Юридическая компания ``Сегедин Лекс Консалт`` предоставляет юридические услуги в следующих сферах бизнеса в Украине, в Киеве:

  • Банковское дело
  • Государственные закупки (тендер Украина)
  • Земля и Недвижимость
  • Информационные технологии
  • Медицина и Фармацевтика
  • Образование
  • Производство
  • Реклама и СМИ
  • Ресторанный бизнес
  • Сельское хозяйство
  • Страхование
  • Строительство
  • Торговля
  • Транспорт и Связь
  • Туризм
  • Тяжелая Промышленность
  • Энергетика

РЕГИСТРАЦИЯ БАЗЫ ПЕРСОНАЛЬНЫХ ДАННЫХ:

Согласно закону Украины «О защите персональных данных» база персональных данных (далее — ПД) — это именованная совокупность упорядоченных персональных данных в электронной форме и / или в форме картотек персональных данных. База ПД подлежит государственной регистрации путем внесения соответствующей записи уполномоченным государственным органом по вопросам защиты ПД в Государственный реестр баз ПД. Регистрация баз ПД данных осуществляется по заявочному принципу путем сообщения. Заявление о регистрации базы персональных данных подается владельцем базы ПД в уполномоченный государственный орган по защите ПД.

Вам необходима регистрация баз персональных данных, таких как: «Клиенты», «Рабочие», «Работники», «Основатели», «Контрагенты», «Участники» и другие? Мы поможем вам подготовить (заполнить) заявление о регистрации базы персональных данных, подготовить проект документа — Согласие субъекта персональных данных на обработку его ПД, с учетом специфики вашего бизнеса.

Разъяснение Министерства юстиции Украины по вопросам БД:

Законодательством Украины не установлен и не может быть установлен четкий перечень сведений о физическом лице, которые являются персональными данными, для возможности применения положений Закона к различным ситуациям, в том числе при обработке персональных данных в информационных (автоматизированных) базах и картотеках персональных данных, которые могут возникнуть в будущем, в связи с изменением в технологической, социальной, экономической и других сферах общественной жизни.

Например, согласно статье 24 Кодекса законов про труд  Украины гражданин, при заключении трудового договора, обязан предоставить паспорт или другой документ, удостоверяющий личность, трудовую книжку, а в случаях, предусмотренных законодательством, — также документ об образовании (специальности, квалификации), о состоянии здоровья и другие документы.

В этой связи персональные данные работника, которые содержатся в паспорте или документе, удостоверяющем личность, в трудовой книжке, документе об образовании (специальности, квалификации), документе о состоянии здоровья и других документах, которые он подал при заключении трудового договора, обрабатываются владельцем базы персональных данных на основании статьи 24 Кодекса законов о труде Украины исключительно для осуществления полномочий владельца базы персональных данных в сфере правоотношений, возникших у него с работником на основании трудового договора (контракта).

Таким образом, информация о наемных работников является базой персональных данных, поскольку, личные дела, трудовые книжки, копии паспортов, документов об образовании хранятся и обрабатываются работодателем.

ЧТО ТАКОЕ «БАЗА ПЕРСОНАЛЬНЫХ ДАННЫХ»

Понятие «база персональных данных» определено абзацем вторым статьи 2 Закона, согласно которому база персональных данных — именованная совокупность упорядоченных персональных данных в электронной форме и / или в форме картотек персональных данных.

Учитывая это база персональных данных является упорядоченной совокупности логически связанных данных о физических лицах:

— Хранящихся и обрабатываемых соответствующим программным обеспечением, является базой персональных данных в электронной форме;

— Хранящихся и обрабатываемых на бумажных носителях информации, является базой персональных данных в форме картотек.

Картотекой персональных данных является любой структурированный массив персональных данных, доступное по определенным критериям, независимо от того, является ли такой массив централизованным, децентрализованным или разделенным на функциональных или географических принципах.

Такие данные должны быть структурированы по определенным критериям, касающимся физических лиц, чтобы обеспечить легкий доступ к соответствующим персональным данным.

Стоит отметить, что, исходя из положений статьи 2 Закона, персональные данные одновременно могут быть упорядочены и в электронной форме, и в форме картотек.

ЧТО НЕ ЯВЛЯЕТСЯ БАЗОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ

Физические лица-предприниматели и самозанятые лица самостоятельно определяют обладают ли они базами персональных данных, исходя из сути Закона.

Законодатель распространил действие Закона на все виды деятельности, связанные с созданием баз персональных данных и обработкой персональных данных в этих базах, за исключением такой деятельности, которая осуществляется:

— Физическим лицом — исключительно для непрофессиональных личных или бытовых нужд,

— Журналистом — в связи с исполнением им служебных или профессиональных обязанностей,

— Профессиональным творческим работником — для осуществления творческой деятельности.

Так, при осуществлении своей профессиональной деятельности на адвокатов законодательством не возложена обязанность ведения баз персональных данных клиентов. Но, если адвокаты формируют дела на своих клиентов, они постоянно обновляют и поддерживают в актуальном состоянии, такие дела является базой персональных данных и подлежат государственной регистрации

Нотариусы могут обрабатывать персональные данные своих наемных работников, клиентов в базах персональных данных, однако, документы нотариального делопроизводства и архив нотариуса, определенные в статье 14 Закона Украины «О нотариате» не является базой персональных данных в смысле Закона Украины «О защите персональных данных» и не подлежат государственной регистрации.

Кроме того, в случае, если физические лица — предприниматели заключают договора выполнения работ или оказания услуг с физическими лицами, такие договоры также не является базой персональных данных и не подлежат государственной регистрации.

КТО является владельцем и распорядителей базы персональных данных

Владельцем базы персональных данных согласно абзацу третьему статьи 2 Закона является физическое или юридическое лицо, которому законом или с согласия субъекта персональных данных предоставлено право на обработку этих данных, утверждает цель обработки персональных данных и процедуру их обработки, если иное не определено законом .

Так, если персональные данные обрабатываются юридическим лицом, то владельцем базы персональных данных является юридическое лицо.

Распорядителем базы персональных данных согласно абзацу девятому статьи 2 Закона может быть физическое или юридическое лицо, которому владельцем базы персональных данных или законом предоставлено право обрабатывать эти данные.

Практическим примером могут быть отношения между юридическими лицами и их представительствами, филиалами, отделениями и т.д.. Так, исходя из Закона, эти представительства, филиалы, отделения могут выступать распорядителями баз персональных данных, владельцем которых является юридическое лицо.

Согласно статье 4 Закона владельцем или распорядителем базы персональных данных могут быть предприятия, учреждения и организации всех форм собственности, органы государства власти или органы местного самоуправления, которые обрабатывают персональные данные в соответствии с законом.

Но если владельцем базы персональных данных является орган государственной власти или орган местного самоуправления, то распорядителем базы персональных данных, кроме этих органов, может быть только предприятие государственной или коммунальной формы собственности, принадлежащей к сфере управления этого органа.

ПОРЯДОК РЕГИСТРАЦИИ БАЗЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

Согласно статье 9 Закона база персональных данных подлежит государственной регистрации путем внесения соответствующей записи уполномоченным государственным органом по вопросам защиты персональных данных в Государственный реестр баз персональных данных.

В случае, если юридическое лицо, физическое лицо — предприниматель, самозанятое лицо устанавливает, что она не обрабатывает персональные данные, в такого лица отсутствует обязанность регистрировать базу персональных данных.

Указом Президента Украины «Об утверждении Положения о Государственной службе Украины по вопросам защиты персональных данных» от 6 апреля 2011 определен уполномоченным государственным органом по вопросам защиты персональных данных — Государственной службе Украины по вопросам защиты персональных данных, одной из основных задач которой является регистрация баз персональных данных.

Регистрация базы персональных данных осуществляется по заявочному принципу путем сообщения. Суть заявочного принципа заключается в том, что основным является представление владельцем базы персональных данных заявления о регистрации базы персональных данных, а не получение свидетельства о государственной регистрации базы персональных данных. Следовательно, ключевым и определяющим является факт внесения соответствующей записи Государственной службой Украины по вопросам защиты персональных данных в Государственный реестр баз персональных данных, а не получение владельцем базы персональных данных свидетельства о государственной регистрации, что является следствием указанного факта.

ОФОРМЛЕНИЕ ЗАЯВЛЕНИЯ О РЕГИСТРАЦИИ БАЗЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

Заявление о регистрации базы персональных данных подается владельцем такой базы или уполномоченным представителем в бумажной или электронной форме, требования к заполнению и порядок предоставления которого определены постановлением Кабинета Министров Украины «Об утверждении Положения о Государственном реестре баз персональных данных и порядок его ведения» от 25 мая 2011 года № 616 и приказом Министерства юстиции Украины «Об утверждении форм заявлений о регистрации базы персональных данных и о внесении изменений в сведения Государственного реестра баз персональных данных и порядка их представления» от 8 июля 2011 № 1824 / 5.

В частности заявление о регистрации базы персональных данных, подаваемое в электронной форме, должно соответствовать требованиям Законов Украины «Об электронной цифровой подписи» и «Об электронных документах и ​​электронном документообороте». А именно: такое заявление должно содержать электронную подпись, что является обязательным реквизитом электронного документа и которая накладывается владельцем базы персональных данных для его идентификации Государственной службой Украины по вопросам защиты персональных данных.

Заявление о регистрации базы персональных данных и о внесении изменений в сведения Государственного реестра баз персональных данных, в частности, должно содержать информацию о цели обработки персональных данных с указанием категорий обработки персональных данных.

Согласно части первой статьи 6 Закона цель обработки персональных данных должна быть сформулирована в законах, других нормативно-правовых актах, положениях, учредительных документах, регулирующих деятельность владельца базы персональных данных, и соответствовать законодательству о защите персональных данных.

Учитывая вышеизложенное целью обработки персональных данных является обеспечение владельцем базы персональных данных надлежащего осуществления деятельности, определенной в законах, других нормативно-правовых актах, положениях, учредительных документах, регулирующих его деятельность, и вследствие которой возникает необходимость в совершении любого действия или совокупности действий по обработке персональных данных в базах. Следует обратить внимание на то, что состав и содержание персональных данных должны быть соответствующими и не чрезмерным относительно определенной цели их обработки.

Определение категории обработки персональных данных зависит от требований к обработке персональных данных, содержащихся в базах персональных данных заявителя.

Так, Законом предусмотрены общие и особые требования обработки персональных данных. Статьей 6 Закона установлены общие требования обработки всех имеющихся в общественной жизни персональных данных лица, за исключением персональных данных, для которых статьей 7 Закона определены особые требования обработки. К таким персональным данным относятся данные о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждений, членство в политических партиях и профессиональных союзах, а также данных, касающихся здоровья или половой жизни.

Подытоживая изложенное, категория обработки персональных данных определяется владельцем базы персональных данных в зависимости от требований к обработке персональных данных, установленных статьями 6, 7 Закона и которых владелец базы персональных данных обязан придерживаться при обработке персональных данных.

Дополнительного внимания требует то, что владелец регистрирует базу персональных данных, а именно предоставляет сведения о ней, которые включаются в Государственный реестр баз персональных данных, однако не передает Государственной службе Украины по вопросам защиты персональных данных имеющиеся в ней персональные данные.

Согласно части 4 статьи 9 Закона владелец базы персональных данных обязан уведомить Государственную службу Украины по вопросам защиты персональных данных о каждом изменении сведений, необходимых для регистрации базы персональных данных не позднее чем в течение 10 рабочих дней со дня наступления такого изменения.

Владелец базы персональных данных направляет Государственной службе Украины по вопросам защиты персональных данных заявление о внесении изменений в сведения необходимые для регистрации, по форме установленной приказом Министерства юстиции Украины «Об утверждении форм заявлений о регистрации базы персональных данных и о внесении изменений в сведения Государственного реестра баз персональных данных и порядка их представления »от 8 июля 2011 № 1824 / 5. Владелец обозначает «удалить» те сведения заявления, которые изменились. На замену им путем обозначения «добавить» владелец подает новые сведения.

Государственная служба принимает решение о внесении изменений в сведения, необходимые для регистрации базы персональных данных путем направления владельцу базы персональных данных письмо, в котором сообщает о принятом решении.

Для удаления базы персональных данных из Государственного реестра баз персональных данных, владелец такой базы направляет в Государственную службу защиты данных заявление о внесении изменений в сведения Государственного реестра баз персональных данных и обозначает «изъять» все поля сведений, которые были внесены.

Согласия субъекта на обработку персональных данных и требования к ее оформлению

Обработка персональных данных в соответствии с Законом осуществляется с согласия субъекта персональных данных или в случаях, предусмотренных законами Украины, в порядке, установленном законодательством.

Так, в соответствии с абзацем пятым статьи 2 Закона согласием субъекта персональных данных является любое задокументированное, в частности письменное, добровольное волеизъявление физического лица о предоставлении разрешения на обработку его персональных данных в соответствии с сформулированной целью их обработки.

Обработка данных о физическом лице без его согласия не допускается, кроме случаев, определенных Законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека. В этом случае под Законами понимаются все другие законы, предоставляющие право на обработку персональных данных с указанием четкого перечня таких данных.

Закон также позволяет осуществлять обработку персональных данных без согласия субъекта персональных данных, если обработка персональных данных необходима для защиты его жизненно важных интересов. В таком случае обрабатывать персональные данные без согласия субъекта персональных данных можно до времени, когда получение согласия станет возможным. 

ПОРЯДОК И ОСНОВАНИЯ ДЛЯ УВЕДОМЛЕНИЯ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ О ЕГО ПРАВАХ, КАСАЮЩИХСЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Одной из составляющих процесса обработки персональных данных является их сбор, предусматривающий действия по подбору или упорядочению сведений о физическом лице и внесение их в базу персональных данных.

Так, согласно статье 12 Закона владелец базы персональных данных в течение десяти рабочих дней со дня включения персональных данных в базу персональных данных, что является действием по сбору персональных данных, обязан уведомить субъекта персональных данных, исключительно в письменной форме, о его правах, определенных статьей 8 Закона, цели сбора данных, которая определяется владельцем базы персональных данных, и о лицах, которым будут передаваться персональные данные.

Владелец базы освобождается от выполнения указанной обязанности лишь в случае, если персональные данные собираются из общедоступных источников. Под определением «общедоступные источники информации», в частности, понимаются печатные средства массовой информации, средства вещания, интернет-порталы, публичные выступления и другие источники информации, к которым физические и юридические лица имеют свободный, неограниченный действующим законодательством, доступ.

ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ ФИЗИЧЕСКОГО ЛИЦА-ПРЕДПРИНИМАТЕЛЯ и самозанятые лица

Частью 1 статьи 24 Закона определено, что физические лица-предприниматели, в том числе врачи, имеющие соответствующую лицензию, адвокаты, нотариусы лично обеспечивают защиту персональных данных, которыми они обладают согласно требованиям закона.

КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Осуществление контроля за соблюдением законодательства о защите персональных данных в соответствии со статьей 23 Закона возложена на Государственную службу Украины по вопросам защиты персональных данных.

Так, согласно подпункт 14 пункта 3 Положения о Государственной службе Украины по вопросам защиты персональных данных, утвержденного Указом Президента Украины от 6 апреля 2011 № 390, Государственная служба Украины по вопросам защиты персональных данных осуществляет контроль за соблюдением законодательства о защите персональных данных путем проведения выездных и безвыездных проверок владельцев и (или) распорядителей баз персональных данных.

Также в соответствии с подпунктом 16 пункта 3 настоящего Положения Государственная служба Украины по вопросам защиты персональных данных составляет административные протоколы о выявлении нарушения законодательства в сфере защиты персональных данных.

Но дела об административных правонарушениях в сфере защиты персональных данных рассматриваются согласно статье 221 Кодекса Украины об административных правонарушениях исключительно районными, районными в городе, городскими или районными судами.

Юридическая компания «Сегедин Лекс Консалт». Юридические услуги в Киеве.