Що таке персональні дані
Визначення поняття персональних даних наводиться в абзаці восьмому статті 2 Закону «Про захист персональних даних», згідно з яким персональними даними є відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.
База персональних даних - іменована сукупність упорядкованих персональних даних в електронній формі та / або у формі картотек персональних даних.
Законодавством України не встановлено і не може бути встановлено чіткого переліку відомостей про фізичну особу, які є персональними даними, для можливості застосування положень Закону до різноманітних ситуацій, які можуть виникнути в майбутньому, в зв'язку зі зміною в технологічній, соціальній, економічній та інших сферах суспільного життя.
Згідно зі статтею 24 Кодексу законів про працю громадянин при укладенні трудового договору зобов'язаний подати паспорт або інший документ, що посвідчує особу, трудову книжку, а у випадках, передбачених законодавством, - також документ про освіту (спеціальність, кваліфікацію), про стан здоров'я та інші документи.
У зв'язку з цим персональні дані працівника, які містяться в паспорті або документі, що посвідчує особу, в трудовій книжці, документі про освіту (спеціальність, кваліфікацію), документі про стан здоров'я та інших документах, які він подав при укладенні трудового договору, обробляються володільцем бази персональних даних на підставі статті 24 Кодексу законів про працю України виключно для здійснення повноважень володільця бази персональних даних в сфері правовідносин, що виникли у нього з працівником на підставі трудового договору (контракту).
Таким чином, інформація про найманих працівників є базою персональних даних, оскільки, особові справи, трудові книжки, копії паспортів, документів про освіту зберігаються та обробляються роботодавцем.
Що є базою персональних даних, а що - ні?
Поняття «база персональних даних» визначено абзацом другим статті 2 Закону, згідно з яким база персональних даних - іменована сукупність упорядкованих персональних даних в електронній формі та / або у формі картотек персональних даних.
З огляду на це база персональних даних є упорядкованою сукупністю логічно пов'язаних даних про фізичних осіб, що:
- зберігаються і обробляються відповідним програмним забезпеченням (база персональних даних в електронній формі);
- зберігаються і обробляються на паперових носіях інформації (база персональних даних у формі картотек).
Картотекою персональних даних є будь-який структурований масив персональних даних, доступний за певними критеріями, незалежно від того, чи є такий масив централізованим, децентралізованим або розділеним на функціональних або географічних засадах.Такі дані повинні бути структуровані за визначеними критеріями, що стосуються фізичних осіб, щоб забезпечити легкий доступ до відповідних персональних даних.
Важливо відзначити, що фізичні особи-підприємці та самозайняті особи самостійно визначають чи володіють вони базами персональних даних у сенсі Закону.
Однозначно не є базами персональних даних в розумінні Закону відомості, які збираються і обробляються:
- фізичною особою - виключно для непрофесійних особистих чи побутових потреб,
- журналістом - у зв'язку з виконанням ним службових чи професійних обов'язків,
- професійним творчим працівником - для здійснення творчої діяльності.
Крім того, на думку Міністерства юстиції, в разі, якщо фізичні особи - підприємці укладають договори виконання робіт або надання послуг з фізичними особами, такі договори також не є базою персональних даних та не підлягають державній реєстрації.
При здійсненні своєї професійної діяльності на адвокатів законодавством не покладено обов'язок ведення баз персональних даних клієнтів. Але, якщо адвокати формують справи на своїх клієнтів, постійно оновлюють та підтримують в актуальному стані, такі справи є базою персональних даних.
Нотаріуси можуть обробляти персональні дані своїх найманих працівників, клієнтів у базах персональних даних, однак, документи нотаріального діловодства та архів нотаріуса, визначені у статті 14 Закону України «Про нотаріат» не є базою персональних даних в розумінні Закону України «Про захист персональних даних».
Власники і розпорядники баз персональних даних
Власником бази персональних даних згідно з абзацом третім статті 2 Закону є фізична або юридична особа, якій законом або за згодою суб'єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних та процедуру їх обробки, якщо інше не визначено законом.
Так, якщо персональні дані обробляються юридичною особою, то володільцем бази персональних даних є юридична особа.
Розпорядником бази персональних даних згідно з абзацом дев'ятим статті 2 Закону може бути фізична або юридична особа, якій володільцем бази персональних даних або законом надано право обробляти ці дані.
В якості практичного прикладу наводяться відносини між юридичними особами і їх представництвами, філіями, відділеннями тощо.Так, в сенсі Закону ці представництва, філії, відділення можуть виступати розпорядниками баз персональних даних, власником яких є юридична особа.
Згідно зі статтею 4 Закону володільцем чи розпорядником бази персональних даних можуть бути підприємства, установи і організації усіх форм власності, органи держави влади чи органи місцевого самоврядування, які обробляють персональні дані відповідно до закону.
Але якщо володільцем бази персональних даних є орган державної влади або орган місцевого самоврядування, то розпорядником бази персональних даних, крім цих органів, може бути тільки підприємство державної або комунальної форми власності, що належить до сфери управління цього органу.
Права суб'єкта персональних даних
Особисті немайнові права на персональні дані, які має кожна фізична особа, є невід'ємними і непорушними.
Суб'єкт персональних даних має право:
- знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
- отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;
- на доступ до своїх персональних даних;
- отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних;
- пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;
- пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;
- на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
- звертатися із скаргами на обробку своїх персональних даних до Уповноваженого або до суду;
- застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;
- вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;
- відкликати згоду на обробку персональних даних;
- знати механізм автоматичної обробки персональних даних;
- на захист від автоматизованого рішення, яке має для нього правові наслідки.
Повідомлення про обробку персональних даних
Наразі реєструвати бази персональних даних не потрібно.
Володілець персональних даних повідомляє Уповноваженого про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, упродовж тридцяти робочих днів з дня початку такої обробки.
Види обробки персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, та категорії суб’єктів, на яких поширюється вимога щодо повідомлення, визначаються Уповноваженим.
Повідомлення про обробку персональних даних подається за формою та в порядку, визначеними Уповноваженим.
Володілець персональних даних зобов’язаний повідомляти Уповноваженого про кожну зміну відомостей, що підлягають повідомленню, упродовж десяти робочих днів з дня настання такої зміни.
Така інформація підлягає оприлюдненню на офіційному веб-сайті Уповноваженого в порядку, визначеному Уповноваженим.
Підстави для обробки персональних даних
Підставами для обробки персональних даних є:
- згода суб’єкта персональних даних на обробку його персональних даних;
- дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень;
- укладення та виконання правочину, стороною якого є суб’єкт персональних даних або який укладено на користь суб’єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта персональних даних;
- захист життєво важливих інтересів суб’єкта персональних даних;
- необхідність виконання обов’язку володільця персональних даних, який передбачений законом;
- необхідність захисту законних інтересів володільця персональних даних або третьої особи, якій передаються персональні дані, крім випадків, коли потреби захисту основоположних прав і свобод суб’єкта персональних даних у зв’язку з обробкою його даних переважають такі інтереси.
Контроль за дотриманням законодавства про захист персональних даних і відповідальність
Контроль за дотриманням законодавства про захист персональних даних в межах повноважень, передбачених законом, здійснюють такі органи:
- Уповноважений з прав людини;
- суди.
Уповноважений має такі повноваження у сфері захисту персональних даних:
- одержувати пропозиції, скарги та інші звернення фізичних та юридичних осіб з питань захисту персональних даних і приймати рішення за результатами їх розгляду;
- проводити на підставі звернень або за власною ініціативою виїзні та невиїзні, планові, позапланові перевірки власників або розпорядників персональних даних в порядку, визначеному уповноваженим, із забезпеченням відповідно до закону доступу в приміщення, де здійснюється обробка персональних даних;
- отримувати на свою вимогу і мати доступ до будь-якої інформації (документів) власників або розпорядників персональних даних, які необхідні для здійснення контролю за забезпеченням захисту персональних даних, в тому числі доступ до персональних даних, відповідних баз даних або картотек, інформації з обмеженим доступом ;
- затверджувати нормативно-правові акти у сфері захисту персональних даних у випадках, передбачених Законом;
- за підсумками перевірки, розгляду звернення видавати обов'язкові для виконання вимоги (приписи) про запобігання або усунення порушень законодавства про захист персональних даних, в тому числі зі зміни, видалення або знищення персональних даних, забезпечення доступу до них, надання або заборони їх надання третій особі, зупинення або припинення обробки персональних даних;
- давати рекомендації щодо практичного застосування законодавства про захист персональних даних, роз'яснювати права і обов'язки відповідних осіб за зверненням суб'єктів персональних даних, власників або розпорядників персональних даних, структурних підрозділів або відповідальних осіб за організацію роботи щодо захисту персональних даних, інших осіб;
- взаємодіяти із структурними підрозділами або відповідальними особами, які організовують роботу, пов'язану із захистом персональних даних при їх обробці; оприлюднити інформацію про такі структурні підрозділи і відповідальних осіб;
- звертатися з пропозиціями до Верховної Ради України, до Президента України, Кабінету Міністрів України, інші державні органи, органи місцевого самоврядування, їх посадових осіб щодо прийняття або внесення змін до нормативно-правових актів з питань захисту персональних даних;
- надавати за зверненням професійних, самоврядних та інших громадських об'єднань або юридичних осіб висновки щодо проектів кодексів поведінки в сфері захисту персональних даних і змін в них;
- складати протоколи про притягнення до адміністративної відповідальності і направляти їх до суду у випадках, передбачених законом;
- інформувати про законодавство з питань захисту персональних даних, проблеми його практичного застосування, права та обов'язки суб'єктів відносин, пов'язаних із персональними даними;
- здійснювати моніторинг нових практик, тенденцій і технологій захисту персональних даних;
- організовувати і забезпечувати взаємодію з іноземними суб'єктами відносин, пов'язаних із персональними даними, в тому числі в зв'язку з виконанням Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних та Додаткового протоколу до неї, інших міжнародних договорів України у сфері захисту персональних даних;
- брати участь у роботі міжнародних організацій з питань захисту персональних даних.
Уповноважений Верховної Ради України з прав людини включає до своєї щорічної доповіді про стан дотримання та захисту прав і свобод людини і громадянина в Україні звіт про стан дотримання законодавства в сфері захисту персональних даних.
За порушення законодавства про захист персональних даних передбачена адміністративна відповідальність:
Стаття 188-39 Кодексу про адміністративні правопорушення. Порушення законодавства у сфері захисту персональних даних
Неповідомлення або несвоєчасне повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних або про зміну відомостей, що підлягають повідомленню згідно з законом, повідомлення неповних або недостовірних відомостей -
- тягнуть за собою накладення штрафу на громадян від ста до двохсот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб'єктів підприємницької діяльності - від двохсот до чотирьохсот неоподатковуваних мінімумів доходів громадян.
Невиконання законних вимог (приписів) Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб секретаріату Уповноваженого Верховної Ради України з прав людини щодо запобігання або усунення порушень законодавства про захист персональних даних -
- тягнуть за собою накладення штрафу на громадян від двохсот до трьохсот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб'єктів підприємницької діяльності - від трьохсот до однієї тисячі неоподатковуваних мінімумів доходів громадян.
Повторне протягом року вчинення порушення з числа передбачених частинами першою або другою цієї статті, за яке особу вже було піддано адміністративному стягненню, -
- тягне за собою накладення штрафу на громадян від трьохсот до п'ятисот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб'єктів підприємницької діяльності - від п'ятисот до двох тисяч неоподатковуваних мінімумів доходів громадян.
Недотримання встановленого законодавством про захист персональних даних порядку захисту персональних даних, що призвело до незаконного доступу до них або порушення прав суб'єкта персональних даних, -
- тягне за собою накладення штрафу на громадян від ста до п'ятисот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб'єктів підприємницької діяльності - від трьохсот до однієї тисячі неоподатковуваних мінімумів доходів громадян.
Повторне протягом року вчинення порушення, передбаченого частиною четвертою цієї статті, за яке особу вже було піддано адміністративному стягненню, -
- тягне за собою накладення штрафу від однієї тисячі до двох тисяч неоподатковуваних мінімумів доходів громадян.
Справи про адміністративні правопорушення в сфері захисту персональних даних розглядаються згідно зі статтею 221 Кодексу України про адміністративні правопорушення виключно судами.
Читайте також:
- Відправляємо працівника у відрядження: покрокове керівництво
- Обмеження діяльності підприємства в Україні
- РРО. Хто повинен, а хто може не застосовувати реєстратори розрахункових операцій при продажу товару
- Розкриття інформації про кінцевих бенефіціарів: звітність, терміни подачі, штрафи
- Санітарно-епідеміологічна служба. Хто виконує функції СЕС після її ліквідації?
- Трансфертне ціноутворення в Україні
- Фінансовий моніторинг по-новому: суб'єкти, порядок, відповідальність
- Як отримати сертифікат Торгово-промислової палати про дії форс-мажорних обставин?