Защита персональных данных украина закон

Наш МВА-партнер

Обработка персональных данных физических лиц

В последнее время тема использования и защиты персональных данных физических лиц приобрела особую актуальность. Как известно, не так давно Украина ратифицировала Конвенцию Совета Европы о защите лиц в связи с автоматизированной обработкой персональных данных и Дополнительный протокол к этой Конвенции относительно органов надзора и трансграничных потоков данных.

Выполняя принятые обязательства, с целью адаптации украинского законодательства к международным нормам, 1 июня 2010 года Верховная Рада Украины приняла Закон Украины «О защите персональных данных» № 2297-VI (далее – Закон № 2297-VI). Данный Закон вступил в силу с 1 января 2011 года и практически с этого момента стали формироваться государственные органы, которые уполномочены осуществлять регистрационные процедуры и контроль в данной сфере. В настоящий момент такие полномочия получила Государственная служба Украины по вопросам защиты персональных данных (далее – Служба). К функциям Службы относятся регистрация баз персональных данных, ведение Государственного реестра баз персональных данных, а также контроль в данной сфере. С начала июля 2011 года Служба начала активную деятельность.

Базы персональных данных физических лиц в медицинских и оздоровительных учреждениях, аптеках и салонах красоты, гостиниц, а также других субъектов хозяйствования

В соответствии с действующим законодательством персональными данными является любая информация о физическом лице, которая позволяет его идентифицировать, в частности об: имени, дате и месте рождения, месте работы и проживания, образовании и т.д. Персональными данными также могут быть сведения о: национальности, образовании, семейном положении, религиозности, состоянии здоровья и др. Кроме того, согласно решению Конституционного Суда Украины от 30 октября 1997 № 5-зп к персональным данным также относятся данные об имущественном состоянии и медицинская информация (информация о состоянии здоровья, в т.ч. из истории болезни).

В соответствии с Законом № 2297-VI объектами защиты являются лишь те персональные данные, которые обрабатываются и вносятся в базу персональных данных.

Статьей 2 указанного Закона определено, что база персональных данных — это именуемая совокупность упорядоченных персональных данных в электронном виде и/или в виде картотек персональных данных. Поэтому базы пациентов и медицинские карточки последних в медицинских и оздоровительных учреждениях и у частнопрактикующих врачей, базы и карточки клиентов салонов красоты, аптек и иные подобные клиентские базы других субъектов хозяйствования являются базами персональных данных. Причем, следует отметить, что как минимум одна база персональных данных физических лиц есть у каждого работодателя. Это база наемных работников, которая формируется при оформлении их кадровых дел.

Говоря о базах персональных данных, возникает вопрос о том, из какого минимального количества лиц может состоять База персональных данных. Отвечая на этот вопрос необходимо учитывать два важных момента. Во-первых, база персональных данных – это совокупность сведений о физических лицах. То есть, формально это могут быть сведения даже о двух физических лицах. Во-вторых, персональные данные даже одного физического лица уже должны охраняться. Поэтому специалисты Службы советуют регистрировать Базы персональных данных, начиная с появления первого лица в этой базе. В ближайшее время планируется внести изменения в Закон № 2297-VI, в соответствии с которыми юридические лица и физические лица–предприниматели должны будут регистрировать Базы персональных данных еще до создания такой базы и внесения первых данных.

Баз персональных данных на одном предприятии или в организации может быть несколько. Нередко одни и те же данные дублируются в электронном и бумажном виде (например, картотека). Однако, если цель обработки сведений, которые обрабатываются в электронном виде и в виде картотек, одна и та же, то это и будет одна база данных. Просто способ обработки данных в данном случае смешанный.

Владельцами базы персональных данных являются физические или юридические лица, которым законом или по согласию субъекта персональных данных предоставлено право на обработку этих данных, которое утверждает цель обработки данных в этой базе данных, устанавливает состав этих данных и процедуры их обработки, если иное не установлено Законом.

В соответствии с Законом № 2297-VI все субъекты, которые обрабатывают, вносят в базы или используют персональные данные физических лиц, должны регистрировать такие базы персональных данных в установленном законом порядке.

Процедура регистрации базы персональных данных

Существующая сегодня процедура регистрации баз персональных данных не предполагает передачу в специально уполномоченный государственный орган (Службу) персональных данных физических лиц, которые были переданы последними тем или иным предприятиям, организациям или физическим лицам. Фактически в Службу передаются лишь общие данные о такой базе (картотеке) в частности информация о: цели сбора информации, предполагаемом количестве лиц, которые предоставили (или могут предоставить в будущем) такую информацию, каким образом персональная информация будет храниться, может ли она передаваться третьим лицам и др. Такие сведения указываются в заявлении установленного образца. Форма такого заявления предполагает довольно подробную информацию не только о самой базе, но и о лицах, ответственных за сбор, обработку, хранение и выдачу таких данных.

Зарегистрировать базу персональных данных можно как лично, так и через представителя (документы необходимо подавать непосредственно в Службу, которая находиться в г. Киеве). На первый взгляд, процедура не сложная, однако уже сегодня около 20% заявителей уже получили отказ в регистрации баз персональных данных. Отправка заявлений на регистрацию БПД возможна и по почте, в т.ч. заказным письмом.

Государственный контроль над соблюдением норм законодательства о защите персональных данных

В соответствии с Законом № 2297-VI специально уполномоченным государственным органом по вопросам защиты персональных данных физических лиц является именно Государственная служба Украины по вопросам защиты персональных данных. Указом Президента Украины от 6 апреля 2011 года № 390/2011 было утверждено Положение о Государственной службе Украины по вопросам защиты персональных данных (далее — Положение). В соответствии с Положением деятельность Службы направляется и координируется Кабинетом Министров Украины через министра юстиции Украины. Как уже упоминалось, в число полномочий Службы входит и контроль над соблюдением требований соответствующего законодательства по защите персональных данных.

В составе Службы уже действует Отдел контроля над соблюдением законодательства о защите персональных данных (далее – Отдел контроля). Это подразделение уполномочено проводить плановые и внеплановые проверки предприятий, организаций, физических лиц-предпринимателей и по их результатами давать предписания об устранении нарушений, а также налагать штрафные санкции на нарушителей.

С 1 июля 2012 года полномочия у Отдела контроля существенно расширены, а к нарушителям будут применяться санкции как административного, так и уголовного характера.

Юридическая ответственность за нарушения законодательства в сфере защиты персональных данных

Какое же наказание ожидает нарушителей законодательства о защите персональных данных физических лиц? Ответ на этот вопрос указан в Законе Украины «О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных» от 02.06.2011 г. № 3454-VI. Данный закон установил довольно серьезные санкции административной и уголовной ответственности, которые указаны в новых статьях Кодекса Украины об административных правонарушениях (188-39 и 188-40 КоАП) и в измененной ст. 182 Уголовного кодекса Украины (далее – УК Украины).

13 января 2012 года Верховной Радой Украины был принят новый Закон, которым вступление в силу норм об ответсвенности за нарушение законодательства о защите персональных данных было перенесено на 1 июля 2012 . С этой даты в Украине уже применяются санкции за правонарушения и преступления, связанные с персональными данными физических лиц.

В соответствии со ст. 188-39 КоАП несообщение или несвоевременное сообщение субъекту персональных данных об его правах в связи с включением его персональных данных в базу персональных данных, или цели сбора этих данных и лиц, которым эти данные передаются, – влекут за собой наложение штрафа на должностные лица, граждан-субъектов предпринимательской деятельности – от трехсот до четырехсот (от 5100 грн. до 6800 грн.) необлагаемых минимумов доходов граждан (НМДГ). То есть, физическое лицо должно ОБЯЗАТЕЛЬНО подписать письменное согласие на включение обработку его данных в базу. Причем в медучреждении или салоне это касается не только пациентов (клиентов), но и нанятых сотрудников предприятия, организации или физического лица-предпринимателя, если они трудоустроены после 1 января 2011 года.

Уклонение от государственной регистрации базы персональных данных – влечет за собой наложение штрафа на должностные лица, граждан-субъектов предпринимательской деятельности – от пятисот до тысячи НМДГ (от 8500 до 17000 грн.).

Несоблюдение установленного законодательством порядка защиты персональных данных в базе персональных данных, которое привело к незаконному доступу к ним, влечет за собой наложение штрафа от трехсот до тысячи НМДГ (от 5100 до 17000 грн.).

Статья 182 УК Украины предусматривает уголовную ответственность, в т.ч. санкции в виде ограничения или лишения свободы за незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о личности.

Учитывая столь серьезные санкции субъектам хозяйствования всех форм собственности рекомендуется обязательно зарегистрировать базы персональных данных. Причем следует помнить, что на предприятии может быть несколько таких баз.

Как правильно организовать работу с персональными данными физических лиц на предприятии или в организации

Если на предприятии или в организации собираются и обрабатываются персональные данные физических лиц, то они обязаны соблюдать требования, указанные в Законе № 2297-VI. Для этого необходимо не только зарегистрировать базу персональных данных. Еще до регистрации базы необходимо установить цель обработки входящих в нее данных, назначить ответственное лицо, на которое возложить обязанности относительно обеспечения защиты персональных данных, обеспечить получение в письменной форме согласия от физических лиц на обработку их персональных данных. Пока нормативно четко не установлены требования к таким процедурам, каждый субъект самостоятельно определяет, что именно нужно сделать для того, чтобы привести свои базы персональных данных в соответствие с действующим законодательством.

Статья 24 Закона № 2297-VI определяет, что государство гарантирует защиту персональных данных. Все субъекты правоотношений, связанных с персональными данными, обязаны обеспечить защиту таких данных от незаконной обработки, и также от незаконного доступа к ним. Причем обеспечение защиты таких данных в базе персональных данных полагается на владельца этой базы.

Специалисты Службы для обеспечения защиты на предприятии (в организации) персональных данных рекомендуют оформить ряд документов, в частности таких как: Положение о базах персональных данных, Приказ о создании Базы персональных данных, Приказ о назначении ответственного лица, Должностную инструкцию ответственного лица, Положение о конфиденциальной информации, Соглашение о неразглашении конфиденциальной информации и др.

Если Вам необходима помощь по оформлению и подаче заявления о регистрации Баз персональных данных, разработке пакета необходимых документов по их защите или Вы хотите получить квалифицированную консультацию, – обращайтесь к специалистам ЮК «Центра медицинского и фармацевтического права».

Тел.: +380 50 691 85 76; + 380 (44) 585 06 31 — Центральный офис в Киеве

Если вы не смогли дозвониться, заполните, пожалуйста, форму обратной связи:

ОБРАТИТЕ ВНИМАНИЕ!

ЮК «Центр медицинского и фармацевтического права» НЕ ЯВЛЯЕТСЯ подразделением или представителем Государственной службы Украины по вопросам защиты персональных данных или связанным каким-либо способом с нею лицом! Мы предлагаем платные юридические услуги по правильному оформлению и подаче заявления на регистрацию БПД и консультации. Поэтому мы не берем на себя обязательства по ускорению получения бланка Свидетельства о регистрации БПД!

К СВЕДЕНИЮ!

В 5 номере журнала «Медицинская практика: организационные и правовые аспекты» было напечатано эксклюзивное интервью с Председателем Государственной службы Украины по вопросам защиты персональных данных Алексеем Мервинским, в котором рассказано об основных положениях Закона № 2297-VI и особенностях деятельности органа, который он возглавляет.

В настоящее время Государственная служба в связи с огромным количеством поданных заявок значительно задерживает сроки оформления Свидетельств. Пока еще не выданы Свидетельства по заявкам, поданным в декабре 2011 г.

Защита персональных данных: насколько вы подготовлены

25 мая в Европе вступает в силу Общий регламент по защите персональных данных (GDPR). Как не подставить компанию под удар и проверить, готовы ли вы к нему?

В полном непредвиденных ситуаций мире для достижения долгосрочного успеха компаниям необходимо выстраивать инфраструктуру, обеспечивающую чувствительность и устойчивость к рискам. Соблюдение требований законодательства по защите персональных данных является неотъемлемой частью комплаенса, поскольку способствует своевременному выявлению регуляторных рисков и принятию соответствующих решений по их минимизации.

25 мая 2018 года вступает в силу Общий регламент по защите персональных данных (Регламент, GDPR). Действие Регламента направлено на защиту персональных данных физических лиц и требует принятия дополнительных мер для обеспечения их безопасности.

Многие концепции GDPR основываются на положениях действующей Директивы (Data Protection Directive), поэтому если вы придерживаетесь действующего законодательства, то большинство из подходов останутся неизменными и станут основой для внедрения соответствующих изменений. Но все же Регламент содержит и нововведения, среди которых крупные штрафы за нарушение законодательства.

Итак, с чего начать? В первую очередь необходимо определить, применяется ли Регламент к вашей компании. Затем проанализируйте, какие данные вы обрабатываете, какие системы сбора, хранения и обработки персональных данных вы используете. Исходя из этого, оцените риски и обозначьте для себя ваши проблемные точки (red flags) . Следующий шаг — это разработка и внедрение внутренних политик по защите персональных данных, что включает в себя: разработку внутренних документов, назначение уполномоченного лица и информирование сотрудников о порядке обращения с персональными данными (ознакомление с внутренними процедурами, проведение плановых тренингов, пр.).

Регламент уже вызвал много противоречий и поднял ряд вопросов, и один из самых важных — это, безусловно, какие документы необходимы для соблюдения требований GDPR.

Если вы используете социальные сети и мессенджеры, то уже наверняка видели всплывающие окна с уведомлениями о смене правил компании и запросами на ваше согласие. Но достаточно ли таких уведомлений для выполнения требований нового законодательства?

В соответствии с Регламентом в компании должен быть утвержден ряд документов, регулирующий внутренние процессы в части защиты персональных данных. Политика по защите персональных данных является основным внутренним документом компании. Её наличие является огромным преимуществом, поскольку позволяет сотрудникам вашей компании быть осведомлёнными и надлежащим образом выполнять требования Регламента. Политика регулирует процесс обработки персональных данных и содержит основные элементы такие, как:

  • цель (т.е. для чего предназначена настоящая политика в компании);
  • основные термины (например, персональные данные и их категории);
  • принципы и цель обработки (часть политики, отвечающая на вопрос, в рамках какой деятельности компании осуществляется сбор и обработка персональных данных);
  • ответственные и их обязанности (например, назначение ответственного сотрудника или же передача функционала на аутсорсинг);
  • контроль по соблюдению политики (устанавливает необходимые меры, принимающиеся компанией для соблюдения законодательства).

Не менее значимым является согласие на обработку персональных данных. В соответствии с пунктом 11 статьи 4 Регламента согласие субъекта персональных данных означает любое предоставленное по своему усмотрению, конкретное и однозначное указание желания субъекта персональных данных, посредством которого он или она заявляет или четким утвердительным действием дает согласие на обработку своих персональных данных.

Еще один документ — это уведомление о конфиденциальности, например, сообщение, публикуемое на вашем сайте, которое простыми словами объясняет, каким образом вы обрабатываете персональные данные ваших клиентов и третьих лиц.

Среди остальных обязательных документов Регламент предусматривает: уведомление о конфиденциальности для сотрудников, политика о хранении персональных данных (описывает процесс хранения данных, сроки и каким образом данные будут удалены); реестр персональных данных, уведомление о нарушении и пр.

Законодатель также устанавливает перечень документов, необходимых при определенных обстоятельствах, например, стандартные договорные положения для передачи персональных данных контролеру/процессору (обязательно при условии передачи данных контролеру/процессору за пределы Европейской Экономической Зоны).

Следует обратить внимание и на инструменты, не предусмотренные GDPR, но полезные для эффективного внедрения системы по защите персональных данных в вашей компании. К таким можно отнести: политику по защите персональных данных для сотрудников (аналогично общей политике по защите персональных данных, но основное внимание уделяется сотрудникам), реестр уведомлений о конфиденциальности (целесообразно в случае, если вы публикуете такие уведомления во многих местах и хотите контролировать процесс их размещения/внесения изменений), проектный план по соблюдению требований GDPR (в случае, если вы являетесь крупной компанией и делегируете обязанности аффилированным лицам, подразделениям); чек-листы с целью проведения внутренних проверок на предмет соответствия законодательству, форму отзыва согласия на обработку (в случае если субъект персональных данных отзывает свое согласие) и другие.

На сегодня Регламент является удобным механизмом, который существенно повышает уровень защиты персональных данных физических лиц. Важной особенностью GDPR является то, что он имеет экстерриториальное действие, и не ограничивается Европейским Союзом. Среди украинских компаний, которые могут попасть под действие GDPR, речь идет о компаниях, которые экспортируют свои товары или услуги физическим лицам на территории ЕС, в том числе онлайн-магазины, туроператоры, транспортные компании, а также компании, которые в ходе осуществления своей деятельности получают доступ к персональным данным субъектов в ЕС (IT, финансовые, фармацевтические и медиакомпании). Украинскому бизнесу также стоит принять во внимание новые требования GDPR и его инновационные положения.

Защита персональных данных: добро пожаловать в Украину! (*аналитика юррынка)

Революция или эволюция?

Украинское законодательство о защите персональных данных стало одним из самых обсуждаемых в прошедшем году. Закон «О защите персональных данных» вступил в силу 1 января 2011 года, был недопонят обществом, зато Украина формально выполнила свои международные обязательства. Большого интереса ко всем аспектам данного Закона не было, пока Верховная Рада не ввела отвественность за его нарушение. Это стало причиной паники среди юрлиц и физлиц-предпринимателей, которых планировалось штрафовать за невыполнение обязанности зарегистрировать базы персональных данных (далее — БПД). Учитывая напряженную ситуацию, наказание отсрочили до 1 июля 2012 года, а тема исполнения данного законодательства стала еще популярнее — потенциальные владельцы БПД поняли, что государство с ними не шутит, и принялись тщательно изучать новые нормы.

А вот в Европе такое законодательство уже давно не в новинку, ведь украинский Закон о защите персональных данных был принят именно во исполнение ратифицированной Украиной в 2010 году Конвенции Совета Европы «О защите лиц в связи с автоматизированной обработкой персональных данных». Данные правила действуют в государствах-членах СЕ уже почти три десятка лет, хотя на данный момент и в них готовятся изменения: принята директива с проектом существенных изменений в законодательство, в частности, планируется увеличить штрафы, что вызывает возмущение у бизнеса.

Нельзя сказать, что в Украине личная информация до недавнего времени вообще не имела защиты. Ведь с 1992 года действует Закон «Об информации», в котором был закреплен запрет на сбор ведомостей о лице без его согласия, право лица на ознакомление с информацией, собранной в отношении него. Однако этот Закон понимал персональную информацию весьма узко. В любом случае, новый Закон о защите персональных данных переворота не делает, ведь Личная жизнь и информация о ней защищена Гражданским кодексом также сравнительно давно. А незаконный сбор, хранение, использование и распространение конфиденциальной информации о лице без его согласия вообще являлись уголовно наказуемыми и остаются таковыми. То есть, особый режим информации о физическом лице существовал давно, но сами физлица и органы, призванные права этих лиц охранять, свыклись с мыслью о том, что есть куда более осязаемые и реальные ценности, требующие охраны. Поэтому долгое время механизм защиты действовал только в случаях распространения очень личной информации, которое наносило серьезный моральный ущерб, отмечает управляющий партнер ЮФ Cai&Lenard Константин Пильков. Новый закон «материализовал» эти данные, «впрессовал» их в базы.

«Закон «О защите персональных данных» написан так, что каждый может трактовать его как хочет. Совершенно непонятна цель его принятия, — какие персональные данные, от кого именно и каким образом следует защищать, — категорична в своих суждениях руководитель Национальной правовой палаты, адвокат Анна Самойленко. — Первые разъяснения относительно практического применения данного Закона Минюст умудрился написать спустя полтора года после его принятия — в декабре 2011 года. При этом создается ощущение, что Минюст предоставил данные разъяснения, прочитав Закон по диагонали, и толком не разобравшись, а в чем же суть дела. Разъяснения Министерства юстиции не только не помогли в практическом применении Закона, но и окончательно всех запутали. Для чего необходим Закон «О защите персональных данных», кроме того, чтобы наполнить бюджет, мне совершенно непонятно».

Спокойствие, только спокойствие!

Благодаря новому законодательству, практически любые операции с персональными данными обросли ворохом внутренней документации. На многих предприятиях вообще с удивлением узнали о том, у них обрабатываются персональные данные и существуют БПД. Для контроля за исполнением требований Закона была создана Государственная служба по вопросам защиты персональных данных, основной функцией которой на данный момент является регистрация баз. Но когда большинство БПД будет узаконено, Служба наверняка займется проверками, результатом которых будут штрафные санкции. Этого и опасаются предприниматели. Хотя проверки и штрафы не должны стать массовыми, прогнозируют юристы.

Зато массовой реализации (вплоть до злоупотребления) физлицами права на обращение в Службу с жалобой можно ожидать. Теперь практически любое лицо, к которому обращаются с требованиями или присылают уведомления, может потребовать у Службы проверить, на каком основании приславший уведомление обрабатывает данные адресата. Это может создать некоторые проблемы для компаний.

Представители бизнеса сокрушаются, но, приученные к более жестким выходкам украинских законодателей, большой трагедии в исполнении нового Закона не видят. Наименее подвержены панике компании с иностранным капиталом, которые знают о подобном законодательстве не понаслышке. «Мы считаем наличие и использование такого закона абсолютно нормальным цивилизованным явлением, которое не должно выбивать из колеи ни одну из нормально действующих компаний, — считает гендиректор рекрутинговой компании «Хадсон» Алексей Юрченко. — С нашей точки зрения, практика внедрения Закона является достаточно простой. Некую сумбурность в практику применения этого Закона внесла служба, которая занимается регистрацией персональных данных: возникли определенные нюансы, в первую очередь, с точки зрения интерпретации законодательства Украины. Первоначально Госслужба по регистрации баз данных придерживалась точки зрения, что регистрировать нужно все базы данных, которые не ведутся компаниями по требованиям законодательства. Однако последняя тенденция, когда каждая компания должна зарегистрировать базу данных своих сотрудников выглядит несколько нелепо, поскольку мы не ведем баз данных сотрудников, мы выполняем требование кадрового учета (хранение трудовых книжек, копий документов). Поэтому здесь возникает скорее вопрос трактовки и способов интерпретации данного закона конкретными исполнительными органами на территории Украины.

Насколько мне известно, процедура регистрации персональных данных была достаточно сильно упрощена, и на сегодняшний день для регистрации базы данных заявку можно подать и через Интернет. Поэтому сказать, что компании сталкиваются с большим количеством объективных сложностей, — невозможно. При желании и знании этой информации процесс регистрации не является бюрократически сложным. Да, действительно, госслужбам тяжело обрабатывать большое количество заявок, однако информация подается к рассмотрению, и больших сложностей, тем не менее, я не вижу. Поэтому отсрочку санкций до 1 июля 2012 года мне тяжело назвать принципиальным вопросом.

Компании сейчас обращаются к юристам, в первую очередь, с проблемами интерпретации и практики использования существующего закона и полномочий госоргана по контролю защиты персональных данных. Поскольку четкого понимания того, что попадает под действие Закона, пока нет».

Штрафы за нарушения в закона о защите персональных данных: как защитить себя с 1 июля?

Непросто соблюсти простые правила, если они бессмысленны

Государственная служба по вопросам защиты персональных данных (ГСЗПД) получает с 1 июля 2012 года законодательное подкрепление своим полномочиям в виде весьма значительных административных штрафов. Насколько значительными являются эти санкции можно понять из простого сравнения. За невыполнение законных требований должностного лица налоговой службы полагается штраф в размере от 85 до 170 гривен (статья 1633 КоАП). Уклонение должностного лица от выполнения законных требований прокурора может вылиться в штраф от 34 до 85 гривен (статья 1858 КоАП). За невыполнение же законных требований должностного лица ГСЗПД должностному лицу предприятия или гражданину – СПД грозит штраф в размере от 1700 до 3400 гривен (статья 18840 КоАП с 1 июля 2012 года). Справедливости ради стоит отметить, что суровость санкций за невыполнение требований должностных лиц различных органов в КоАП установлены часто в размере, прямо не связанном с действительной значимостью для общества той сферы, в которой имеет место нарушение (другими словами, ГСЗПД не важнее прокуратуры в 40 раз). Скорее наоборот, чем меньше у определенного органа других рычагов воздействия на нарушителя, тем выше может быть административный штраф, применяемый к нему либо к его должностным лицам. Кстати за невыполнение законных требований должностного лица ГСЗПД вводится санкция только в отношении должностного лица и гражданина-СПД. Это весьма резонно, поскольку рядовые граждане вряд ли смогут примерить на себя роль нарушителя тех норм законодательства о защите персональных данных, за нарушения которых установлена административная ответственность. По этой же причине ниже мы рассматриваем административные санкции за прочие нарушения только в отношении должностных лиц и граждан-СПД.

Оставим невыполнение требований ГСЗПД. Основаниями для возможных санкций, не связанных с реакцией на запросы должностных лиц ГСЗПД остаются:

Нарушение

Санкция статьи 18839 КоАП

Как не стать нарушителем?

Неуведомление либо несвоевременное уведомления субъекта персональных данных (физического лица, чьи данные обрабатываются) о его правах в связи с внесением его персональных данных в базу, о цели сбора этих данных и лицах, которым они передаются

штраф в размере 5100 – 6800 гривен (6800 – 11900 гривен при повторном в течение года нарушении)

Уведомление (содержащее информацию о правах субъекта в связи с обработкой, цели сбора данных, лицах, которым будут передаваться данные) должно быть совершено в письменном виде в течение 10 рабочих дней после включения персональных данных в базу. Уведомление можно не осуществлять если персональные данные собираются из общедоступных источников. Минюст под таковыми понимает печатные СМИ, средства телерадиовещания, Интернет-порталы, публичные выступления и прочие источники информации, к которым лица имеют свободный, неограниченный законодательством доступ (разъяснение от 21.12.2011 г. «Некоторые вопросы практического применения Закона Украины «О защите персональных данных». )

Неуведомление либо несвоевременное уведомления ГСЗПД об изменении ведомостей, которые подаются для государственной регистрации базы персональных данных

штраф в размере 3400 – 6800 гривен (6800 – 11900 гривен при повторном в течение года нарушении)

Уведомление осуществляется на протяжении 10 рабочих дней с даты изменений путем направления в ГСЗПД заявления, форма которого утверждена приказом Минюста № 1824/5 от 8 июля 2011 года.

Уклонение от государственной регистрации баз персональных данных

штраф в размере 8500 – 17000 гривен

По мнению представителей ГСЗПД, об уклонении в условиях действующего законодательства может идти речь, в случае если по результатам проверки будет установлено наличие незарегистрированной базы персональных данных, после чего ГСЗПД издаст предписание об устранении нарушения, которое владелец базы неправомерно не удовлетворит. В этом случае возможно составление уполномоченным должностным лицом Службы протокола об административном нарушении, который далее подлежит направлению в местный суд для принятия решения о привлечении к ответственности.

Несоблюдение установленного законодательством о защите персональных данных порядка защиты персональных данных в базе, которое повлекло незаконный доступ к ним

штраф в размере 5100 – 17000 гривен

Некоторые требования к системе защиты персональных данных уже установлены Типовым порядком обработки персональных данных в базах персональных данных, утвержденным приказом Минюста № 3659/5 от 30.12.2012 г.

Для обработки персональных данных в автоматизированной системе установлены требования авторизации и идентификации при допуске к обработке, обеспечение антивирусной защиты и бесперебойного питания элементов системы. Для обработки в картотеках предусмотрено их хранение в помещениях (шкафах, сейфах) под замком либо с контролем доступа. Стоить учесть, что Типовой порядок обязывает создать условия для защиты персональных данных и не указывает, что если приведенные выше минимальные требования выполнены, то порядок защиты считается соблюденным. В случае несанкционированного доступа к персональным данным нарушение может считаться совершенным ввиду самой реализованной возможности несанкционированного доступа

Как можно заметить, соблюсти условия, которые помогут не стать нарушителем, возможно. Пусть даже те, кому эти правила выполнять, в подавляющем большинстве своем не видят в них смысла и ценности. В условиях действия санкций за нарушения законодательства о защите персональных данных остается полагаться на благоразумие ГСЗПД и Министерства юстиции (которое уже несколько раз, пусть не системно, но разъяснило нормы законодательства, держась ближе к здравому смыслу, нежели к формально-логическому толкованию закона). Далее, надеемся, последуют законодательные изменения, направленные на усиление защиты так называемых уязвимых персональных данных, а не открытой информации о гражданах, которой мы обмениваемся ежедневно безо всяких регистраций, уведомлений и зачитывания друг другу прав.

Европейская правда

Защита персональных данных уже стала частью законодательства каждой развитой страны.

А что Украина? В 2010 году был принят закон «О защите персональных данных». Год спустя президент определил уполномоченный орган по вопросам защиты персональных данных — Государственную службу Украины по вопросам защиты персональных данных.

В 2013 году правительство прислушалось к мнению европейских специалистов. Последние считали украинскую службу по вопросам защиты персональных данных недостаточно независимой. Для устранения этого недостатка ее передали уполномоченному Верховной рады Украины по правам человека.

Использование в качестве государственного регулятора омбудсмена — привычное явление в Европе.

Украина в вопросе защиты персональных данных опирается на международный опыт. Но в государстве пока нет достаточной законодательной базы и системы, способной эффективно работать в современных условиях.

Чтобы обозначить вектор развития и исправить недоработки, стоит обратить внимание на то, как этот вопрос регулируется в других странах.

Защита персональных данных в ЕС

Поскольку Украина берет пример с Европы, хотелось бы подробнее остановиться на развитии системы в ЕС.

Европейское законодательство больше двух десятилетий совершенствует систему защиты персональных данных.

В мае 2018 года вступит в силу новое положение о защите данных. В числе нововведений — запрет на сбор персональных данных компаниями и государством без разрешения со стороны физлица. Исключения допускаются только в том случае, если в стране существуют законодательные положения, которые принуждают к передаче информации.

Вторым пунктом стало «право на забвение».

Это означает, что Facebook, Google, Twitter и другие крупные компании обязаны удалить аккаунт и личные данные пользователя по первому запросу.

Компании не имеют права передавать персональные данные пользователей в страны, где уровень защиты ниже, чем в ЕС.

Также подтверждать разрешение на обработку персональных данных теперь можно не с 13, а с 16 лет. На компании с европейскими представительствами накладывается ряд ограничений.

Им нельзя обмениваться данными с другими подразделениями, если не соблюдаются правила по защите данных. Также нельзя передавать информацию властям США и других стран.

Каждый человек может обратится с жалобой в ведомство в одной из 28 стран ЕС. Все они подконтрольны Европейскому комитету по защите персональных данных.

Нарушения в этой области наказываются в зависимости от серьезности. В том числе и штрафом до 4% годового оборота. С оригинальным текстом документа можно ознакомиться на сайте права Европейского Союза.

Кто еще может служить нам примером

Помимо европейской системы защиты, каждая страна прошла свой путь создания. Например, в Германии первый закон в сфере защиты персональных даных был принят в еще 1970 году в земле Гессен. А спустя семь лет появился первый федеральный закон, защищающий персональные данные немцев.

Его пересмотрели в 1990 году, адаптировав под новые реалии. Главной целью закона стала защита неприкосновенности частной жизни при использовании персональных данных. Уже та редакция закона регламентировала сбор, обработку и использование персональной информации, которые собирало государство и негосударственные учреждения.

Исполнение закона правительство возложило на Федеральную комиссию по защите персональных данных. В каждой из 16 земель приняли собственные законы в этой сфере. Их исполнение регулируется специальными комиссиями. Внедренное в ЕС с 2018 года положение о защите данных распространяется и на Германию.

Служить примером может также Франция. В процессе создания системы

французское общество прошло через попытку тотального контроля над гражданами, но сумело сохранить демократические принципы.

В начале 1970-х годов правительство приняло Национальный информационный план. Его целью стало создание банков данных. Правительство запустило проекты SIRENE и SAFARI, которые выдавали идентификационные коды компаниям и частным лицам. В дальнейшем их планировали использовать, чтобы устанавливать взаимосвязи между различными базами данных.

Французскому обществу подобный подход не понравился, что вызвало волну негативных публикаций в прессе. В итоге правительство свернуло план и занялось созданием системы защиты персональных данных.

С 1974 года действует «Французская национальная комиссия по обработке данных и гражданским свободам». Она стала регулятором системы защиты персональных данных в стране.

В 1978 году правительство приняло закон «Об обработке данных, файлах данных и индивидуальных свободах». В нем, помимо определения ключевых понятий, установлены наказания за нарушения. Правонарушители штрафуются, а также могут получить тюремный срок до 5 лет.

Впоследствии правительство приняло ряд законов для укрепления этой системы. Франция чрезвычайно жестко следит за защитой прав и свобод своих граждан. Нарушения в области персональных данных освещаются в прессе.

Франция — отличный пример страны с развитой системой защиты персональной информации, базирующейся на проработанном законодательстве. Государство активно борется с нарушениями, в том числе штрафует крупные компании.

Еще один пример — Великобритания. Система защиты персональных данных здесь начала формироваться позже, чем во Франции и Германии, профильный закон был принят в 1984 году.

В нем, помимо основных положений, указывались требования к структурам, собирающим и обрабатывающим персональную информацию. Каждый из таких пользователей обязан сообщить об информации, которую собирает, и целях.

Для этого правительство создало специальный Регистр защиты данных. Невыполнение этого требования карается законом.

Каждый житель страны имеет право узнать, владеет ли та или иная организация его персональными данными.

Особенно жестко в Великобритании наказывают за потерю персональных данных. Регулятором в этой сфере выступает Комиссариат по защите информации, а также ряд независимых комиссий.

Система защиты персональных данных в Украине нуждается в реформировании и развитии. У государства нет достаточной законодательной базы и структуры для улучшения ее эффективности.

Свою роль в этом сыграла попытка скопировать идеи западных стран. Последние постепенно выстраивали системы, устраняли слабые места и адаптировались к новым условиям.

Украинская система пока слишком молода и уязвима. Усложняет ситуацию низкая осведомленность граждан, в том числе и правовая.

Решение этих проблем — длительный процесс, который может длиться годами.

Публикации в рубрике «Экспертное мнение» не являются редакционными статьями и отражают исключительно точку зрения автора