Законы, кодексы, проекты
За базу персональных данных - 5 лет тюрьмы
Нерегистрация баз персональных данных, включая сведения о наемных работниках, приравнивается к действиям, направленным на незаконный сбор, хранение и использование такой информации. С 1 января 2012 года она наказуема штрафами и лишением свободы до 5 лет
Субъекты хозяйствования должны неукоснительно придерживаться требований Закона № 2297, в том числе и в отношении регистрации баз персональных данных своих работников.
Закон № 2297 направлен на защиту персональных данных, под которыми понимаются сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано.
Таким образом, Закон № 2297 не распространяется на данные о поставщиках и заказчиках субъектов хозяйствования, являющихся юридическими лицами.
Как проходит регистрация баз персональных данных
В соответствии со ст. 9 Закона № 2297 база персональных данных подлежит государственной регистрации путем внесения соответствующей записи уполномоченным государственным органом по вопросам защиты персональных данных в Государственный реестр баз персональных данных (далее — Госреестр).
Положение о Госреестре и порядке его ведения утверждено постановлением Кабинета Министров Украины от 25.05.2011 г. № 616.
Регистрация баз персональных данных, а также внесение изменений в сведения, содержащиеся в Госреестре, проводится на основании заявления, представленного владельцем такой базы или уполномоченным им лицом (далее — заявитель).
Заявление подается относительно каждой базы данных, которая находится во владении заявителя, по форме и в порядке, утвержденными Минюстом.
Заявление должно содержать:
- информацию о владельце базы персональных данных:
- наименование, резидент/нерезидент, код налогоплательщика согласно ЕГРПОУ или налоговый номер (для резидента), местонахождение — для юридических лиц;
- информацию о наименовании и местонахождении базы персональных данных:
- адрес фактического размещения — для баз данных в форме картотек;
- фактические адреса хранения носителей информации — для баз данных в электронной форме;
- информацию о целях обработки персональных данных в базе персональных данных со ссылкой на нормативно-правовые акты, положения, учредительные или другие документы, регулирующие деятельность владельца базы персональных данных, в том числе о их категории и правовых основаниях такой обработки;
- документ, подтверждающий обязательство относительно выполнения требований законодательства о защите персональных данных.
После прохождения соответствующей процедуры владельцу базы персональных данных выдается документ установленного образца о регистрации базы персональных данных в Госреестре.
Владелец базы персональных данных обязан сообщать уполномоченному государственному органу по вопросам защиты персональных данных о каждом изменении сведений, необходимых для регистрации соответствующей базы, не позднее чем на протяжении 10 рабочих дней со дня наступления такого изменения.
Уполномоченный государственный орган по вопросам защиты персональных данных на протяжении 10 рабочих дней со дня поступления сообщения об изменении сведений, необходимых для регистрации соответствующей базы, должен принять решение относительно указанного изменения и уведомить об этом владельца базы персональных данных.
Что полагается за уклонение от регистрации
Согласно ст. 28 Закона № 2297 нарушение законодательства о защите персональных данных влечет за собой ответственность, установленную законом.
А в соответствии со ст. 18839 КоАП, которая начнет действовать с 01.01.2012 г., за уклонение от государственной регистрации базы персональных данных применяется штраф к гражданам в размере от 300 до 500 необлагаемых минимумов доходов граждан (далее — НМДГ) (от 5100 до 8500 грн.) и к должностным лицам, гражданам — субъектам предпринимательской деятельности — от 500 до 1000 НМДГ (от 8500 до 17 000 грн.).
Кроме того, в соответствии с новой редакцией ст. 182 Уголовного кодекса Украины (далее — УКУ), которая также вступит в силу с 01.01.2012 г., за незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о лице или за незаконное изменение такой информации, кроме случаев, предусмотренных другими статьями этого Кодекса, предусмотрен штраф от 500 до 1000 НМДГ (от 8500 до 17 000 грн.) или исправительные работы на срок до 2 лет, или арест на срок до 6 месяцев, или ограничение воли на срок до 3 лет.
Те же самые действия, содеянные повторно или если они причинили существенный ущерб охраняемым законом правам, свободам и интересам лица, наказываются арестом на срок от 3 до 6 месяцев или ограничением воли на срок от 3 до 5 лет, или лишением свободы на этот же самый срок.
Существенным ущербом согласно ст. 182 УКУ, если он заключается в материальных убытках, считается такой ущерб, который в 100 и более раз превышает НМДГ.
Если исходить из того, что объектами защиты по Закону № 2297 являются персональные данные, которые обрабатываются в базах персональных данных, и Госреестр создан с целью реализации государственной политики в сфере защиты персональных данных, то нерегистрацию баз персональных данных, включая базу персональных данных о наемных работниках, можно считать действиями, направленными на незаконный сбор, хранение и использование такой информации.
И наказывается это в соответствии с описанным выше.