Среди предприятий и частных предпринимателей на протяжении нескольких предновогодних недель наблюдается некоторая паника. Вызвана она необходимостью регистрации баз персональных данных. Попробуем разобраться в ситуации.
Что такое база персональных данных?
Еще в 2010 году был принят Закон «О защите персональных данных» от 01.06.2010 г. № 2297-VI. Вступил в силу этот Закон 01.01.2011 г.
Согласно ст. 2 Закона:
Получается, что база персональных данных – это сведения о физических лицах. На каждом предприятии есть работники. Могут они быть и у частного предпринимателя. Более того, почти у каждого субъекта хозяйственной деятельности есть контрагенты – физлица. Следовательно, требования Закона распространяются практически на все предприятия и многих частных предпринимателей.
Статьей 9 Закона предусмотрено, что базы персональных данных (БПД) подлежат обязательной государственной регистрации.
Почему же вокруг вопроса регистрации БПД возник такой ажиотаж?
Дело в том, что с начала 2012 года вступает в силу статья 188-39 Кодекса административных правонарушений, согласно которой за уклонение от регистрации к гражданам и должностным лицам будут применяться «недетские» штрафы: от 300 до 1000 необлагаемых минимумов или от 5 100 до 17 000 грн.
Кроме того, статьей 188 Уголовного кодекса в новой редакции (действует с 01.01.2012) также предусмотрена уголовная ответственность за незаконный сбор, хранение и т. д. конфиденциальной информации о лице.
Как зарегистрировать базы персональных данных?
Кабмином утверждено положение о Госреестре баз персональных данных (постановление от 25.05.2011 №616). Согласно Положению держателем реестра БПД является Государственная служба по вопросам защиты баз персональных данных (ГСЗПД, укр. — ДСЗПД), которая и проводит регистрацию БПД.
Минюст приказом от 08.07.2011 N 1824/5 утвердил форму и порядок подачи заявлений о регистрации БПД. Просмотреть, скачать заявление и порядок можно, например, на сайте ДСЗПД: www.zpd.gov.ua.
Здесь также можно найти контактную информацию регистратора: адрес, телефон канцелярии и горячей линии, электронный адрес.
Как заполнить заявление?
На каждую базу заполняется отдельное заявление и получается отдельное свидетельство. Кратко рассмотрим, что нужно писать в заявлении.
С разделом I сложностей возникать не должно – сюда мы заносим информацию о предприятии или предпринимателе, который подает заявление.
В разделе II указываем:
— наименование БД, например: «База даних працівників підприємства» или «База даних контрагентів – фізичних осіб»;
— местонахождение БД: скорее всего, это будет адрес офиса, или место расположения сервера, если работа с информацией ведется с помощью удаленного доступа.
Раздел III
Здесь нам предлагают определиться с целью обработки ПД, сославшись на нормы законов или внутренних документов, и выбрать категорию обработки ПД.
Из Закона явно не следует, что нужно считать категорией обработки ПД. Это становиться понятным только из примера заполнения заявления, размещенного на сайте ГСЗПД (ДСЗПД). Речь идет о характере персональных данных: общие или чувствительные (подробнее – см. ниже). А целью является обеспечение реализации конкретного вида отношений (перечень возможных видов отношений приведен дальше).
ГСЗПД предлагает пример заполнения данного раздела заявления:
В большинстве случаев обрабатываемые ПД будут носить общий характер. Это и нужно указать в заявлении, а также конкретизировать виды общих данных, опираясь на пример (фамилия, имя, отчество, дата рождения и т. д.).
Виды отношений, которые требуется указать, можно выбрать из следующего перечня:
Для базы данных работников это будут трудовые, административно-правовые, налоговые и отношения в сфере бухгалтерского учета. Нормативно-правовые акты, на которые требует сослаться ГСЗПД, можно указать, например, такие:
— п.п. «б» п. 176.2 Податкового кодексу України (необходимость подачи формы 1ДФ)
— п.п. 4 п. 2 ст. 6 Закону України «Про збір та облік єдиного внеску» (предоставление отчета по ЕСВ)
— наказ Держкомстату та Міноборони від 25.12.2009 №495/656 (ведение личной карточки работника (форма №П-2))
— ст. 9 Закону «Про бухгалтерський облік та фінансову звітність в Україні» (составление первичных документов и регистров бухгалтерского учета).
Для базы данных контрагентов – физических лиц налоговые отношения и отношения в сфере бухгалтерского учета также будут актуальными. При этом можно сослаться на п.п. «б» п. 176.2 НКУ и ст. 9 Закона «О бухгалтерском учете» (см. выше). Необходимость указывать другие виды отношений для этой базы зависит от вида деятельности предприятия или предпринимателя.
В примере заполнения подраздела «Правові підстави обробки ПД» Раздела III заявления указаны три возможных правовых основания обработки ПД:
Можно указать все три. Но при этом нужно иметь в виду следующее:
1. Вопрос обязательности получения письменного согласия от субъекта на обработку его ПД в том случае, если необходимость ведения базы прямо предусмотрена законом (например, для ведения учета и составления отчетности), Законом «О защите ПД» однозначно не урегулирован и является дискуссионным. С одной стороны, п. 2 ст. 11 Закона выделяет такую необходимость как самостоятельное основание для обработки ПД, отличное от получения согласия субъекта. С другой стороны, в соответствии с п. 6 ст. 6 Закона согласие не требуется в случаях, предусмотренных законом, только в интересах национальной безопасности, экономического благосостояния и прав человека. Поэтому, чтобы чувствовать себя уверенно, письменное согласие физлица на обработку ПД лучше получить (в произвольной форме).
2. В качестве законов, которые дают разрешение на обработку ПД, можно указать упомянутые выше, плюс сам Закон «О защите ПД».
3. Третье основание стоит включать в заявление, если правоотношения возникли до 01.01.2011, то есть, до вступления в силу Закона «О защите ПД».
Отметим, что на сайте ГСЗПД приведены одинаковые примеры заполнения Раздела III заявления как для владельцев БПД — юридических лиц, так и для физических лиц – предпринимателей.
В разделе IV указываем информацию о распорядителях БД, если таковые имеются – это физические или юридические лица, которым согласно заключенным договорам предоставлено право обрабатывать БПД.
Далее, подаем заполненное заявление регистратору ДСЗПД и в течение 10 дней ожидаем решения. В случае положительного исхода – получаем свидетельство о государственной регистрации базы персональных данных.
Если у вас оформлена электронная цифровая подпись (получить ЭЦП во Владимире), заявление о регистрации можно подать в электронной форме.
Интересно, а на законных ли основаниях все службы такси, например, города Киева могут всех спамить своими смс-рассылками ежедневными и передавать телефоны клиентов друг другу? По сути это нарушение закона о защите персональных данных…
Татьяна: Вопрос, конечно, интересный. С одной стороны, определение персональных данных в Законе очень обтекаемое. Но похоже, что номер телефона можно отнести к персональным данным. Если есть большое желание проверить, можно написать жалобу на предприятие или предпринимателя, которые предоставляют услуги такси, в госслужбу защиты персональных данных и посмотреть, что из этого выйдет 🙂
Спасибо, Константин, за идею! Если на данном сайте появится раздел с подобными «реальными» проверками, буду с удовольствием следить за результатами таких эксперементов 🙂