Захист персональних даних: важливі роз’яснення щодо застосування Закону України «Про захист персональних даних» від юристів та органів державної влади

Предметом правового регулювання Закону є правовідносини, пов’язані із захистом персональних даних під час їх обробки.

Визначення поняття персональні дані наводиться в абзаці восьмому статті 2 Закону, відповідно до якого персональними даними є відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Але законодавством України не встановлено і не може бути встановлено чіткого переліку відомостей про фізичну особу, які є персональними даними, задля можливості застосування положень Закону до різноманітних ситуацій, в тому числі при обробці персональних даних в інформаційних (автоматизованих) базах та картотеках персональних даних, що можуть виникнути у майбутньому, у зв’язку зі зміною в технологічній, соціальній, економічній та інших сферах суспільного життя.

Поняття «база персональних даних»

Це поняття визначене абзацом другим статті 2 Закону, відповідно до якого база персональних даних – іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних.

Такі дані мають бути структуровані за визначеними критеріями, що стосуються фізичних осіб, щоб забезпечити легкий доступ до відповідних персональних даних.

Варто зазначити, що, виходячи з положень статті 2 Закону, персональні дані одночасно можуть бути упорядковані і в електронній формі, і в формі картотек.

Фізичні особи-підприємці та самозайняті особи самостійно визначають чи володіють вони базами персональних даних у сенсі Закону.

Законодавець поширив дію Закону на всі види діяльності, пов’язані зі створенням баз персональних даних та обробкою персональних даних у цих базах, за винятком такої діяльності, яка здійснюється:

— фізичною особою — виключно для непрофесійних особистих чи побутових потреб,

— журналістом — у зв’язку з виконанням ним службових чи професійних обов’язків,

— професійним творчим працівником — для здійснення творчої діяльності.

Так, під час здійснення своєї професійної діяльності на адвокатів законодавством не покладено обов’язок ведення баз персональних даних клієнтів. Але, якщо адвокати формують справи на своїх клієнтів, які вони постійно оновлюють та підтримують в актуальному стані, такі справи є базою персональних даних та підлягають державній реєстрації.

Нотаріуси можуть обробляти персональні дані своїх найманих працівників, клієнтів у базах персональних даних, однак, документи нотаріального діловодства та архів нотаріуса, визначені у статті 14 Закону України «Про нотаріат» не є базою персональних даних у сенсі Закону України «Про захист персональних даних» та не підлягають державній реєстрації.

Крім того, у випадку, якщо фізичні особи — підприємці укладають договори виконання робіт або надання послуг з фізичними особами, такі договори також не є базою персональних даних та не підлягають державній реєстрації.

Реєстрація баз персональних даних

Відповідно до статті 9 Закону база персональних даних підлягає державній реєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних.

У випадку, якщо юридична особа, фізична особа — підприємець, самозайнята особа встановлює, що вона не обробляє персональні дані, в такої особи відсутній обов’язок реєструвати базу персональних даних.

Указом Президента України «Про затвердження Положення про Державну службу України з питань захисту персональних даних» від 6 квітня 2011 року визначено уповноваженим державним органом з питань захисту персональних даних – Державну службу України з питань захисту персональних даних, одним із основних завдань якої є реєстрація баз персональних даних.

Реєстрація бази персональних даних здійснюється за заявочним принципом шляхом повідомлення. Суть заявочного принципу полягає в тому, що основним є подання володільцем бази персональних даних заяви про реєстрацію бази персональних даних, а не отримання свідоцтва про державну реєстрацію бази персональних даних. Отже, ключовим та визначальним є факт внесення відповідного запису Державною службою України з питань захисту персональних даних до Державного реєстру баз персональних даних, а не отримання володільцем бази персональних даних свідоцтва про державну реєстрацію, що є наслідком зазначеного факту.

Заява про реєстрацію бази персональних даних подається володільцем такої бази або уповноваженим представником в паперовій або електронній формі, вимоги до заповнення та порядок подання якої визначені постановою Кабінету Міністрів України «Про затвердження Положення про Державний реєстр баз персональних даних та порядок його ведення» від 25 травня 2011 року № 616 та наказом Міністерства юстиції України «Про затвердження форм заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних і порядку їх подання» від 8 липня 2011 року № 1824/5. 

Зокрема заява про реєстрацію бази персональних даних, що подається в електронній формі, повинна відповідати вимогам Законів України «Про електронний цифровий підпис» та «Про електронні документи та електронний документообіг». А саме: така заява повинна містити електронний підпис, що є обов’язковим реквізитом електронного документа та який накладається володільцем бази персональних даних для його ідентифікації Державною службою України з питань захисту персональних даних.

Заява про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних, зокрема, повинна містити інформацію про мету обробки персональних даних з визначенням категорії обробки персональних даних.

Відповідно до частини першої статті 6 Закону мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих документах, які регулюють діяльність володільця бази персональних даних, та відповідати законодавству про захист персональних даних.

 Слід звернути увагу на те, що склад та зміст персональних даних мають бути відповідними та не надмірним стосовно визначеної мети їх обробки.

Визначення категорії обробки персональних даних залежить від вимог до обробки персональних даних, які містяться в базах персональних даних заявника.

Додаткової уваги потребує те, що володілець реєструє базу персональних даних, а саме надає відомості про неї, які включаються до Державного реєстру баз персональних даних, однак не передає Державній службі України з питань захисту персональних даних наявні в ній персональні дані.

Згідно частини 4 статті 9 Закону володілець бази персональних даних зобов’язаний повідомляти Державну службу України з питань захисту персональних даних про кожну зміну відомостей, необхідних для реєстрації бази персональних даних не пізніш ніж протягом 10 робочих днів з дня настання такої зміни.

Обробка персональних даних відповідно до частини 5 статті 6 Закону здійснюється за згодою суб’єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством.

Обробка даних про фізичну особу без її згоди не допускається, крім випадків, визначених Законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини. В цьому випадку під Законами розуміються всі інші Закони, які надають право на обробку персональних даних із зазначенням чіткого переліку таких даних.

Закон також дозволяє здійснювати обробку персональних даних без згоди субєкта персональних даних, якщо обробка персональних даних є необхідною для захисту його життєво важливих інтересів. У такому випадку обробляти персональні дані без згоди суб’єкта персональних даних можна до часу, коли отримання згоди стане можливим.

Згідно з вимогами Закону згода суб’єкта персональних даних на обробку персональних даних повинна містити інформацію щодо:

Однією зі складових процесу обробки персональних даних є їх збирання, що передбачає дії з підбору чи впорядкування відомостей про фізичну особу та внесення їх до бази персональних даних.

Так, згідно зі статтею 12 Закону володілець бази персональних даних протягом десяти робочих днів з дня включення персональних даних до бази персональних даних, що є дією зі збирання персональних даних, зобов’язаний повідомити суб’єкта персональних даних, виключно в письмовій формі , про його права, що визначені статтею 8 Закону, мету збору даних, яка визначається володільцем бази персональних даних, та осіб, яким будуть передаватися персональні дані.

Володілець бази звільняється від виконання вказаного обов’язку лише у разі, якщо персональні дані збираються ним із загальнодоступних джерел. Під визначенням «загальнодоступні джерела інформації», зокрема, розуміються друковані засоби масової інформації, засоби телерадіомовлення, інтернет-портали, публічні виступи та інші джерела інформації, до яких фізичні та юридичні особи мають вільний, необмежений чинним законодавством, доступ.

Частиною 1 статті 24 Закону визначено, що фізичні особи-підприємці, у тому числі лікарі, які мають відповідну ліцензію, адвокати, нотаріуси особисто забезпечують захист персональних даних, якими вони володіють згідно з вимогами закону.

Здійснення контролю за додержанням законодавства про захист персональних даних відповідно до статті 23 Закону покладено на Державну службу України з питань захисту персональних даних.

Так, відповідно до підпункт 14 пункту 3 Положення про Державну службу України з питань захисту персональних даних, затвердженого Указом Президента України від 6 квітня 2011 року № 390, Державна служба України з питань захисту персональних даних здійснює контроль за додержанням законодавства про захист персональних даних шляхом проведення виїзних та безвиїзних перевірок володільців та (або) розпорядників баз персональних даних.

Також відповідно до підпункту 16 пункту 3 цього Положення Державна служба України з питань захисту персональних даних складає адміністративні протоколи про виявленні порушення законодавства у сфері захисту персональних даних.

З метою забезпечення виконання громадянами, органами державної влади та місцевого самоврядування, підприємствами, установами організаціями незалежно від форми власності вимог Закону 2 червня 2011 року Верховною Радою України було прийнято Закон України «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних», який набирає чинності з 1 січня 2012 року.

Відповідно до цього закону громадяни, посадові особи, громадяни – суб’єкти підприємницької діяльності притягуються до адміністративної відповідальності за вчинення таких правопорушень:

1) неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних про його права у зв’язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються;

2) неповідомлення або несвоєчасне повідомлення спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних про зміну відомостей, що подаються для державної реєстрації бази персональних даних;

3) ухилення від державної реєстрації бази персональних даних;

4) недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них;

5) невиконання законних вимог посадових осіб спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних щодо усунення порушень законодавства про захист персональних даних.

За порушення недоторканості приватного життя, а саме за незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації винна особа притягується до кримінальної відповідальності.

Законодавство про захист персональних даних не містить норм щодо автоматичної відповідальності суб‘єктів, які до 1 січня 2012 року не зареєстрували бази персональних даних.

Порушення законодавства про захист персональних даних можуть бути виявлені виключно у ході перевірки з боку Державної служби України з питань захисту персональних даних. Жоден інший правоохоронний чи податковий орган не має право здійснювати відповідні дії у сфері захисту персональних даних.

 Також, за інформацією отриманою від директора Департаменту взаємодії з органами влади Міністерства юстиції Олени Зеркаль, якщо в ході перевірки будуть виявлені порушення законодавства, Державна служба виноситиме припис про їх усунення у визначений термін. Лише у разі не виконання вимог припису, або у разі виявлення серйозних порушень Державна служба складатиме адміністративний протокол, який направлятиметься до суду.

Законодавством не встановлено обмежень щодо подачі заяв про реєстрацію бази даних до 1 січня 2012 року

Також, представник Мін’юсту акцентувала увагу учасників заходу на тому, що реєструвати бази можна і після 1січня 2012 року, оскільки законом не встановлено обмежень на подачу заяв про реєстрацію бази. Подання бази на реєстрацію після 1 січня 2012 року не є підставою для накладання штрафу.

Якщо стаття була корисна - ставте лайк та робіть репост:
Facebook
Twitter
Visit Us

 
Читайте також:  Юридична консультація 53 Внесення змін до Конституції щодо децентралізації

Мені приємно, що Ви дочитали статтю до самого кінця. Прошу зволікти ще одну секундочку та оцінити корисніть інформації. Завчасно дякую!

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезды (1 голосів, середняя оцінка: 5,00 из 5)

Якщо у Вас є невелике питання по суті статті - залишайте його у коментарях, та отримуйте компетентну відповідь.
Якщо Вам необхідна моя повноцінна юридична допомога у сімейних, житлових, спадкових, договірних, інших цивільних питаннях (як правило в межах м. Києва та Київської області) ДЗВОНІТЬ мені у робочі дні з 9-00 до 19-00 за телефонами: +38 096 961 51 55 або +38 095 431 19 91. 

Ваш комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

© 2017 Юрист-блог // Дизайн и поддержка: GoodwinPress.ru

Запрошую приєднатися до Юрист-блогу у соцмережах: