Хто не сховався, я не винен.... Законодавці з метою посилення захисту персональних даних з 1 січня 2012 року готують нові штрафи за ухилення від державної реєстрації бази персональних даних, та недотримання встановленого законодавством порядку про захист персональних даних.

Готуємо повний пакет по захисту персональних даних, отримуємо згоду працівників та контрагентів!

З 1 січня - адміністративна відповідальність!

Посилено відповідальність за порушення законодавства про захист персональних даних

Нагадаємо, що 1 січня 2011р. набрав чинності Закон України № 2297-VI від 01.06.2010 р. «Про захист персональних даних», яким регулюються правовідносини пов'язані з використанням персональних даних фізичних осіб в Україні, збором даних, поширенням, знищенням, а також порядком доступу до таких даних. Відповідно до ст. 9 Закону № 2297 кожна база персональних даних підлягає держреєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Держреєстру баз персональних даних (далі - Держреєстр).

Верховною Радою України було прийнято Закон України 3454-17 «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних», який набирає чинності з 1 січня 2012 р.

Серед нових «посилених» норм з 1 січня 2012 р. самими «актуальними» стануть наступні наслідки правопорушень:

  • За ухилення від державної реєстрації бази персональних даних (далі – БПД) посадовим особам і громадянам - суб'єктам підприємницької діяльності загрожуватимуть штрафні санкції від п'ятисот до тисячі неоподатковуваних мінімумів доходів громадян (у гривнях – від 8500 грн. до 17000 грн.);
  • За недотримання встановленого законодавством порядку про захист персональних даних - суб'єктам підприємницької діяльності загрожуватимуть штрафні санкції від трьохсот до тисячі неоподатковуваних мінімумів доходів громадян (у гривнях – від 5100 грн. до 17000 грн.);

Більш детально штрафні санкції, згідно Закону № 3454 зведені для зручності у наступну таблицю:

Таблиця штрафів адміністративної відповідальності за порушення законодавства про захист персональних даних.

Вид порушення

Розмір штрафу, в гривнях

Порушення правовідносин між суб'єктами персональних даних і власником бази даних.

Громадяни – від 3400 до 5100; посадові особи, підприємці – від 5100 до 6800

Несвоєчасне повідомлення ГСПЗД про зміни даних, які подають для державної реєстрації БПД.

Громадяни – 1700 до 3400,

посадові особи, підприємці – від 3400 до 6800

Повторне здійснення одного з вищеописаних правопорушень, яке підлягало штрафним санкціям.

Громадяни – від 5100 до 8500,

посадові особи, підприємці – від 6800 до 11900.

Ухилення від державної реєстрації баз персональних даних

Громадяни – від 5100 до 8500, посадові особи, підприємці – від 8500 до 17000

Порушення встановленого законодавством порядку про захист персональних даних у базі персональних даних, що призвело до їх незаконного доступу.

всі суб'єкти діяльності – від 5100 до 17000

Невиконання законних вимог посадових осіб ГСПЗД щодо запобігання порушень законодавства про захист персональних даних.

Посадові особи, підприємці – від 1700 до 3400

Зверніть увагу:

Законом № 3454 передбачена не лише адміністративна, а навіть кримінальна відповідальність за інші порушення законодавства щодо захисту баз персональних даних.

Основною проблемою є те, що можливість покарання у більшості випадків не пов'язується з фактом порушення прав конкретного громадянина – суб'єкта персональных даних. Це означає, що покарання може бути накладено з формального приводу, наприклад, невиконання власником бази ПД будь-яких технічних або організаційних вимог, встановлених уповноваженим органом.

Сьогодні багатьма власниками обговорюється питання реєстрації бази даних як головного та єдиного питання. Склалося враження, що реєстрація бази даних є єдиний крок, який слід здійснити до нового року.

Реєстрація бази даних не єдина проблема для підприємців та юридичних осіб. Реєстрація бази є необхідним, але не єдиним кроком. Про це свідчить сам закон.

За ст. 2 Закону № 2297 база персональних даних – це сукупність упорядкованих персональних даних в електронній формі. Прикладом таких баз можуть бути бази персональних даних працівників підприємства, а також база даних покупців чи постачальників – фізичних осіб.

Бази даних стосуються ЛИШЕ персональних даних саме фізичних осіб. У законі, під «персональными даними» розуміють будь-яку інформацію, яка дозволяє розпізнати особистість, навіть поіменно та за прізвищами з номером телефону, адресою чи національністю. Зокрема до «персональних даних» відносять біометричні дані (вага, зріст, колір волосся і т.і.).

База реєструється не лише підприємствами, але за потреби й підприємцями. Наприклад, підприємець обов'язково реєструє базу даних найманих працівників, базу даних підприємців, з якими здійснює господарську діяльність.

Для того, щоб включити дані в базу, необхідна письмова згода фізичної особи на протязі 10 робочих днів. Також закон встановлює значні обмеження на доступ до таких даних для третіх осіб.

Отже, проаналізував зазначені нормативно-правові положення, підводимо підсумок - Підприємство чи Підприємець повинні:

  • зареєструвати базу даних у державному реєстрі;
  • отримати згоду фізичних осіб – працівників на обробку персональних даних;
  • отримати згоду фізичних осіб – постачальників та покупців на обробку персональних даних (рекомендуємо до всіх існуючих та наступних договорів внести відповідні додатки)
  • розробити пакет мінімально необхідної нормативної документації на виконання вимог законодавства;
  • вжити заходів для захисту персональних даних;
  • формалізувати документообіг Підприємця чи Підприємства.

 

Неможливо не звернути увагу на питання перевірок правопорушень відповідними державними органами. Законом передбачено право вільного доступу уповноваженим державним органом з питань захисту персональних даних, до будь-яких приміщень, де зберігається або здійснюється обробка персональних даних. Для порівняння, у більшості європейських країн відповідний орган не має права безперешкодного доступу до приміщень, де виконується обробка персональних даних.

Очевидні труднощі створює відсутність розмежування персональних даних на «ідентифікуючі» і «особисті». У відповідності з європейськими стандартами, персональні дані розподіляються на дані загального характеру (прізвище, ім'я, по-батькові, дата і місце народження, громадянство, місце проживання) і особисті персональні дані (дані про стан здоров'я – історія хвороби і діагнози, етнічна приналежність, релігійні вподобання; кредитна історія, ідентифікаційні коди).

Таким чином, можна зробити висновок, що орган Держреєстру буде мати достатньо широкі повноваження, оскільки будь-яка інформація про фізичних та юридичних осіб є підґрунтям для реєстрації бази персональних даних. Нагадаємо, що це може бути навіть поіменний список працюючих, наявність звичайних записних книжок, де вказуються ідентифікуючі дані працюючих (імена, мобільні номери телефонів, адреса проживання і т.д.). Отже чи реєструвати власну записну книжку, чи вжити заходів на виконання законодавства, кожен вирішує самостійно.

 

Наша мета при написанні цієї інформації полягає у тому, щоб всім керівникам підприємств та підприємцям, довести до відома наступне про те, що:

  1. є такі зміни в законодавстві;
  2. що передбачаються досить значні штрафні санкції за цими нововведеннями;
  3. зміни прийняті досить давно (майже рік), але лише в серпні була розроблена заява для реєстрації баз;
  4. до теперішнього часу не розроблена інструкція заповнення заяв, яку чекали юристи для роз'яснення нововведень у законодавстві. Але оскільки інструкції немає, але часу обмаль, всі залишаються у здогадках, тому на власний розсуд та ризик реєструють бази. На сьогодні є статистика, що 30-40% заяв повертаються на обробку, оскільки лише через пробні надання заяв вивчається порядок подання заяви. На сьогодні існують значні черги до кабінету, де приймаються заяви (бо в одному державному приміщенні реєструються заяви з всієї України), що унеможливлює процес швидкої та прозорої реєстрації.;
  5. зміни стосуються не лише підприємств, але й підприємців;
  6. щонайменше у кожного є дві бази: одна база даних - зведена інформація про працівників компанії чи підприємця; друга база – база даних про підприємців (покупців чи постачальників) підприємства чи підприємця. Базою вважається кількість – дві та більше осіб (тобто два робітники – вже сукупність, отже - база);
  7.  штрафи будуть нараховуватись не лише за незареєстровану базу, але й за відсутній пакет обов'язкової документації, за вжиті заходи з захисту персональних даних та доступу до них;
  8. за цими незначними на перший погляд введеннями стоїть документообіг компанії, посадові інструкції, різні нормативні документи компанії.

 Таким чином, зрозуміло, що усі фактично зареєстровані суб'єкти діяльності незалежно від форм власності повинні в обов'язковому порядку зареєструвати свої персональні бази даних. В іншому випадку штрафних санкцій – не уникнути!

В зв'язку з зазначеним повідомляємо наступне:

  1. зазначена інформація з метою ознайомлення з новинами у законодавстві;
  2. за реєстрацією баз та підготовкою необхідного пакету юридичної документації вам слід звернутись до юристів, або підготувати самостійно;
  3. захист баз слід обговорити з вашим адміністратором чи програмістом;
  4. послуги з реєстрації бази даних та підготовки пакету документів можуть бути надані Вам нашою компанією за додаткову плату.
  • Вартість реєстрації бази даних за підписом заяв електронними ключами або листом на замовлення через пошту, Замовник самостійно отримує поштою свідоцтво на свою адресу):
    • i. Для юридичних осіб - 700 грн. за першу базу, 350 – за кожну наступну базу;
    • ii. Для фізичних осіб - 500 грн. за першу базу, 250 – за кожну наступну базу;
  • Підготовка пакету документації з захисту персональних даних на підприємстві без структурних підрозділів за наявності у штаті до п'яти працівників – 1000 грн.
  • Підготовка пакету документації з захисту персональних даних на підприємстві без структурних підрозділів за наявності у штаті до десяти працівників – 1200 грн.
  • Підготовка пакету документації по захисту персональних даних на підприємстві з структурними підрозділами - вартість договірна;

Прохання: згоду на реєстрацію надати листом на нашу адресу «ur uslugi@chb.com.ua».

 У листі зазначити кількість баз для реєстрації. На вашу адресу буде надіслана анкета питань, які необхідні для підготовки документації на реєстрацію баз.

Більш детально дивіться на сайті компанії "Аудит. Бухгалтерія. Аутсорсинг"