О том, как закон регулирует такую регистрацию, все ли базы данных нужно регистрировать и что именно является базой персональных данных, рассказал адвокат, старший партнер АК «Кравец, Новак и партнеры» Ростислав Кравец.
Какой закон регулирует защиту персональных данных?
Закон Украины «О защите персональных данных» вступил в силу в начале 2011 года. Однако лишь перед новым 2012 годом указанный Закон вызвал ажиотаж, связанный с регистрацией баз данных в уполномоченном государственном органе по вопросам защиты персональных данных – Государственная служба Украины по вопросам защиты персональных данных (далее ГСЗПД). В первую очередь, это связано с тем, что административная и уголовная ответственность за нарушение норм Закона вступает в силу с января 2012 года.
За какие нарушения может быть применена административная ответственность?
Это неуведомление или несвоевременное уведомление субъекта персональных данных о его правах в связи с включением его персональных данных в базу персональных данных. Кроме того, ГСЗПД необходимо уведомить об изменении сведений, представляемых для государственной регистрации базы персональных данных. Наказуемо также уклонение от госрегистрации базы персональных данных, а еще несоблюдение порядка защиты персональных данных, что привело к незаконному к ним доступу.
В каком случае предпринимателям грозит уголовная ответственность?
Изменения в ст. 182 УК Украины говорят о том, что к уголовной ответственности могут быть привлечены лица за незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о лице или незаконное изменение такой информации.
Какая база подлежит обязательной регистрации?
Регистрации подлежит любая база данных о физических лицах, содержащая детальную информацию о них. Это данные паспорта, идентификационного кода, адрес прописки, другие данные, по которым лицо можно идентифицировать.
На какие базы не распространяется действие Закона?
На базы граждан Украины, которые создаются для непрофессиональных или бытовых нужд, на базы журналистов – так как они необходимы для исполнения профессиональных обязанностей. Также закон не применим в отношении профессиональных творческих работников.
Что делать тем, кто имеет информацию о клиентах не в виде оформленной базы, а внутри договоров, которые «стоят в папках на полке», – как избежать участи владельцев БПД?
При регистрации базы данных необходимо понять, действительно ли у Вас имеется организованная совокупность логически связанных данных о физических лицах, которые хранятся и обрабатываются соответствующим программным обеспечением, либо картотека персональных данных, являющаяся систематизированным собранием бумажных носителей информации, содержащих сведения о физических лицах, являющиеся персональными данными. В случае, когда у предприятия персональные данные хранятся в договорах, которые в свою очередь находятся в папках, то есть не упорядочены, компания не является владельцем базы. И тогда регистрировать ничего не нужно.
Для внесения данных лица в такую базу необходимо ли разрешение самого субъекта?
Да, основанием возникновения права на использование персональных данных является согласие субъекта персональных данных на обработку его данных. На мой взгляд, именно отсутствие такого разрешения, помимо уклонения от регистрации базы данных, может стать основанием для привлечения владельца базы персональных данных к ответственности.
А можно ли обойти этот пункт Закона, то есть не спрашивать разрешения всех внесенных в базу лиц?
В Законе предусмотрена возможность временного отсутствия такого разрешения, что не будет являться нарушением. П. 7 ст. 6 Закона указывает: если обработка персональных данных необходима для защиты жизненно важных интересов субъекта персональных данных, обрабатывать персональные данные без его согласия можно до момента, когда получение согласия станет возможным. Но что именно подразумевается под «жизненно важными интересами», не уточняется. Еще в п. 6 этой же статьи говорится, что обрабатывать данные о физическом лице без его согласия можно в интересах национальной безопасности, экономического благосостояния и прав человека. Однако во избежание недоразумений в будущем я бы все-таки рекомендовал получить такое согласие.
То есть стоит внести во все документы, которые заполняет лицо с указанием данных о себе, специальный пункт «Настоящим я ... даю согласие на ...; подпись»?
Я бы рекомендовал в случае заключения договора с физлицом, которое будет идентифицировано, внести пункты, в которых указать согласие физлица на обработку и хранение его персональных данных, а также цель такой обработки, чтобы избежать в дальнейшем недоразумений, связанных с отсутствием разрешения физлица на обработку его персональных данных.
Что делать тем, у кого есть база, но кто не успел зарегистрировать ее до начала января 2012?
В этом нет ничего страшного, базу можно зарегистрировать и после 01.01.2012. Законодательством предусмотрена ответственность исключительно за уклонение от государственной регистрации базы персональных данных. Но ведь до этого момента упорядоченных сведений у владельца базы, которую нужно регистрировать, может и не быть. (К примеру, если база появилась у предприятия или предпринимателя 14 или 20 января, то сразу же после этого и нужно подать заявление о регистрации, бланк которого имеется в приложении к онлайн-версии данной статьи. – Ред.)
Как именно необходимо совершить процесс регистрации базы?
Регистрация базы персональных данных осуществляется по заявочному принципу путем сообщения. Заявление о регистрации базы подается владельцем такой базы или уполномоченным представителем в бумажной или электронной форме. Чтобы зарегистрировать базу данных в электронном виде, необходимо иметь ключ электронной цифровой подписи (ЭЦП), выданный одним из аккредитованных центров сертификации ключей. В частности, заявление о регистрации базы персональных данных и о внесении изменений в сведения Госреестра баз персональных данных должно содержать информацию о цели обработки персональных данных с указанием категорий обработки.
Что делать по данным, собранным в отделах кадров? Они не подпадают под «интересы национальной безопасности, экономического благосостояния и прав человека»?
На мой взгляд, нет, и разрешение на их обработку необходимо получить у субъекта персональных данных. Такие базы необходимо регистрировать с момента их упорядочивания.
А как быть со сведениями, полученными до вступления Закона в силу? По ним разрешения не получены и никогда не будут получены?
В соответствии со ст. 58 Конституции Украины, законы и другие нормативно-правовые акты не имеют обратного действия во времени, кроме случаев, когда они смягчают или отменяют ответственность лица. Никто не может отвечать за деяния, которые на момент их совершения не признавались законом как правонарушения. Т. е. фактически, обладая такой базой данных, Вы обязаны ее зарегистрировать, но не сможете ее обрабатывать до получения соответствующего разрешения от субъекта персональных данных. Также я бы рекомендовал уведомить субъектов персональных данных о включении их в такую базу.