МІНІСТЕРСТВО ЮСТИЦІЇ УКРАЇНИ

ЛИСТ

від 22.12.2011 р. N 19678-0-26-11/6.1

Голові Харківської міської організації Профспілки підприємців


У відповідь на Ваш лист від 14.10.2011 N 1-11/54 щодо надання роз'яснення з питань застосування законодавства про захист персональних даних в межах компетенції повідомляється таке.

Чи дійсно обов'язок реєструвати бази персональних даних стосується, за малим винятком, кожного підприємства України?

Відповідно до статті 2 Закону України "Про захист персональних даних" (далі - Закон) база персональних даних - іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних, а її володільцем є фізична або юридична особа, якій законом або за згодою суб'єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедуру їх обробки, якщо інше не визначено законом.

Згідно зі статтею 9 Закону база персональних даних підлягає державній реєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних. Реєстрація баз персональних даних здійснюється за заявочним принципом шляхом повідомлення.

Таким чином, кожна фізична особа, підприємство, установа і організація усіх форм власності, орган державної влади чи орган місцевого самоврядування, фізична особа - підприємець, яка володіє базою персональних даних, за виключенням осіб, визначених у статті 1 Закону, та якій законом або за згодою суб'єкта персональних даних надано право на обробку персональних даних у цій базі, зобов'язана подати заяву про реєстрацію бази персональних даних для внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних.

Чи дійсно на кожну таку базу підприємство повинно отримати свідоцтво: бази даних про клієнтів, партнерів, споживачів?

Порядок подання заяви про реєстрацію бази персональних даних визначений Положенням про Державний реєстр баз персональних даних та порядок його ведення, затвердженим постановою Кабінету Міністрів України від 25.05.2011 N 616 (далі - Положення), та наказом Міністерства юстиції України від 08.07.2011 N 1824/5 "Про затвердження форм заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних і порядку їх подання".

Так, відповідно до пункту 6 Положення заява подається щодо кожної бази даних, яка перебуває у володінні заявника.

Відповідно до пункту 11 Положення Державна служба України з питань захисту персональних даних (далі - ДСЗПД) приймає протягом 10 робочих днів з дня надходження відповідної заяви рішення про реєстрацію бази персональних даних шляхом видання її володільцю свідоцтва про державну реєстрацію бази персональних даних чи повідомлення про відмову в реєстрації, про що вносить запис до Державного реєстру баз персональних даних.

З огляду на це, володілець бази персональних даних подає до ДСЗПД заяву про реєстрацію конкретної бази персональних даних (клієнтів, партнерів, споживачів), за результатами розгляду якої ДСЗПД приймає рішення про реєстрацію бази персональних даних і видає свідоцтво про державну реєстрацію такої бази чи повідомляє про відмову в реєстрації.

Варто зазначити, що ключовим та визначальним є факт внесення відповідного запису Державною службою України з питань захисту персональних даних до Державного реєстру баз персональних даних, а не отримання володільцем бази персональних даних свідоцтва про державну реєстрацію, що є наслідком зазначеного факту.

Що саме слід розуміти під визначенням "інформація з обмеженим доступом", і які дії має вчинити підприємство володіючи такою інформацією?

Персональні дані, згідно зі статтею 5 Закону, крім знеособлених персональних даних та персональних даних фізичної особи, яка претендує зайняти чи займає виборну посаду (у представницьких органах) або посаду державного службовця першої категорії за режимом доступу є інформацією з обмеженим доступом.

Визначення поняття "інформація з обмеженим доступом" наведене в статті 21 Закону України "Про інформацію", відповідно до якої інформацією з обмеженим доступом є конфіденційна, таємна та службова інформація.

Конфіденційною є інформація про фізичну особу, а також інформація, доступ до якої обмежено фізичною або юридичною особою, крім суб'єктів владних повноважень. Конфіденційна інформація може поширюватися за бажанням (згодою) відповідної особи у визначеному нею порядку відповідно до передбачених нею умов, а також в інших випадках, визначених законом.

Так, статтею 14 Закону визначено, що поширення персональних даних передбачає дії щодо передачі відомостей про фізичну особу з баз персональних даних за згодою суб'єкта персональних даних. Поширення персональних даних без згоди суб'єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

Також відповідно до статті 16 Закону порядок доступу до персональних даних третіх осіб визначається умовами згоди суб'єкта персональних даних, наданої володільцю бази персональних даних на обробку цих даних, або відповідно до вимог закону.

З огляду на це, володілець бази персональних даних з метою забезпечення захисту персональних даних, які є інформацією з обмеженим доступом, та виконання вимог статей 14, 16 Закону повинен отримати від суб'єкта персональних даних згоду на обробку персональних даних, яка повинна містити інформацію, зокрема, про порядок поширення персональних даних, який передбачає дії володільця бази персональних даних щодо передачі відомостей про фізичну особу, та порядок доступу до персональних даних третіх осіб, який визначає дії володільця бази персональних даних у разі отримання запиту від третьої особи щодо доступу до персональних даних, у тому числі порядок доступу суб'єкта персональних даних до відомостей про себе. Винятки становлять випадки, коли поширення персональних даних або доступ до них третіх осіб дозволяється у випадках, визначених законом.

Чи дійсно за недотримання законодавства у сфері захисту персональних даних установлено адміністративну відповідальність (штраф у розмірі від 500 до 1000 неоподаткованих мінімумів доходів громадян установлено за ухилення від реєстрації баз даних, а в розмірі від 300 до 1000 неоподаткованих мінімумів громадян - за порушення порядку зберігання персональних даних) з 1 січня 2012 року?

З 1 січня 2012 року набуває чинності Закон України "Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних".

Відповідно до цього Закону особи притягуються до адміністративної відповідальності за вчинення таких правопорушень:

- неповідомлення або несвоєчасне повідомлення суб'єкта персональних даних про його права у зв'язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються;

- неповідомлення або несвоєчасне повідомлення спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних про зміну відомостей, що подаються для державної реєстрації бази персональних даних;

- ухилення від державної реєстрації бази персональних даних;

- недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них;

- невиконання законних вимог посадових осіб спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних щодо усунення порушень законодавства про захист персональних даних.

Мірою відповідальності за вчинення посадовими особами, громадянами - суб'єктами підприємницької діяльності цих правопорушень є штраф від трьохсот до тисячі неоподаткованих мінімумів доходів громадян.

 

Заступник Міністра -
керівник апарату

А. Ю. Сєдов