Минуло майже півроку з того часу, коли набула чинності постанова Кабінету міністрів України, яка визначала порядок реєстрації та ведення баз персональних даних.
Що змінлося за цей час – чи почали українські компанії реєструвати бази даних, як того вимагає законодавство, чи навпаки? Ми поспілкувались з кількома українськими інтернет-компаніями. Схоже, вони не дуже поспішають з реєстрацією. Наприклад, Андрій Гаркавлюк, маркетинг-менеджер порталу I.UA, повідомив нам, що їх компанія поки не реєструвала бази даних своїх користувачів. “Ми направили запит у Мін’юст для роз’яснення необхідності реєстрації баз даних користувачів I.UA, адже у нас немає таких даних, які могли б точно ідентифікувати особу. Відповідь так і не прийшла, тому наш юрист самостійно піде в міністерство для консультації. Реєстрація займає 10 днів, до Нового року питання повинно вирішитись”, – сказав Гаркавлюк.
В холдингу KP Media (koresspondent.net, bigmir.net та інші сайти) обмежились надсиланням заявок щодо персональних даних співробітників, але не користувачів. Ось що нам сказали в компанії: «У зв’язку з великою кількістю респондентів, які бажають реалізувати вимоги Закону України «Про захист персональних даних», що призведе до значної втрати часу, Компанією було прийнято рішення, відповідно до статті 9 Закону(а саме: реєстрація баз персональних даних здійснюється за заявочним принципом шляхом повідомлення) та Порядку подання заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних, затвердженого Наказом Мінюсту 08.07.2011 № 1824/5, та зареєстрованого в Міністерстві юстиції України 19 липня 2011 р. за № 890/19628 ( Заяви заповнюються та подаються в паперовій або електронній формі) направити Заяви про реєстрацією персональних даних – бази персональних даних співробітників – рекомендованими листами. Таким чином, компанією виконано норми законодавства щодо реєстрації персональних баз даних».
Та процес йде. В Інтернет Асоціації України (ІнАУ) повідомили, що компанії реєструють бази даних своїх користувачів. Асоціація отримала відповідь Мін’юста на свій лист, про який ми писали у січні 2011 року. Роз’яснення Мінюсту перебуває у відкритому доступі на сайті асоціації.
Як пояснили нам в ІнАУ, у компаній виникають труднощі при реєстрації заяв у формі електронного документу. Зокрема, були відмови у реєстрації у зв’язку із тим, що документ заявника був сформований і підписаний іншим сертифікатом ключів, ніж тим, що зазначений ДСЗПД (Державною службою з питань захисту персональних даних).
«ДСЗПД обробляє заяви у формі електронного документу, підписані володільцями, що отримують послуги електронного цифрового підпису (ЕЦП) у акредитованих центрах сертифікації ключів, які надали у розпорядження ДСЗПД надійні засоби ЕЦП (детальніше на http://www.zpd.gov.ua/indexServices.html). Проблемою є те, що зараз особистий прийом заяв робиться представниками служби без проставлення відмітки про реєстрацію її у вхідних документах. У таких випадках відсутнє підтвердження самого факту подання заяви. По-третє, ДСЗПД зараз не дотримується десятиденного строку видачі свідоцтва про реєстрацію бази персональних даних», – сказали в асоціації.
За даними ІнАУ, до компаній, що не реєстрували бази даних на даний момент, поки не було застосовано жодних санкцій, оскільки вони набувають чинності тільки з 1 січня 2012 року. Санкції та підстави їх застовування встановлені статтями 22 та 23 Закону України «Про захист персональних даних», статтями 188-39 і 188-40 Кодексу України про адміністративні правопорушення та статтею 182 Кримінального кодексу України.
Ось що нам відповіли в ІнАУ на прохання описати чіткий алгоритм, який повинні здійснити компанії, щоб зареєструвати наявні в них бази даних:
Порядок реєстрації баз персональних даних регулюється Законом України «Про захист персональних даних» та Положенням про Державний реєстр баз персональних даних та порядок його ведення, затвердженим Постановою Кабінету Міністрів України від 25 травня 2011 р. N 616 (далі – Положення). База персональних даних підлягає державній реєстрації шляхом внесення відповідного запису Державною службою з питань захисту персональних даних до Державного реєстру баз персональних даних.
ДСЗПД здійснює реєстрацію баз персональних даних, а також вносить зміни до відомостей, що містяться в Реєстрі, про зареєстровану базу персональних даних на підставі заяви, поданої володільцем такої бази або уповноваженою ним особою (далі – заявник). Реєстрація баз персональних даних здійснюється за заявочним принципом шляхом повідомлення.
Заява про реєстрацію бази персональних даних подається володільцем бази персональних даних до Державної служби України з питань захисту персональних даних щодо кожної бази даних, яка перебуває у володінні заявника, за формою та у порядку, що затверджуються Мін’юстом.
Така заява повинна містити:
– звернення про внесення бази персональних даних до Реєстру;
– інформацію про володільця бази персональних даних:
– найменування, резидент/нерезидент, код платника податків згідно з ЄДРПОУ
або податковий номер (для резидента), місцезнаходження – для юридичних осіб;
– прізвище, ім’я та по батькові (за наявності), громадянство, номер, серія
паспорта та орган, що його видав, а також для громадян України реєстраційний
номер облікової картки платника податків (не подається фізичними особами,
які через свої релігійні переконання відмовилися від присвоєння
реєстраційного номера облікової картки платника податків та офіційно
повідомили про це відповідним органам державної влади, що підтверджується
відміткою в паспорті), місце проживання – для фізичних осіб;
– інформацію про найменування і місцезнаходження бази персональних даних:
– адреса фактичного розміщення – для баз даних у формі картотек;
– фактичні адреси зберігання носіїв інформації – для баз даних в
електронній формі;
– інформацію про мету обробки персональних даних у базі персональних даних з
посиланням на нормативно-правові акти, положення, установчі чи інші
документи, які регулюють діяльність володільця бази персональних даних, у
тому числі про їх категорії та правові підстави такої обробки;
– інформацію про інших розпорядників баз персональних даних:
– найменування, резидент/нерезидент, код платника податків згідно з ЄДРПОУ
або податковий номер (для резидента), місцезнаходження – для юридичних осіб;
– прізвище, ім’я та по батькові (за наявності), громадянство, номер, серія
паспорта та орган, що його видав, а також для громадян України реєстраційний
номер облікової картки платника податків (не подається фізичними особами,
які через свої релігійні переконання відмовилися від присвоєння
реєстраційного номера облікової картки платника податків та офіційно
повідомили про це відповідним органам державної влади, що підтверджується
відміткою в паспорті), місце проживання – для фізичних осіб;
– документ, що підтверджує зобов’язання стосовно виконання вимог
законодавства щодо захисту персональних даних.
ДСЗПД повідомляє заявникові не пізніше наступного робочого дня з дня надходження заяви про її отримання. У повідомленні зазначаються дата та реєстраційний номер запису про заяву у Реєстрі, а також дата звернення за
отриманням свідоцтва чи повідомлення про відмову в реєстрації. Державна служба з питань захисту персональних даних відмовляє в реєстрації бази персональних даних, якщо заява про реєстрацію не відповідає вимогам частини третьої статті 9 Закону України «Про захист персональних даних» або у разі, коли подані відповідно до пункту 7 Положення відомості, є неповними чи недостовірними.
ДСЗПД у зв’язку з отриманням заяви вносить до Реєстру такі відомості:
– інформація про заявника;
– найменування бази персональних даних;
– дата реєстрації заявником та вихідний номер (за наявності) заяви.
Після внесення до Реєстру відомостей про заяву їй автоматично (з використанням програмного забезпечення Реєстру) присвоюється реєстраційний номер. При цьому фіксуються дата і час реєстрації заяви. Протягом 10 робочих днів з дня надходження відповідної заяви ДСЗПД приймає рішення про реєстрацію бази персональних даних шляхом видання її володільцю свідоцтва про державну реєстрацію бази персональних даних чи повідомлення про відмову в реєстрації, про що вносить запис до Реєстру.
