Сайт для бухгалтерів №1 в Україні

Отримуйте
новини поштою!


17.10.12
2596 29 Друкувати

Защита персональных данных: совершенство не имеет границ ...

   Підготовлено експертами Компанії «Дінай», www.dinai.com
   
   2 жовтня 2012 року Верховною радою прийнято зміни до Закону про ЗПД (N 2297-VI від 01.06.2010 р.) - урядовий проект N 10472-1. Закон направлено на підпис Президенту 09.10.2012 р.
   
   Як говориться в офіційному повідомленні на сайті ДСЗПД (zpd.gov.ua), "необхідність прийняття Закону зумовлена низкою суттєвих недоліків, що містяться в чинній редакції Закону про ЗПД, які ускладнюють роботу не тільки переважної більшості підприємств, установ і організацій України, але і державних органів. Закон про ЗПД за майже два роки існування показав свою неефективність та невідповідність сучасним реаліям. Чинний Закон містить положення, які є важко виконуваними для більшості суб’єктів господарювання України, на діяльність яких розповсюджується дія Закону. Завданням цього проекту є вдосконалення існуючих норм Закону України «Про захист персональних даних» з метою усунення очевидних протиріч та послаблення непропорційно важкого тягаря на бізнес в Україні, створеного низкою норм діючої версії закону."
   
   Повністю підтримуємо спостереження Держслужби, але давайте розберемося, чи справді Закон з назвою "Про внесення змін до Закону України "Про захист персональних даних" (щодо удосконалення правового регулювання у цій сфері)" полегшить наше життя.
   
   Після детального вивчення законопроектної бази з питань ЗПД (треба сказати, вона не така вже й обширна) ми виділили два законопроекти, які, на наш погляд, могли б кардинально змінити підхід до захисту персональних даних в Україні, зробивши із Закону про ЗПД не "кару небесну" для підприємств та підприємців, а дійсний інструмент захисту наших з вами прав на невтручання в наше особисте життя. Мова йде про проекти N 9790 та N 10472, авторами яких є депутати ВР.
   
   В першому із згадуваних проектів, наприклад, пропонувалося змінити всього одну статтю –"Сфера застосування Закону" - і все б одразу стало на свої місця: Закон би стосувався лише таких сфер діяльності, де обробляються великі об'єми інформації про персональні дані (фінансова та страхова діяльність, діяльність у сфері інформації та телекомунікації тощо).
   
   Другий проект пропонував багато поліпшень для закону, серед яких – відміна обов’язковості надання письмового повідомлення особі про включення її даних до БПД протягом 10 днів. Адже ми знаємо, що наразі основною проблемою для володільців БПД є навіть не їхня реєстрація, а саме оформлення письмових повідомлень. А також ми пам’ятаємо, що з 01.07.2012 року запрацювала норма, яка дозволяє накладати штраф на посадових осіб, громадян-СПД за неповідомлення або несвоєчасне повідомлення суб’єкта про включення його даних до БПД у розмірі 3400-6800 грн., а якщо таке порушення вчинено повторно протягом року - 6800-11900 грн. (Закон N 3454-VI від 02.06.2011 р.)*.
   
   На превеликий жаль, проекти ці так і залишилися проектами, а прийняла Верховна Рада менш радикальні зміни – законопроект N 10472-1. Є в ньому, звичайно, й позитивні моменти, але розглянемо все по порядку.
   
   1. Дещо підкориговано сферу застосування Закону про ЗПД. Якщо раніше він не розповсюджувався на фізичних осіб, що створювали БПД виключно для непрофесійних особистих чи побутових потреб, то тепер слово "непрофесійних" зникло. Тобто Закон не поширюється на діяльність з обробки персональних даних, яка здійснюється фізичною особою виключно для особистих чи побутових потреб (це, до речі, має зняти ряд питань щодо того, чи є базою даних список контактів у мобільному телефоні або в електронній пошті).
   
   Занепокоєння представників ЗМІ викликало наступне нововведення: в чинній редакції Закону встановлено, що його норми не розповсюджуються на журналістів, які створюють бази даних у зв'язку з виконанням ним службових чи професійних обов'язків, та на професійних творчих працівників, які це роблять для здійснення творчої діяльності.
   
   Змінами ж унесено дуже суттєве обмеження: положення Закону не поширюються на діяльність з обробки персональних даних, яка здійснюється творчим чи літературним працівником, у тому числі журналістом, у професійних цілях, за умови забезпечення балансу між правом на невтручання в особисте життя та правом на самовираження (хто та як буде оцінювати наявність такого балансу?)
   
   2. Змінено тлумачення деяких термінів, а в деяких випадках - і самі терміни. Так, "володілець бази персональних даних" стане "володільцем персональних даних", а "розпорядник бази персональних даних" - "розпорядником персональних даних". Та й узагалі, що стосується саме "БАЗ персональних даних", то визначення цього поняття не змінилося (іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних), а от кількість згадувань про бази по всьому тексту Закону про ЗПД значно зменшиться. Але про це поговоримо далі.
   
   Цікавим є поява нового терміна, необхідність в якому була відчутна із самого початку, а саме – "КАРТОТЕКА". Але сказати, що воно внесло якусь ясність, доволі важко.
   
   Судіть самі: "картотека - це будь-які структуровані персональні дані, доступні за визначеними критеріями, незалежно від того, чи такі дані централізовані, децентралізовані або розділені за функціональними чи географічними принципами".
   
   На нашу думку, це дуже невдале визначення. В офіційних роз’ясненнях, які свого часу давалися Закону про ЗПД, можна було бачити більш зрозумілі пояснення, наприклад:
   
   - картотека персональних даних – систематизоване зібрання паперових носіїв інформації, що містять відомості про фізичних осіб, які є персональними даними;
   
   - картотека персональних даних – сукупність, набір карток носіїв інформації, об’єднаних, систематизованих і розміщених у певному порядку, складові частини якої можуть бути знайдені за певним критерієм пошуку (за алфавітом, темою, строками тощо).
   
   Будь-яке з цих визначень було б більш правильним та логічним. Адже із затвердженого значення терміна не зрозуміло, що картотека складається саме з карток, з паперових носіїв інформації. Таким чином, картотекою можна вважати й електронні бази даних, а це вже просто абсурд...
   
   3. Повернімося до теми БАЗ ПЕРСОНАЛЬНИХ ДАНИХ (БПД).
   
   Проектом передбачається суттєво розширити коло тих даних, які підпадають під захист Закону про ЗПД. Тепер об'єктами захисту будуть ВСІ персональні дані, а не тільки ті, які обробляються в БПД.
   
   Ця зміна доволі неоднозначна... З одного боку, ми, як суб’єкти персональних даних, маємо радіти, що всі наші дані захищатимуться державою.
   
   Але з іншого боку, це збільшує навантаження та ризик для нас, як володільців чиїхось даних. Адже якщо раніше ми несли відповідальність лише за ті дані, що становлять наші БПД, то тепер ми відповідальні за всі персональні дані...
   
   Тобто якщо розуміти оновлений текст Закону буквально, ми маємо слідкувати за дотриманням підстав для обробки всіх даних, а не тільки тих, що входять до існуючих у нас БПД. Також ми маємо повідомляти абсолютно всіх суб’єктів, дані яких так чи інакше опиняються в нас, а не тільки тих, чиї дані потраплять до наших БПД... Але хіба такі зміни спроможні "вдосконалити існуючі норми Закону з метою усунення очевидних протиріч та послаблення непропорційно важкого тягаря на бізнес в Україні."?!?! Таке враження, що наші законотворці самі ще не зовсім зрозуміли, ЩО саме вони прийняли. Варто дочекатися, коли вони самі розберуться в своїх "покращеннях" та нададуть якісь офіційні роз’яснення.
   
   4. Тепер трохи про дійсно позитивні зміни. Володілець персональних даних ЗВІЛЬНЯЄТЬСЯ ВІД ОБОВ'ЯЗКУ РЕЄСТРАЦІЇ баз персональних даних:
   
   - ведення яких пов'язано із забезпеченням та реалізацією трудових відносин;
   
   - членів громадських, релігійних організацій, професійних спілок, а також політичних партій.
   
   Це означає, що з дня набрання чинності новим Законом всі, хто ще не зареєстрував базу даних "Працівники", можуть вже це і не робити. Інше питання: що робити тим, хто цю базу вже зареєстрував (або принаймні подав заяву про реєстрацію)?
   
   Чіткої відповіді в Законі немає (хоча як раз для таких моментів й існує розділ "Прикінцеві та перехідні положення"). Але розмірковуємо логічно: якщо база вже зареєстрована, то ми маємо виконувати правила гри (тобто в нас має бути відповідальна за базу особа, ми мусимо в 10-денний строк після зміни відомостей, що подавалися нами при реєстрації БПД, надіслати в ДСЗПД відповідну заяву, аби уникнути великих штрафів* тощо).
   
   Простіше всього було б анулювати реєстрацію, але подібну процедуру Законом не передбачено. Наприклад, у разі ліквідації підприємства треба повідомити ДСЗПД про припинення функціонування бази персональних даних шляхом надсилання Заяви про внесення змін до відомостей Державного реєстру баз персональних даних, форма якої затверджена наказом Міністерства юстиції N 1824/5 від 08.07.2011 р. При цьому самі дані або підлягають знищенню, або передаються в архів.
   
   Але ж у нашому випадку і підприємство продовжує існувати, і база даних "Працівники" на ньому теж існує, хоча реєстрація такої бази вже не обов’язок, а право.
   
   Тому до офіційних роз’яснень радимо всім, хто вже зареєстрував базу "Працівники", продовжувати організовувати роботу з нею належним чином; тим, хто відправив заяву про реєстрацію, але ще не отримав ніякої відповіді, - те ж саме; а тим, хто отримав відмову в реєстрації – зітхнути з полегшенням та вже ніяких заяв не відсилати (хто б міг подумати, що неправильно заповнена заява може зіграти таку позитивну роль?..)
   
   5. Збільшено перелік підстав для обробки персональних даних з двох (згода та закон) до п’яти:
   
   1) згода суб'єкта персональних даних на обробку його персональних даних;
   
   2) дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень;
   
   3) укладення та виконання правочину (рос. – сделки), стороною якого є суб'єкт персональних даних, або який укладено на користь суб'єкта персональних даних, або для здійснення заходів, які передують укладенню правочину на вимогу суб'єкта персональних даних;
   
   4) захист життєво важливих інтересів суб'єкта персональних даних;
   
   5) необхідність захисту законних інтересів володільців персональних даних, третіх осіб, крім випадків, коли суб'єкт персональних даних вимагає припинити обробку його персональних даних, та потреби захисту персональних даних переважають такий інтерес.
   
   Найбільшої уваги тут заслуговує пункт 3. Нагадаємо, що відповідно до ст. 202 ЦКУ, правочином є дія особи, спрямована на набуття, зміну або припинення цивільних прав та обов'язків. Іншими словами, цей пункт означає, що можна не брати згоду на обробку даних з КОНТРАГЕНТІВ (а це друга за популярністю база даних після "Працівників"), а також із засновників, акціонерів тощо.
   
   До речі, дещо змінилося визначення поняття "згода суб'єкта персональних даних". Тепер це добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про її надання (наприклад, при реєстрації на сайті необхідно проставити позначку навпроти слів "Я надаю згоду на обробку моїх персональних даних", без чого подальша реєстрація неможлива).
   
   6. Поняття ПОВІДОМЛЕННЯ суб'єкта персональних даних, на жаль, із Закону не зникає, але трохи коригується:
   
   - повідомлення має містити інформацію про володільця персональних даних, склад та зміст зібраних персональних даних, права суб'єкта, визначені Законом, мету збору персональних даних та осіб, яким передаються персональні дані;
   
   - робиться повідомлення у момент збору персональних даних - якщо отримується згода суб’єкта, або протягом 10 робочих днів з дня збору персональних даних - у чотирьох інших випадках (див. перелік у попередньому пункті). Нагадаємо, що раніше повідомлення мало надаватися протягом 10 робочих днів з дня включення персональних даних до БПД;
   
   - вже немає вимоги щодо обов’язкової письмової форми повідомлення.
   
   ЗВЕРНІТЬ УВАГУ! Ст. 18839 КпАП передбачає значні фінансові штрафи саме за неповідомлення або несвоєчасне повідомлення суб'єкта персональних даних про його права у зв'язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються*.
   
   Отже, хоча тепер ми формально зобов’язані повідомляти всіх суб’єктів, чиїми даними ми володіємо, а не тільки тих, чиї дані містяться в наших базах, але відповідальність прописана тільки щодо варіанта із БПД (але не виключено, що згодом зміни внесуть і в КпАП).
   
   Але ми все одно радимо якимось чином застерегтися від можливих проблем та застосувати якісь заходи, що підтвердять факт повідомлення вами всіх осіб. Наприклад, можна завести окремий журнал для підписів або внести відповідний пункт у договори. А вже на той випадок, якщо вам не з усіма особами вдасться це зробити, майте на увазі, що відповідальність прописана не для всіх випадків.
   
   7. Момент, який вже збентежив багатьох – розширення обсягу повноважень Державної служби України з питань захисту персональних даних, зокрема:
   
   - здійснення технічного регулювання у сфері захисту персональних даних, організація та проведення оцінки відповідності, розробка в установленому порядку стандартів, технічних регламентів, технічних умов;
   
   - здійснення оцінки відповідності комплексних систем захисту інформації, інформаційних, телекомунікаційних та інформаційно-телекомунікаційних систем вимогам щодо захисту персональних даних.
   
   Такі нововведення, на думку членів Громадської ради при ДСЗПД, створюють суттєву загрозу для виникнення необґрунтованих додаткових фінансових та організаційних витрат для бізнесу. Тому вони звернулися до Президента із проханням ветувати цей закон.
   
   8. В той же час, аби спростити роботу Державної служби України із захисту персональних даних, скасовується необхідність повідомити заявника щодо отримання заяви про реєстрацію БПД (це треба було робити не пізніше наступного робочого дня з дня надходження заяви). А також збільшується строк прийняття рішення про реєстрацію БПД з 10 до 30 робочих днів з дня надходження заяви.
   
   Прийнятий законопроект містить ще багато нововведень, але загалом враження від змін не надто позитивне. Але, можливо, Президент його не підпише та поверне на доопрацювання. Якщо ж підпише, то всі сподівання будуть на офіційні роз’яснення, може вони додадуть трохи оптимізму.
   
   -----------------------------------
   *Докладніше про штрафи читайте у статті Ганни Степанець "ВІДПОВІДАЛЬНІСТЬ У СФЕРІ ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ" (від 02.07.2012 р.)
   
   Автор: Ганна Степанець
   
   Відтворення матеріалу у будь-якій формі повністю або частково можливо лише з письмового дозволу Компанії "Дінай"
Рубрика:

Бухгалтер 911 наголошує: зміст авторських матеріалів може не співпадати з політикою та точкою зору редакції. Серед авторів матеріалів, що публікуються, є не лише представники редакційної команди.

Викладена інформація в конкретній публікації відображає позицію автора. Редакція не втручається в авторські матеріали, не редагує тексти, тож не несе відповідальності за їх зміст.

Коментарі
  • КРЫМЧАНКА
17.10.12 15:30

"низка суттєвих недоліків" как ввсегда примут закон, а потом думают. Достали(

Відповісти
  • Ева
17.10.12 17:47

Хочется всех законоваятелей, хотя бы на год, запустить в космос(((

Відповісти
  • Душка
17.10.12 21:38

Зачем в космос, просто назначить гл.бухом и посмотреть, как они будут работать и соблюдать свое же "законотворчество"

Відповісти
  • мрачные тени
17.10.12 22:47

зековская страна - как закон о вооружении охраны, так приняли меньше, чем за месяц. А персональные данные -не понимают же что это и зачем - мусолят 2 года...

Відповісти
  • ВГ
17.10.12 23:11

Разъясните для непонятливых, если принимаем или увольняев работников, это значит надо извещать об этом что произошли изменения в базе? Никто этого не далает кого спрашивала, один раз послали регистрацию и все.

Відповісти
  • 1
17.10.12 23:15

ВГ, можно про базу работников уже забыть

Відповісти
  • Бухік
17.10.12 23:40

Будь-ласка, хто може покроково написати що має бути при формуванні бази даних (працівники, контрагенти), а то вже геть запутали..(заяви, дозволи, повідомлення...).!!!!

Відповісти
  • Kreont
17.10.12 23:44

Да ладно, почали з самого ранку та й з критики, що не кажіть а позитивні (логічні) зміни є. Досить згадати грудень 2011 р. і першу редакцію Закону про БПД.

Відповісти
  • TAN
17.10.12 23:59

Подскажите,как проверить на каком этапе наша регистрация,отослали заявление и в эл.виде и по почте,ответа нет.

Відповісти
  • бухгалтер
18.10.12 00:06

В декабре прошлого года отослали заявления... Тишина...

Відповісти
  • Елена Крым
18.10.12 00:25

Ева, не в космос их, а на наши рабочие места, чтобы пороху понюхали. Может,тогда поняли бы, что творят.

Відповісти
  • Имя
18.10.12 00:45

для TAN: можете поискать на сайте свою базу данных (если она уже зарегистрирована) https://rbpd.informjust.ua, если нет - звоните, спрашивайте для ВГ: не нужно никого уведомлять о приеме-увольнении работников. Госслужбу интересует только наличие у вас базы данных (если она у вас есть - продолжайте ее сопровождать, хуже не будет). ЗЫ. зашли бы на сайт этой службы, почитали ЧАВО. многие вопросы отпали б

Відповісти
  • Ой-ой-ой
18.10.12 01:43

Для сведения - звонила в этот отдел, регистрирующий БПД. (У меня тоже заявление подано, зарегистрировано и никаких известй с декабря 2011г.) Так мне ответили, что ничего страшного - главное, что вы подали заявление, а регистрация будет позже, мы не успеваем. Поэтому в данном случае речь о штрафе не может идти. Спите пока спокойно.

Відповісти
  • Иришка
18.10.12 02:40

Зашла сейчас на их сайт,текущая информация на сегодняшний день зарегестрировано около 25 тыс БПД,а у меня в их уведомлении о получении заявки на регистрацию стоит регистрационный номер около 250 тыс)))))Это что мне еще лет 10 ждать ответа))))))))))(если арифметически)Вот это работают,а как же 10 дней по закону?

Відповісти
  • Имя
18.10.12 02:50

для Иришка: они сами не ожидали, что их буквально все предприятия завалят своими базами данных. закон-то приняли впопыхах (как то по гейски звучит), прописав достаточно суровые штрафы. Главное, что вы подали заяву о регистрации и у вас должен быть корешок уведомления (если почтой), а то что вам не сообщили о регистрации или о нерегистрации - не ваша проблема. следующие 10 лет можете спать спокойно ( в отношении этого :) )

Відповісти
  • Иннуша
18.10.12 06:20

Ура-а-а-а-а!!!! Опять покращання

Відповісти
  • Lili
18.10.12 06:36

А не проше написать закон в котором было бы прописано в каких случаях и кому предприятия и СПД обязаны предоставлять информацию ( например при возбуждении уголовного дела розыскуется .....), в других случаях, по соглашению с клиентом которым интересовались. И если информация просочится без согласования с лицом которым интересовались, тогда и пусть штрафуют. Наши законодатели хотят защитиь только себя и при этом на ровном месте поплнить казну (например: неправильно заполнены БПД)

Відповісти
  • Алена
18.10.12 06:43

Подскажите, пожалуйста, если ФЛП на едином налоге ведет учет производственных операций в не лицензионной программе 1С, хранит в офисе папки с расходными накладными и заявками клиентов, необходимо ли прописывать в таком случае в первичных документах пункт о согласии обработки персональных данных для покупателя???? И вообще чем чревато ФЛП использование не лицензионной 1С??? А вообще только что обратилась в Горячую линию Державної служби України з питань захисту персональних даних с вопросом о судьбе регистрации нашей базы данных, на что мне ответили что в данный момент обрабатываются заявления, поданные в период с 1 по 7 декабря 2011 года!

Відповісти
  • *****************
18.10.12 06:49

Алена------------------ Вы сразу столько вопросов....Зачем в первичных прописывать, в Договоре можете прописать или ЗГОДУ брать, есть бланки.А что вы думаете вы одна в нелецинзионной 1С работаете??? Большая половина.А вы ФОП, ну и что???

Відповісти
  • Бухи-Бухи
18.10.12 06:56

У соседей тоже маются с персональными данными... Даже Совет собрались создавать по защите.. http://www.rbc.ru/rbcfreenews/20121018165530.shtml

Відповісти
  • Ирина
18.10.12 08:41

С базой "Працівники" вроде понятно, а "Засновники", "Контрагенти". Их регистрируем? Или это тоже "трудові відносини"? Просто получила отказ в регистрации всех 3-х баз и все ждала изменений в закон. Дождалась...

Відповісти
  • Alehandro09
18.10.12 22:17

Закон хороший. Чувствую себя каким-то "защищенным". Только вот пока не пойму от кого.

Відповісти
  • Аноним
18.10.12 22:25

мрачным теням 18.10.2012 08:47:24 "зековская страна - как закон о вооружении охраны, так приняли меньше, чем за месяц. А персональные данные -не понимают же что это и зачем - мусолят 2 года..." Закон о вооружение охраны у них был подготовлен и караванский стрелок тоже, А Мазурок - це цап відбувайло!

Відповісти
  • Ирина
18.10.12 23:27

Для Lili Вы что?! как вам только такое в голову пришло?!?! А штрафовать нас тогда за что? Хотите наших дармоедиков по миру пустить.

Відповісти
  • Аноним
19.10.12 02:06

Как поняла, регить бызы Работники, Контрагенты, и т.п. вообще не нужно....... Да и письменного соглачия тоже не нужно..... ТАК???

Відповісти
  • НА
19.10.12 02:22

Так все-таки регистрировать базы "Контрагенты" и "Засновники", вопрос остается и по "Працивныкам" на сегодня изменения подписаны или нет? Мне на 3 базы прислапли "ВІДМОВЛЕНО" и что дальше делать, посілпть тоже самое повторно.

Відповісти
  • Ганна Степанець, Компанія "Дінай"
19.10.12 05:41

Для НА: Станом на 15-00 відсутня інформація щодо підписання або ветування Президентом цього Закону (проект № 10472-1). Таким чином ці норми поки ще не діють. Що стосується баз "Контрагенти" та "Засновники" - даним проектом і не передбачалося, що їхня реєстрація стане необов'язковою. Подібна пропозиція була в іншому проекті (№ 10472, без "-1"), але він не прийнятий. В прийнятому проекті йдеться лише про необов'язковість реєстрації баз "Працівники" та баз даних членів громадських, релігійних організацій, професійних спілок, політичних партій. Рекомендую Вам поки що НЕ відправляти повторно заяви. Ви не ухилялися від реєестрації баз - це факт (це Ви зможете підтвердити навіть тими ж самими відмовами, що Вам прислали). А строку, протягом якого Ви зобов'язані зареєструвати базу, в Законі немає.

Відповісти
  • Ника.
19.10.12 07:31

Базу "Контрагенти" и "Засновники" можно смело отправлять на регистрацию. А вот , базу "Сотрудники", согласна, имеет смысл подождать немного.

Відповісти
  • Елена
21.10.12 07:33

А мне вот тоже отказали в регистрации. И коллегам двоим по всем фирмам и ФЛП поприходили отказы. Ничего больше не откправляю и не собираюсь

Відповісти
Коментування новини вимкнено
Дякуємо, що читаєте нас Увійдіть і читайте далі
Для того, чтоб распечатать текст необходимо оформить подписку
copy-print__image
Ця функція доступна тільки
авторизованим користувачам