понеділок, 18 лютого 2013 р.

Бази персональних даних та інформація про фізичних осіб


У бухгалтерії зберігається інформація про клієнтів-фізосіб, а в кадровому відділі - про працівників. Чи поширюються вимоги Закону про захист персональних даних на таку інформацію?
Відповідно до Закону України «Про захист персональних даних» від 01.06.2010 р. № 2297-VI (далі - Закон № 2297) під персональними даними розуміється сукупність відомостей про фізичну особу, яка ідентифікована
або може бути ідентифікована. У свою чергу, база персональних даних - це сукупність упорядкованих персональних даних в електронній формі та / або у формі картотек персональних даних.
Таким чином, інформація про клієнтів - фізичних особах, а також про працівників є такою, на яку поширюються вимоги Закону № 2297. Крім того, спеціалісти Державної служби з захисту персональних даних (http://www.zpd.gov.ua) вважають, що вимоги Закону № 2297 поширюються також на засновників підприємства - фізичних осіб та на керівників підприємств-контрагентів, які підписують господарські договори.
У відповідності зі ст. 6 Закону № 2297 первинними джерелами відомостей про фізичну особу є: видані на її ім'я документи, підписані нею документи, відомості, які особа надає про себе.
Обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб'єкта персональних даних або у випадках, передбачених законами України у порядку, встановленому законодавством.
Не допускається обробка даних про фізичну особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
У відповідності зі ст. 9 Закону № 2297 база персональних даних підлягає державній реєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних. Реєстрація баз персональних даних здійснюється за заявочним принципом шляхом повідомлення.
Заява про реєстрацію бази персональних даних подається власником бази уповноваженому державному органу з питань захисту персональних даних.
Заява повинна містити:
- Звернення про внесення бази персональних даних до Державного реєстру баз персональних даних;
- Інформацію про власника бази персональних даних;
- Інформацію про найменування та місцезнаходження бази даних;
- Інформацію про цілі обробки персональних даних у базі персональних даних, сформульовану відповідно до вимог ст. 6 і> 7 Закону № 2297;
- Інформацію про інших розпорядниках бази персональних даних;
- Підтвердження зобов'язання щодо виконання умов захисту персональних даних, встановлених законодавством про захист інформації.
Заяву можна відправити рекомендованим листом за адресою державного органу із захисту персональних даних або в електронному вигляді за умови, що підприємство (підприємець) придбало в установленому порядку сертифікати електронних цифрових підписів.
Підставою для обробки персональних даних може бути (ст. 11 Закону № 2297):
- Згода суб'єкта персональних даних на обробку його персональних даних. Суб'єкт персональних даних має право при наданні згоди внести застереження стосовно обмеження права на обробку своїх персональних даних;
- Дозвіл на обробку персональних даних, надане власнику бази персональних даних відповідно до закону виключно для здійснення його повноважень.
У відповідності зі ст. 12 Закону № 2297 суб'єкт персональних даних протягом десяти робочих днів з дня включення його персональних даних до бази персональних даних повідомляється про свої права, визначених цим Законом, про мету збору даних та осіб, яким передаються його персональні дані, виключно у письмовій формі. При цьому повідомлення не здійснюється, якщо персональні дані збираються із загальнодоступних джерел.
Поширення персональних даних передбачає дії щодо передачі відомостей про фізичну особу з баз персональних даних за згодою суб'єкта персональних даних. При цьому поширення персональних даних без згоди суб'єкта персональних даних або уповноваженої ним особи допускається у випадках, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини. Виконання вимог встановленого режиму захисту персональних даних забезпечує сторона, що поширює ці дані (ст. 14 Закону № 2297).
Також слід відзначити той факт, що Законом України «Про внесення змін до деяких законодавчих актів в частині посилення відповідальності за порушення законодавства про захист персональних даних» від 02.06.2011 р. № 3454-VI, який набирає чинності з 01.01.2012 р, вводиться адміністративна відповідальність, зокрема, за.:
- Ухилення від державної реєстрації баз персональних даних - у розмірі від 500 до 1000 неоподатковуваних мінімумів доходів громадян (для посадових осіб підприємств та громадян - суб'єктів підприємницької діяльності);
- Неповідомлення або несвоєчасне повідомлення суб'єкта персональних даних про його права у зв'язку із внесенням його персональних даних у базу персональних даних, про мету збору цих даних та осіб, яким ці дані передаються, - від 300 до 400 неоподатковуваних мінімумів доходів громадян (для посадових осіб підприємств та громадян - суб'єктів підприємницької діяльності).
Ольга Буркун
Аудитор АФ «Курсор-Аудит»

Немає коментарів:

Дописати коментар