3 июля Верховная Рада приняла Закон «О внесении изменений в некоторые законодательные акты Украины относительно усовершенствования системы защиты персональных данных» с учетом предложений Президента Украины.

Он вносит изменения в Кодекс Украины об административных правонарушениях, законы «О защите персональных данных», «О ратификации Конвенции о защите лиц в связи с автоматизированной обработкой персональных данных и Дополнительного протокола к Конвенции о защите лиц в связи с автоматизированной обработкой персональных данных в отношении органов надзора и трансграничных потоков данных» и определяет Уполномоченного Верховной Рады по правам человека уполномоченным органом в сфере защиты персональных данных.

Народные депутаты учли предложения Президента Украины: исключить из раздела II «Заключительные и переходные положения» подпункт 3.3 и дополнить его предписанием о передаче Уполномоченному Верховной Рады по правам человека Государственного реестра баз персональных данных и заявлений о регистрации баз персональных данных, предоставленных в установленном порядке до вступления в силу этого закона.

Законопроектом предлагается изменить сферу действия закона «О защите персональных данных», в том числе определив, что его действие распространяется не только на базы персональных данных, а вообще на все операции по обработке персональных данных.

Кроме этого, предлагается расширить основания обработки персональных данных по сравнению с действующей редакцией Закона. Так, к существующим основаниям («согласие на обработку» и «на основании закона») предлагается добавить: заключение и исполнение сделки, одной из сторон которой является субъект персональных данных, или которая заключена в пользу субъекта персональных данных, или для осуществления мероприятий, предшествующих заключению сделки по требованию субъекта персональных данных, выполнение владельцем базы персональных данных взятого на себя обязательства, удовлетворение государственных интересов или выполнение официальных полномочий, возложенных на владельца базы персональных данных или на третье лицо, которому передаются эти данные, защита жизненно важных интересов субъекта персональных данных.

Законопроект также предусматривает исключение из государственной регистрации баз персональных данных, ведение которых связано с обеспечением и реализацией трудовых отношений, а также баз персональных данных членов общественных, религиозных организаций, профессиональных союзов и политических партий.

Кроме этого, проектом предлагается согласовать между собой нормы законов «О защите персональных данных», «О доступе к публичной информации» и «Об информации».

Проектом закона также предусматривается расширить права субъектов персональных данных, в частности на запрещение обработки своих персональных данных, на внесение оговорок в отношении обработки своих персональных данных, на обжалование обработки персональных данных и отзыв согласия на обработку персональных данных.

Также проект изменяет определение обработки персональных данных, вводит понятие получателя, расширяет полномочия службы по вопросам защиты персональных данных, определяет порядок трансграничной передачи персональных данных.

Установлено, что будут проводиться безвыездные плановые или внеплановые проверки в помещении ГСЗПД на основании полученных от субъекта проверки документов и объяснений без выезда по местонахождению субъекта проверки и/или по местонахождению базы персональных данных, а также выездные плановые или внеплановые проверки по местонахождению субъекта проверки и/или по местонахождению базы персональных данных.

Срок проведения проверки не может превышать 10 рабочих дней. По результатам осуществления плановой или внеплановой проверки составляется акт проверки соблюдения законодательства в сфере защиты персональных данных.

В частности, предлагается:

• упростить процедуру регистрации баз персональных данных;
• отменить обязательную регистрацию баз персональных данных, ведение которых связано с реализацией трудовых отношений (баз сотрудников);
• освободить от обязательной регистрации баз персональных данных общественные и религиозные организации, а также политические партии;
• конкретизировать механизмы защиты персональных данных;
• расширить права субъектов персональных данных.

Данные изменения призваны обеспечить надлежащую реализацию конституционных положений, которыми запрещается сбор, хранение, использование и распространение конфиденциальной информации о лице.

Важным следствием принятия предложенных Правительством изменений станет также более четкое согласование между собой норм законов «О защите персональных данных», «О доступе к публичной информации» и «Об информации». В частности, правительственным законопроектом конкретизированы правовые основания для запроса, предоставления или отказа в доступе к информации из базы персональных данных.

Предполагается, что в результате предложенных Правительством изменений в действующем Законе будут устранены выявленные недочеты, а система защиты персональных данных в Украине станет приближена к стандартам Евросоюза.

Порядок устанавливает общие требования к организационным и техническим мероприятиям по защите персональных данных при их обработке владельцами и распорядителями в базах персональных данных, которая может осуществляться полностью или частично в автоматизированной системе или в форме картотек.

Если владелец базы персональных данных обрабатывает их в автоматизированной системе – он обязан обеспечить защиту базы от несанкционированного доступа, а также обеспечить антивирусную защиту системы.

Если обработка персональных данных осуществляется в форме картотек – владелец базы обязан хранить картотеки в помещениях (шкафах, сейфах), защищенных от несанкционированного доступа.

МИНИСТЕРСТВО ЮСТИЦИИ УКРАИНЫ

ПРИКАЗ

Зарегистрировано в Министерстве юстиции Украины
3 января в 2012 г. за N 1/20314

Об утверждении Типового порядка обработки персональных данных в базах персональных данных

В соответствии с частью десятой статьи 6 Закона Украины «О защите персональных данных»

ПРИКАЗЫВАЮ:

1. Утвердить Типовой порядок обработки персональных данных в базах персональных данных, который прилагается.

2. Департаменту взаимодействия с органами власти (Зеркаль О.В.) подать этот приказ на государственную регистрацию в соответствии с Указом Президента Украины от 03.10.92 N 493 «О государственной регистрации нормативно-правовых актов министерств и других органов исполнительной власти» (с изменениями).

3. Контроль за выполнением этого приказа оставляю за собой.

4. Этот приказ вступает в силу со дня его официального опубликования.

УТВЕРЖДЕНО
Приказ Министерства юстиции Украины
30.12.2011 N 3659/5

Зарегистрировано
в Министерстве юстиции Украины
3 января в 2012 г. за N 1/20314

Типовой порядок
обработки персональных данных в базах персональных данных

I. Общие положения

1.1. Этот Типовой порядок разработан во исполнение требований части десятой статьи 6 Закона Украины «О защите персональных данных» (далее – Закон).

1.2. Этот Типовой порядок устанавливает общие требования к организационным и техническим мероприятиям по защите персональных данных во время их обработки в базах персональных данных владельцами и распорядителями баз персональных данных.

1.3. Обработка персональных данных может осуществляться полностью или частично в информационной (автоматизированной) системе и/или в форме картотек персональных данных.

1.4. В этом Типовом порядке термины употребляются в таком значении:

• аутентификация – процедура установления принадлежности работнику владельца или распорядителя базы персональных данных предъявленного им идентификатора;
• авторизация – процедура получения разрешения на проведение действий по обработке персональных данных в базе персональных данных в составе информационной (автоматизированной) системы;
• ответственное лицо – лицо, на которого владельцем или распорядителем базы персональных данных в соответствии с его служебными, трудовыми, профессиональными обязанностями возложена организация работы, связанной с защитой персональных данных при их обработке;
• идентификация – процедура распознавания пользователя в системе, как правило, с помощью заранее определенного имени (идентификатора) или другой информации о нем, которая воспринимается информационной (автоматизированной) системой;
• структурное подразделение – структурная единица, которая функционирует в составе владельца или распорядителя персональных данных и в соответствии с его правами и обязанностями на основании положения о нем осуществляет организацию работы, связанной с защитой персональных данных при их обработке.

Другие термины в этом Типовом порядке употребляются в значениях, приведенных в Законе.

1.5. Защита персональных данных возлагается на владельца базы персональных данных.

Распорядитель базы персональных данных производит обработку персональных данных в соответствии с законом или на основании заключенного с владельцем базы персональных данных договора в письменной форме с целью и в объеме, определенными в договоре.

На действия владельца и/или распорядителя базы персональных данных распространяются все требования относительно защиты персональных данных от незаконной обработки, а также от незаконного доступа к ним.

1.6. Владелец или распорядитель базы персональных данных предоставляет субъекту персональных данных информацию о цели обработки персональных данных до момента получения согласия от субъекта персональных данных.

1.7. Владелец базы персональных данных хранит персональные данные не дольше, чем это необходимо в соответствии с целью их обработки, если другое не предусмотрено законодательством.

1.8. Владелец базы персональных данных определяет:

• цель обработки, состав персональных данных в базе персональных данных и ее местонахождение;
• порядок внесения, изменения, возобновления, использования, распространения, обезличивания, уничтожения персональных данных в базе персональных данных;
• ответственное лицо или структурное подразделение;
• порядок защиты персональных данных, в том числе от незаконной обработки и незаконного доступа к ним.

1.9. Ответственное лицо или структурное подразделение в соответствии с возложенными заданиями:

• обеспечивает ознакомление работников владельца и распорядителя базы персональных данных с требованиями законодательства о защите персональных данных, в частности относительно их обязанности не допускать разглашения любым способом персональных данных, которые им были доверены или которые стали им известны в связи с выполнением профессиональных, служебных или трудовых обязанностей;
• обеспечивает организацию обработки персональных данных работниками владельца и распорядителя базы персональных данных в соответствии с их профессиональными, служебными или трудовыми обязанностями в объеме, необходимом для выполнения таких обязанностей;
• организует работу по обработке запросов относительно доступа к персональным данным субъектам отношений, связанных с обработкой персональных данных;
• обеспечивает доступ субъектов персональных данных к собственным персональным данным;
• информирует руководителя владельца и распорядителя базы персональных данных о мероприятиях, которые необходимо провести для приведения состава персональных данных и процедур их обработки в соответствие с законом;
• информирует руководителя владельца и распорядителя базы персональных данных о нарушении установленных процедур по обработке персональных данных.

1.10. Владелец базы персональных данных ведет учет:

• фактов предоставления и лишения работников права доступа к персональным данным и их обработке;
• попыток и фактов несанкционированных и/или незаконных действий по обработке персональных данных.

1.11. Владелец базы персональных данных может разграничить режимы доступа работников к обработке персональных данных в базе персональных данных в соответствии с их профессиональными, трудовыми или служебными обязанностями.

1.12. Уничтожение персональных данных осуществляется способом, исключающим дальнейшую возможность возобновления таких персональных данных.

II. Обработка персональных данных в составе информационной (автоматизированной) системы

2.1. Владелец базы персональных данных обрабатывает персональные данные в составе информационной (автоматизированной) системы, в которой обеспечивается защита персональных данных в соответствии с требованиями закона.

2.2. Обработка персональных данных в информационной (автоматизированной) системе может осуществляться в составе информационно-телекоммуникационной системы с применением средств сетевой защиты от несанкционированного доступа во время обработки персональных данных.

2.3. Работники владельца базы персональных данных допускаются к обработке персональных данных лишь после их авторизации.

2.4. Доступ лиц, которые не прошли процедуру идентификации и/или аутентификации, должен блокироваться.

2.5. В информационной (автоматизированной) системе, где обрабатываются персональные данные, может осуществляться регистрация, в частности:

• результатов идентификации и/или аутентификации работников владельца базы персональных данных;
• действий по обработке персональных данных;
• факта установки признака «Подтверждение предоставления согласия на обработку персональных данных в базе персональных данных» с помощью управляющих элементов веб-ресурсов владельца или распорядителя базы персональных данных, интерфейсов пользователя программного обеспечения;
• результатов проверки целостности средств защиты персональных данных.

Ответственное лицо и/или структурное подразделение может проводить анализ регистрационных данных.

Регистрационные данные защищаются от модификации и уничтожения.

Регистрационные данные должны храниться и предоставляться по мотивируемому требованию для анализа субъектам отношений, связанным с персональными данными.

2.6. Владелец базы персональных данных обеспечивает антивирусную защиту в информационной (автоматизированной) системе.

2.7. Владелец базы персональных данных обеспечивает использование технических средств бесперебойного питания элементов информационной (автоматизированной) системы.

III. Обработка персональных данных в форме картотек

3.1. Владелец базы персональных данных производит обработку персональных данных в картотеках в порядке, определенном Законом и разделом I данного Типового порядка, с учетом таких требований:

• документы, которые содержат персональные данные, формируются в дела в зависимости от цели обработки персональных данных;
• дела с документами, которые содержат персональные данные, должны иметь внутренние описания документов с указанием цели обработки и категории персональных данных;
• картотеки хранятся в помещениях (шкафах, сейфах), защищенных от несанкционированного доступа.

3.2. Двери в помещениях (шкафах, сейфах) должны быть оборудованы замком или контролем доступа.

 
PS: Приказ опубликован 20.01.2012 в издании «Офіційний вісник України» 2012 №3.

«Закон был написан якобы в соответствии с европейскими нормами, однако в действительности доброе намерение было полностью искажено, и защита персональной информации стала еще одним бюрократическим грузом для бизнеса», – заявил Первый вице-премьер-министр Андрей Клюев. По его словам, регистрация баз персональных данных оказалась административно очень сложной процедурой, которая требует от предпринимателя потратить немало времени как на подготовку документов, так и на многочасовое простаивание в очередях.

В текущей редакции Закон «О защите персональных данных» имеет много пробелов, которые делают невозможным безусловное выполнение его норм. Это может повлечь за собой безосновательное привлечение к административной и уголовной ответственности должностных лиц владельцев баз персональных данных. Законом не сформулирована цель обработки персональных данных, во многих нормах он имеет ссылки на другие нормативно-правовые акты, которые еще не приняты. В законе нет исчерпывающего перечня сведений, которые относятся к персональным данным, отсутствует четкая процедура уничтожения персональных данных, не предусмотрено, какие условия должен создать владелец базы данных для надлежащей защиты персональных данных и т.п.

Для исправления сложившейся ситуации правительство приняло решение не применять штрафные санкций за неподачу информации о базах персональных данных и проголосовать в первые дни года за Законопроект №9624 от 20.12.2011 о переносе с 1 января на 1 июля 2012 года даты, с которой могут применяться такие санкции.

Также Кабинет Министров поручил Министерству юстиции и Госслужбе по вопросам регуляторной политики в течение месяца пересмотреть Закон Украины №2297-VI «О защите персональных данных» с точки зрения его соответствия европейской практике и реформам Президента Украины.

Как сформировать заявление

1. Зайдите на сайт Госреестра https://rbpd.informjust.ua и перейдите в раздел «Створити заяву – Про реєстрацію БПД».
2. Заполните заявление на украинском языке (обязательные поля отмечены звездочками). Для корректного ввода данных не используйте фрагменты текста, скопированные из других файлов. Вводите текст вручную в поля веб-формы с помощью клавиатуры. Для разделения слов используйте клавишу «Пробел», знаки «,» «.» и тому подобное. Ни в коем случае не используйте перенос строки (клавиша «Enter»), иначе при формировании заявления сайт выдаст ошибку.
3. Введите контрольные символы внизу страницы и нажмите «Сформувати заяву».
4. Если данные введены правильно и контрольные символы указаны верно, откроется страница с сообщением об успешном формировании файла заявления.
5. Нажмите «Зберегти файл заяви» и выберите каталог на локальном диске, куда будет сохранен XML-файл заявления.

Как подписать заявление

Для системы «M.E.Doc» (начиная с версии 10.00.042):

1. Выберите команду Файл / Импорт / Заявление о регистрации базы персональных данных.
2. Укажите путь к заявлению, которое вы сохранили на локальном диске вашего компьютера (файл формата *.xml).
3. Откроется окно «Файл», по умолчанию подписи отсутствуют. Нажмите на кнопку «Подписать».
4. Откроется окно «Подпись». Последовательно наложите подпись руководителя и печать организации (при наличии).
5. Проверьте чтобы в окне «Файл» галочками были отмечены все сертификаты (они будут сохранены вместе с подписанным заявлением) и нажмите «ОК».
6. В появившемся окне «Сохранить файл» укажите путь к каталогу, в котором вы хотите сохранить подписанное заявление. Расширение файла оставьте предложенное по умолчанию (*.SIGN).
   
7. В результате в указанный каталог будут выгружены файлы заявлений и сертификаты. Имя файла заявления, подписанного руководителем организации, будет начинаться с «DIR_», а подписанного печатью (при наличии) – «STAMP_».

Для системы «Бест Звіт ПЛЮС» (начиная с версии 9.13.002):

1. Импорт заявления в модуль «Документы на подпись»:
   • Отчетность / Документы на подпись / Файлы / Документ / Добавить файл
   • Укажите путь к каталогу, где находится сохраненный вами файл заявления (файл формата *.xml)
   • После импорта файл заявления будет помещен в раздел «Файлы»
2. Подпишите файл сертификатом руководителя организации.
3. Сохраните подписанный файл:
   • Документ / Сохранить на диске…
   • Укажите путь к каталогу, в котором вы хотите сохранить подписанное руководителем заявление.
   • В этот же каталог сохраните сертификат руководителя (Эл. почта / Управление сертификатами).
4. Далее подписанный руководителем файл заявления подпишите также печатью организации (при наличии).
5. Сохраните подписанный файл:
   • Документ / Сохранить на диске…
   • Укажите путь к каталогу, в котором вы хотите сохранить подписанное печатью заявление (не сохраняйте в одном каталоге с заявлением, подписанным руководителем!)
   • В этот же каталог сохраните сертификат печати организации (Эл. почта / Управление сертификатами).

Как подать заявление

1. Зайдите на сайт Госреестра https://rbpd.informjust.ua и перейдите в раздел «Подати заяву в електронній формі».
2. Укажите путь к необходимым файлам при помощи кнопок «Обзор»:
   • Поле «Файл заяви» – укажите путь к НЕподписанному заявлению
   • Поле «Файл цифрового підпису заяви» – укажите путь к заявлению, подписанному руководителем организации
   • Поле «Файл публічного сертифіката» – укажите путь к сертификату руководителя
   • Поле «Файл цифрового підпису печатки» – укажите путь к заявлению, подписанному печатью (при наличии)
   • Поле «Файл публічного сертифіката печатки« – укажите путь к сертификату печати организации (при наличии)
3. Введите контрольные символы и нажмите кнопку «Подати заяву».
4. Если путь к файлам введен правильно и контрольные символы указаны верно, заявление в электронном виде будет зарегистрировано в базе заявлений и передано регистратору на рассмотрение.

После успешной подачи заявления на адрес электронной почты заявителя, указанный в заявлении, поступает сообщение. Оно содержит регистрационный номер заявления, а также файлы уведомления о получении заявления в форматах (.prnx) и (.pdf).

Состояние обработки заявления можно отследить по его регистрационному номеру с помощью поиска на главной странице сайта Госреестра. Состояние может быть следующее:

• «Зареєстровано» – заявление о регистрации базы персональных данных зарегистрировано в реестре и принято к рассмотрению;
• «Відмовлено» – принято решение об отказе в регистрации базы персональных данных, при этом на почтовый адрес владельца базы направляется письмо с сообщением об отказе в регистрации и указываются причины отказа;
• «Прийнято рішення про реєстрацію» – выдается Свидетельство о регистрации базы персональных данных, которое посылается на почтовый адрес владельца базы, если согласие на это указано в заявлении.

Это было подчеркнуто в ходе пресс-конференции в Министерстве юстиции Украины, состоявшейся 23 декабря.

Как отметили представители Минюста, такое представление сформировалось исключительно на слухах и незнании норм законодательства.

Нарушения законодательства о защите персональных данных могут быть обнаружены исключительно в ходе проверки со стороны Государственной службы Украины по вопросам защиты персональных данных. Ни один другой правоохранительный или налоговый орган не имеет права осуществлять соответствующие действия в сфере защиты персональных данных.

Основанием для проверки может стать график проверок, который предварительно будет утверждаться председателем Государственной службы Украины по вопросам защиты персональных данных. Или на основании обоснованной жалобы на нарушение права лица на сбор и защиту его персональных данных.

График как плановых, так и внеплановых проверок будет обнародоваться на сайте Государственной службы Украины по вопросам защиты персональных данных.

При этом, как подчеркнули представители Минюста, если в ходе проверки будут обнаружены нарушения законодательства, Государственная служба будет выносить предписания об их устранении в определенный срок.

Нарушением может быть признано сознательное уклонение от регистрации базы данных, неуведомление лица о сборе его персональных данных в базу, о цели создания соответствующей базы и правах лица в этой связи, в случае ненадлежащей защиты базы персональных данных, а также в случае передачи без согласия лица его персональных данных третьим лицам.

Только в случае неисполнения требований предписания или в случае выявления серьезных нарушений Государственная служба будет составлять административный протокол, который будет направляться в суд.

Представители Минюста также указали, что штрафы за нарушение в сфере защиты персональных данных могут быть назначены исключительно по решению суда на основании протоколов об административном правонарушении, составленных по результатам проверки Государственной службой защиты персональных данных.

Приводим пошаговую инструкцию по формированию и подаче заявления на регистрацию базы персональных данных через веб-сайт Государственного реестра баз персональных данных.

Как сформировать заявление:

1. Зайдите на сайт Госреестра https://rbpd.informjust.ua и перейдите в раздел «Створити заяву – Про реєстрацію БПД».
2. Заполните заявление на украинском языке (обязательные поля отмечены звездочками). Для корректного ввода данных не используйте фрагменты текста, скопированные из других файлов. Вводите текст вручную в поля веб-формы с помощью клавиатуры. Для разделения слов используйте клавишу «Пробел» или знаки «,» «.» и тому подобное. Ни в коем случае не используйте перенос строки (клавиша «Enter»), иначе при формировании заявления сайт выдаст ошибку.
3. Введите контрольные символы внизу страницы и нажмите «Сформувати заяву».
4. Если данные введены правильно и контрольные символы указаны верно, откроется страница с сообщением об успешном формировании файла заявления.
5. Нажмите «Зберегти файл заяви» и выберите каталог на локальном диске, куда будет сохранен XML-файл заявления.

Пример заполнения заявления о регистрации базы персональных данных:

Как подписать заявление:

Для системы «M.E.Doc» (версия не ниже 10.00.037):

1. Выберите команду Файл / Импорт / Заявление о регистрации базы персональных данных.
2. Укажите путь к заявлению, которое вы сохранили на локальном диске вашего компьютера (файл формата *.xml).
3. Откроется окно «Файл», по умолчанию подписи отсутствуют. Нажмите на кнопку «Подписать».
4. Откроется окно «Подпись». Наложите подпись должностного лица, ответственного за подачу заявления.
5. В окне «Файл» галочкой отметьте сертификат подписавшего лица (он будет сохранен вместе с подписанным заявлением).
6. В окне «Сохранить файл» укажите путь к каталогу, в котором вы хотите сохранить подписанное заявление. Не сохраняйте в одном каталоге с неподписанным заявлением!

Для системы «Бест Звіт ПЛЮС» (версия не ниже 9.12.000):

1. Импорт заявления в модуль «Документы на подпись»:
   • Отчетность / Документы на подпись / Файлы / Документ / Добавить файл
   • Выберите тип файлов «Все типы файлов» и укажите путь к каталогу, где находится сохраненный файл заявления (файл формата *.xml)
   • После импорта файл заявления помещается в раздел «Файлы»
2. Подпишите файл сертификатом должностного лица, ответственного за подачу заявления.
3. Сохраните подписанный файл и сертификат:
   • Документы на подпись / Документ / Сохранить на диске…
   • Укажите путь к каталогу, в котором вы хотите сохранить подписанное заявление. Не сохраняйте в одном каталоге с неподписанным заявлением!
   • В этот же каталог сохраните сертификат должностного лица, которое подписало заявление (Эл. почта / Управление сертификатами)

Как подать заявление:

1. Зайдите на сайт Госреестра https://rbpd.informjust.ua и перейдите в раздел «Подати заяву у електронному вигляді».
2. Укажите путь к необходимым файлам при помощи кнопки «Обзор»:
   • Поле «Файл заяви» – укажите путь к НЕподписанному заявлению
   • Поле «Файл цифрового підпису» – укажите путь к подписанному заявлению
   • Поле «Файл публічного сертифікату» – укажите путь к сертификату должностного лица, которое подписало заявление
3. Введите контрольные символы и нажмите кнопку «Подати заяву».
4. Если путь к файлам введен правильно и контрольные символы указаны верно, заявление в электронном виде будет зарегистрировано в базе заявлений и передано регистратору для рассмотрения.

После успешной регистрации заявления на адрес электронной почты заявителя, указанный в заявлении, поступает сообщение об успешной регистрации. Это сообщение содержит регистрационный номер заявления, а также код доступа для наблюдения за состоянием обработки заявления.

Состояние обработки заявления может быть следующее:

• «Зареєстровано» – заявление о регистрации базы персональных данных зарегистрировано в реестре и принято к рассмотрению;
• «Відмовлено» – принято решение об отказе в регистрации базы персональных данных, при этом на почтовый адрес владельца базы направляется письмо с сообщением об отказе в регистрации и указываются причины отказа;
• «Прийнято рішення про реєстрацію» – выдается Свидетельство о регистрации базы персональных данных, которое посылается на почтовый адрес владельца базы, если согласие на это указано в заявлении.

Все началось с принятия Закона №2297, который регулирует отношения, связанные с защитой персональных данных во время их сбора, обработки и хранения. Исходя из положений данного Закона, практически все субъекты хозяйствования владеют базами персональных данных (база сотрудников, база контрагентов-физлиц). В соответствии со ст.9 Закона №2297 эти базы персональных данных подлежат государственной регистрации.

Регистрация баз персональных данных в Украине регулируется:

• Постановлением КМУ №616 от 25.05.2011 «Об утверждении Положения о Государственном реестре баз персональных данных и порядке его ведения»;
• Законом №2297-VI от 01.06.2010 «О защите персональных данных»;
• Законом №3454 от 02.06.2011 «О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных»;
• Приказом Минюста №1823/5 от 08.07.2011 «Об утверждении образца свидетельства о государственной регистрации базы персональных данных»;
• Приказом Минюста №1824/5 от 08.07.2011 «Об утверждении форм заявлений о регистрации базы персональных данных и о внесении изменений в сведения Государственного реестра баз персональных данных и порядке их предоставления».

Закон №2297 направлен на защиту персональных данных, под которыми понимаются сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано.

Согласно ст.2 Закона №2297 база персональных данных – это поименованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных. Примером таких баз могу быть база персональных данных работников предприятия, а также база данных покупателей или поставщиков – физических лиц. Обратите внимание, что речь идет о базах персональных данных именно физических лиц.

В свою очередь, владелец базы персональных данных – это физическое или юридическое лицо, которому законом (или при согласии субъекта персональных данных) дано право на обработку этих данных. Владелец таких баз данных утверждает цель обработки персональных данных в этой базе, устанавливает состав данных и процедуру их обработки, если другое не установлено законодательством.

Согласно ст.9 Закона №2297 каждая база персональных данных подлежит регистрации путем внесения соответствующей записи уполномоченным государственным органом по вопросам защиты персональных данных в Госреестр баз персональных данных (далее – Госреестр). Происходит такая регистрация на основании заявления от владельца базы персональных данных по форме, утвержденной Приказом №1824.

Сейчас такой орган только один – Государственная служба по вопросам защиты персональных данных (далее – ГСЗПД) – и находится по адресу: 02660, г.Киев, ул. Марины Расковой, д.15.

Как сказано на сайте ГСЗПД, заявление подается в бумажной форме или в форме электронного документа (на электронную почту register@zpd.gov.ua или через сайт ГСЗПД) в соответствии с требованиями Законов Украины «Об электронных документах и электронном документообороте» и «Об электронной цифровой подписи». При этом, ГСЗПД обрабатывает заявления в форме электронного документа, подписанные владельцами, которые получают услуги электронной цифровой подписи в аккредитованных центрах сертификации ключей.

Ни в одном нормативном документе не указана возможность предоставления такого заявления по почте, однако нет и запрета, или же требования подать такое заявление лично. Поэтому на практике в 2011 году многие владельцы баз персональных данных отправляли заявления письмом с уведомлением и с описью вложенных в письмо документов.

Чтобы сформировать заявление в электронном виде, нужно заполнить его на сайте https://rbpd.informjust.ua/ в разделе «Створити заяву про реєстрацію БПД», затем сохранить его у себя на компьютере, взять программу, которая позволяет накладывать электронные подписи и печати на любой электронный документ, подписать с ее помощью это заявление. Подать такое заявление можно двумя способами:

• загрузить прямо на сайт Госреестра в разделе «Подати заяву у електронному вигляді»
• отправить подписанное заявление по электронному адресу register@zpd.gov.ua

Согласно ст.9 Закона №2297 специалисты Госслужбы по вопросам защиты персональных данных должны:

• сообщить заявителю не позднее следующего рабочего дня со дня поступления заявления о его получении;
• принять решение о регистрации (или отказе в регистрации) базы персональных данных в течение 10 рабочих дней со дня поступления заявления.

В случае положительного решения владельцу базы персональных данных выдается свидетельство установленного Приказом №1823 образца о регистрации базы персональных данных в Госреестре.

К сожалению на практике такие сроки, по крайней мере в 2011 году, не выдерживаются по причине огромного количества заявлений. Извещение владельцев баз персональных данных о том, что их заявление получено и принято в обработку, происходит довольно быстро. А вот чтобы получить свидетельство, придется ждать в лучшем случае около месяца.

Чтобы корректно и быстро сформировать, подписать и подать заявление о регистрации базы персональных данных, портал «Бухгалтерские известия» предлагает воспользоваться подробной пошаговой инструкцией по регистрации баз персональных данных

Если владелец базы персональных данных не проведет регистрацию такой базы в Государственном реестре, то с 01.01.2012 г. при выявлении этого нарушения, в соответствии с Законом №3454, это влечет за собой наложение штрафа:

• на обычных граждан – от 300 до 500 н.м.д.г. (5100 – 8500 грн);
• на должностные лица юрлиц, а также лица-СПД – от 500 до 1000 н.м.д.г. (8500 – 17000 грн).

Стоит обратить внимание на то, что Законом №3454 предусмотрен ряд административных штрафов и даже уголовная ответственность за некоторые нарушения законодательства по защите баз персональных данных.