О защите персональных данных в Украине
Первого января 2011 года в Украине вступил в силу закон №2297-VI "О защите персональных данных”. Многие слышали об этом событии, некоторые знали об открытии регистрации баз ПД в июле этого года, но совсем немногие из тех, кого касается этот закон, поспешили предпринять какие-то конкретные действия. А тем временем с 1-го января 2012 года вступают в силу изменения в административном и уголовном кодексах Украины, определяющие ответственность за несоблюдение соответствующего закона. Далее мы постараемся ответить на самые главные вопросы:
кого это касается? что нужно делать? и что будет, если ничего не сделать?
Кому нужно принимать во внимание закон о защите персональных данных
Любому лицу (физическому или юридическому) Украины, которое владеет какой-либо персональной информацией физических лиц. Закон широко трактует понятие "персональных данных”. В своих разъяснениях служба ЗПД ссылается на Конвенцию Совета Европы и определяет персональные данные как сведения или совокупность сведений о физическом лице, которое может быть конкретно идентифицировано при помощи этих сведений. Таким образом, персональным данными может быть практически любая информация: email, IP-адрес, GPS позиция пользователя. Не говоря уже о таких данных, как ФИО, дата рождения, адрес и телефон. База персональных данных — именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных.
Очевидно, что согласно закону регистрировать свои базы должны владельцы практических любых веб-сайтов, имеющих зарегистрированных пользователей. Сюда же попадают все интернет магазины с их базами покупателей. Но самое интересное, что персональными данными также считается информация о наемных работниках. А значит, зарегистрировать свою базу сотрудников обязана любая украинская компания.
После такого пессимистического начала перейдем к конкретным действиям.
Как обеспечить соблюдение закона о защите персональных данных
Для того, чтобы служба ЗПД не имела к вам вопросов, нужно обеспечить выполнение трех концептуальных пунктов: получить разрешение каждого субъекта персональных данных (например, пользователя) на обработку и использование его ПД, уведомив его о цели сбора этих данных и их обработки, его правах, в связи с включением информации о нем в базу персональных данных, и лиц, которым эти данные передаются; зарегистрировать базу персональных данных в государственном реестре; обеспечить защиту базы персональных данных.
Если говорить о конкретных действиях, то они будут немного различными для разных баз ПД. Выделим два образных случая: веб-сайт и компания, имеющая базу данных сотрудников.
Сайт Для реализации первого пункта вам потребуется модифицировать пользовательское соглашение. Необходимо добавить информацию о правах пользователя (возможно дать ссылку или процитировать статью 8 закона о защите персональных данных), цели обработки ПД, а также пункт "я разрешаю администрации сайта example.com собирать и обрабатывать мои персональные данные. С правами, возникающими в связи с обработкой моих персональных данных, и целями обработки и использования моих персональных данных ознакомлен”.
Компания Нужно принять положения, в которых будут изложены права сотрудников, возникающие в связи с обработкой их ПД, а также цели обработки ПД (пример приказа и положения). Также нужно получить письменное разрешение каждого сотрудника на обработку его ПД (пример).
Регистрация баз ПД будет одинаковой для всех случаев и не должна занять много времени. Мы подготовили необходимый инструмент и подробную инструкцию в нашем блоге.
Кроме этого закон обязывает владельца баз ПД обеспечивать их защиту. Однако выбор конкретных мер и способов защиты возлагается целиком на владельца баз ПД и никак не обозначен. Отметим, что существует проект рекомендаций по обеспечению защиты баз ПД, и в будущем этот вопрос будет урегулирован намного точнее.
Какая ответственность предусмотрена за несоблюдение закона о защите персональных данных
Процитируем Кодекс Украины об административных правонарушениях. Необлагаемый минимум доходов граждан составляет 17 гривен.
Административная ответственность: неуведомление (несвоевременное уведомление) субъекта персональных данных о его правах в связи с включением его персональных данных в базу, цели сбора данных и лиц, которым эти данные передаются – штраф до 300 НМДГ для граждан и от 300 до 400 – для должностных лиц и СПД; неуведомление (несвоевременное уведомление) специально уполномоченного органа по вопросам защиты ПД об изменении ведомостей, которые подаются для государственной регистрации базы персональных данных – штраф от 100 до 200 НМДГ для граждан и от 200 до 400 НМДГ – для должностных лиц и СПД; уклонение от регистрации базы персональных данных – штраф от 300 до 500 НМДГ для граждан и от 500 до 1000 НМДГ – для должностных лиц и СПД; несоблюдение установленного законодательством порядка защиты базы ПД, которое повлекло к незаконному доступу к ПД – от 300 до 1000 НМДГ; невыполнение законных требований должностных лиц специально уполномоченного органа по вопросам защиты ПД – штраф от 100 до 200 НМДГ. Также существует уголовная ответственность за незаконный сбор, хранение, использование, уничтожение и распространение конфиденциальной информации (согласно ст.182 УК Украины), но мы искренне надеемся, что до этого дело не дойдет.
Составление протоколов о нарушениях в сфере защиты персональных данных возложено на уполномоченный орган – Государственную службу по вопросам защиты персональных данных. Привлекать к ответственности и принимать решение о взыскании штрафа уполномочены местные суды.
Особые случаи
Закон не распространяет свое действие в следующих случаях: если база используется физическим лицом для личных непрофессиональных нужд; если база используется физическим лицом для бытовых нужд; если база используется журналистом для исполнения его должностных обязанностей; если база используется творческим работником для осуществления его творческой деятельности.
Поэтому, если вы ведете личный блог и у вас есть база данных подписчиков, то регистрировать ничего не нужно.
|
|