пятница, 1 марта 2013 г.

Базы персональных данных и информация о физических лицах


В бухгалтерии хранится информация о клиентах-физлицах, а в кадровом отделе – о работниках. Распространяются ли требования Закона о защите персональных данных на такую информацию?

В соответствии с Законом Украины «О защите персональных данных» от 01.06.2010 г. № 2297-VI (далее – Закон № 2297) под персональными данными понимается совокупность сведений о физическом лице, которое идентифицировано или может быть идентифицировано. В свою очередь, база персональных данных – это совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных.
Таким образом, информация о клиентах – физических лицах, а также о работниках является такой, на которую распространяются требования Закона № 2297. Кроме того, специалисты Государственной службы по защите персональных данных (http://www.zpd.gov.ua) считают, что требования Закона № 2297 распространяются также на учредителей предприятия – физических лиц и на руководителей предприятий-контрагентов, подписывающих хозяйственные договоры.
В соответствии со ст. 6 Закона № 2297 первичными источниками сведений о физическом лице являются: выданные на его имя документы, подписанные им документы, сведения, которые лицо предоставляет о себе.
Обработка персональных данных осуществляется для конкретных и законных целей, определенных по согласию субъекта персональных данных или в случаях, предусмотренных законами Украины в порядке, установленном законодательством.
Не допускается обработка данных о физическом лице без его согласия, кроме случаев, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека.
В соответствии со ст. 9 Закона № 2297 база персональных данных подлежит государственной регистрации путем внесения соответствующей записи уполномоченным государственным органом по вопросам защиты персональных данных в Государственный реестр баз персональных данных. Регистрация баз персональных данных осуществляется по заявочному принципу путем уведомления.
Заявление о регистрации базы персональных данных подается владельцем базы уполномоченному государственному органу по вопросам защиты персональных данных.
Заявление должно содержать:
– обращение о внесении базы персональных данных в Государственный реестр баз персональных данных;
– информацию о владельце базы персональных данных;
– информацию о наименовании и местонахождении базы данных;
– информацию о цели обработки персональных данных в базе персональных данных, сформулированную в соответствии с требованиями ст. 6 и >7 Закона № 2297;
– информацию о других распорядителях базы персональных данных;
– подтверждение обязательства относительно выполнения условий защиты персональных данных, установленных законодательством о защите информации.
Заявление можно отправить заказным письмом по адресу государственного органа по защите персональных данных либо в электронном виде при условии, что предприятие (предприниматель) приобрело в установленном порядке сертификаты электронных цифровых подписей.
Основанием для обработки персональных данных может быть (ст. 11 Закона № 2297):
– согласие субъекта персональных данных на обработку его персональных данных. Субъект персональных данных имеет право при предоставлении согласия внести оговорку относительно ограничения права на обработку своих персональных данных;
– разрешение на обработку персональных данных, предоставленное владельцу базы персональных данных в соответствии с законом исключительно для осуществления его полномочий.
В соответствии со ст. 12 Закона № 2297 субъект персональных данных в течение десяти рабочих дней со дня включения его персональных данных в базу персональных данных уведомляется о своих правах, определенных настоящим Законом, о цели сбора данных и лицах, которым передаются его персональные данные, исключительно в письменной форме. При этом уведомление не осуществляется, если персональные данные собираются из общедоступных источников.
Распространение персональных данных предусматривает действия по передаче сведений о физическом лице из баз персональных данных с согласия субъекта персональных данных. При этом распространение персональных данных без согласия субъекта персональных данных или уполномоченного им лица допускается в случаях, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека. Выполнение требований установленного режима защиты персональных данных обеспечивает сторона, распространяющая эти данные (ст. 14 Закона № 2297).
Также следует отметить тот факт, что Законом Украины «О внесении изменений в некоторые законодательные акты в части усиления ответственности за нарушения законодательства о защите персональных данных» от 02.06.2011 г. № 3454-VI, который вступает в силу с 01.01.2012 г., вводится административная ответственность, в частности, за:
– уклонение от государственной регистрации баз персональных данных – в размере от 500 до 1000 необлагаемых минимумов доходов граждан (для должностных лиц предприятий и граждан – субъектов предпринимательской деятельности);
– неуведомление или несвоевременное уведомление субъекта персональных данных о его правах в связи с внесением его персональных данных в базу персональных данных, о цели сбора этих данных и лицах, которым эти данные передаются, – от 300 до 400 необлагаемых минимумов доходов граждан (для должностных лиц предприятий и граждан – субъектов предпринимательской деятельности).
Ольга Буркун
Аудитор АФ «Курсор-Аудит»

Комментариев нет:

Отправить комментарий