про твої права

Бази персональних даних. Перезавантаження

Нещодавно на офіційному сайті Міністерства юстиції України з'явилося роз'яснення щодо практичного застосування норм Закону України «Про захист персональних даних» (далі - Закон). У зв'язку з цим prostopravo.com.ua вирішив ще раз торкнутися цієї теми і спробувати остаточно прояснити для себе деякі моменти, пов'язані з реєстрацією баз персональних даних, відповідальності за розголошення.

Короткий зміст і посилання по темі

  1. Що таке персональні дані
  2. Що є базою персональних даних, а що - ні?
  3. Власники і розпорядники баз персональних даних
  4. Порядок реєстрації баз персональних даних
  5. Обробка персональних даних
  6. Контроль за дотриманням законодавства про захист персональних даних і відповідальність
  7. Рейтинги банків України по активам




Loading...

Що таке персональні дані

Визначення поняття персональних даних наводиться в абзаці восьмому статті 2 Закону «Про захист персональних даних», згідно з яким персональними даними є відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.

База персональних даних - іменована сукупність упорядкованих персональних даних в електронній формі та / або у формі картотек персональних даних.

Законодавством України не встановлено і не може бути встановлено чіткого переліку відомостей про фізичну особу, які є персональними даними, для можливості застосування положень Закону до різноманітних ситуацій, які можуть виникнути в майбутньому, в зв'язку зі зміною в технологічній, соціальній, економічній та інших сферах суспільного життя.

Згідно зі статтею 24 Кодексу законів про працю громадянин при укладенні трудового договору зобов'язаний подати паспорт або інший документ, що посвідчує особу, трудову книжку, а у випадках, передбачених законодавством, - також документ про освіту (спеціальність, кваліфікацію), про стан здоров'я та інші документи.

У зв'язку з цим персональні дані працівника, які містяться в паспорті або документі, що посвідчує особу, в трудовій книжці, документі про освіту (спеціальність, кваліфікацію), документі про стан здоров'я та інших документах, які він подав при укладенні трудового договору, обробляються володільцем бази персональних даних на підставі статті 24 Кодексу законів про працю України виключно для здійснення повноважень володільця бази персональних даних в сфері правовідносин, що виникли у нього з працівником на підставі трудового договору (контракту).

Таким чином, інформація про найманих працівників є базою персональних даних, оскільки, особові справи, трудові книжки, копії паспортів, документів про освіту зберігаються та обробляються роботодавцем.

Що є базою персональних даних, а що - ні?

Поняття «база персональних даних» визначено абзацом другим статті 2 Закону, згідно з яким база персональних даних - іменована сукупність упорядкованих персональних даних в електронній формі та / або у формі картотек персональних даних.

З огляду на це база персональних даних є упорядкованою сукупністю логічно пов'язаних даних про фізичних осіб, що:

  • зберігаються і обробляються відповідним програмним забезпеченням (база персональних даних в електронній формі);
  • зберігаються і обробляються на паперових носіях інформації (база персональних даних у формі картотек).

Картотекою персональних даних є будь-який структурований масив персональних даних, доступний за певними критеріями, незалежно від того, чи є такий масив централізованим, децентралізованим або розділеним на функціональних або географічних засадах.Такі дані повинні бути структуровані за визначеними критеріями, що стосуються фізичних осіб, щоб забезпечити легкий доступ до відповідних персональних даних.

Важливо відзначити, що фізичні особи-підприємці та самозайняті особи самостійно визначають чи володіють вони базами персональних даних у сенсі Закону.

Однозначно не є базами персональних даних в розумінні Закону відомості, які збираються і обробляються:

  • фізичною особою - виключно для непрофесійних особистих чи побутових потреб,
  • журналістом - у зв'язку з виконанням ним службових чи професійних обов'язків,
  • професійним творчим працівником - для здійснення творчої діяльності.

Крім того, на думку Міністерства юстиції, в разі, якщо фізичні особи - підприємці укладають договори виконання робіт або надання послуг з фізичними особами, такі договори також не є базою персональних даних та не підлягають державній реєстрації.

При здійсненні своєї професійної діяльності на адвокатів законодавством не покладено обов'язок ведення баз персональних даних клієнтів.Але, якщо адвокати формують справи на своїх клієнтів, постійно оновлюють та підтримують в актуальному стані, такі справи є базою персональних даних та підлягають державній реєстрації.

Нотаріуси можуть обробляти персональні дані своїх найманих працівників, клієнтів у базах персональних даних, однак, документи нотаріального діловодства та архів нотаріуса, визначені у статті 14 Закону України «Про нотаріат» не є базою персональних даних в розумінні Закону України «Про захист персональних даних» та не підлягають державній реєстрації.

Власники і розпорядники баз персональних даних

Власником бази персональних даних згідно з абзацом третім статті 2 Закону є фізична або юридична особа, якій законом або за згодою суб'єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних та процедуру їх обробки, якщо інше не визначено законом.

Так, якщо персональні дані обробляються юридичною особою, то володільцем бази персональних даних є юридична особа.

Розпорядником бази персональних даних згідно з абзацом дев'ятим статті 2 Закону може бути фізична або юридична особа, якій володільцем бази персональних даних або законом надано право обробляти ці дані.

В якості практичного прикладу наводяться відносини між юридичними особами і їх представництвами, філіями, відділеннями тощо.Так, в сенсі Закону ці представництва, філії, відділення можуть виступати розпорядниками баз персональних даних, власником яких є юридична особа.

Згідно зі статтею 4 Закону володільцем чи розпорядником бази персональних даних можуть бути підприємства, установи і організації усіх форм власності, органи держави влади чи органи місцевого самоврядування, які обробляють персональні дані відповідно до закону.

Але якщо володільцем бази персональних даних є орган державної влади або орган місцевого самоврядування, то розпорядником бази персональних даних, крім цих органів, може бути тільки підприємство державної або комунальної форми власності, що належить до сфери управління цього органу.

Порядок реєстрації баз персональних даних

Згідно зі статтею 9 Закону реєстрація баз персональних даних носить повідомний характер.

Власник персональних даних повідомляє Уповноваженого ВРУ з прав людини (далі - Уповноважений) про обробку персональних даних, які становлять особливий ризик для прав і свобод суб'єктів персональних даних, за тридцять робочих днів з дня початку такої обробки.

Види обробки персональних даних, які становлять особливий ризик для прав і свобод суб'єктів персональних даних, і категорії суб'єктів, на яких поширюється вимога про повідомлення, визначаються спеціально уповноваженим.

Обробка персональних даних, яка становить особливий ризик для прав і свобод суб'єктів - це будь-яка дія або сукупність дій, а саме збір, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення, в тому числі з використанням інформаційних (автоматизованих) систем, яка здійснюється щодо персональних даних про:

- расове, етнічне та національне походження;

- політичні, релігійні або світоглядні переконання;

- членство в політичних партіях та / або організаціях, професійні спілки, релігійні організації або в громадських організаціях світоглядної спрямованості;

- стан здоров'я;

- статеве життя;

- біометричні дані;

- генетичні дані;

- притягнення до адміністративної або кримінальної відповідальності;

- застосування до особи заходів в рамках досудового розслідування;

- прийняття по особі заходів, передбачених Законом України «Про оперативно-розшукову діяльність»;

- вчинення щодо особи тих чи інших видів насильства;

- місцезнаходження та / або шляхи пересування особи.

Повідомлення про обробку персональних даних подається за формою і в порядку, визначеними Уповноваженим.

Власник персональних даних подає до Секретаріату Уповноваженого заповнений бланк заяви за встановленою формою .Кожна сторінка заяви повинна бути пронумерована та скріплена печаткою (за наявності) та підписом уповноваженої на те особи.

Власник персональних даних повідомляє Уповноваженого листом на адресу Секретаріату Уповноваженого: вул.Інститутська, 21/8;м. Київ, 01008, або іншим доступним заявнику способом (по факсу, електронній пошті, через ящик, спеціально розміщений на 1 поверсі Секретаріату Уповноваженого).У разі направлення заяви по електронній пошті заяву має бути відскановано.

Власник персональних даних зобов'язаний повідомляти Уповноваженого про кожну зміну відомостей, що підлягають повідомленню, протягом десяти робочих днів з дня настання такої зміни.Така інформація підлягає оприлюдненню на офіційному сайті Уповноваженого.

Обробка персональних даних

Мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність власника персональних даних, і відповідати законодавству про захист персональних даних.

Обробка персональних даних здійснюється відкрито і прозоро із застосуванням засобів та у спосіб, що відповідають визначеним цілям такої обробки.

У разі зміни визначеної мети обробки персональних даних на нову мету, яка несумісна з попередньою, для подальшої обробки даних власник персональних даних повинен отримати згоду суб'єкта персональних даних на обробку його даних відповідно до зміненої мети, якщо інше не передбачено законом.

Персональні дані повинні бути точними, достовірними і оновлюватися в міру необхідності, певною метою їх обробки.

Склад і зміст персональних даних мають бути відповідними, адекватними і відповідати певній меті їх обробки.

Первинними джерелами відомостей про фізичну особу є: видані на її ім'я документи;підписані ним документи;відомості, які особа надає про себе.

Обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб'єкта персональних даних або у випадках, передбачених законами України, у порядку, встановленому законодавством.

Не допускається обробка даних про фізичну особу, які є конфіденційною інформацією, без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

Якщо обробка персональних даних необхідна для захисту життєво важливих інтересів суб'єкта персональних даних, обробляти персональні дані без його згоди можна до часу, коли отримання згоди стане можливим.

Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, не довше, ніж це необхідно для законних цілей, в яких вони збиралися або в подальшому оброблялися.

Подальша обробка персональних даних в історичних, статистичних чи наукових цілях може здійснюватися за умови забезпечення їх належного захисту.

Забороняється обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, засудження до кримінального покарання, а також даних, що стосуються здоров'я, статевого життя, біометричних або генетичних даних.

Заборона не діє, якщо:

1) здійснюється за умови надання суб'єктом персональних даних однозначної згоди на обробку таких даних;

2) необхідна для здійснення прав і виконання обов'язків власника в сфері трудових правовідносин відповідно до закону із забезпеченням відповідного захисту;

3) необхідна для захисту життєво важливих інтересів суб'єкта персональних даних або іншої особи у разі недієздатності або обмеження цивільної дієздатності суб'єкта персональних даних;

4) здійснюється із забезпеченням відповідного захисту релігійною організацією, громадською організацією світоглядної спрямованості, політичною партією або професійною спілкою, створеним відповідно до закону, за умови, що обробка стосується виключно персональних даних членів цих об'єднань або осіб, які підтримують постійні контакти з ними у зв'язку з характером їх діяльності, та персональні дані не передаються третій особі без згоди суб'єктів персональних даних;

5) необхідна для обґрунтування, задоволення або захисту правової вимоги;

6) необхідна в цілях охорони здоров'я, встановлення медичного діагнозу, для забезпечення піклування чи лікування або надання медичних послуг, функціонування електронної системи охорони здоров'я за умови, що такі дані обробляються медичним працівником або іншою особою закладу охорони здоров'я або фізичної особою - підприємцем, який отримав ліцензію на здійснення господарської діяльності з медичної практики, і її працівниками, на яких покладено обов'язки щодо забезпечення захисту персональних даних і на яких поширюється дія законодавства про лікарську таємницю, працівниками центрального органу виконавчої влади, що реалізує державну політику у сфері державних фінансових гарантій медичного обслуговування населення, на яких покладено обов'язки щодо забезпечення захисту персональних даних;

7) стосується вироків суду, виконання завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом і здійснюється державним органом в межах його повноважень, визначених законом;

8) стосується даних, які були явно оприлюднені суб'єктом персональних даних.

Таким чином, Законом передбачені загальні та особливі вимоги обробки персональних даних.Статтею 6 Закону встановлено загальні вимоги обробки всіх наявних у суспільному житті персональних даних особи, за винятком персональних даних, для яких статтею 7 Закону визначені особливі вимоги обробки.До таких персональних даних належать дані про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров'я чи статевого життя.

Підсумовуючи викладене, категорія обробки персональних даних визначається володільцем бази персональних даних в залежності від вимог до обробки персональних даних, встановлених статтями 6, 7 Закону та які володілець бази персональних даних зобов'язаний дотримуватися при обробці персональних даних.

Контроль за дотриманням законодавства про захист персональних даних і відповідальність

Контроль за дотриманням законодавства про захист персональних даних в межах повноважень, передбачених законом, здійснюють такі органи:

1) Уповноважений з прав людини;

2) суди.

Уповноважений має такі повноваження у сфері захисту персональних даних:

1) одержувати пропозиції, скарги та інші звернення фізичних та юридичних осіб з питань захисту персональних даних і приймати рішення за результатами їх розгляду;

2) проводити на підставі звернень або за власною ініціативою виїзні та невиїзні, планові, позапланові перевірки власників або розпорядників персональних даних в порядку, визначеному уповноваженим, із забезпеченням відповідно до закону доступу в приміщення, де здійснюється обробка персональних даних;

3) отримувати на свою вимогу і мати доступ до будь-якої інформації (документів) власників або розпорядників персональних даних, які необхідні для здійснення контролю за забезпеченням захисту персональних даних, в тому числі доступ до персональних даних, відповідних баз даних або картотек, інформації з обмеженим доступом ;

4) затверджувати нормативно-правові акти у сфері захисту персональних даних у випадках, передбачених Законом;

5) за підсумками перевірки, розгляду звернення видавати обов'язкові для виконання вимоги (приписи) про запобігання або усунення порушень законодавства про захист персональних даних, в тому числі зі зміни, видалення або знищення персональних даних, забезпечення доступу до них, надання або заборони їх надання третій особі, зупинення або припинення обробки персональних даних;

6) давати рекомендації щодо практичного застосування законодавства про захист персональних даних, роз'яснювати права і обов'язки відповідних осіб за зверненням суб'єктів персональних даних, власників або розпорядників персональних даних, структурних підрозділів або відповідальних осіб за організацію роботи щодо захисту персональних даних, інших осіб;

7) взаємодіяти із структурними підрозділами або відповідальними особами, які організовують роботу, пов'язану із захистом персональних даних при їх обробці; оприлюднити інформацію про такі структурні підрозділи і відповідальних осіб;

8) звертатися з пропозиціями до Верховної Ради України, до Президента України, Кабінету Міністрів України, інші державні органи, органи місцевого самоврядування, їх посадових осіб щодо прийняття або внесення змін до нормативно-правових актів з питань захисту персональних даних;

9) надавати за зверненням професійних, самоврядних та інших громадських об'єднань або юридичних осіб висновки щодо проектів кодексів поведінки в сфері захисту персональних даних і змін в них;

10) складати протоколи про притягнення до адміністративної відповідальності і направляти їх до суду у випадках, передбачених законом;

11) інформувати про законодавство з питань захисту персональних даних, проблеми його практичного застосування, права та обов'язки суб'єктів відносин, пов'язаних із персональними даними;

12) здійснювати моніторинг нових практик, тенденцій і технологій захисту персональних даних;

13) організовувати і забезпечувати взаємодію з іноземними суб'єктами відносин, пов'язаних із персональними даними, в тому числі в зв'язку з виконанням Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних та Додаткового протоколу до неї, інших міжнародних договорів України у сфері захисту персональних даних;

14) брати участь у роботі міжнародних організацій з питань захисту персональних даних.

Уповноважений Верховної Ради України з прав людини включає до своєї щорічної доповіді про стан дотримання та захисту прав і свобод людини і громадянина в Україні звіт про стан дотримання законодавства в сфері захисту персональних даних.

За порушення законодавства про захист персональних даних передбачена адміністративна відповідальність:

Стаття 188-39 Кодексу про адміністративні правопорушення. Порушення законодавства у сфері захисту персональних даних

Неповідомлення або несвоєчасне повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних або про зміну відомостей, що підлягають повідомленню згідно з законом, повідомлення неповних або недостовірних відомостей -

тягнуть за собою накладення штрафу на громадян від ста до двохсот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб'єктів підприємницької діяльності - від двохсот до чотирьохсот неоподатковуваних мінімумів доходів громадян.

Невиконання законних вимог (приписів) Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб секретаріату Уповноваженого Верховної Ради України з прав людини щодо запобігання або усунення порушень законодавства про захист персональних даних -

тягнуть за собою накладення штрафу на громадян від двохсот до трьохсот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб'єктів підприємницької діяльності - від трьохсот до однієї тисячі неоподатковуваних мінімумів доходів громадян.

Повторне протягом року вчинення порушення з числа передбачених частинами першою або другою цієї статті, за яке особу вже було піддано адміністративному стягненню, -

тягне за собою накладення штрафу на громадян від трьохсот до п'ятисот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб'єктів підприємницької діяльності - від п'ятисот до двох тисяч неоподатковуваних мінімумів доходів громадян.

Недотримання встановленого законодавством про захист персональних даних порядку захисту персональних даних, що призвело до незаконного доступу до них або порушення прав суб'єкта персональних даних, -

тягне за собою накладення штрафу на громадян від ста до п'ятисот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб'єктів підприємницької діяльності - від трьохсот до однієї тисячі неоподатковуваних мінімумів доходів громадян.

Повторне протягом року вчинення порушення, передбаченого частиною четвертою цієї статті, за яке особу вже було піддано адміністративному стягненню, -

тягне за собою накладення штрафу від однієї тисячі до двох тисяч неоподатковуваних мінімумів доходів громадян.

Справи про адміністративні правопорушення в сфері захисту персональних даних розглядаються згідно зі статтею 221 Кодексу України про адміністративні правопорушення виключно судами.

 

Горячие предложения

Кредиты на карту

более 30 онлайн-сервисов!

Ставка - от 0.01%

Срок - до 180 дней

Сумма - до 20 000 грн.

Документы - паспорт и код

КАК СТАТЬ УСПЕШНЫМ И ВЫСОКООПЛАЧИВАЕМЫМ ЮРИСТОМ?

ПЕРВАЯ В УКРАИНЕ ПРИКЛАДНАЯ КНИГА О СЕКРЕТАХ ПРОФЕССИОНАЛОВ, РЕАЛИЯХ ТРУДА И ЧАСТНОЙ ПРАКТИКИ В СФЕРЕ ПРАВА





Корисні статті з даної тематики

Советы юристов для граждан и бизнеса на ваш e-mail!




© 2006—2019

ООО «Простобанк Консалтинг»

Код ЄДРПОУ: 35454764

Адрес: 02100, г. Киев, ул. Георгия Тороповского, 2, оф. 19

Телефон: +38 063 075 70 92

Email: info@prostobank.com