Защита персональных данных. Регистрация баз данных

Среди предприятий и частных предпринимателей на протяжении нескольких предновогодних недель наблюдается некоторая паника. Вызвана она необходимостью регистрации баз персональных данных. Попробуем разобраться в ситуации.

Что такое база персональных данных?

Еще в 2010 году был принят Закон «О защите персональных данных» от 01.06.2010 г. № 2297-VI. Вступил в силу этот Закон 01.01.2011 г.

Согласно ст. 2 Закона:

Получается, что база персональных данных – это сведения о физических лицах. На каждом предприятии есть работники. Могут они быть и у частного предпринимателя. Более того, почти у каждого субъекта хозяйственной деятельности есть контрагенты – физлица. Следовательно, требования Закона распространяются практически на все предприятия и многих частных предпринимателей.

Статьей 9 Закона предусмотрено, что базы персональных данных (БПД) подлежат обязательной государственной регистрации.

Почему же вокруг вопроса регистрации БПД возник такой ажиотаж?

Дело в том, что с начала 2012 года вступает в силу статья 188-39 Кодекса административных правонарушений, согласно которой за уклонение от регистрации к гражданам и должностным лицам будут применяться «недетские» штрафы: от 300 до 1000 необлагаемых минимумов или от 5 100 до 17 000 грн.

Кроме того, статьей 188 Уголовного кодекса в новой редакции (действует с 01.01.2012) также предусмотрена уголовная ответственность за незаконный сбор, хранение и т. д. конфиденциальной информации о лице.

Как зарегистрировать базы персональных данных?

Кабмином утверждено положение о Госреестре баз персональных данных (постановление от 25.05.2011 №616). Согласно Положению держателем реестра БПД является Государственная служба по вопросам защиты баз персональных данных (ГСЗПД, укр. — ДСЗПД), которая и проводит регистрацию БПД.

Минюст приказом от 08.07.2011 N 1824/5 утвердил форму и порядок подачи заявлений о регистрации БПД. Просмотреть, скачать заявление и порядок можно, например, на сайте ДСЗПД: www.zpd.gov.ua.

Здесь также можно найти контактную информацию регистратора: адрес, телефон канцелярии и горячей линии, электронный адрес.

Как заполнить заявление?

На каждую базу заполняется отдельное заявление и получается отдельное свидетельство. Кратко рассмотрим, что нужно писать в заявлении.

С разделом I сложностей возникать не должно – сюда мы заносим информацию о предприятии или предпринимателе, который подает заявление.

В разделе II указываем:

— наименование БД, например: «База даних працівників підприємства» или «База даних контрагентів – фізичних осіб»;

— местонахождение БД: скорее всего, это будет адрес офиса, или место расположения сервера, если работа с информацией ведется с помощью удаленного доступа.

Раздел III

Здесь нам предлагают определиться с целью обработки ПД, сославшись на нормы законов или внутренних документов, и выбрать категорию обработки ПД.

Из Закона явно не следует, что нужно считать категорией обработки ПД. Это становиться понятным только из примера заполнения заявления, размещенного на сайте ГСЗПД (ДСЗПД). Речь идет о характере персональных данных: общие или чувствительные (подробнее – см. ниже). А целью является обеспечение реализации конкретного вида отношений (перечень возможных видов отношений приведен дальше).

ГСЗПД предлагает пример заполнения данного раздела заявления:

В большинстве случаев обрабатываемые ПД будут носить общий характер. Это и нужно указать в заявлении, а также конкретизировать виды общих данных, опираясь на пример (фамилия, имя, отчество, дата рождения и т. д.).

Виды отношений, которые требуется указать, можно выбрать из следующего перечня:

Для базы данных работников это будут трудовые, административно-правовые, налоговые и отношения в сфере бухгалтерского учета. Нормативно-правовые акты, на которые требует сослаться ГСЗПД, можно указать, например, такие:

— п.п. «б» п. 176.2 Податкового кодексу України (необходимость подачи формы 1ДФ)

— п.п. 4 п. 2 ст. 6 Закону України «Про збір та облік єдиного внеску» (предоставление отчета по ЕСВ)

— наказ Держкомстату та Міноборони від 25.12.2009 №495/656 (ведение личной карточки работника (форма №П-2))

— ст. 9 Закону «Про бухгалтерський облік та фінансову звітність в Україні» (составление первичных документов и регистров бухгалтерского учета).

Для базы данных контрагентов – физических лиц налоговые отношения и отношения в сфере бухгалтерского учета также будут актуальными. При этом можно сослаться на п.п. «б» п. 176.2 НКУ и ст. 9 Закона «О бухгалтерском учете» (см. выше). Необходимость указывать другие виды отношений для этой базы зависит от вида деятельности предприятия или предпринимателя.

В примере заполнения подраздела «Правові підстави обробки ПД» Раздела III заявления указаны три возможных правовых основания обработки ПД:

Можно указать все три. Но при этом нужно иметь в виду следующее:

1. Вопрос обязательности получения письменного согласия от субъекта на обработку его ПД в том случае, если необходимость ведения базы прямо предусмотрена законом (например, для ведения учета и составления отчетности), Законом «О защите ПД» однозначно не урегулирован и является дискуссионным. С одной стороны, п. 2 ст. 11 Закона выделяет такую необходимость как самостоятельное основание для обработки ПД, отличное от получения согласия субъекта. С другой стороны, в соответствии с п. 6 ст. 6 Закона согласие не требуется в случаях, предусмотренных законом, только в интересах национальной безопасности, экономического благосостояния и прав человека. Поэтому, чтобы чувствовать себя уверенно, письменное согласие физлица на обработку ПД лучше получить (в произвольной форме).

2. В качестве законов, которые дают разрешение на обработку ПД, можно указать упомянутые выше, плюс сам Закон «О защите ПД».

3. Третье основание стоит включать в заявление, если правоотношения возникли до 01.01.2011, то есть, до вступления в силу Закона «О защите ПД».

Отметим, что на сайте ГСЗПД приведены одинаковые примеры заполнения Раздела III заявления как для владельцев БПД — юридических лиц, так и для физических лиц – предпринимателей.

В разделе IV указываем информацию о распорядителях БД, если таковые имеются – это физические или юридические лица, которым согласно заключенным договорам предоставлено право обрабатывать БПД.

Далее, подаем заполненное заявление регистратору  ДСЗПД и в течение 10 дней ожидаем решения. В случае положительного исхода – получаем свидетельство о государственной регистрации базы персональных данных.

Если у вас оформлена электронная цифровая подпись (получить ЭЦП во Владимире), заявление о регистрации можно подать в электронной форме.