Новости

Первого января 2011 года в Украине вступил в силу закон №2297-VI “О защите персональных данных”. Многие слышали об этом событии, некоторые знали об открытии регистрации баз ПД в июле этого года, но совсем немногие из тех, кого касается этот закон, поспешили предпринять какие-то конкретные действия. А тем временем с 1-го января 2012 года вступают в силу изменения в административном и уголовном кодексах Украины, определяющие ответственность за несоблюдение соответствующего закона. Далее мы постараемся ответить на самые главные вопросы:

• кого это касается?
• что нужно делать?
• и что будет, если ничего не сделать?

Кому нужно принимать во внимание закон о защите персональных данных

Любому лицу (физическому или юридическому) Украины, которое владеет какой-либо персональной информацией физических лиц. Закон широко трактует понятие “персональных данных”. В своих разъяснениях служба ЗПД ссылается на Конвенцию Совета Европы и определяет персональные данные как сведения или совокупность сведений о физическом лице, которое может быть конкретно идентифицировано при помощи этих сведений. Таким образом, персональным данными может быть практически любая информация: email, IP-адрес, GPS позиция пользователя. Не говоря уже о таких данных, как ФИО, дата рождения, адрес и телефон. База персональных данных — именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных.

Очевидно, что согласно закону регистрировать свои базы должны владельцы практических любых веб-сайтов, имеющих зарегистрированных пользователей. Сюда же попадают все интернет магазины с их базами покупателей. Но самое интересное, что персональными данными также считается информация о наемных работниках. А значит, зарегистрировать свою базу сотрудников обязана любая украинская компания.

После такого пессимистического начала перейдем к конкретным действиям.

Как обеспечить соблюдение закона о защите персональных данных

Для того, чтобы служба ЗПД не имела к вам вопросов, нужно обеспечить выполнение трех концептуальных пунктов:

1. получить разрешение каждого субъекта персональных данных (например, пользователя) на обработку и использование его ПД, уведомив его о цели сбора этих данных и их обработки, его правах, в связи с включением информации о нем в базу персональных данных, и лиц, которым эти данные передаются;
2. зарегистрировать базу персональных данных в государственном реестре;
3. обеспечить защиту базы персональных данных.

Если говорить о конкретных действиях, то они будут немного различными для разных баз ПД. Выделим два образных случая: веб-сайт и компания, имеющая базу данных сотрудников.

Сайт
Для реализации первого пункта вам потребуется модифицировать пользовательское соглашение. Необходимо добавить информацию о правах пользователя (возможно дать ссылку или процитировать статью 8 закона о защите персональных данных), цели обработки ПД, а также пункт “я разрешаю администрации сайта example.com собирать и обрабатывать мои персональные данные. С правами, возникающими в связи с обработкой моих персональных данных, и целями обработки и использования моих персональных данных ознакомлен”.

Компания
Нужно принять положения, в которых будут изложены права сотрудников, возникающие в связи с обработкой их ПД, а также цели обработки ПД (пример приказа и положения). Также нужно получить письменное разрешение каждого сотрудника на обработку его ПД (пример).

Регистрация баз ПД будет одинаковой для всех случаев и не должна занять много времени. Мы подготовили необходимый инструмент и подробную инструкцию в нашем блоге.

Кроме этого закон обязывает владельца баз ПД обеспечивать их защиту. Однако выбор конкретных мер и способов защиты возлагается целиком на владельца баз ПД и никак не обозначен. Отметим, что существует проект рекомендаций по обеспечению защиты баз ПД, и в будущем этот вопрос будет урегулирован намного точнее.

Какая ответственность предусмотрена за несоблюдение закона о защите персональных данных

Процитируем Кодекс Украины об административных правонарушениях. Необлагаемый минимум доходов граждан составляет 17 гривен.

Административная ответственность:

• неуведомление (несвоевременное уведомление) субъекта персональных данных о его правах в связи с включением его персональных данных в базу, цели сбора данных и лиц, которым эти данные передаются – штраф до 300 НМДГ для граждан и от 300 до 400 – для должностных лиц и СПД;
• неуведомление (несвоевременное уведомление) специально уполномоченного органа по вопросам защиты ПД об изменении ведомостей, которые подаются для государственной регистрации базы персональных данных – штраф от 100 до 200 НМДГ для граждан и от 200 до 400 НМДГ – для должностных лиц и СПД;
• уклонение от регистрации базы персональных данных – штраф от 300 до 500 НМДГ для граждан и от 500 до 1000 НМДГ – для должностных лиц и СПД;
• несоблюдение установленного законодательством порядка защиты базы ПД, которое повлекло к незаконному доступу к ПД – от 300 до 1000 НМДГ;
• невыполнение законных требований должностных лиц специально уполномоченного органа по вопросам защиты ПД – штраф от 100 до 200 НМДГ.

Также существует уголовная ответственность за незаконный сбор, хранение, использование, уничтожение и распространение конфиденциальной информации (согласно ст.182 УК Украины), но мы искренне надеемся, что до этого дело не дойдет.

Составление протоколов о нарушениях в сфере защиты персональных данных возложено на уполномоченный орган – Государственную службу по вопросам защиты персональных данных. Привлекать к ответственности и принимать решение о взыскании штрафа уполномочены местные суды.

Особые случаи

Закон не распространяет свое действие в следующих случаях:

• если база используется физическим лицом для личных непрофессиональных нужд;
• если база используется физическим лицом для бытовых нужд;
• если база используется журналистом для исполнения его должностных обязанностей;
• если база используется творческим работником для осуществления его творческой деятельности.

Поэтому, если вы ведете личный блог и у вас есть база данных подписчиков, то регистрировать ничего не нужно.

Рубрика вопрос-ответ

В: Есть ли какая-то минимальная совокупность сведений, которая считается персональными данными?
О: Нет. Любые сведения о лице, по которым его можно идентифицировать считаются персональными данными

В: Данные хранятся на серверах в США, нужно ли мне регистрировать базу ПД?
О: Да.

В: Какой крайний срок регистрации баз ПД?
О: Такого срока нет, но с 1-го января 2012 года за несоблюдение норм закона о защите ПД вас могут привлечь к административной ответственности. Однако, скорее всего, служба ЭПД не приедет к вам с плановой проверкой, и реальные проблемы могут возникнуть только, если на вас подадут жалобу. В любом случае, базу лучше зарегистрировать как можно скорее, это не так сложно.

В: Считаются ли персональными данными сведения о сотрудниках?
О: Да

В: Нужно ли мне получать разрешение на использование ПД у уже существующих пользователей на моем сайте?
О: Нет, но вам нужно внести изменения в порядок регистрации всех новых пользователей.

Ссылки

www.zpd.gov.ua — государственная служба по вопросам защиты персональных данных
www.zpd.gov.ua/zpd.gov.ua_rus/indexDovidkaInfo.html — справочная информация для граждан и юридических лиц
zakon2.rada.gov.ua/laws/show/2297-17 — ЗУ “О защите персональных данных”
zakon1.rada.gov.ua/cgi-bin/laws/main.cgi?nreg=616-2011-%EF — Положение о Государственном реестре баз персональных данных и порядке его ведения — 25.05.2011 (с 01.07.2011 началась регистрация БПД)
www.zpd.gov.ua/R/perelik/perelik/24.htm — Положение о Государственной службе по вопросам защиты персональных данных
zakon2.rada.gov.ua/laws/show/3454-17 — Усиление ответственности за нарушение законодательства по защите персональных данных
rbpd.informjust.ua — реестр баз персональных данных
taxer.com.ua/blog/23 — инструкция по подаче заявки на регистрацию базы ПД в электронном виде

P.S.:
Хочется отметить, что закон о защите персональных данных не ставит своей целью накрыть всех колпаком. Сами пользовательские данные никто не регистрирует. Регистрируется лишь сам факт существования базы персональных данных, что гарантирует наличие ответственного лица, которое отвечает за сохранность пользовательских данных. В первую очередь это дает гарантию самим пользователям в том, что их данные никуда не утекут и не будут использоваться в противоправных действиях. В связи с этим в качестве персональных данных нужно рассматривать не какую-то совокупность данных, которая ТОЧНО определяет пользователя (например, ФИО + дата рождения), а которая МОЖЕТ помочь идентифицировать пользователя. Например, если пользователь использует адрес name@surname.com, то получившее каким-то образом доступ к этой базе третье лицо сможет связать этот имэйл с конкретным человеком. И никто бы из пользователей этого не хотел.