У зв’язку з тим, що дуже багато підприємств і фізичних осіб не мають детальної інформації щодо необхідності реєстрації персональної бази даних, прошу Вас скористатися наступним. Реєстрація баз персональних даних в Україні регулюється:
– Законом України від 1.06.2010 р. №2297VI «Про захист персональних даних»;
– Законом України від 2.06.2011 р. №3454 «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних»;
– Постановою Кабінету Міністрів України від 25.05. 2011 р. №616 «Про затвердження Положення про Державний реєстр баз персональних даних та порядок його ведення»;
– Наказом Міністерства юстиції України від 8.07.2011 р. №1823/5 «Про затвердження зразка свідоцтва про державну реєстрацію бази персональних даних»;
– Наказом Міністерства юстиції України від 8.07.2011 р. №1824/5 «Про затвердження форм заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних і порядку їх подання».
Відповідно до ст. 2 Закону №2297, база персональних даних – це іменовано сукупність упорядкованих персональних даних в електронній формі або у формі картотек персональних даних. Прикладом таких баз можуть бути база персональних даних працівників підприємства, а також база даних покупців чи постачальників – фізичних осіб. Зверніть увагу, що мова йде про бази персональних даних саме фізичних осіб.
Власники бази персональних даних – це фізична або юридична особа, якій законом або за згодою суб’єкта персональних даних надано право на обробку цих даних. Власник таких баз даних затверджує мету обробки персональних даних у цій базі, встановлює склад даних і процедуру їх обробки, якщо інше не встановлено законодавством.
Відповідно до ст. 9 Закону №2297 кожна база персональних даних підлягає держреєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Держреєстру баз персональних даних (далі – Держреєстр). Відбувається така реєстрація на підставі заяви за формою, затвердженою Наказом №1824, від власника бази персональних даних. Наразі такий держорган тільки один – Державна служба з питань захисту персональних даних (далі – ДСЗПД) – знаходиться за адресою: 02660, м. Київ, вул. Марини Раскової, б.15.
Як зазначено на сайті ДСЗПД, «заява подається в паперовій формі (бажано, з наданням електронної копії) або у формі електронного документа на електронну пошту відповідно до вимог Законів України «Про електронні документи та електронний документообіг» та «Про електронний цифровий підпис». При цьому, ДСЗПД обробляє заяви у формі електронного документа, підписані тими, хто отримує послуги електронного цифрового підпису (ЕЦП) у акредитованих центрах сертифікації ключів, які надали у розпорядження ДСЗПД надійні засоби ЕЦП. При цьому заявник підписує кожну сторінку заяви і скріплює її печаткою (за наявності).
У жодному нормативному документі не зазначено можливості надання такої заяви поштою. Однак немає і заборони або вимоги подати таку заяву особисто. Тому на практиці в 2011 р. багато власників баз персональних даних відправляли заяви листом з повідомленням про вручення та з описом вкладених до листа документів. В електронному вигляді заяву можна надіслати двома способами:
– створивши заяву на сайті Держреєстру, підписавши її там же електронним ключем (як правило, печаткою) і відправивши звідти в ДСЗПД.
– якщо перший варіант з технічних причин недоступний, можна піти альтернативним, хоча довгим, шляхом: створивши заяву на сайті Держреєстру, зберегти її у себе на комп’ютері, взяти чи завантажити з вашого оператора електронної звітності програму, що дозволяє накладати електронні підписи і печатку на будьякий електронний документ (таке ПЗ в Україні вже існує), підписати з його допомогою заяву і відправити його на поштову електронну адресу register@zpd.gov.ua
Відповідно до ст. 9 Закону №2297 фахівці Держслужби з питань захисту персональних даних повинні: повідомити заявнику не пізніше наступного робочого дня з дня надходження заяви про її отримання; прийняти рішення про реєстрацію (або відмову в реєстрації) бази персональних даних протягом 10 робочих днів з дня надходження заяви. Власнику бази персональних даних видається свідоцтво встановленого Наказом №1823 зразка про реєстрацію бази персональних даних у Держреєстрі.
На жаль, на практиці такі терміни, принаймні в 2011 р., не дотримуються через величезну кількість заяв.
Повідомлення власників баз персональних даних про те, що їх заява отримана і прийнята в обробку, відбувається досить швидко, протягом 2х тижнів. А от щоб отримати свідоцтво, доводиться чекати в кращому разі близько місяця.
Якщо власник бази персональних даних не проведе реєстрацію таких баз у Державному реєстрі, з 1.01. 2012 р. при виявленні цього порушення, відповідно до Закону №3454, це тягне за собою накладення штрафу:
– на звичайних громадян від 300 до 500 н. м. д. г. (5100-8500 грн);
– на посадових осіб юросіб, а також фізосіб СПД від 500 до 1000 н. м. д. г. (8500-17000 грн.).
Крім цього, зверніть увагу на те, що Законом №3454 передбачено ряд адміністративних штрафів і навіть кримінальні відповідальність за інші порушення законодавства щодо захисту баз персональних даних. Наприклад: з 1 січня 2012 р. вступить у силу ст.182 Кримінального кодексу України, яка передбачає такі санкції:
– незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу, або незаконна зміна такої інформації, крім випадків, передбачених іншими статтями цього Кодексу, караються штрафом у розмірі 850017 тис. грн., або виправними роботами на строк до двох років, або арештом на строк до шести місяців, або обмеженням волі на строк до трьох років;
– ті самі дії, вчинені повторно, або якщо вони заподіяли істотну шкоду охоронюваним законом правам, свободам та інтересам особи, караються арештом на строк від трьох до шести місяців, або обмеженням волі на строк від трьох до п’яти років. Або позбавленням волі на той самий строк.
І це ще не повний перелік порушень, відповідно до якого передбачені різні види покарань.
Варто також зазначити, що ці звіти поки що нові, і всі відповідні державні служби з 1.01.2012 р. спочатку будуть напевно виносити попередження і не штрафувати підприємців і юросіб, але краще просто заповнити і надіслати звіт, і уникнути непотрібних попереджень і штрафів.
Підготував Андрій СЕНЮК, депутат районної ради.