Закон Украины «О защите персональных данных»

Верховная Рада перенесла дату вступления в силу, норм об ответственности за нарушения в сфере защиты персональных данных.

Верховная Рада приняла Закон «О внесении изменений в Заключительные положение Закона Украины «О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных». Законом срок вступления в силу  «О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных» перенесен с 1 января на 1 июля 2012 года. Таким образом, если Президент подпишет Закон и нормы предусматривающие ответственность за нарушение законодательства в сфере защиты персональных данных, в частности — за уклонение от регистрации баз данных, за невыполнение законных требований органа исполнительной власти по вопросам защиты персональных данных относительно устранения нарушений законодательства о защите персональных данных и т.д., будут действовать только с 1 июля 2012 года.

1 июня 2010 года Верховной Радой Украины  был принят Закон Украины «О защите персональных данных», который вступил в силу с 1 января 2011 года. Вместе со вступлением в силу указанного закона, было сформировано новое ведомство с наименованием — Государственная служба Украины по вопросам защиты персональных данных (далее по тексту – Служба). На данную Службу были возложены функции по  регистрации баз персональных данных, ведению Государственного реестра баз персональных данных, а также контроль за соблюдением законодательства в сфере этих правоотношений. Настоящий Закон регулирует отношения, связанные с защитой персональных данных при их обработке.

Прежде всего необходимо отметить, что данный закон имеет ряд недостатков и преимуществ. К преимуществам данного закона,  прежде всего, можно отнести то, что  данный Закон «О защите персональных данных»  предоставил возможность физическому лицу получить информацию о том, в каких именно базах находятся его персональные данные. Это гарантирует осведомленность каждого о том, откуда то или иное учреждение, предприятие или лицо получило ваши персональные данные и с какой целью; появился шанс привлечь к ответственности компании и должностных лиц, которые занимаются сбором данных о физических лицах и продают эту информацию; открывает новые возможности для развития нового направления  бизнеса в нашей стране.  Данный закон призван обеспечить реализацию конституционного права физического лица на неприкосновенность частной жизни.

Основными недостатками закона являются нечеткая формулировка термина «персональные данные», очевидное расширение прав государства и местных органов самоуправления в сфере контроля деятельности юридических лиц и физических лиц – субъектов предпринимательской деятельности в сфере правоотношений, регулируемых законом; закон устанавливает целый ряд обременительных обязательств бизнеса перед субъектами персональных данных; данный закон отдельно не урегулировал деятельность субъектов предпринимательской деятельности занятых в сфере онлайн-сервисов, нотариусов, адвокатов,  аудиторов.

ОСНОВНЫЕ ВОПРОСЫ, КОТОРЫЕ ВОЗНИКАЮТ ПРИ РЕАЛИЗАЦИИ ЗАКОНА УКРАИНЫ «О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ»

•   Какие данные являются персональными?

Согласно статье 2 Закона Украины «О защите персональных данных» от 1 июня 2010 года (далее — Закон) персональные данные — это сведения или совокупность сведений о физическом лице, которые идентифицированы или могут быть конкретно идентифицированы. Существуют персональные данные таких категорий: данные общего характера (фамилия, имя и отчество, дата и место рождения, гражданство, место проживания, личные данные (возраст, пол, семейное положение и т.д.), состав семьи, образование, профессия, финансовая информация, электронные идентификационные данные, запись изображений (фото, видео) и т.п.); уязвимые (чувствительные) персональные данные (расовое или этническое происхождение, политические, религиозные или мировоззренческие убеждения, членство в политических партиях и профессиональных союзах, а также данные, касающиеся здоровья или половой жизни).

Согласно вышеупомянутого Закона, какая-либо  совокупность упорядоченных персональных данных о физическом лице, которая идентифицирована или может быть конкретно идентифицирована считается базой персональных данных. Каждая база персональных данных, подлежит государственной регистрации путем внесения соответствующей записи уполномоченным государственным органом по вопросам защиты персональных данных в Государственный реестр баз персональных данных. Исключений относительно регистрации баз персональных данных Закон не содержит. Владелец самостоятельно принимает решение о том, является ли та или иная совокупность персональных данных физических лиц, которая находится в его владении, базой персональных данных.

•   Надо ли всем юридическим и физическим лицам регистрировать электронную базу, в которой размещены персональные данные наемных работников?

С 01.01.2011 г. действует Закон о защите персональных данных, который обязывает собственников баз персональных данных, регистрировать такие базы в одноименном Госреестре. При этом персональными данными являются сведения только о физлицах. Законом также устанавливается ряд требований и условий относительно формирования и использования баз персональных данных.Тем, кто еще не успел зарегистрировать свои базы и получить соответствующие свидетельства, следует поторопиться, поскольку Госслужба по вопросам защиты персональных данных может рассматривать заявление о регистрации базы до 10 дней. На любом предприятии существует, как минимум, одна база персональных данных – база персональных данных сотрудников, необходимая для обеспечения реализации трудовых отношений, административно-правовых, налоговых отношений, отношений в сфере бухгалтерского учета.  Ее необходимо зарегистрировать до 1 января 2012 года в соответствии с Законом Украины от 01.06.2010г. № 2297-VI «О защите персональных данных».

В зависимости от вида деятельности, субъекты хозяйствования могут являться владельцами и других баз данных, например, учредителей;  покупателей или поставщиков, в том случае, когда они содержат сведения о физических лицах – предпринимателях, либо о представителях юридических лиц (директор, главный бухгалтер).

Данный закон защищает данные только физических лиц. Если Ваша база данных содержит информацию о юридических лицах и не включает персональные данные физических лиц, то такая база данных регистрации не подлежит.

•   Нужно ли предприятиями, учреждениями и организациями получать документированное согласие от физических лиц (наемных работников) в соответствии с ч.5 статьи 6 Закона Украины «О защите персональных данных» для целей обработки документации при осуществлении деятельности?

В соответствии с пунктом 1 статьи 11 Закона Украины «О защите персональных данных» основаниями возникновения права на использование персональных данных являются: согласие субъекта персональных данных на обработку его персональных данных. Субъект персональных данных имеет право при предоставлении согласия внести предостережения относительно ограничения права на обработку своих персональных данных, или разрешение на обработку персональных данных, предоставленный владельцу базы персональных данных в соответствии с законом исключительно для осуществления его полномочий.

Согласно статье 2 Закона, согласием субъекта персональных данных является любое явное, в частности, добровольное письменное волеизъявление физического лица о предоставлении разрешения на обработку его персональных данных в соответствии со сформулированной цели их обработки и учитывая то, что субъект персональных данных имеет право при предоставлении согласия внести предостережения относительно ограничения права на обработку своих персональных данных, Государственная служба Украины по вопросам защиты персональных данных рекомендует считать формами предоставления согласия субъекта персональных данных: документ на бумажном носителе с реквизитами, что дает возможность идентифицировать этот документ и физическое лицо. Добровольное волеизъявление субъекта персональных данных целесообразно подтверждать его подписью; электронный документ, включая обязательные реквизиты документа, позволяющие идентифицировать этот документ и физическое лицо. Добровольное волеизъявление физического лица о предоставлении разрешения на обработку его персональных данных целесообразно подтверждать электронной подписью субъекта персональных данных; отметка на электронной странице документа или в электронном файле, который обрабатывается в информационной системе на основе документированных программно-технических решений, которые, в свою очередь: не позволяют обработку персональных данных до того времени, пока субъект персональных данных не выполнит действия, подтверждающие предоставление им соответствующего согласия;  обеспечивают регистрацию действий субъекта персональных данных и целостность протоколов регистрации таких действий. Согласие относительно предоставления разрешения на обработку персональных данных должно предоставляться в соответствии со сформулированной цели их обработки.

•   Что делать, если юридическое лицо не получило согласие работника на использование персональных данных?

Согласие субъекта персональных данных на обработку его персональных данных повторно не предоставляется, если владелец продолжает обрабатывать персональные данные субъекта, согласно правоотношений на основе свободного волеизъявления физического лица, которые возникли до вступления в силу Закона.
Согласие на обработку персональных данных от работников получать не нужно. В данном случае, сведения о персонале будут обрабатываться на основании разрешения,  предоставленного в соответствии с законом, а именно — ст. 24 Кзот исключительно для осуществления полномочий владельца базы персональных данных в сфере правоотношений, которые возникли у него с работником на основании трудового договора (контракта). Напомним, что в статье 24 Кзот предусмотрено, что гражданин при заключении трудового договора обязан предоставить паспорт или другой документ, удостоверяющий личность, трудовую книжку, а в случаях, предусмотренных законодательством, — также документ об образовании (специальности, квалификации), о состоянии здоровья и другие документы.

Но освобождение от необходимости получения согласия не лишает владельца баз персональных данных от обязанности предоставления работнику уведомление о его правах. Если же работодатель забудет сообщить своему сотруднику о его правах в связи с включением персональных данных работника в базу данных, а также о цели сбора таких данных, то результатом таких действий может стать административный штраф в размере от 300 до 400 не облагаемых налогом минимумов, то есть от 5100 до 6800 грн. (повторно в течение года — 6800-11900 грн.) (ст.18839 Коап)

•   Как юридически грамотно защитить наемного работника и юридические лицо, чтобы выполнить требование Закона о защите персональных данных?

Анализируя заявления о регистрации баз персональных данных, которые поступают на регистрацию в ДСЗПД, можно прийти к выводу, что каждое предприятие (организация) является владельцем как минимум двух баз персональных данных, а именно: а) Базы персональных данных работников, которая ведется с целью обеспечения требований трудового законодательства, реализации налоговых отношений и отношений в сфере бухгалтерского учета и аудита; б) Базы персональных данных клиентов или других лиц, персональные данные которых обрабатываются владельцем в результате хозяйственной деятельности организации.

Кроме того, следует отметить, что различные типы отчетов и форм, содержащих в себе определенную совокупность сведений о физических лиц, выбранных из баз персональных данных владельца, и которые, согласно закону, периодически подаются в органы государственной власти — не рассматриваются как отдельные базы персональных данных.

Согласно Закону Украины «О защите персональных данных» персональными данными являются сведения или совокупность сведений о физическом лице, которая идентифицирована или может быть конкретно идентифицирована.Документация предприятий, учреждений и организаций в электронной форме и/или в форме картотек что содержит определенным образом структурированные персональные данные наемных работников подпадает под определение «база персональных данных» согласно статьи 2 Закона Украины «О защите персональных данных».

Обратите внимание, что на каждую базу персональных данных заполняется отдельное Заявление о регистрации. При регистрации базы данных, Служба защиты баз персональных данных выдает компании Свидетельство о регистрации, где будут включены только основные данные. Перерегистрация предполагается только в случае смены юридического адреса, наименования компании, при этом будет происходить смена Свидетельства. На сегодняшний момент регистрация баз данных является бесплатной. При регистрации баз персональных данных не указывается информация о клиентах, персонале, контрагентах и т.д. В Заявлении на регистрацию юридическое или физическое лицо указывает название базы, местонахождение, ответственного и т.д. — то есть Вы указываете достаточно общую информацию без детализации данных, хранящихся в базе. Базой считается список из двух и более человек. Если у Вас на сегодняшний день существует база с персональными данными (два и более человек), независимо от того ведет предприятие хозяйственную деятельность или нет, то такую базу нужно регистрировать. В случае, если информация в различных базах дублируется, то регистрировать нужно как одну базу. Если же информация разная, в т.ч. частично, то это считается как отдельные базы. В случае, если база данных содержит персональную информацию физических лиц (а именно, сведения или совокупность сведений о физическом лице, которые идентифицируют или могут идентифицировать данное физлицо), например, паспортные данные, ФИО, и т.д., то тогда такая база подлежит регистрации, и способов избежать такой регистрации Законом не предусмотрено.

Согласие должно быть «документированное», в том числе письменное.
В соответствии с абзацем 4 ч. 1 ст. 2 Закона о защите ПД согласием субъекта персональных данных является любое документированное, в том числе письменное, добровольное волеизъявление физического лица о предоставлении разрешения на обработку его персональных данных в соответствии со сформулированной целью их обработки.

Самое правильное решение — оформлять такое согласие отдельным письменным заявлением клиента или работника о его согласии на размещение сведений о нем в любой базе персональных данных. При получении такого заявления от штатного работника или клиента, который периодически приезжает в офис предприятия, трудностей с его написанием не должно возникнуть.

•   Но как быть в том случае, если заказ на поставку товара поступает по электронной почте в системе Интернет, оплата производится на указанный в Интернет-объявлении счет,  а товар доставляется с помощью «Укрпочты»? Или же если имеет место ситуация, когда покупателю выдается кассовый чек,  а письменный договор купли-продажи с ним не заключается?

Возможны и другие похожие обстоятельства. Поэтому относительно документированного оформления согласия клиента на размещение сведений о нем в базе персональных данных предприятия можно рекомендовать следующее:

1. При заключении гражданско-правового договора в письменной форме включить в него пункт такого содержания: «Клиент (заказчик, покупатель) дает согласие на размещение сведений о нем в базе персональных данных предприятия «Х».

2. При выдаче чека или расписки о приобретении продукции указывать в этом документе фразу:«Приобретая товар (продукцию), клиент (заказчик, покупатель) дает согласие на размещение сведений о нем в базе персональных данных предприятия «Х».

3. В правилах предоставления услуг, выполнения работ, правилах торговли упоминать о том, что: «Приобретая товар (продукцию) у предприятия «Х», клиент (заказчик, покупатель) дает согласие на размещение сведений о нем в базе персональных данных предприятия «Х».

4. При заказе товара через Интернет-магазин выслать клиенту (заказчику, покупателю) вместе с товаром бланк заявления о согласии на размещение сведений о нем в базе персональных данных предприятия «Х», также конверт с марками для отправки заявления на обратный адрес предприятия «Х». Возможно, выслать стандартное письмо в адрес клиента с просьбой заполнить это заявление и с разъяснением цели его написания. Однако же в этом случае есть риск того, что клиент не захочет, не найдет времени, не соберется с мыслями, чтобы отправить заполненный бланк заявления в адрес предприятия. В этом случае сведения о нем предприятие не сможет хранить в клиентской базе персональных данных.Согласно проекту, проверки владельцев или держателей баз персональных данных (БПД) традиционно будут разделяться на плановые и внеплановые. Основанием для проведения плановой проверки субъекта предполагают сделать его включение в годовой и квартальный план проверок, который будет утверждаться ГСЗПД и размещаться на её официальном сайте. Предложенным проектом вводится ограничение по количеству плановых проверок — такие проверки будут проводить не чаще одного раза в 5 лет.

К основаниям проведения внеплановой проверки разработчики проекта предложили отнести:

•    получение ГСЗПД судебного решения или постановления следователя (прокурора) о проведении проверки;

•    обращение органов государственной власти о необходимости инициирования ГСЗПД проверки;

•    заявление владельца или распорядителя БПД об инициировании им проверки;

•    непредставление на письменный запрос ГСЗПД в течение десяти рабочих дней со дня его получения проверяемым субъектом (на действия или бездействие которого поступила жалоба о нарушении) объяснений или документального подтверждения отсутствия соответствующих нарушений;

•    выявление недостоверности (вероятной недостоверности) в сведениях, предоставленных субъектом проверки по письменному запросу ГСЗПД, или недостаточность таких сведений для оценки исполнения субъектом проверки требования законодательства;

•    предоставление субъектом проверки ГСЗПД возражения к акту проверки или жалобы на принятое решение, содержащих требования о полном или частичном пересмотре результатов соответствующей проверки или об отмене принятого по ее результатам решения в случае, если имеется ссылка на обстоятельства, которые не были исследованы в ходе проверки, и объективное их рассмотрение невозможно без проведения проверки (такая проверка проводится исключительно по вопросам, ставшим предметом обжалования);

•    окончание срока исполнения субъектом проверки предписания ГСЗПД об устранении нарушений законодательства в сфере защиты персональных данных.

Порядком также определяется процедура проведения проверок, оформления результатов и их рассмотрения.

Закон о внесении изменений в Налоговый кодекс Украины  включает в раздел XIV Налогового кодекса Украины главу 1. Упрощенная система налогообложения, учета и отчетности.

Основные понятия:- упрощенная система налогообложения, учета и отчетности – это особый механизм взимания налогов и сборов, устанавливающий замену уплаты отдельных налогов и сборов, на уплату единого налога в порядке и на условиях, определенных данным Законом, с одновременным ведением упрощенного учета и отчетности. Юридическое лицо или физическое лицо – предприниматель может самостоятельно избрать упрощенную систему налогообложения, если такое лицо соответствует требованиям, установленным главой кодекса, и регистрируется плательщиком единого налога в установленном порядке.