Регистрируем базы персональных данных!

7 декабря 2011

Обращаем внимание на тот факт, что с 01.01.2012 вступят в силу поправки к КоАП, в соответствии с которыми за уклонение от государственной регистрации базы персональных данных к гражданам и должностным лицам применяются штрафы в размере от 5100 грн. до 17000 грн. Кроме того, с указанной даты будет действовать также уголовная ответственность за незаконные операции с конфиденциальной информацией о лицах (ст.182 Уголовного Кодекса).

Все началось с принятия Закона №2297, который регулирует отношения, связанные с защитой персональных данных во время их сбора, обработки и хранения. Исходя из положений данного Закона, практически все субъекты хозяйствования владеют базами персональных данных (база сотрудников, база контрагентов-физлиц). В соответствии со ст.9 Закона №2297 эти базы персональных данных подлежат государственной регистрации.

Регистрация баз персональных данных в Украине регулируется:

  • Постановлением КМУ №616 от 25.05.2011 «Об утверждении Положения о Государственном реестре баз персональных данных и порядке его ведения»;
  • Законом №2297-VI от 01.06.2010 «О защите персональных данных»;
  • Законом №3454 от 02.06.2011 «О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных»;
  • Приказом Минюста №1823/5 от 08.07.2011 «Об утверждении образца свидетельства о государственной регистрации базы персональных данных»;
  • Приказом Минюста №1824/5 от 08.07.2011 «Об утверждении форм заявлений о регистрации базы персональных данных и о внесении изменений в сведения Государственного реестра баз персональных данных и порядке их предоставления».

Закон №2297 направлен на защиту персональных данных, под которыми понимаются сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано.

Согласно ст.2 Закона №2297 база персональных данных – это поименованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных. Примером таких баз могу быть база персональных данных работников предприятия, а также база данных покупателей или поставщиков – физических лиц. Обратите внимание, что речь идет о базах персональных данных именно физических лиц.

В свою очередь, владелец базы персональных данных – это физическое или юридическое лицо, которому законом (или при согласии субъекта персональных данных) дано право на обработку этих данных. Владелец таких баз данных утверждает цель обработки персональных данных в этой базе, устанавливает состав данных и процедуру их обработки, если другое не установлено законодательством.

Согласно ст.9 Закона №2297 каждая база персональных данных подлежит регистрации путем внесения соответствующей записи уполномоченным государственным органом по вопросам защиты персональных данных в Госреестр баз персональных данных (далее – Госреестр). Происходит такая регистрация на основании заявления от владельца базы персональных данных по форме, утвержденной Приказом №1824.

Сейчас такой орган только один – Государственная служба по вопросам защиты персональных данных (далее – ГСЗПД) – и находится по адресу: 02660, г.Киев, ул. Марины Расковой, д.15.

Как сказано на сайте ГСЗПД, заявление подается в бумажной форме или в форме электронного документа (на электронную почту register@zpd.gov.ua или через сайт ГСЗПД) в соответствии с требованиями Законов Украины «Об электронных документах и электронном документообороте» и «Об электронной цифровой подписи». При этом, ГСЗПД обрабатывает заявления в форме электронного документа, подписанные владельцами, которые получают услуги электронной цифровой подписи в аккредитованных центрах сертификации ключей.

Ни в одном нормативном документе не указана возможность предоставления такого заявления по почте, однако нет и запрета, или же требования подать такое заявление лично. Поэтому на практике в 2011 году многие владельцы баз персональных данных отправляли заявления письмом с уведомлением и с описью вложенных в письмо документов.

Чтобы сформировать заявление в электронном виде, нужно заполнить его на сайте https://rbpd.informjust.ua/ в разделе «Створити заяву про реєстрацію БПД», затем сохранить его у себя на компьютере, взять программу, которая позволяет накладывать электронные подписи и печати на любой электронный документ, подписать с ее помощью это заявление. Подать такое заявление можно двумя способами:

  • загрузить прямо на сайт Госреестра в разделе «Подати заяву у електронному вигляді»
  • отправить подписанное заявление по электронному адресу register@zpd.gov.ua

Согласно ст.9 Закона №2297 специалисты Госслужбы по вопросам защиты персональных данных должны:

  • сообщить заявителю не позднее следующего рабочего дня со дня поступления заявления о его получении;
  • принять решение о регистрации (или отказе в регистрации) базы персональных данных в течение 10 рабочих дней со дня поступления заявления.

В случае положительного решения владельцу базы персональных данных выдается свидетельство установленного Приказом №1823 образца о регистрации базы персональных данных в Госреестре.

К сожалению на практике такие сроки, по крайней мере в 2011 году, не выдерживаются по причине огромного количества заявлений. Извещение владельцев баз персональных данных о том, что их заявление получено и принято в обработку, происходит довольно быстро. А вот чтобы получить свидетельство, придется ждать в лучшем случае около месяца.

Чтобы корректно и быстро сформировать, подписать и подать заявление о регистрации базы персональных данных, портал «Бухгалтерские известия» предлагает воспользоваться подробной пошаговой инструкцией по регистрации баз персональных данных

Если владелец базы персональных данных не проведет регистрацию такой базы в Государственном реестре, то с 01.01.2012 г. при выявлении этого нарушения, в соответствии с Законом №3454, это влечет за собой наложение штрафа:

  • на обычных граждан – от 300 до 500 н.м.д.г. (5100 – 8500 грн);
  • на должностные лица юрлиц, а также лица-СПД – от 500 до 1000 н.м.д.г. (8500 – 17000 грн).

Стоит обратить внимание на то, что Законом №3454 предусмотрен ряд административных штрафов и даже уголовная ответственность за некоторые нарушения законодательства по защите баз персональных данных.

nalogi.dp.ua