Советы юриста: Нужно создавать базы персональных данных в соответствии с Законом № 2297, с какой целью и в каком порядке?

0
298
0
0

Согласно ст. 1 Закона Украины «О защите персональных данных» от 01.06.2010 г. № 2297-VI (далее — Закон № 2297) этот Закон регулирует отношения, связанные с защитой персональных данных при их обработке. При этом объектами защиты являются персональные данные, которые обрабатываются в базах персональных данных ( в. 5 ).Как видим, речь идет не о персональных данных в целом, имеющиеся в распоряжении владельца таких данных, а лишь о тех, которые попали в базу персональных данных.

Согласно ст. 2 Закона № 2297 база персональных данных — это именованная совокупность упорядоченных персональных данных в электронной форме и / или в форме картотек персональных данных.

То есть наличие у предприятия других персональных данных — это еще недостаточный критерий для признания их как базы данных, нужно, чтобы эти данные были упорядочены в именуемую совокупность (кстати, наличие трудовых книжек, еще не является картотекой без ведения их реестра по установленным правилам ). По этому поводу будет уместным обратить внимание на п. 10 в. 6 Закона № 2297 , согласно которому типичный порядок обработки персональных данных в базах персональных данных утверждается уполномоченным государственным органом по вопросам защиты персональных данных. На сегодня таким органом является Государственная служба Украины по вопросам защиты персональных данных, созданная Указом Президента от 06.04.2011 г. № 390/2011 . Ею был разработан проект Типового порядка обработки персональных данных в базах персональных данных, который был представлен на утверждение Минюста 23.05.2011 г., но до сих пор не утвержден. Таким образом, по нашему мнению, это является первой преградой на пути обязательного создания и регистрации баз персональных данных.

Второй преградой является отсутствие четкой цели создания базы персональных данных.

Начинать обрабатывать персональные данные (создавать базу, которая требует регистрации), которые есть в распоряжении владельца таких данных, нужно с четко определенной целью. Статьей 6 Закона № 2297 установлено, что цель обработки персональных данных должна быть сформулирована в законах, других нормативно-правовых актах , положениях, учредительных или иных документах, регулирующих деятельность владельца базы персональных данных, и соответствовать законодательству о защите персональных данных. При этом состав и содержание персональных данных должны быть соответствующими и ненадмирнимы относительно определенной цели их обработки. На данный момент ни один законодательный документ (кроме проекта Типового порядка обработки персональных данных в базах персональных данных) четко не устанавливает таких целей. А это означает отсутствие обязанности по созданию такой базы (но и не лишает права ее добровольной регистрации).

Приведем пример. В ст. 24 КЗоТ говорится о том, что при заключении трудового договора гражданин обязан предоставить паспорт или другой документ, удостоверяющий личность, трудовую книжку, а в случаях, предусмотренных законодательством, — также документ об образовании (специальности, квалификации), о состоянии здоровья я и другие документы. Заключенный в письменной форме трудовой договор должен быть зарегистрирован в государственной службе занятости в определенном порядке.

При этом в данной статье не содержится ни единого намека на то, что полученные работодателем персональные данные, для определенной цели или с согласия работника требуют обработки или регистрации в установленном законодательством порядке.

И последнее, на что хотелось бы обратить внимание, — права субъекта персональных данных (физического лица, в отношении которого в соответствии с законом осуществляется обработка ее персональных данных).

Такие права прежде закрепленные в Конституции Украины , согласно ст. 32 которой не допускается сбор , хранение , использование и распространение конфиденциальной информации о лице без его согласия, кроме случаев, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека. Каждому гарантируется судебная защита права опровергать недостоверную информацию о себе и членах своей семьи и права требовать изъятия любой информации, а также право на возмещение материального и морального вреда, причиненного сбором, хранением, использованием и распространением такой недостоверной информации. Таким образом, включение предоставленных физическим лицом персональных данных к любой базе без его согласия может быть расценено как нарушение прав такого лица.

Кроме того, согласно нормам Закона № 2297 объем персональных данных, которые могут быть включены в базу персональных данных, определяется условиями согласия субъекта персональных данных или в соответствии с законом. Не допускается обработка данных о физическом лице без его согласия, кроме случаев, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека. Обрабатывать персональные данные без согласия субъекта персональных данных можно, если обработка персональных данных необходима для защиты жизненно важных интересов субъекта персональных данных.Согласно ст. 8 Закона № 2297 субъект персональных данных имеет полное право (например, со ссылкой на ст. 32 Конституции ) отказаться от оброки данных о нем для целей Закона № 2297 , что также делает невозможным создание и регистрацию базы персональных данных.

Но в случае если вы все же решили добровольно, в каком порядке и с какой целью, создать и зарегистрировать свою базу персональных данных, не забывайте о новой ст.188 39 КоАП , которая предусматривает ряд штрафных санкций за нарушения в сфере защиты персональных данных и которая начнет действовать с 01.01.2012 г.

Таким образом, в случае регистрации базы персональных данных, на момент проверки Госслужбой по защите персональных данных владелец такой базы должны иметь согласие от каждого субъекта защиты персональных данных.

Кроме того, нельзя забывать и об ответственности за несвоевременное сообщение об изменениях сведений в зарегистрированной базе. А о том, что вновь Госслужба собирается пристально выполнять свои обязанности, свидетельствует план проверок, размещенный на ее сайте.

 http://search.ligazakon.ua/l_doc2.nsf/link1/DG110665.html