Обробка персональних даних фізичних осіб

Останнім часом тема використання і захисту персональних даних фізичних осіб набула особливої ​​актуальності. Як відомо, не так давно Україна ратифікувала Конвенцію Ради Європи про захист осіб у зв'язку з автоматизованою обробкою персональних даних та Додатковий протокол до цієї Конвенції щодо органів нагляду та транскордонних потоків даних.

Виконуючи взяті зобов'язання, з метою адаптації українського законодавства до міжнародних норм, 1 червня 2010 року Верховна Рада України прийняла Закон України «Про захист персональних даних» № 2297-VI (далі - Закон № 2297-VI). Цей Закон набрав чинності з 1 січня 2011 року і практично відразу ж стали формуватися державні органи, які уповноважені здійснювати реєстраційні процедури та контроль у цій сфері. На даний момент такі повноваження отримала Державна служба України з питань захисту персональних даних (далі - Служба). До функцій Служби відносяться реєстрація баз персональних даних, ведення Державного реєстру баз персональних даних, а також контроль в даній сфері. З початку липня 2011 року Служба розпочала активну діяльність.

Бази персональних даних фізичних осіб в медичних і оздоровчих установах, аптеках і салонах краси, готелів, а також інших суб'єктів господарювання

Відповідно до чинного законодавства персональними даними є будь-яка інформація про фізичну особу, яка дозволяє його ідентифікувати, зокрема про: імені, дату і місце народження, місце роботи і проживання, освіту і т.д. Персональними даними також можуть бути відомості про: національність, освіту, сімейний стан, релігійність, стан здоров'я та ін. Крім того, згідно з рішенням Конституційного Суду України від 30 жовтня 1997 № 5-зп до персональних даних також відносяться дані про майновий стан і медична інформація (інформація про стан здоров'я, в т.ч. з історії хвороби).

Відповідно до Закону № 2297-VI об'єктами захисту є лише ті персональні дані, які обробляються і вносяться в базу персональних даних.

Статтею 2 зазначеного Закону визначено, що база персональних даних - це іменована сукупність упорядкованих персональних даних в електронному вигляді та / або в вигляді картотек персональних даних. Тому бази пацієнтів і медичні картки останніх в медичних і оздоровчих установах і у приватнопрактикуючих лікарів, бази і картки клієнтів салонів краси, аптек і інші подібні клієнтські бази інших суб'єктів господарювання є базами персональних даних. Причому, слід зазначити, що як мінімум одна база персональних даних фізичних осіб є у кожного роботодавця. Це база найманих працівників, яка формується при оформленні їх кадрових справ.

Говорячи про базах персональних даних, виникає питання про те, з якого мінімальної кількості осіб може складатися База персональних даних. Відповідаючи на це питання необхідно враховувати два важливих моменти. По-перше, база персональних даних - це сукупність відомостей про фізичних осіб. Тобто, формально це можуть бути відомості навіть про двох фізичних осіб. По-друге, персональні дані навіть однієї фізичної особи вже повинні охоронятися. Тому фахівці Служби радять реєструвати Бази персональних даних, починаючи з появи першої особи в цій базі. Найближчим часом планується внести зміни в Закон № 2297-VI, відповідно до яких юридичні особи та фізичні особи-підприємці повинні будуть реєструвати Бази персональних даних ще до створення такої бази і внесення перших даних.

Баз персональних даних на одному підприємстві або в організації може бути кілька. Нерідко одні й ті ж дані дублюються в електронному та паперовому вигляді (наприклад, картотека). Однак, якщо мета обробки відомостей, які обробляються в електронному вигляді і у вигляді картотек, одна і та ж, то це і буде одна база даних. Просто спосіб обробки даних в даному випадку змішаний.

Власниками бази персональних даних є фізичні або юридичні особи, яким законом або за згодою суб'єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки даних в цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не встановлено Законом.

Відповідно до Закону № 2297-VI всі суб'єкти, які обробляють, вносять в бази або використовують персональні дані фізичних осіб, повинні реєструвати такі бази персональних даних в установленому законом порядку.

Процедура реєстрації бази персональних даних

Існуюча сьогодні процедура реєстрації баз персональних даних не передбачає передачу в спеціально уповноважений державний орган (Службу) персональних даних фізичних осіб, які були передані останніми тим чи іншим підприємствам, організаціям або фізичним особам. Фактично в Службу передаються лише загальні дані про таку базу (картотеці) зокрема інформація про: мету збору інформації, передбачувану кількість осіб, які надали (або можуть надати в майбутньому) таку інформацію, яким чином персональна інформація буде зберігатися, чи може вона передаватися третім особам і ін. Такі відомості вказуються в заяві встановленого зразка. Форма такої заяви передбачає досить докладну інформацію не тільки про саму базі, але і про осіб, відповідальних за збір, обробку, зберігання і видачу таких даних.

Зареєструвати базу персональних даних можна як особисто, так і через представника (документи необхідно подавати безпосередньо в Службу, яка знаходитися в м.Києві). На перший погляд, процедура не складна, проте вже сьогодні близько 20% заявників вже отримали відмову в реєстрації баз персональних даних. Відправка заяв на реєстрацію БПД можлива і по пошті, в т.ч. заказним листом.

Державний контроль за дотриманням норм законодавства про захист персональних даних

Відповідно до Закону № 2297-VI спеціально уповноваженим державним органом з питань захисту персональних даних фізичних осіб є саме Державна служба України з питань захисту персональних даних. Указом Президента України від 6 квітня 2011 року № 390/2011 було затверджено Положення про Державну службу України з питань захисту персональних даних (далі - Положення). Відповідно до Положення діяльність Служби спрямовується і координується Кабінетом Міністрів України через міністра юстиції України. Як уже згадувалося, в число повноважень Служби входить і контроль над дотриманням вимог відповідного законодавства щодо захисту персональних даних.

У складі Служби уже діє Відділ контролю над дотриманням законодавства про захист персональних даних (далі - Відділ контролю). Це підрозділ уповноважене проводити планові та позапланові перевірки підприємств, організацій, фізичних осіб-підприємців і по їх результатами давати приписи про усунення порушень, а також накладати штрафні санкції на порушників.

З 1 липня 2012 року повноваження у Відділу контролю істотно розширені, а до порушників будуть застосовуватися санкції як адміністративного, так і кримінального характеру.

Юридична відповідальність за порушення законодавства у сфері захисту персональних даних

Яке ж покарання чекає порушників законодавства про захист персональних даних фізичних осіб? Відповідь на це питання зазначений в Законі України «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» від 02.06.2011 р № 3454-VI. Даний закон встановив досить серйозні санкції адміністративної та кримінальної відповідальності, які вказані в нових статтях Кодексу України про адміністративні правопорушення (188-39 і 188-40 КУпАП) і в зміненій ст. 182 Кримінального кодексу України (далі - КК України).

13 січня 2012 року Верховною Радою України був прийнятий новий Закон, яким вступ в силу норм про відповідальності за порушення законодавства про захист персональних даних було перенесено на 1 липня 2012. З цієї дати в Україні вже застосовуються санкції за правопорушення та злочини, пов'язані з персональними даними фізичних осіб.

Відповідно до ст. 188-39 КУпАП неповідомлення або несвоєчасне повідомлення суб'єкта персональних даних про його права у зв'язку із включенням його персональних даних до бази персональних даних, або цілі збору цих даних та осіб, яким ці дані передаються, - тягнуть за собою накладення штрафу на посадових осіб, громадян -суб'єкта підприємницької діяльності - від трьохсот до чотирьохсот (від 5100 грн. до 6800 грн.) неоподатковуваних мінімумів доходів громадян (НМДГ). Тобто, фізична особа повинна ОБОВ'ЯЗКОВО підписати письмову згоду на включення обробку його даних в базу. Причому в медустанові або салоні це стосується не тільки пацієнтів (клієнтів), але і найнятих працівників підприємства, організації або фізичної особи-підприємця, якщо вони працевлаштовані після 1 січня 2011 року.

Ухилення від державної реєстрації бази персональних даних - тягне за собою накладення штрафу на посадових осіб, громадян-суб'єктів підприємницької діяльності - від п'ятисот до тисячі НМДГ (від 8500 до 17000 грн.).

Недотримання встановленого законодавством порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них, тягне за собою накладення штрафу від трьохсот до тисячі НМДГ (від 5100 до 17000 грн.).

Стаття 182 КК України передбачає кримінальну відповідальність, в т.ч. санкції у вигляді обмеження або позбавлення волі за незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу.

З огляду на настільки серйозні санкції суб'єктам господарювання всіх форм власності рекомендується обов'язково зареєструвати бази персональних даних. Причому слід пам'ятати, що на підприємстві може бути кілька таких баз.

Як правильно організувати роботу з персональними даними фізичних осіб на підприємстві або в організації

Якщо на підприємстві або в організації збираються і обробляються персональні дані фізичних осіб, то вони зобов'язані дотримуватися вимог, зазначені в Законі № 2297-VI. Для цього необхідно не тільки зареєструвати базу персональних даних. Ще до реєстрації бази необхідно встановити мету обробки вхідних в неї даних, призначити відповідальну особу, на яке покласти обов'язки щодо забезпечення захисту персональних даних, забезпечити отримання в письмовій формі згоди від фізичних осіб на обробку їх персональних даних. Поки нормативно чітко не встановлені вимоги до таких процедур, кожен суб'єкт самостійно визначає, що саме потрібно зробити для того, щоб привести свої бази персональних даних у відповідність до чинного законодавства.

Стаття 24 Закону № 2297-VI визначає, що держава гарантує захист персональних даних. Всі суб'єкти правовідносин, пов'язаних із персональними даними, зобов'язані забезпечити захист таких даних від незаконної обробки, а також від незаконного доступу до них. Причому забезпечення захисту таких даних в базі персональних даних покладається на власника цієї бази.

Фахівці Служби для забезпечення захисту на підприємстві (в організації) персональних даних рекомендують оформити ряд документів, зокрема таких як: Положення про бази персональних даних, Наказ про створення Бази персональних даних, Наказ про призначення відповідальної особи, Посадову інструкцію відповідальної особи, Положення про конфіденційну інформації, Угода про нерозголошення конфіденційної інформації та ін.

Якщо Вам необхідна допомога з оформлення і подачі заяви про реєстрацію Баз персональних даних, розробці пакету необхідних документів щодо їх захисту або Ви хочете отримати кваліфіковану консультацію, - звертайтеся до фахівців ЮК "Центру медичного і фармацевтичного права".

Тел .: +380 50 691 85 76; + 380 (44) 585 06 31 - Центральний офіс в Києві

Якщо ви не змогли додзвонитися, заповніть, будь ласка, форму зворотного зв'язку:

ЗВЕРНІТЬ УВАГУ!

ЮК "Центр медичного та фармацевтичного права" НЕ Є підрозділом або представником Державної служби України з питань захисту персональних даних або пов'язаним будь-яким способом з нею обличчям! Ми пропонуємо платні юридичні послуги по правильному оформленню та подачі заяви на реєстрацію БПД і консультації. Тому ми не беремо на себе зобов'язання щодо прискорення отримання бланка Свідоцтва про реєстрацію БПД!

ДО ВІДОМА!

У 5 номері журналу «Медична практика: організаційні та правові аспекти» було надруковано ексклюзивне інтерв'ю з Головою Державної служби України з питань захисту персональних даних Олексієм Мервінського, в якому розказано про основні положення Закону № 2297-VI та особливості діяльності органу, який він очолює.

В даний час Державна служба в зв'язку з величезною кількістю поданих заявок значно затримує терміни оформлення Свідоцтв. Поки ще не видані Свідоцтва за заявками, поданими в грудні 2011 г.

Читайте також