Регистрация баз данных
После вступления в силу Закона Украины «О защите персональных данных» возникает ряд вопросов касательно механизма регистрации баз персональных данных, определения круга лиц, подвергающихся действию этого закона и основания привлечения к ответственности за нарушения законодательства в сфере защиты персональных данных.
Согласно означенному закону, база персональных данных — именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных.
Персональными данными являются сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано. Из этого определения вытекает, что данные относительно юридических лиц не являются персональными данными и действие этого закона на них не распространяется. Данные о фамилии, имени, отчеству физического лица тоже не являются персональными данными, поскольку другое физическое лицо может иметь такую же фамилию, имя и отчество. Если фамилия, имя, отчество дополняются идентификационным номером физического лица, данными его паспорта или местом проживания, то считается, что эти данные конкретно идентифицируют физическое лицо и подпадают под определение персональных данных.
Законом предоставлено определение субъекта и владельца баз персональных данных.
Итак, субъект персональных данных — это физическое лицо, относительно которого согласно закону осуществляется обработка его персональных данных. То есть субъектом может быть любое физическое лицо, персональные данные которого обрабатываются. Это может быть работник юридического лица, его контрагент, руководитель или работник другого юридического лица, но только в том случае, если кроме фамилии, имени, отчества Вами обрабатывается и другая информация, конкретно идентифицирующая данное лицо.
Владелец баз персональных данных – физическое или юридическое лицо, которому законом или по согласию субъекта персональных данных предоставлено право на обработку этих данных, утверждающую цель обработки персональных данных в этой базе данных, устанавливает содержание этих данных и процедуры их обработки, если другое не определено законом.
Владельцем базы персональных данных могут быть предприятия, учреждения и организации всех форм собственности, органы государственной власти или органы местного самоуправления, физические лица— предприниматели, обрабатывающие персональные данные согласно закону.
Обработкой персональных данных считается любое действие или совокупность действий, осуществленных полностью или частично в информационной (автоматизированной) системе и/или в картотеках персональных данных, связанных со сбором, регистрацией, накоплением, хранением, адаптированием, изменением, обновлением, использованием и расширением (распространением, реализацией, передачей), обезличение, уничтожением сведений о физическом лице.
На обработку персональных данных потребуется согласие субъекта персональных данных.
Согласием является любое документированное, в частности, письменное, добровольное волеизъявление физического лица относительно предоставления разрешения на обработку его персональных данных соответственно сформулированной цели их обработки.
Субъект персональных данных в течение десяти рабочих дней со дня включения его персональных данных в базу персональных данных уведомляется о своих правах, определенных этим Законом, цель сбора данных и лиц, которым передаются его персональные данные, исключительно в письменной форме. Уведомление не осуществляется, если персональные данные собираются из общедоступных источников. При обработке персональных данных необходимо учитывать, что они должны быть точными, достоверными, в случае необходимости – обновляться. Объем персональных данных, которые могут быть включены в базу персональных данных, определяется условиями согласия субъекта персональных данных или согласно закону. Первичными источниками сведений о физическом лице являются: выданные на его имя документы; подписанные ним документы; сведения, которые лицо предоставляет о себе.
Регистрация баз персональных данных происходит следующим образом:
База персональных данных подлежит государственной регистрации путем внесения соответствующей записи уполномоченным государственным органом по вопросам защиты персональных данных в Государственный реестр баз персональных данных.
Регистрация баз персональных данных осуществляется по заявочному принципу путём уведомления.
Заявление о регистрации базы персональных данных подается владельцем базы персональных данных в уполномоченный государственный орган по вопросам защиты персональных данных.
Заявление должно содержать:
• обращение о внесении базы персональных данных в Государственный реестр баз персональных данных;
• информацию о владельце базы персональных данных;
• информацию о наименовании и местонахождении базы персональных данных;
• информацию о цели обработки персональных данных в базе персональных данных;
• информацию о других распорядителях базы персональных данных;
• подтверждение обязательства относительно исполнения требований защиты персональных данных, установленных законодательством о защите персональных данных.
Владельцу базы персональных данных выдается документ установленного образца о регистрации базы персональных данных в Государственном реестре баз персональных данных.
Важным является то, что владелец базы персональных данных обязан уведомлять уполномоченный государственный орган по вопросам защиты персональных данных о каждом изменении сведений, необходимых для регистрации соответствующей базы, не позже, чем на протяжении десяти рабочих дней со дня наступления такого изменения. При этом изменением сведений считается информация о владельце базы персональных данных, о наименовании и местонахождении базы персональных данных, о цели обработки персональных данных в базе персональных данных и информация о других распорядителях базы персональных данных.
Уполномоченный государственный орган по вопросам защиты персональных данных на протяжении десяти рабочих дней со дня поступления уведомления об изменении сведений, необходимых для регистрации соответствующей базы, должен принять решение относительно означенного изменения и сообщить об этом владельцу базы персональных данных.
Владельцам баз персональных данных необходимо обратить внимание на соблюдение прав субъекта персональных данных, состоящих в следующем:
Субъект имеет право:
1) знать о местонахождении базы персональных данных, содержащей его персональные данные, ее назначение и наименование, местонахождение и/или место проживания (пребывания) владельца или распорядителя этой базы или дать соответствующее поручение относительно получения этой информации уполномоченными им лицами, кроме случаев, установленных законом;
2) получать информацию об условиях предоставления доступа к персональным данным, в частности, информацию о третьих лицах, которым передаются его персональные данные, содержащиеся в соответствующей базе персональных данных;
3) на доступ к своим персональным данных, содержащихся в соответствующей базе персональных данных;
4) получать не позже, чем за тридцать календарных дней с дня поступления запроса, кроме случаев, предусмотренных законом, ответ о том, сохраняются ли его персональные данные в соответствующей базе персональных данных, а также получать содержание его персональных данных, которые сохраняются;
5) предъявлять мотивированное требование с возражением против обработки своих персональных данных органами государственной власти, органами местного самоуправления при осуществлении их полномочий, предусмотренных законом;
6) предъявлять мотивированное требование относительно изменения или уничтожения своих персональных данных любыми владельцами и распорядителем этой базы, если эти данные обрабатываются незаконно или являются недостоверными;
7) на защиту своих персональных данных от незаконной обработки и случайной утери, уничтожения, повреждения в связи с умышленным сокрытием, непредоставлением или несвоевременным их предоставлением, а также на защиту от предоставления сведений, которые являются недостоверными или порочат честь, достоинство и деловую репутацию физического лица;
8) обращаться по вопросам защиты своих прав относительно персональных данных в органы государственной власти, органов местного самоуправления, в полномочия которых входит осуществление защиты персональных данных;
9) применять средства правовой защиты в случае нарушения законодательства о защите персональных данных.
За нарушение законодательства в сфере защиты персональных данных предусмотрена административная ответственность.
В частности, за неуведомление или несвоевременное уведомление субъекта персональных данных о его правах в связи с включением его персональных данных в базы персональных данных, цель сбора этих данных и лиц, которым эти данные передаются, предусмотрена ответственность в виде штраф от двухсот до трехсот необлагаемых минимумов доходов граждан и должностных лиц, граждан – субъектов предпринимательской деятельности – от трехсот до четырехсот необлагаемых минимумов граждан.
Неуведомление или несвоевременное уведомление специально уполномоченного центрального органа исполнительной власти по вопросам защиты персональных данных об изменении сведений, которые подаются для государственной регистрации базы персональных данных, – влекут за собой наложение штрафа на граждан от ста до двухсот необлагаемых минимумов доходов граждан и на должностных лиц, граждан – субъектов предпринимательской деятельности – от двухсот до четырехсот необлагаемых минимумов доходов граждан