Я забув пароль Зареєструватись

Спасите, помогите... Новый закон Про захист персональних даних RSS

HONDA Право

Добавить в Facebook Добавить в Twitter
#1311454»10-11-2011 14:17Регистрация баз персональных данных физических лиц
+0
В последнее время тема использования и защиты персональных данных физических лиц приобрела особую актуальность. Как известно, не так давно Украина ратифицировала Конвенцию Совета Европы о защите лиц в связи с автоматизированной обработкой персональных данных и Дополнительный протокол к этой Конвенции относительно органов надзора и трансграничных потоков данных.
 
  Выполняя принятые обязательства, с целью адаптации украинского законодательства к международным нормам, 1 июня 2010 года Верховная Рада Украины приняла Закон Украины «О защите персональных данных» № 2297-VI (далее – Закон № 2297-VI). Данный Закон вступил в силу с 1 января 2011 года и практически с этого момента стали формироваться государственные органы, которые уполномочены осуществлять регистрационные процедуры и контроль в данной сфере. В настоящий момент такие полномочия получила Государственная служба Украины по вопросам защиты персональных данных (далее – Служба). К функциям Службы относятся регистрация баз персональных данных, ведение Государственного реестра баз персональных данных, а также контроль в данной сфере. С начала июля этого года Служба начала активную деятельность.
 
  Базы персональных данных физических лиц
 
  В соответствии с действующим законодательством персональными данными является любая информация о физическом лице, которая позволяет его идентифицировать, в частности об: имени, дате и месте рождения, месте работы и проживания, образовании и т.д. Персональными данными также могут быть сведения о: национальности, образовании, семейном положении, религиозности, состоянии здоровья и др.
 
  В соответствии с Законом № 2297-VI объектами защиты являются лишь те персональные данные, которые обрабатываются и вносятся в базу персональных данных.
 
  Статьей 2 указанного Закона определено, что база персональных данных — это именуемая совокупность упорядоченных персональных данных в электронном виде и/или в виде картотек персональных данных. Следует отметить, что как минимум одна база персональных данных физических лиц есть у каждого работодателя. Это база наемных работников, которая формируется при оформлении их кадровых дел.
 
  Говоря о базах персональных данных, возникает вопрос о том, из какого минимального количества лиц может состоять База персональных данных. Отвечая на этот вопрос необходимо учитывать два важных момента. Во-первых, база персональных данных – это совокупность сведений о физических лицах. То есть, формально это могут быть сведения даже о двух физических лицах. Во-вторых, персональные данные даже одного физического лица уже должны охраняться. Поэтому специалисты Службы советуют регистрировать Базы персональных данных, начиная с появления первого лица в этой базе. В ближайшее время планируется внести изменения в Закон № 2297-VI, в соответствии с которыми юридические лица и физические лица–предприниматели должны будут регистрировать Базы персональных данных еще до создания такой базы и внесения первых данных.
 
  Баз персональных данных на одном предприятии или в организации может быть несколько. Нередко одни и те же данные дублируются в электронном и бумажном виде (например, картотека). Однако, если цель обработки сведений, которые обрабатываются в электронном виде и в виде картотек, одна и та же, то это и будет одна база данных. Просто способ обработки данных в данном случае смешанный.
 
  Владельцами базы персональных данных являются физические или юридические лица, которым законом или по согласию субъекта персональных данных предоставлено право на обработку этих данных, которое утверждает цель обработки данных в этой базе данных, устанавливает состав этих данных и процедуры их обработки, если иное не установлено законом.
  В соответствии с Законом № 2297-VI все субъекты, которые обрабатывают, вносят в базы или используют персональные данные физических лиц, должны регистрировать такие базы персональных данных в установленном законом порядке.
 
  Процедура регистрации базы персональных данных
 
  Существующая сегодня процедура регистрации баз персональных данных не предполагает передачу в специально уполномоченный государственный орган (Службу) персональных данных физических лиц, которые были переданы последними тем или иным предприятиям, организациям или физическим лицам. Фактически в Службу передаются лишь общие данные о такой базе (картотеке) в частности информация о: цели сбора информации, предполагаемом количестве лиц, которые предоставили (или могут предоставить в будущем) такую информацию, каким образом персональная информация будет храниться, может ли она передаваться третьим лицам и др. Такие сведения указываются в заявлении установленного образца. Форма такого заявления предполагает довольно подробную информацию не только о самой базе, но и о лицах, ответственных за сбор, обработку, хранение и выдачу таких данных.
 
  Зарегистрировать базу персональных данных можно как лично, так и через представителя (документы необходимо подавать непосредственно в Службу, которая находиться в г. Киеве). На первый взгляд, процедура не сложная, однако уже сегодня около 20% заявителей уже получили отказ в регистрации баз персональных данных.
 
  Государственный контроль над соблюдением норм законодательства о защите персональных данных
 
  В соответствии с Законом № 2297-VI специально уполномоченным государственным органом по вопросам защиты персональных данных физических лиц является именно Государственная служба Украины по вопросам защиты персональных данных. Указом Президента Украины от 6 апреля 2011 года № 390/2011 было утверждено Положение о Государственной службе Украины по вопросам защиты персональных данных (далее — Положение). В соответствии с Положением деятельность Службы направляется и координируется Кабинетом Министров Украины через министра юстиции Украины. Как уже упоминалось, в число полномочий Службы входит и контроль над соблюдением требований соответствующего законодательства по защите персональных данных.
  В составе Службы уже действует Отдел контроля над соблюдением законодательства о защите персональных данных (далее – Отдел контроля). Это подразделение уполномочено проводить плановые и внеплановые проверки предприятий, организаций, физических лиц-предпринимателей и по их результатами давать предписания об устранении нарушений, а также налагать штрафные санкции на нарушителей.
 
  Пока (до 1 января 2012 года) Отдел контроля может лишь реагировать на жалобы граждан в случае их поступления, то есть проводить внеплановые проверки. В случае выявленных нарушений составляются предписания, обязательные для исполнения, а материалы проверки могут быть преданы и в прокуратуру. Следует отметить, что сегодня полномочия Отдела контроля еще не полностью определены. В сентябре – октябре 2011 года должен быть утвержден Порядок проведения проверок, в котором будет определены их периодичность, основания, процедура проведения и полномочия должностных лиц органа контроля. С 1 января 2012 года полномочия у Отдела контроля будут существенно расширены, а к нарушителям будут применяться санкции как административного, так и уголовного характера.
 
  В начале июля 2011 года Служба уже осуществила проверку в одном из известных торговых центров г. Киева, по результатам которой было оформлено предписание
 
  Юридическая ответственность за нарушения законодательства в сфере защиты персональных данных
 
  Какое же наказание ожидает нарушителей законодательства о защите персональных данных физических лиц? Ответ на этот вопрос указан в Законе Украины «О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных» от 02.06.2011 г. № 3454-VI. Данный закон установил довольно серьезные санкции административной и уголовной ответственности, которые указаны в новых статьях Кодекса Украины об административной ответственности (188-39 и 188-40 КоАП) и в измененной ст. 182 Уголовного кодекса Украины (далее – УК Украины).
 
  В соответствии со ст. 188-39 КоАП несообщение или несвоевременное сообщение субъекту персональных данных об его правах в связи с включением его персональных данных в базу персональных данных, или цели сбора этих данных и лиц, которым эти данные передаются, – влекут за собой наложение штрафа на должностные лица, граждан-субъектов предпринимательской деятельности – от трехсот до четырехсот (от 5100 грн. до 6800 грн.) необлагаемых минимумов доходов граждан (НМДГ). То есть, физическое лицо должно ОБЯЗАТЕЛЬНО подписать письменное согласие на включение обработку его данных в базу. Причем в медучреждении или салоне это касается не только пациентов (клиентов), но и нанятых сотрудников предприятия, организации или физического лица-предпринимателя, если они трудоустроены после 1 января 2011 года.
 
  Уклонение от государственной регистрации базы персональных данных – влечет за собой наложение штрафа на должностные лица, граждан-субъектов предпринимательской деятельности – от пятисот до тысячи НМДГ (от 8500 до 17000 грн.).
  Несоблюдение установленного законодательством порядка защиты персональных данных в базе персональных данных, которое привело к незаконному доступу к ним, влечет за собой наложение штрафа от трехсот до тысячи НМДГ (от 5100 до 17000 грн.).
 
  Статья 182 УК Украины предусматривает уголовную ответственность, в т.ч. санкции в виде ограничения или лишения свободы за незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о личности.
  Учитывая столь серьезные санкции субъектам хозяйствования всех форм собственности рекомендуется обязательно зарегистрировать до 1 января 2012 года базы персональных данных. Причем следует помнить, что на предприятии может быть несколько таких баз.
 
  Как правильно организовать работу с персональными данными физических лиц на предприятии или в организации
 
  Если на предприятии или в организации собираются и обрабатываются персональные данные физических лиц, то они обязаны соблюдать требования, указанные в Законе № 2297-VI. Для этого необходимо не только зарегистрировать базу персональных данных. Еще до регистрации базы необходимо установить цель обработки входящих в нее данных, назначить ответственное лицо, на которое возложить обязанности относительно обеспечения защиты персональных данных, обеспечить получение в письменной форме согласия от физических лиц на обработку их персональных данных. Пока нормативно четко не установлены требования к таким процедурам, каждый субъект самостоятельно определяет, что именно нужно сделать для того, чтобы привести свои базы персональных данных в соответствие с действующим законодательством.
 
  Статья 24 Закона № 2297-VI определяет, что государство гарантирует защиту персональных данных. Все субъекты правоотношений, связанных с персональными данными, обязаны обеспечить защиту таких данных от незаконной обработки, и также от незаконного доступа к ним. Причем обеспечение защиты таких данных в базе персональных данных полагается на владельца этой базы.
  Специалисты Службы для обеспечения защиты на предприятии (в организации) персональных данных рекомендуют оформить ряд документов, в частности таких как: Положение о базах персональных данных, Приказ о создании Базы персональных данных, Приказ о назначении ответственного лица, Должностную инструкцию ответственного лица, Положение о конфиденциальной информации, Соглашение о неразглашении конфиденциальной информации и др.

http://www.zpd.gov.ua/

Кто-то уже подавал заявление о регистрации? Много там народу?
Секрет безопасного вождения: "Представьте, что права вы забыли дома..."
#1311481»10-11-2011 14:47Спасите, помогите... Новый закон Про захист персональних даних
+0
почтой народ подает
можно мылом с использованием цифровой подписи

очень информативная тема об этом гребаном законе и его реализации тут:
http://forum.liga.net/Messages.asp?did=179733&page=8

Added after 1 minutes:

у меня, кста, вопрос к знатокам, если таковые имеются: каким образом происходит ТЕХНИЧЕСКАЯ защита БПД их владельцем? это что - кодировка, паролирование? Я пока не нашла ответа на этот вопрос...
Ой, всё


Редаговано: Satirka (10-11-2011 16:08)
#1311548»10-11-2011 15:36Спасите, помогите... Новый закон Про захист персональних даних
+0
Satirka, защита - она разная, в т.ч.ограничение физического доступа к оборудованию, где БД располагается,
шифрование носителей на случай спи.. выкрадення оборудования, ограничение доступа через сеть, защита от взлома ПО и операционок и т.п.
Чёрный кот, перебегающий вам дорогу, означает, что животное всего лишь спешит куда-то по своим делам. Не усложняйте.
#1311554»10-11-2011 15:44Спасите, помогите... Новый закон Про захист персональних даних
+0
mazy, Мазег, я это понимаю. меня интересует, где в НПА эти способы прописаны

в РФ, например, есть вот такое: http://government.consultant.ru/page.aspx?935367
Ой, всё

#1320029»25-11-2011 17:07Спасите, помогите... Новый закон Про захист персональних даних
+0
Всем привет,

В ближайшие дни нужна консультация по закону
З А К О Н   У К Р А Ї Н И
Про захист персональних даних
http://zpd.gov.ua/R/indexResources.html

Возникло много вопросов и непоняток.
Попадает ли под действие данного закона:
1. Форум (интеренет форум, как например /)
2. Блоги (сайт в интернете)
3. Договора заключенные между юридическими лицами (подшивка)
4. Счета оплат (и счет-фактура)
5. Доверенности на получение материальных ценностей
6. Рабочие почтовый адреса

Также нет в законе четкого перечня по данному определению:
персональні дані  -  відомості  чи  сукупність відомостей про
фізичну  особу,  яка  ідентифікована  або  може   бути   конкретно
ідентифікована;

Если будут еще какие-то мысли по этому поводу, буду только благодарен.

С ув.
o67 56З 2! 45
#1320140»25-11-2011 21:59Спасите, помогите... Новый закон Про захист персональних даних
+0
Юрлица, предприятия под данный закон не попадают.
Блоки/соцсети/etc не попадают т.к. человек заполняет эти данные сам со своего согласия.
Рабочие почтовые адреса по идее тоже не натянуть на данный закон если за адресами числятся не физ.лица.
Для предприятия единственный маразм может быть с кадровым учетом, и если у предприятия клиенты - физ.лица - эти два момента попадают под понятие базы персональных данных.
А вообще в столице сегодня был какой-то слет кадровиков, на котором данный закон обсуждался, наш кадровик был, соответственно все вопросы должен был прояснить. В понедельник надеюсь пелена непонимания будет снята с этого чудо-закона :)

#1320311»26-11-2011 17:10Спасите, помогите... Новый закон Про захист персональних даних
+0
Drey, не попадают согласно чего? Как юридически это обосновать?  Shock
o67 56З 2! 45
#1320317»26-11-2011 17:30Спасите, помогите... Новый закон Про захист персональних даних
+0
CRZ:Drey, не попадают согласно чего? Как юридически это обосновать?  Shock

В законе написано:
персональні дані  -  відомості  чи  сукупність відомостей про
фізичну  особу
,  яка  ідентифікована  або  може   бути   конкретно
ідентифікована;

Соответственно есть шанс что на:
3. Договора заключенные между юридическими лицами (подшивка)
4. Счета оплат (и счет-фактура)
5. Доверенности на получение материальных ценностей
6. Рабочие почтовый адреса

не распространяется действие данного чудо-закона, т.е. все эти пункты не есть базы персональных данных.
Более конкретно смогу узнать (да и осознать, т.к. самого интересует данный вопрос) уже с понедельника по возвращению кадровика из командировки :)

#1320353»26-11-2011 19:19Спасите, помогите... Новый закон Про захист персональних даних
+0
Drey, спасибо, буду очень ждать. Нужны разъяснения, так как этот закон настолько сырой, что придут с проверкой и смогут придраться к любой информации. (к примеру визитные карточки других людей собранные в одном месте также подпадают под этот закон, придется сжечь) Laughing
o67 56З 2! 45
#1320376»26-11-2011 19:49Спасите, помогите... Новый закон Про захист персональних даних
+0
закон - полное гуано. законодавець даже не сделал попытки адаптировать его для наших реалий

советы практикующих можно читать тут: http://forum.liga.net/Messages.asp?did=179733&page=8

на сайте уполномоченного органа, кстати, дают официальные разъяснения, а некоторым счастливчикам даже отвечают на письма
Ой, всё
#1320661»27-11-2011 17:45Спасите, помогите... Новый закон Про захист персональних даних
+0
Satirka:на сайте уполномоченного органа, кстати, дают официальные разъяснения, а некоторым счастливчикам даже отвечают на письма


Кроме того, там есть перечень предприятий, на которые придет плановая проверка.
Воробьиная, кромешная, пронзительная, хищная, отчаянная стая голосит во мне

#1320820»28-11-2011 09:52Спасите, помогите... Новый закон Про захист персональних даних
+0
Neputin, перечень проверок это хорошо... =) Но все же...  
Satirka, советы и разъяснения не отвечают на мои вопросы  Sad
o67 56З 2! 45
#1320823»28-11-2011 09:57Спасите, помогите... Новый закон Про захист персональних даних
+0
CRZ, в смысле не отвечают? Ты письмо с вопросами отправил, а они не ответили?
Воробьиная, кромешная, пронзительная, хищная, отчаянная стая голосит во мне

#1320837»28-11-2011 10:13Спасите, помогите... Новый закон Про захист персональних даних
+0
Neputin, нет, я про существующие. Письмо только готовлю, хотелось предварительно что-то для себя уяснить.
o67 56З 2! 45
#1320900»28-11-2011 11:47Спасите, помогите... Новый закон Про захист персональних даних
+0
Значиться так, инфа с полей :)
Если в конторе числиться 1 человек, то никаких баз данных регистрировать не нужно. Если два и более то читаем ниже.
Любые документы, которые содержат персональные данные позволяющие идентифицировать личность, подлежать регистрации. Под БД персональных данных попадают договора с частными лицами на оказание каких-либо услуг, договора с предприятиями т.к. там фигурирует "в лице *****", счета акты и т.д., база кадров, короче регистрировать нужно все :) Для себя пока вывели три базы персональных данных :
1. Клиентские договора (работаем в сфере услуг с физ.лицами)
2. БД "Кадры" :) Включает в себя картотеку сотрудников
3. БД "Бухгалтерия", грубо говоря все что ведется в 1С
Как-то так.
Положительный момент во всем этом - никто не знает что и куда подавать регистрировать, как это все делать и зачем, даже непосредственно ответственные за это люди.
Негативный момент - не забываем в каком гос-ве мы живем, этот закон - очень серьезный инструмент для "шмона" бизнеса, раньше не могли подкопаться к БД, сейчас наступит вседозволенность.
Начинаем дружно бояться :)

#1320917»28-11-2011 12:06Спасите, помогите... Новый закон Про захист персональних даних
+0
Drey, спасибо, частично уже хоть что-то есть... Буду ждать ответа на запрос по мылу.

На счет "шмона" и так было понятно. Круче, что штрафы от 8,5 до 17 тыс. грн. (до 1000 не облагаемых минимумов) И скорее всего с этого и начнут, чтобы пополнить бюджет.  Rolling Eyes
o67 56З 2! 45
#1321163»28-11-2011 17:50Спасите, помогите... Новый закон Про захист персональних даних
+0
статья 9 закона - Реєстрація баз персональних даних
уповноважений орган - П О С Т А Н О В А Кабінету Міністрів                 від 25 травня 2011 р. N 616 - Державна служба з питань захисту персональних даних

#1321340»29-11-2011 09:48Спасите, помогите... Новый закон Про захист персональних даних
+0
allCh, и как это мне может помочь?
o67 56З 2! 45
#1321393»29-11-2011 10:41Спасите, помогите... Новый закон Про захист персональних даних
+0
Drey, вопрос к практику: чем отличается БПД Кадры от БПД 1С?
Ой, всё
#1321407»29-11-2011 11:02Спасите, помогите... Новый закон Про захист персональних даних
+0
Satirka, попробую ответить: в 1С есть персональные данные о сотруднике в электронном виде, а Кадры в бумажном (ксерокопии документов), трудовая книжка, т.е. в виде картотек.

Added after 13 minutes:

Кто-то пробовал зарегистрировать БПД через сайт с принменением сертификационных ключе? Вот тут: http://www.zpd.gov.ua/indexPovidomlenya.html
Немогу найти пункты меню на сайте, которые указаны в инструкции...
Секрет безопасного вождения: "Представьте, что права вы забыли дома..."
#1321419»29-11-2011 11:07Спасите, помогите... Новый закон Про захист персональних даних
+0
Баден, в таком случае их не надо регистрировать отдельно с учетом имеющейся практики.
Ой, всё
#1321436»29-11-2011 11:25Спасите, помогите... Новый закон Про захист персональних даних
+0
По большому счету закон написан таким образом что вы можете все свои базы/картотеки содержащие персональные данные - зарегистрировать как 1 базу персональных данных.

CRZ - это к предыдущему посту, где "Положительный момент во всем этом - никто не знает что и куда подавать регистрировать, как это все делать и зачем, даже непосредственно ответственные за это люди."
#1321442»29-11-2011 11:29Спасите, помогите... Новый закон Про захист персональних даних
+0
Satirka, да, конечно.
Вот частично рекомендации, которые дала моя СРО, касающиеся КУА:
2. Перелік баз персональних даних, володільцем яких є «КУА»*

2.1. «КУА» є володільцем наступних баз персональних даних:
• фізичних осіб - власників цінних паперів ІСІ (інвестиційних сертифікатів пайових та акцій корпоративних інвестиційних фондів), активами яких управляє  «КУА» (в електронній формі або у формі картотек) (база персональних даних клієнтів «КУА»);
• фізичних осіб – контрагентів «КУА» при здійсненні господарської діяльності (в електронній формі або у формі картотек);
• персоналу «КУА» (в електронній формі або у формі картотек);
• засновників (учасників, акціонерів) «КУА» та їх пов’язаних осіб (в електронній формі або у формі картотек).

3. Мета обробки персональних даних**

3.1. Метою обробки персональних даних щодо фізичних осіб - власників цінних паперів пайових та корпоративних інвестиційних фондів, активами яких управляє  «КУА» (база персональних даних «Клієнт)», є забезпечення їх ідентифікації відповідно до вимог Закону України «Про  запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом", розміщення та викупу  цінних паперів ІСІ, ведення обліку цінних паперів ІСІ у випадках, передбачених чинним законодавством, отримання власниками доходів за цінними паперами ІСІ та інформації про результати діяльності ІСІ відповідно до Закону України «Про інститути спільного інвестування (пайові та корпоративні інвестиційні фонди)», нормативно-правових актів Національної комісії з цінних паперів та фондового ринку.
3.2. Метою обробки персональних даних фізичних осіб – контрагентів «КУА» (база персональних даних «Контрагент») є забезпечення реалізації (учасників, акціонерів) «КУА» та їх пов’язаних осіб правових, податкових відносин та відносин у сфері бухгалтерського обліку відповідно до Цивільного кодексу України, Господарського Кодексу України, Податкового кодексу України, Закону України «Про бухгалтерський облік та фінансову звітність в Україні», Закону України «Про банки і банківську діяльність», Закону України «Про  запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом".
3.3. Метою обробки персональних даних у  документації  персоналу «КУА»( база персональних даних «Персонал») є забезпечення реалізації трудових відносин, адміністративно – правових, податкових відносин та відносин у сфері бухгалтерського обліку, відносин у сфері управління людськими ресурсами, зокрема кадровим потенціалом відповідно до Кодексу законів про працю України,  Податкового кодексу України, Закону України «Про бухгалтерський облік та фінансову звітність в Україні», Закону України «Про банки і банківську діяльність», Закону України «Про зайнятість населення».
3.4. Метою обробки персональних даних фізичних осіб – (учасників, акціонерів) «КУА» (база персональних даних «Власники») та їх пов’язаних осіб  є забезпечення реалізації адміністративно-правових відносин відповідно до Закону України «Про інститути спільного інвестування (пайові та корпоративні інвестиційні фонди)», Закону України «Про цінні папери та фондовий ринок», нормативно-правових актів Національної комісії з цінних паперів та фондового ринку.

* наведений перелік баз даних може бути розширений або скорочений в залежності від наявної в «КУА» інформації та технології її обробки
** мету обробки персональних даних необхідно визначати для кожної з баз даних, володільцем якої є «КУА»
Секрет безопасного вождения: "Представьте, что права вы забыли дома..."
#1321463»29-11-2011 11:46Спасите, помогите... Новый закон Про захист персональних даних
+0
Баден, СРО - это УАИБ? Ваша КУА - это уже делает? мы еще не начинали. Ксати, а в "сфере" КУА сателитов в виде торговцев, хранителей нет? для них я так понимаю тоже это надо делать...
#1321479»29-11-2011 12:00Спасите, помогите... Новый закон Про захист персональних даних
+0
semvladislav, угу. Уже делаю.
ПАРД (для регистраторов и хранителей) тоже уже сделал у себя http://www.pard.kiev.ua/ (слева есть баннер, заходим туда).
Для торговцев еще нет рекомендаций.
Секрет безопасного вождения: "Представьте, что права вы забыли дома..."


Редаговано: Баден (29-11-2011 12:21)

Форум : HONDA Право