Реєстрація баз персональних даних
/
Питання бухгалтерії
/
П'ятниця, 02 березня 2012 14:47
З 1 січня 2012 року набрав чинності Закон України від 02.06.2011 р. №3454-VI «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних». Відповідно до закону №3454 з початку 2012 року вступила в дію ст. 18839 Кодексу України про адміністративні правопорушення (КУпАП), якою визначено адміністративну відповідальність за ухилення від державної реєстрації баз персональних даних. За це правопорушення на посадову особу аграрного підприємства, яка відповідає за реєстрацію баз персональних даних (керівник, бухгалтер, діловод), може бути накладено штраф від 500 до 1000 неоподатковуваних мінімумів доходів громадян (8500-17000 грн). Такі фінансові санкції викликають необхідність детального розгляду цього питання.
Адміністративна відповідальність за неподання заяви про реєстрацію баз персональних даних до 01.01.2012 р.
Реєстрація баз персональних даних здійснюється Державною службою з питань захисту персональних даних (держслужба) відповідно до поданої заяви встановленого зразка. Форма заяви затверджена наказом Мін`юсту України від 8 липня 2011 року №1824/5. Згідно з роз’ясненнями держслужби, розміщеними на її офіційному сайті, подання заяви про реєстрацію бази персональних даних, яке здійснив її володілець до 1 січня 2012 року, не вважається «ухиленням від державної реєстрації баз даних». Разом з тим, в Законі України від 1 червня 2010 року №2297-VI «Про захист персональних даних» (Закон №2297) не встановлено жодних термінів для реєстрації баз персональних даних. Очевидно, що з початку 2012 року держслужба не має підстав для автоматичного нарахування штрафних санкцій аграрним підприємствам, які не подали заяви та не зареєстрували бази даних у встановленому порядку.
З 1 січня 2012 року держслужба буде діяти відповідно до змінених норм Кодексу України про адміністративні правопорушення (КУпАП) та Кримінального кодексу України (КК). Цими двома кодексами введена адміністративна та кримінальна відповідальність, яка буде реалізована у наступному порядку:
-
до держслужби повинна надійти скарга громадянина України, підкріплена документами, що підтверджують порушення у сфері захисту персональних даних;
-
на підставі скарги держслужба проводить перевірку володільців та (або) розпорядників баз персональних даних щодо дотримання ними вимог законодавства у сфері захисту персональних даних, в результаті якої видається припис на усунення порушень;
-
у разі невиконання припису держслужба складає адміністративний протокол, який потім передається до суду;
-
на підставі адміністративного протоколу проводиться судове засідання і приймається рішення про накладення адміністративного стягнення, передбаченого КУпАП, на підставі якого володільцем бази персональних даних сплачується штраф.
Кількість баз даних на аграрному підприємстві
Відповідно до Закону №2297 будь-яка сукупність упорядкованих персональних даних про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована, вважається базою персональних даних. Кожна база персональних даних підлягає державній реєстрації шляхом внесення відповідного запису держслужбою до Державного реєстру баз персональних даних.
Володілець самостійно приймає рішення про те, чи є та чи інша сукупність персональних даних фізичних осіб, яка знаходиться у його володінні, базою персональних даних. До персональних даних відноситься інформація про прізвище, ім’я та по батькові; дату та місце народження, громадянство, місце проживання; вік, стать, сімейний стан; освіту, професію, фінансову інформацію, расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках. Інформаційні звіти, які формуються із баз персональних даних і періодично подаються до органів державної влади (наприклад, податкові декларації) не розглядаються як окремі бази персональних даних.
На будь-якому аграрному підприємстві є, як мінімум, дві бази персональних даних: база працівників і база контрагентів-фізосіб.
Алгоритм захисту персональних даних
Для захисту персональних даних аграрне підприємство зобов’язане здійснити наступні процедури:
1. Отримати у фізичних осіб, персональними відомостями про яких володіє підприємство, згоду на збір і обробку персональних даних. Сама форма згоди довільна, проте в ній доцільно передбачити підпис фізичної особи, який засвідчує факт повідомлення про використання її даних. Таку процедуру необхідно зробити для того, щоб виконати норму Закону №2297, згідно з якою суб’єкт персональних даних протягом 10 робочих днів з дня включення його персональних даних до бази персональних даних повідомляється про свої права, визначені цим законом, мету збору даних та осіб, яким передаються його персональні дані, виключно в письмовій формі.
Слід звернути увагу на те, що Закон №2297 набрав чинності з 1 січня 2011 року, тому аграрне підприємство не зобов’язане отримувати згоду фізичних осіб, з якими підприємство вступило в економічні відносини до дати набрання чинності цього закону, і продовжує обробляти їхні персональні дані після 1 січня 2011 року.
2. Затвердити Положення про захист персональних даних на підприємстві. За основу можна взяти текст Типового порядку обробки персональних даних у базах персональних даних, розміщений на сайті держслужби за посиланням: http://www.zpd.gov.ua/R/zpd_tp_obr.pdf. У Типовому порядку наведено три розділи:
І. Загальні положення.
ІІ. Персональні дані, принципи та цілі їх обробки.
ІІІ. Організація обробки персональних даних володільцями баз персональних даних та розпорядниками баз персональних даних.
Положення про захист персональних даних на підприємстві затверджується наказом керівника, яким також призначається особа, відповідальна за налагодження роботи із захисту персональних даних та їх реєстрацію. Зважаючи на те, що ці функції є новими, до трудового договору працівника, на якого покладено відповідальність за роботу з персональними даними, вносяться відповідні зміни.
3. Зареєструвати бази персональних даних. Ідентифікувавши бази персональних даних, які використовуються підприємством, слід почати їх реєстрацію. Розглянемо порядок реєстрації детальніше.
Реєстрація баз персональних даних
Порядок подання заяв про реєстрацію бази персональних даних затверджено наказом Міністерства юстиції України від 8 липня 2011 року №1824/5 (Порядок №1824/5). У цьому Порядку також визначено механізм подання заяв про внесення змін до відомостей Державного реєстру баз персональних даних.
Заяви заповнюються державною мовою та подаються у паперовій або електронній формі. У разі подання заяв у паперовій формі заявник підписує кожну сторінку заяви та скріплює її печаткою (за наявності). В електронній формі заяви подаються відповідно до вимог Законів України «Про електронний цифровий підпис» та «Про електронні документи та електронний документообіг».
У разі ухвалення рішення про реєстрацію бази персональних даних, держслужба видає свідоцтво про державну реєстрацію бази персональних даних заявнику або уповноваженому ним представнику за довіреністю та пред’явленим документом, що посвідчує особу, або надсилає поштою рекомендованим листом з описом вкладення.
Заявник зобов’язаний повідомляти держслужбу про кожну зміну відомостей, необхідних для реєстрації бази персональних даних, не пізніше ніж протягом десяти робочих днів з дня настання такої зміни шляхом подання відповідної заяви. У випадку прийняття рішення щодо внесення змін до відомостей Державного реєстру баз персональних даних держслужба повідомляє заявника у тій самій формі, в якій було отримано таку заяву.
На сьогодні є три способи подання заяв на реєстрацію баз даних:
1. Формування і направлення заяв в електронному вигляді через веб-сайт Державного реєстру баз персональних даних https://rbpd.informjust.ua. Інструкція щодо подання заяв цим способом розміщена на сайті держслужби за посиланням: http://www.zpd.gov.ua/indexServices.html. Відповідно до цієї інструкції реєстрація передбачає такі кроки:
-
вибрати пункт меню сайту «Створити заяву» та підпункт меню з відповідною назвою заяви («Про реєстрацію БПД»), яку необхідно створити;
-
заповнити відомостями всі поля форми заяви;
-
внести контрольні символи з зображення, що знаходиться нижче всіх полів форми заяви, та натиснути кнопку «Сформувати заяву». Якщо вказані на формі заяви відомості є коректними, та контрольні символи з зображення вказані вірно, відкриється сторінка «Збереження файлу заяви» з повідомленням про успішне формування файлу заяви;
-
на сторінці «Збереження файлу заяви» натиснути елемент «Зберегти файл заяви» (Увага! Файл заяви не відкривати!) та зберегти файл заяви на локальному диску комп’ютера;
-
підписати збережений на локальному диску комп’ютера файл заяви електронним цифровим підписом керівника підприємства та зберегти підписаний файл заяви на локальному диску комп’ютера;
-
вибрати пункт меню сайту «Подати заяву», і на сторінці, що відкриється, натиснути на елемент «Подати заяву в електронному вигляді»;
-
на новій відкритій сторінці за допомогою кнопок «Обзор» необхідно вказати шлях на локальному диску та завантажити три файли:
З 1 січня 2012 року набрав чинності Закон України від 02.06.2011 р. №3454-VI «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних». Відповідно до закону №3454 з початку 2012 року вступила в дію ст. 18839 Кодексу України про адміністративні правопорушення (КУпАП), якою визначено адміністративну відповідальність за ухилення від державної реєстрації баз персональних даних. За це правопорушення на посадову особу аграрного підприємства, яка відповідає за реєстрацію баз персональних даних (керівник, бухгалтер, діловод), може бути накладено штраф від 500 до 1000 неоподатковуваних мінімумів доходів громадян (8500-17000 грн). Такі фінансові санкції викликають необхідність детального розгляду цього питання.
Відповідно до Закону №2297 будь-яка сукупність упорядкованих персональних даних про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована, вважається базою персональних даних. Кожна база персональних даних підлягає державній реєстрації шляхом внесення відповідного запису держслужбою до Державного реєстру баз персональних даних.- збережений файл заяви (максимальний розмір файлу - 512 кБ, тип файлу «Документ XML»);
- підписаний ЕЦП керівника підприємства файл заяви (максимальний розмір файлу - 512 кБ, тип файлу «Підписаний файл»);
- файл сертифіката відкритого ключа керівника підприємства, наданий центром сертифікації ключів (максимальний розмір файлу - 100 кБ, тип файлу «Сертифікат безпеки»);
- внести контрольні символи з зображення, що знаходиться нижче полів вибору файлів, та натиснути кнопку «Подати заяву». Якщо вказані на сторінці файли є коректними та контрольні символи з зображення вказані вірно, заява у електронному вигляді буде зареєстрована у базі даних заяв та передана Реєстратору для розгляду;
- після успішної реєстрації заяви відображається відповідне повідомлення з реєстраційним номером заяви та кодом доступу для подальшого пошуку заяв у Реєстрі та отримання інформації про стан їх обробки;
- на адресу електронної пошти Заявника, вказану у заяві, надсилається повідомлення про успішне подання заяви, яке містить реєстраційний номер заяви та код доступу до інформації про заяву;
- за результатами пошуку користувачем зареєстрованих заяв по реєстраційному номеру можливо отримати інформацію про стан обробки заяв:
- «Зареєстровано» (заява про реєстрацію бази персональних даних зареєстрована у Реєстрі);
- «Відмовлено» (прийнято рішення про відмову у реєстрації бази персональних даних, при цьому на поштову адресу володільця направляється лист із повідомленням про відмову у реєстрації та вказуються причини відмови);
- «Прийнято рішення про реєстрацію» (видається Свідоцтво про реєстрацію бази персональних даних, яке надсилається на поштову адресу володільця, якщо згода на це вказана у заяві).
2. Створення заяв у формі електронних документів відповідно до вимог Законів України «Про електронні документи та електронний документообіг» та «Про електронний цифровий підпис» та відправка на електронну адресу держслужби (Ця електронна адреса захищена від спам-ботів. Вам потрібно увімкнути JavaScript, щоб побачити її.). Цей спосіб загалом повторює вищенаведений.
Примірний зразок заповнення заяви про реєстрацію персональних даних є на сайті держслужби за посиланням: http://www.zpd.gov.ua/indexServices.html. Слід зупинитись на деяких пунктах заяви.
Відповідно до примірного зразку заяви в полі «Найменування бази персональних даних» рекомендується вказувати такі назви баз: «Працівники», «Клієнти», «Контрагенти».
Для заповнення поля «мета обробки персональних даних» аграрному підприємству доцільно вибрати деякі із запропонованих пунктів примірного зразка заяви: забезпечення реалізації трудових, адміністративно-правових, податкових відносин та відносин у сфері бухгалтерського обліку та аудиту, відносин у сфері управління людськими ресурсами.
Заповнення поля «Підстави обробки персональних даних» залежить від найменування бази. У базі «Працівники» як підставу обробки даних необхідно вказувати згоду на збір і обробку персональних даних для працівників, прийнятих на роботу після 1 січня 2011 року, та вільне волевиявлення фізособи для працівників, які прийняті на роботу до 1 січня 2011 року (оскільки по них отримувати згоду не потрібно). Крім того, для цієї бази як підстава обробки даних можуть вказуватись і нормативно-правові акти: Кодекс законів про працю, Податковий кодекс України, Закон про ЄСВ тощо.
У базах «Клієнти», «Контрагенти» підставою для обробки даних може бути згода, яка прописується безпосередньо в договорі чи в додатку до договору. Якщо база стосується засновників підприємства - фізичних осіб, підставою для обробки персональних даних може бути вказано закон про акціонерні товариства.
Форма заяви містить п’ять сторінок. Останні дві сторінки заповнюються у разі, якщо база даних складається із декількох частин різного місцерозташування. Аграрні підприємства, в яких кожна з баз знаходиться в одному місці, заповнюють лише перші три сторінки заяви. Якщо окремий структурний підрозділ аграрного підприємства (філія, дочірнє підприємство) має базу персональних даних, назва якої збігається з назвою бази персональних даних головного підприємства, то у розділі II четвертої сторінки заяви на реєстрацію потрібно вказати цю назву бази персональних даних і місцезнаходження цього відокремленого підрозділу. У випадку, коли структурний підрозділ має свою базу, відмінну від бази головного підприємства, останнє повинно скласти і подати окрему заяву про реєстрацію цієї бази даних (володільцем є головне підприємство, а місцезнаходження вказується по фактичній адресі відокремленого підрозділу).
3. Складання електронної форми заяви, заповнення вручну та подання особисто чи на адресу держслужби: 02660, м. Київ, вул. М. Раскової, 15, каб. 1205. При цьому способі уповноважена особа підприємства (заявник) повинна підписати кожну сторінку заяви та засвідчити її печаткою. Повноваження заявника підтверджуються довіреністю, яка засвідчує його повноваження на реєстрацію персональних даних (при особистому поданні заяви).
Адміністративна відповідальність за порушення прав суб’єктів персональних даних та неповідомлення про зміни відомостей
Адміністративну відповідальність за порушення законодавства у сфері захисту персональних даних несуть посадові особи аграрного підприємства. За неповідомлення (несвоєчасне повідомлення) суб’єкта персональних даних (наприклад, працівника) про його права, які виникли у зв’язку з включенням його персональних даних до бази; мету збору цих даних та осіб, яким ці дані передаються, на посадових осіб підприємства може бути накладено штраф від 300 до 400 неоподатковуваних мінімумів доходів громадян (5100-6800 грн). За неповідомлення (несвоєчасне повідомлення) держслужби про зміну відомостей, що подаються для державної реєстрації бази персональних даних, на посадових осіб підприємства може бути накладено штраф від 200 до 400 неоподатковуваних мінімумів доходів громадян (3400-6800 грн).
Держслужба уповноважена складати адміністративні протоколи виявлених порушень у сфері захисту персональних даних. Розгляд справ та прийняття рішення про накладення штрафів знаходиться у компетенції судів.
Кримінальна відповідальність
За незаконний збір, зберігання, використання, знищення, поширення конфіденційної інформації про працівника або незаконну зміну такої інформації передбачена відповідальність у вигляді штрафу від 500 до 1000 неоподатковуваних мінімумів доходів громадян (8500-17000 грн) або виправних робіт на строк до двох років, або у вигляді арешту на строк до шести місяців, або обмеження свободи на строк до трьох років.
20 квітня 2024
Команда шеф-кухаря та ідеолога проєкту Cult Food Євгена Клопотенка презентувала оновлений збірник рекомендованих рецептур для харчування дітей у закладах освіти, який розроблено на підтримку Стратегії реформи системи шкільного харчування, яка реалізується за ініціативи першої леді Олени Зеленської.
Команда шеф-кухаря та ідеолога проєкту Cult Food Євгена Клопотенка презентувала оновлений збірник рекомендованих рецептур для харчування дітей у закладах освіти, який розроблено на підтримку Стратегії реформи системи шкільного харчування, яка реалізується за ініціативи першої леді Олени Зеленської.
20 квітня 2024
19 квітня 2024
Станом на 19 квітня ціни на какао встановили новий рекорд, сягнувши історичного максимуму в понад 11 тисяч доларів США за тонну.
Станом на 19 квітня ціни на какао встановили новий рекорд, сягнувши історичного максимуму в понад 11 тисяч доларів США за тонну.
19 квітня 2024
19 квітня 2024
На поточному тижні на ринок України надійшли перші партії тепличного томату з місцевих комбінатів.
На поточному тижні на ринок України надійшли перші партії тепличного томату з місцевих комбінатів.
19 квітня 2024
19 квітня 2024
Асоціація портів України «Укрпорт» звернулася до прем’єр-міністра Дениса Шмигаля щодо ситуації з перевезенням вантажів Дунаєм.
Асоціація портів України «Укрпорт» звернулася до прем’єр-міністра Дениса Шмигаля щодо ситуації з перевезенням вантажів Дунаєм.
19 квітня 2024
19 квітня 2024
Станом на 19 квітня на контрольованій Україною території вже засіяно 2 млн 053,4 тис. га зернових та зернобобових культур.
Станом на 19 квітня на контрольованій Україною території вже засіяно 2 млн 053,4 тис. га зернових та зернобобових культур.
19 квітня 2024
19 квітня 2024
Оскільки повномасштабна війна в Україні триває, сільськогосподарська компанія Corteva Agriscience за підтримки Міністерства аграрної політики та продовольства України впроваджує ініціативу з перевірки ґрунтів у постраждалих регіонах країни на наявність токсичних металів в наслідок бомбових, ракетних або артилерійських вибухів.
Оскільки повномасштабна війна в Україні триває, сільськогосподарська компанія Corteva Agriscience за підтримки Міністерства аграрної політики та продовольства України впроваджує ініціативу з перевірки ґрунтів у постраждалих регіонах країни на наявність токсичних металів в наслідок бомбових, ракетних або артилерійських вибухів.
19 квітня 2024
