21 червня 2011 року набула чинності постанова Кабміну від 25 травня 2011 року №616, якою затверджено Положення про Державний реєстр баз персональних даних і порядок його ведення.
Реєстр є єдиною інформаційною системою збору, накопичення і обробки відомостей про зареєстровані бази персональних даних і ведеться з метою реалізації держполітики у сфері захисту персональних даних.
Ухилення від державної реєстрації бази персональних даних
загрожує штрафом від 3400 грн. до 17000 грн.
Реєстр веде Держслужба з питань захисту персональних даних (ДСЗПД), підконтрольна Міністерству юстиції. Вона була створена під час проведення адмінреформи в грудні 2010 року.
Адміністратором Реєстру виступає держпідприємство «Інформаційний центр» Мінюсту. Адміністратор забезпечує технічне і технологічне створення і супровід програмного забезпечення Реєстру, надання доступу до нього, збереження і захист даних, що містяться в Реєстрі.
Згідно зі Статтею 9 Закону «Про захист персональних даних», бази персональних даних підлягають державній реєстрації.
ДСЗПД повинна була розпочати реєстрацію баз даних з 1 липня 2011 року.
У багатьох українських інтернет-компаній виникло чимало запитань, зокрема, чи потрібно їм реєструвати свою базу даних в ДСЗПД. Адже багато сайтів в процесі своєї роботи обробляють і зберігають чимало персональної інформації своїх відвідувачів, покупців, читачів чи користувачів сервісами.
Ми звернулись за коментарем голови правління Інтернет Асоціації України, Тетяни Попової.
Пані Тетятно, в якому випадку інтернет-компанії повинні реєструвати бази даних?
Закон України «Про захист персональних даних» регулює відносини, пов’язані виключно із захистом персональних даних. Тобто мова йде про відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.
Законом визначено, що інтернет-компанії повинні реєструвати базу персональних даних у випадку, коли відповідна компанія має базу персональних даних. Ми рекомендуємо компаніям визначити для себе, чи є в них такі бази даних, які необхідно реєструвати, й подати документи до Державної служби з питань захисту персональних даних.
Проте на сьогодні головна проблема полягає у тому, що законом чітко не визначено, зокрема, яка мінімальна сукупність відомостей дає можливість конкретно ідентифікувати особу та складає собою суть визначення «персональні дані». З цього приводу ІнАУ ще на початку цього року звернулась до Мінюсту за роз’ясненнями, але відповідь не внесла ясності при практичному застосуванні цього закону (з листом від Мінюста можна ознайомитись тут)
Яка відповідальність настає за не реєстрацію бази даних?
2 червня Верховна Рада ухвалила Закон “Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних”, яким доповнено Кодекс України про адміністративні правопорушення ст.188-39 і 188-40.
Так, неповідомлення або несвоєчасне повідомлення суб‘єкта персональних даних про його права у зв‘язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються, на громадян накладаються штрафи від двохсот до трьохсот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян – суб’єктів підприємницької діяльності – від трьохсот до чотирьохсот НМДГ.
Крім того, накладається штраф у разі «неповідомлення або несвоєчасне повідомлення спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних про зміну відомостей, що подаються для державної реєстрації бази персональних даних». У такому випадку на громадян накладається штраф від ста до двохсот НМДГ і на посадових осіб, громадян – суб’єктів підприємницької діяльності – від двохсот до чотирьохсот НМДГ“.
Окрім того, ухилення від державної реєстрації бази персональних даних, – тягне за собою накладення штрафу на громадян від трьохсот до п‘ятисот НМДГ і на посадових осіб, громадян – суб’єктів підприємницької діяльності від п‘ятисот до тисячі НМДГ.
Згідно із документом, недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них, – тягне за собою накладення штрафу від трьохсот до тисячі НМДГ .
Ми також звернулись до українських інтернет-компаній, які мають інтернет-сайти, одним з елементів яких є бази даних приватних осіб.
Андрій Гаркавлюк, маркетинг-менеджер порталу I.ua розповів нам, що поки що ніхто не розуміє, які саме бази даних необхідно реєструвати і як. Компанія надіслала запит в Міністерство юстиції щодо роз‘яснення постанови та процедури її виконання.
За словами Андрія, якщо Мінюст роз‘яснить I.ua, яке відношення вони мають до цієї постанови і опише процедуру, то компанія, буде її виконувати.
В УМХ так само не прийняли ще рішення що ж потрібно реєструвати. Голова прес-служби компанії, Даниїл Ваховський, повідомив нам, що юристи зараз вивчають це питання.
В компанії Уапром, що керує порталом Prom.ua, нам повідомили, що будуть реєструвати бази даних, коли ДСЗПД почне працювати, і стане зрозуміла процедура реєстрації.
За словами Оксани Журавель, директора з маркетингу Уапром, хоча процедура реєстрації й описана в Постанові Кабміну, але основною проблемою є те, що ніхто не знає, що таке Державна служба з питань захисту персональних даних і де її шукати. «Ми телефонували до Інформаційного центру Міністерства юстиції, котрий повинен бути Адміністратором даного Реєстру, але там про це ніхто нічого не знає та більше того, вони були навіть здивовані нашими запитаннями. Тому на даний момент звертатись за роз’ясненнями щодо Процедури нема до кого, але ми щиро сподіваємось, що дана ситуація буде виправлена».
Не поспішають з реєстрацією баз даних і в КП-Медіа. Юристка компанії, Олександра Висоцька, також поскаржилась, що наразі механізм реєстрації недостатньо прописаний. Окрім того, для здійснення реєстрації даних, які надаються користувачами, необхідно їх систематизувати, оскільки не всі вони є персональними.
За словами Олександри, заявка на реєстрацію подається стосовно кожної бази даних, яка перебуває у власності заявника, за формою і в порядку, що затверджується Мінюстом. Але на даний момент такого документа нема. Тимчасові рекомендації, затверджені наказом ДСЗПД від 25червня 2011 року, носять рекомендаційний характер і не є обов‘язковими до виконання.
Наразі, в КП-Медіа очікують роз‘яснень та затвердженого Мінюстом порядку.
Простіша ситуація в Яндекс.Україна. Уляна Зініна, провідний юрисконсульт відділу інтелектуальної власності та сервісів компанії повідомила, що адміністратором доменного імені yandex.ua, як і доменного імені yandex.ru, є ТОВ «ЯНДЕКС» (м. Москва), яке і надає послуги користувачам відповідно до російського законодавства на підставі Угоди користувача.
Згідно з положеннями Федерального Закону РФ «Про персональні дані», Яндекс є оператором персональних даних. І компанія збирає та обробляє персональні дані користувачів своїх сервісів відповідно до російського законодавства та Угоди про конфіденційність.
За словами Уляни, Яндекс виконує всі вимоги російського Закону (які, в свою чергу, не суперечать законодавству України), що стосуються обробки персональних даних і дотримання їх конфіденційності, а саме — всі організаційні, правові та технічні заходи.
Нам цікава ваша думка, щодо самої ідеї реєстрації державою баз даних
Loading ...
