данных с точки зрения владельца базы ПД

Владелец базы персональных данных обязан:

  • объяснить субъекту ПД права, возникающие при обработке его ПД, и цели обработки его ПД;
  • получить согласие субъекта ПД на обработку и использование его ПД;
  • зарегистрировать базу ПД в государственном реестре;
  • обеспечить защиту базы ПД.


Разберем два жизненных примера: веб-сайт, имеющий базу пользователей, и компания, имеющая штат сотрудников.

  Сайт Компания
Объяснение субъекту ПД его прав и целей обработки ПД - в пользовательское соглашение нужно добавить информацию о том, что обработка персональных данных осуществляется в соответствии с законом «О защите персональных данных»

- прописать цели обработки этих данных
- перечислить права пользователя из статьи 8 соответствующего закона в положении о защите персональных данных (пример)

- приказом директора принять эти положения (пример)
Получение разрешения субъекта ПД - добавить галочку или прописать в пользовательском соглашении «я разрешаю администрации сайта example.com собирать и обрабатывать мои персональные данные. С правами, возникающими в связи с обработкой моих персональных данных, целями обработки и использования моих персональных данных ознакомлен» - получить письменное согласие на использование и обработку ПД от каждого сотрудника (пример)
Регистрация базы ПД Инструкция по регистрации базы ПД
Обеспечение защиты базы ПД Закон не регулирует конкретных мер и способов защиты персональных данных. Выбор соответствующих мероприятий лежит полностью на владельце базы ПД. Существует проект по обеспечению защиты баз ПД

 


Владелец базы персональных данных несет административную ответственность за:

 

  • неуведомление (несвоевременное уведомление) субъекта персональных данных о его правах в связи с включением его персональных данных в базу, цели сбора данных и лиц, которым эти данные передаются – штраф до 300 НМДГ для граждан и от 300 до 400 – для должностных лиц и СПД;
  • неуведомление (несвоевременное уведомление) специально уполномоченного органа по вопросам защиты ПД об изменении ведомостей, которые подаются для государственной регистрации базы персональных данных – штраф от 100 до 200 НМДГ для граждан и от 200 до 400 НМДГ – для должностных лиц и СПД;
  • уклонение от регистрации базы персональных данных – штраф от 300 до 500 НМДГ для граждан и от 500 до 1000 НМДГ – для должностных лиц и СПД;
  • несоблюдение установленного законодательством порядка защиты базы ПД, которое повлекло к незаконному доступу к ПД – от 300 до 1000 НМДГ;
  • невыполнение законных требований должностных лиц специально уполномоченного органа по вопросам защиты ПД – штраф от 100 до 200 НМДГ.


Особые случаи

Закон не распространяет свое действие в следующих случаях:

  • если база используется физическим лицом для личных непрофессиональных нужд;
  • если база используется физическим лицом для бытовых нужд;
  • если база используется журналистом для исполнения его должностных обязанностей;
  • если база используется творческим работником для осуществления его творческой деятельности.


Поэтому, если вы ведете личный блог и у вас есть база данных подписчиков, то регистрировать ничего не нужно.

Обновление: Министрество юстиции Украины в своем разъяснении закона о защите персональных данных отметило, что данные, получаемые физическим лицом - предпринимателем в процессе заключения договоров оказания услуг или выполнения работ с физическими лицами, не считаются персональными.

Резюме

Закон о защите ПД ставит целью улучшить и гарантировать безопасность личных данных физических лиц. Без сомнения, регулирование в этой сфере необходимо и является сложившейся практикой в развитых странах. Ведь никто из нас не хочет, чтобы его фамилия или имя, а тем более адрес, попали в руки третьих лиц из-за неосторожности или, наоборот, намеренного умысла недобросовестного веб-ресурса. К сожалению, не обошлось и без перегибов: мы считаем, что поголовная регистрация баз данных сотрудников все же излишняя. Ведь трудовые отношения между работодателем и наемным работником и так уже достаточно урегулированы, и регистрация этих баз создаст много лишней бюрократии и работы как для предприятий, так и для самой службы по вопросам защиты ПД. Однако в сфере информационных технологий, в частности веб-сайтов, этот закон будет выполнять свою функцию. Сначала крупные ресурсы, а затем более маленькие будут вынуждены соблюдать нормы описанного закона.

Если вы являетесь владельцем базы ПД, то у вас есть выбор: зарегистрировать свою базу, как того требует закон, или проигнорировать его, надеясь на лучшее. Тем более что, пока вы не зарегистрируетесь, плановые проверки вас не коснутся. Но нужно помнить и понимать, что с 1-го января 2012 года, вам грозит солидный штраф, если в службу по вопросам защиты ПД поступит какая-либо жалоба.