Рекламу показываем только НЕзарегистрированным пользователям. Войдите или зарегистрируйтесь на Бухфоруме
    .

Базы персональных данных

новости законодательства для бухгалтера и предпринимателя, события, акции

Модераторы: Чихуа, vins

Правила форума
Раздел: НОВОСТИ
1. Размещая новости, желательно (но не обязательно) снабжать их собственными комментариями.
2. Новости должны корреспондировать с тематикой форума.

UNREAD_POST vins » 04 ноя 2011, 18:20

99% ответов содержится в этом сообщении
Предложения по дополнению/уточнению первого сообщения принимаются прямо в теме
все благодарности в пользу vins



Вопросы-ответы по персональным данным: систематизация обсуждаемого на Бухфоруме


  1. Распространяются ли требования Закона на физлиц, владеющих персональными данными о других людях (Ф.И.О, телефон, адрес проживания и т.п.)?
    Нет, не распространяются в силу прямого указания на это Закона (см. ст. 1)
  2. Распространяется ли Закон на защиту данных о юридических лицах?
    Нет, касается только данных, позволяющих идентифицировать физическое лицо.
    В тоже время, по информации от Maria сама Государственная служба на сегодня зарегистрировала две базы персональных данных
    1) База персональних даних представників юридичних осіб, які вступають в правові відносини з ДСЗП України
    2) База персональних даних фізичних осіб, які вступають в правові відносини з ДСЗПД України

    То есть по мнению Госслужбы, разрозненная информация о должностных лицах юрлица, которая фигурирует в договоре, - это тоже база персональных данных.
    Подход странный (см. также далее по тексту другие подходы к этому вопросу), но тем не менее - факт.
  3. Любая ли информация, позволяющая (прямо или косвенно) идентифицировать физлицо, подлежит регистрации как база персональных данных?
    ИМХО, нет, не любая. Идея принятия международных стандартов (под которые мы и приняли Закон, и он, надо сказать, по тексту очень близок к международным документам по защите персональных данных) - установить требования в отношении действий, специально направленных на создание и использование неких баз данных о физических лицах (телефонный справочник, справочник адресов, перечень адресов электронной почты и т.п.).
    Из приведенного в Законе понятия базы персональных данных как "именованной совокупности упорядоченных персональных данных в электронной форме или в форме картотеки" указывает на то, что одного факта наличия у предприятия данных, позволяющих идентифицировать физлицо недостаточно, чтобы считать, что предприятие владеет базой персональных данных.

    См. также тут

    Плюс: аргумент от Йнк, аргументы от xaez

    И запрос в Минюст и продолжение этой истории
  4. Должно ли предприятие регистрировать базу персональных данных в связи с тем, что владеет информацией о руководителях предприятий-контрагентов? (они выступают при подписании договора от имени предприятия, указывая реквизиты своего паспорта) либо о физлицах-предпринимателях, с которыми заключаются договоры?
    На мой взгляд, нет. Это несистематизированная, неструктурированная информация, не представляющая собой единой базы данных. Критерием должно быть то, собрана ли информация в одном месте, по одному критерию, систематизирована, обеспечивает легкий доступ к данным о физлице.
    Однако Госслужба по вопросам защиты персональных данных настаивает на весьма и весьма широком понимании закона, призывая регистрировать и базу "Работники", и базу "Контрагенты".
  5. Может ли считаться базой персональных данных картотека с делами работников?
    Вот тут видимо действительно есть основания говорить, что картотека, состоящая из дел работников, является базой персональных данный(некоторые государства для баз, создаваемых в рамках трудовых отношений, делают исключения, но у нас в законодательстве его нет). Картотека представляет собой сосредоточение персональной информации, которая собрана и систематизирована.
    В то же время, сама Госслужба по защите персональных данных указывает
    Скрытый текст: показать
    Володілець самостійно приймає рішення про те, чи являється та чи інша сукупність персональних даних фізичних осіб, яка знаходиться в його володінні, базою персональних даних.

    Аналізуючи заяви про реєстрацію баз персональних даних, які надходять на реєстрацію до ДСЗПД, можна дійти висновку, що кожне підприємство (організація) є володільцем щонайменше двох баз персональних даних, а саме бази персональних даних працівників, яка ведеться з метою забезпечення вимог трудового законодавства, реалізації податкових відносин та відносин у сфері бухгалтерського обліку та аудиту, та бази персональних даних клієнтів або інших осіб персональні дані яких обробляються володільцем в результаті господарської діяльності організації.
    Крім того, слід зазначити, що різні типи звітів та форм, що містять в собі певну сукупність відомостей про фізичних осіб, вибраних з баз персональних даних володільця, та які, відповідно до закону, періодично подаються до органів державної влади - не розглядаються як окремі бази персональних даних.


    відомості про працівників, відображені в кадрових документах (картки Т – 2, особові справи, трудові книжки тощо), зокрема про вік, дату і місце народження, місце проживання, ідентифікаційний номер, соціальний статус, пільги відповідно до закону (одинокі матері, жінки з дітьми віком до трьох років, «чорнобильці», неповнолітні, пенсіонери тощо), з точки зору Закону вважаються персональними даними, які у своїй сукупності складають базу персональних даних або її частину.
    Крім того, документація підприємств, установ та організацій в електронній формі та/або у формі картотек, що містить певним чином структуровані персональні дані найманих працівників, також вважається базою персональних даних або її частиною.


    Тест: "Есть ли у Вас база персональных данных Британского ведомства информации"
  6. Если на предприятии всего один наемный работник, может ли информация о нем считаться базой данных?
    да, может, база данных может состоять из информации даже об одном человеке (ч. 1 ст. 13).
    Стаття 13. Накопичення та зберігання персональних даних

    1. Накопичення персональних даних передбачає дії щодо поєднання та систематизації відомостей про фізичну особу чи групу фізичних осіб або внесення цих даних до бази персональних даних.


    Такую позицию поддержала Чихуа
    Йнк против, настаивая на том, что Базой может считаться только совокупность сведений как минимум о двух физлицах.
    Demerji считает, что такими аргументами вполне можно воспользоваться в случае спора с контролерами, но лучше не рисковать и зарегистрировать Базу.
  7. Если предприятие регистрирует несколько баз данных, заявление подается на каждую из них отдельно или можно все базы включить в одно заявление?
    На каждую базу данных подается отдельное заявление о регистрации.
  8. Надо ли получать сейчас от всех работников разрешение на использование их персональных данных?
    Нет, не надо.
    Статья 11 Закона называет основания возникновения права на использование персональных данных:
    1) согласие субъекта персональных данных (в нашем случае — работника) на обработку его персональных данных. Субъект персональных данных имеет право при предоставлении согласия внести оговорку в отношении ограничения права на обработку своих персональных данных;
    2) разрешение на обработку персональных данных, предоставленное владельцу базы персональных данных согласно закону исключительно для осуществления своих полномочий.

    Работодатель вполне может воспользоваться вторым из приведенных оснований и настаивать на отсутствии необходимости получения отдельного согласия работников на использование предоставляемых ими данных для целей, предусмотренных законодательством. Ссылаться при этом работодатель может на то, что есть целый ряд законодательных положений, обязывающих работодателей владеть определенными персональными данными наемных работников. Это, в частности, ст. 24 КЗоТ, пункты 2 — 4 постановления Кабмина «О трудовых книжках работников» от 27.04.93 г. № 301, п. 1.3 и п. 1.4 Инструкции о порядке ведения трудовых книжек работников, утвержденной приказом Минтруда, Минюста, Минсоцзащиты от 29.07.93 г. № 58, приказ Госкомстатистики и Минобороны «Об утверждении типовой формы первичного учета № П-2 «Личная карточка работника» от 25.12.2009 г. № 495/656, приказ Минстатистики «Об утверждении формы первичного учета № П-2ДС и Инструкции по ее заполнению» от 26.12.95 г. № 343, акты законодательства, которыми установлены ограничения, гарантии, компенсации, льготы в сфере трудовых и социальных правоотношений.

    Но если хотите перестраховаться - можно такое согласие и получить.
    Госслужба по защите персональных данный на сегодня признает отсутствие необходимости получать разрешение у тех сотрудников, которые предоставили данные о себе до 01.01.2011.
  9. Каким должен быть текст согласия работника на обработку данных о нем?
    например таким
    Скрытый текст: показать
    ЗГОДА
    на збір та обробку персональних даних


    Я, ________________________________________________________________________ ,
    (народився „___” __________ 19 __ року , паспорт серії ___ №_________ ) шляхом підписання цього тексту, надаю згоду _____________________________________________________________________
    (назва підприємства)
    на збір та використання інформації про мене з обмеженим доступом забезпечення для реалізації вимог трудового законодавства, в адміністративно-правових відносинах (в тому числі, відносинах у сфері державного управління), податкових відносинах та відносинах у сфері бухгалтерського обліку; відносинах у сфері управління людськими ресурсами, зокрема, кадрами; інших відносинах, що вимагають обробки персональних даних.
    „___” _________ ______ р., ____________ (__________________________________)

    Особу та підпис __________________________________________ перевірено

    Керівник кадрового підрозділу ________________ ( _____________________)
    М.П.

    В этом же заявлении можно разместить такую информацию:

    Скрытый текст: показать
    Повідомляємо, що надані Вами відомості включені до бази персональних даних (назва підприємства) з метою виконання вимог трудового законодавства.
    Відповідно до ст.8 Закону України „Про захист персональних даних” суб’єкт персональних даних має право:
    1. знати про місцезнаходження бази даних, яка містить його перс.дані, її призначення та найменування, місцезнаходження її володільця чи розпорядника;
    2. отримувати інформацію про умови надання доступу до перс.даних, зокрема інформацію про третіх осіб, яким передаються його перс.дані, що містяться у базі перс.даних;
    3. на доступ до своїх перс.даних, що містяться у відповідній базі перс.даних;
    4. отримувати не пізніш як за 30 календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи зберігаються його перс.дані у відповідній базі перс.даних, а також отримувати зміст його перс.даних, що зберігаються;
    5. пред’являти вмотивовану вимогу із запереченням проти обробки своїх перс.даних органами державної влади, органами місцевого самоврядування при здійсненні їхніх повноважень, передбачених законом;
    6. пред’являти вмотивовану вимогу щодо зміни або знищення своїх перс.даних будь-яким володільцем та розпорядником цієї бази, якщо ці дані обробляються незаконно чи є недостовірними;
    7. на захист своїх перс.даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
    8. звертатися з питань захисту своїх прав щодо перс.даних до органів державної влади, органів місцевого самоврядування, до повноважень яких належить здійснення захисту перс.даних;
    9. застосовувати засоби правового захисту в разі порушення законодавства про захист перс.даних.

    +
    Скрытый текст: показать
    Я, _________________________, посвідчую, що отримав повідомлення про включення інформації про мене до бази персональних даних з метою дотримання вимог трудового законодавства, а також відомості про мої права, визначені Законом України „Про захист персональних даних” та про осіб, яким мої дані надаються, для виконання зазначеної мети.

    ____________ 20____ року.


    (підпис)


  10. Надо ли при регистрации базы данных указывать сами данные, входящие в базу?
    Нет, не нужно. Указывается только название и цель использования самой базы.
    Тогда возникает следующий вопрос:
  11. Какая польза (какой смысл) в такой регистрации? (ведь никакой информации по сути служба защиты персональных данных не получает)
    На этот вопрос ответа нет :)
    Официально идея такая:
    Скрытый текст: показать
    Реєстрація баз персональних даних є:
    · корисною для суб’єктів персональних даних, оскільки є важливою ознакою прозорості стосовно обробки персональних даних, аналіз записів у Державному реєстрі може слугувати відправною точкою для подання суб’єктом персональних даних скарги до компетентних органів;

    · корисною для володільців баз персональних даних, оскільки сприяє їх обізнаності щодо вимог законодавства та щодо необхідності забезпечувати обробку персональних даних з дотриманням вимог законодавства;

    · корисною для уповноваженого державного органу з питань захисту персональних даних, оскільки дозволяє йому бути обізнаним із ситуацією стосовно обробки персональних даних, та водночас дає змогу здійснювати аналіз записів з метою удосконалення положень типового порядку обробки персональних даних та методів контролю за додержанням вимог законодавства про захист персональних даних.

    Проще говоря: регистрируйте, чтобы осознать все значение необходимости защиты персональных даных.
  12. Какая цель использования может быть указана в заявлении о регистрации?

    Як приклад, метою обробки персональних даних може бути: забезпечення реалізації трудових відносин; адміністративно-правових; податкових відносин та відносин у сфері бухгалтерського обліку та аудиту; відносин у сфері управління людськими ресурсами; відносин у сфері економічних, фінансових послуг; відносин у сфері реклами; відносин у сфері телекомунікаційних послуг; відносин у сфері громадської, політичної та релігійної діяльності; відносин у сфері культури, дозвілля, спортивної та соціальної діяльності; відносин у сфері освіти; відносин у сфері охорони здоров’я; відносин у сфері безпеки; відносин у сфері транспорту; відносин у сфері науки, історичних досліджень та статистики тощо.
    Приклад формулювання мети :
    Обробка персональних даних фізичних осіб загального характеру (прізвище, ім’я та по батькові, дата та місце народження, громадянство, місце проживання тощо) або вразливих персональних даних (расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров'я чи статевого життя) здійснюється для забезпечення реалізації (вказати яких саме) відносин, відповідно до (перерахувати правові акти, положення, установчі чи інші документи, які регулюють діяльність володільця).

    См. также под спойлером:
    Скрытый текст: показать
    Цілі обробки персональних даних повинні відповідати цілям діяльності володільця бази персональних даних, що зафіксовані в їх установчих документах та/або передбачені законодавством України, що регулює їх діяльність.

    Типовими цілями обробки персональних даних є забезпечення реалізації:
    - трудових відносин;
    - адміністративно-правових (в тому числі, відносин у сфері державного управління), податкових відносин та відносин у сфері бухгалтерського обліку;
    - відносин у сфері управління людськими ресурсами, зокрема, кадровим потенціалом;
    - відносин у сфері економічних, фінансових послуг та страхування;
    - відносин у сфері реклами та збору персональних даних у комерційних цілях;
    - відносин у сфері телекомунікаційних послуг;
    - відносин у сфері громадської, політичної та релігійної діяльності, культури, дозвілля, спортивної та соціальної діяльності;
    - відносин у сфері освіти;
    - відносин у сфері охорони здоров’я;
    - відносин у сфері безпеки, включаючи питання приватних розслідувань, побудови системи приватної безпеки та приватної охорони;
    - відносин у сфері транспорту;
    - відносин у сфері науки, історичних досліджень та статистики;
    - інших відносин, що вимагають обробки персональних даних.


    Несколько примеров см. также тут.

    Пример от Чихуа
  13. Какой общий алгоритм действия для предприятия?
    Оптимальный с учетом всех пожеланий Госслужбы выглядит так:
    - получить согласия от работников (и получается, директоров контрагентов, персональные данные которых фигурируют в договорах, а также физлиц-предпринимателей) об использовании их персональных данных;
    - составить внутреннее положение о защите персональных данных;
    - издать приказ о возложении обязанностей по обеспечению защиты персональных данных на руководителя кадровой службы либо на иное лицо (с его согласия);
    - зарегистрировать базу данных ("База даних працівників", "База даних фізичних осіб, що діють від імені контрагентів", "База даних фізичних осіб - підприємців"). Если есть электронные ключи - можно за 10 минут зарегистрировать прямо на сайте;
    - получить свидетельство о зарегистрированной базу персональных данных.

    + см. рекомендации от Йнк

    Примеры Положения о защите персональных данных и приказа от Одуванчика.
    Пример Положения от Assedo

    Алгоритм действий от Минздравоохранения см. тут.
  14. Надо ли регистрировать в Госслужбе изменения Базы данных, если меняются сведения о физлице (фамилия, место проживания и т.д.)?
    Нет, не надо. Регистрации подлежат только те изменения, которые касаются изначально заявленных данных (название базы персональных данных, ее местонахождения, цели использования и т.п.).
  15. До когда необходимо успеть подать заявление о регистрации и уведомить физлиц, чьи данные используются о их правах по Закону о защите персональных данных?
    До 01.01.2012 г. С этой даты начнут работать санкции за нарушение Закона.
  16. Какие санкции предусмотрены?
    За нарушение требований законодательства о защите персональных данных может наступать административная либо даже уголовная ответственность. Соответствующие нормы вступят в силу с 01.07.2012 г. (согласно Закону Украины «О внесении изменений в некоторые законодательные акты Украины по усилению ответственности за нарушение законодательства о защите персональных данных» от 02.06.2011 г. № 3454-VI). Так, административная ответственность будет наступать за:

    — неуведомление или несвоевременное уведомление субъекта персональных данных (в том числе работника) о его правах в связи с включением его персональных данных в базу персональных данных, цели сбора этих данных и лицах, которым эти данные передаются в виде штрафа на должностных лиц, физлиц-предпринимателей — от 300 до 400 не облагаемых минимумов доходов граждан (т.е. от 5100 до 6800 грн.), на физлиц-работодателей, не имеющих статуса предпринимателя, — от 200 до 300 ннмдг (от 3400 до 5100 грн.);

    — неуведомление или несвоевременное уведомление ГСЗПД об изменении сведений, которые подаются для государственной регистрации базы персональных данных в виде штрафа на должностных лиц, физлиц-предпринимателей от 200 до 400 ннмдг (от 3400 до 6800 грн.), на физлиц-работодателей, не имеющих статуса предпринимателя, — от 100 до 200 ннмдг (от 1700 до 3400 грн.);

    — за уклонение от государственной регистрации базы персональных данных в виде штрафа на граждан, не имеющих статуса предпринимателя, от 300 до 500 ннмдг (от 5100 до 8500 грн.), на должностных лиц, физлиц-предпринимателей — от 500 до 1000 ннмдг (от 8500 до 17000 грн.).

    Уголовная ответственность будет наступать за незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о работнике или незаконное изменение такой информации в виде штрафа от 500 до 1000 ннмдг (от 8500 до 17000 грн.) либо исправительных работ на срок до двух лет, либо в виде ареста на срок до шести месяцев, либо ограничения свободы на срок до трех лет.

    О регистрации БПД, проверках и ответственности см. разъяснение Госслужбы.
  17. Проводит ли Госслужба проверки?
    Утвержденного порядка проведения проверок пока нет. Есть проект
  18. Как подать заявление о регистрации?
    Если есть ЭЦП - то можно составить заявление прямо на сайте либо отправить почтой, тоже предварительно подписав ЭЦП (нюанс по публичному сертификату от Asia см. тут), на адрес register@zpd.gov.ua
    Инструкция по заполнению заявления на сайте + последние рекомендации Госслужбы
    Акредитовані центри сертифікації ключів, клієнти яких мають можливість подавати заяву про реєстрацію бази персональних даних у формі електронного документу
    Скрытый текст: показать
    ТОВ "Український сертифікаційний центр"

    Центр сертифікації ключів
    ТОВ " Український сертифікаційний центр ",
    Юридична адреса - 04080, м.Київ, вул. Фрунзе, буд. 102
    код ЄДРПОУ 33406510
    Адреса центру - 04080, м.Київ, вул. Фрунзе, буд. 102
    тел. +38(044) 206-72-30, 206-72-10



    ТОВ "Інтер Метл"

    Центр сертифікації ключів
    ТОВ "Інтер Метл",
    Юридична адреса - 03049, м.Київ, вул. Платонівська, буд. 18
    код ЄДРПОУ 25279440
    Адреса центру - 03049, м.Київ, вул. Платонівська, буд. 18
    тел. (+380 44) 244-06-39, 465-28-19



    ТОВ "Арт-Мастер"

    Центр сертифікації ключів
    "Masterkey" Товариства з обмеженою відповідальністю "Арт-мастер"
    Юридична адреса – 03035, м. Київ, вул. Сурикова, 3 (літ. А)
    код ЄДРПОУ 30404750
    Адреса центру - 03035, м. Київ, вул. Сурикова, 3 (літ. А)
    тел. +38 (044) 206-13-78, 206-13-79

    ПАТ «Комунікаційний фондовий центр»

    Центр сертифікації ключів
    ПАТ «Комунікаційний фондовий центр»
    Юридична адреса - 49000 м. Дніпропетровськ, вул. Леніна, буд. 30
    код ЄДРПОУ 30006207
    Адреса центру - 49000 м. Дніпропетровськ, вул. Леніна, буд. 30
    тел. +380 56 373-95-91
    факс: (056) 373-97-82

    ЗАТ «Науково-дослідний інститут прикладних інформаційних технологій»

    Центр сертифікації ключів
    Закритого акціонерного товариства "Науково-дослідний інститут прикладних інформаційних технологій",
    Юридична адреса - 01010, м.Київ, вул. Івана Мазепи, буд. 3
    код ЄДРПОУ 30674051
    Адреса центру - 03051, м. Київ, вул. Смілянська, буд. 4
    тел. (+380 44) 353-74-03, 279-65-40



    ЗАТ «Інфраструктура відкритих ключів»

    Центр сертифікації ключів
    закритого акціонерного товариства "Інфраструктура відкритих ключів"
    Юридична адреса - 04050, м. Київ, вул. Мельникова, 12
    код ЄДРПОУ 33406085
    Адреса центру - 61058, м. Харків, пр-т Леніна, 5
    тел/факс. +38 (057) 760-12-61

    ВАТ «Національний депозитарій України»

    Центр сертифікації ключів
    відкритого акціонерного товариства "Національний депозитарій України",
    Юридична адреса - 01001, м. Київ, вул. Б.Грінченка,3
    код ЄДРПОУ 30370711
    Адреса центру - 01001, м. Київ, вул. Б.Грінченка,3
    тел. (+380 44) 279-13-25, 279-13-38
    факс: (044) 279-13-22



    Центр сертифікації ключів «УСС-Цезаріс» ДП «Українські спеціальні системи»

    Центр сертифікації ключів "УСС-Цезаріс"
    Державного підприємства "Українські спеціальні системи"
    Юридична адреса - 04119, Україна, м.Київ. вул. Мельникова, 83б, код ЄДРПОУ № 32348248
    Адреса центру - 04119, Україна, м.Київ. вул. Мельникова, 83б
    тел. +38 (044) 481-49-53
    факс: (044) 481-49-79



    Комунальне підприємство "Головний інформаційно-комунікаційний і науково-виробничий центр", Дніпропетровської обласної ради
    Центр сертифікації ключів

    Юридична адреса – 49004, м. Дніпропетровськ, просп. Кірова, 2
    код ЄДРПОУ 13435515
    Адреса центру - 49004, м. Дніпропетровськ, просп. Кірова, 2
    тел. +38 (056) 744-70-83
    факс: (056) 742-88-70

    Державне підприємство "Головний інформаційно-обчислювальний центр Державної адміністрації залізничного транспорту України"

    Центр сертифікації ключів
    Юридична адреса – 01030, м. Київ, вул. І.Франка, 21
    код ЄДРПОУ 21579381
    Адреса центру - 01030, м. Київ, вул. І.Франка, 21
    тел. +38 (044) 465-39-05 465-39-03

    Можно направить почтой - Поштова адреса: 02660, м. Київ, вул. М. Раскової, 15, каб.1205
    Либо отвезти лично.
    Примеры заполнения заявлений о регистрации есть на сайте Службы (зайти в раздел Рекомендації щодо подання та заповнення заяв про реєстрацію БПД)
  19. Является ли Базой персональных данных визитница?
    См. тут
  20. Как назвать Базу?
    См. тут
  21. Что если откажут в регистрации Базы данных?
    См. тут, тут и тут
  22. Какую дату ставить в заявлениях работников о их согласии на использование персональных данных?
    См. тут
  23. Надо ли указывать "розпорядником" в заявлении бухгалтера юрлица или ФЛП? Он ведь обрабатывает информацию в ходе своей деятельности.
    Нет. У нас есть владелец базы - юрлицо либо физлицо-предприниматель либо физлицо без статуса предпринимателя - работодатель.
    От имени владельца могут действовать его уполномоченные должностные лица. Они не считаются третьим лицом. Они обрабатывают данные в пределах своих трудовых отношений с владельцем базы.
    А вот если Вы захотите передать накопленные у себя персональные данные для их обработки третьим лицам (по гражданско-правовому договору) - вот тогда может идти речь о распорядителе.
    Пример распорядителя от Чихуа
  24. Надо ли регистрировать Базу ФЛП, у которого нет наемных работников и деятельность не ведется?
    Не надо.
    Подробнее тут от Demerji
    Такому физлицу-предпринимателю регистрировать Базу персональных данных "о себе" тоже не надо.
  25. Надо ли регистрировать Базу "Контрагенты", если договоры только с юрлицами?
    Ответ от Demerji см. тут
    Но, предупредим, есть и другая позиция: поскольку, работая с юрлицами, субъект хозяйствования получает персональные данных их должностных лиц, регистрировать базу данных надо. Лично мне - ближе позиция Demerji.
  26. Как отслеживать, зарегистрирована База или нет?

    Информация от All:
    Наплыв заяв, что за 10 дней, предоставленных по Закону, никому точно не зарегистрируют.
    Надо в "пошук заяв" внести номер заявы и их пароль который пришел по електронке.
    При входе на свою страницу заявы справа будет написано "Зареєстровано".
    Когда они рассмотрят заяву то напишут "відмовлено", типа нет, або " прийнято рішення".
  27. Может ли быть расторгнут трудовой договор с работником, отказывающимся дать согласие на использование его персональных данных? Ведь предприятие, не используя такие данные, не может работать, в частности заполнять отчетность
    Нет, не может. Работник не обязан давать такое согласие. И ни под одно из оснований для расторжения трудового договора такая ситуация не подпадает.
    Другое дело - выше об этом было - что в тех случаях, когда персональные данные получены для использования в объеме, требуемом законодательством, согласие работника и вовсе не надо. Использование персональных данных итак правомерно.
    Если вдруг хотите перестраховаться - составьте акт, который пускай подпишут два сотрудника предприятия, о том, что работник ознакомлен со своими правами согласно Закону, а также с тем, что персональные данные будут использоваться исключительно в объеме, необходимом для выполнения предприятием законодательных обязанностей. С требованием о прекращении использования его данных работник не обращался
  28. Надо ли в Базе данных "Працівники" в разделе "Распорядители" указывать Пенсионный фонд и органы государственной налоговой службы?
    Нет.
    Распорядитель базы данных согласно Закону получает право на обработку данных либо на основании требований закона, либо на основании договора с владельцем базы. Думаю, что в заявлении указывается распорядитель только в том случае, если ему информация передается по договору, то есть не в силу законодательных требований, а по инициативе самого владельца базы.
  29. Как внести изменения / исправить ошибку в уже поданную заявку?
    См. тут
  30. Что указывать в реквизите "Правові підстави обробки бази персональних даних"?
    Ответ будет зависеть от того, какую базу персональных данных вы регистрируете.
    Возьмем наиболее типичные варианты:
    БПД "Працівники" - можно ограничиться указанием на то, что "Персональні дані працівників використовуються з метою виконання вимог чинного трудового, податкового та іншого законодавства, покладених на роботодавця у межах його компетенції".
    для тих, хто має згоду працівників, - додатково як правова підстава вказується також згода працівників.
    На майбутнє умова про згоду працівника на обробку наданих ним даних з метою виконання приписів законодавства і підтвердження ним, що його було ознайомелно з правами, наданими Законом про захист персональних даних, может бути включена в трудовий договір чи в наказ про прийняття на роботу, з текстом якого під розпис ознайомлюється працівник.
    БПД "Контрагенти" или "Клієнти" - "Використання персональних даних здійснюється за добровільною згодою фізичних осіб - контрагентів / клієнтів, що була висловлена у формі конклюдентних дій, зокрема у добровільному наданні відповідних відомостей з метою ідентифікації таких фізичних осіб як сторін договірних відносин". Если вы дополнительно сможете заручиться заявлениями - согласиями всех своих контрагентов, в качестве правового основания может быть указано и их согласие на обработку тоже
  31. Надо ли отдельно регистрировать базы персональных данных на филиалы и другие обособленные подразделения?
    Если название базы головного предприятия и подразделения совпадают ("Контрагенти" и "Контрагенти"), то отдельно не регистрируется, но предприятие на стр. 4 заявления указывает повторно название базы, а в качестве местонахождения указывает место нахождения филиала. Если у головного предприятия базы данных разные (у головного "Контрагенты", а у филиала - отдельно "Контрагенти-резиденти" и "Контрагенти-нерезиденти", головное предприятие отдельно подает заявку на свою базу данных, отдельно - на две базы данных филиала; владельцем базы указывается головное предприятие, в качестве местонахождения базы - место нахождения филиала).
  32. Является ли услуга регистрации БПД платной?
    Регистрация Базі Госслужбой осуществляется бесплатно. Ответ тут

  33. Главный вопрос: регистрировать ли БПД обычному субъекту хозяйствования с наемными работниками и контрагентами?
    Итог обсуждений на сегодня подвел юрист тут

    Сроки вступления в силу ответственности за нарушения в сфере защиты персональных данных перенесли на [b]01.07.2012!!![/b] Если до этой даты заявление о регистрации БПД подано - ответственности не будет.
  34. Разъяснение Минюста по вопросу защиты персональных данных
  35. По расширению файла заявки в электронном виде см. тут
  36. Краткое содержание пресс-конференции представителей Минюста и ГСЗПД
  37. Типовий порядок обробки персональних даних у базах персональних даних
  38. Парламент принял закон, которым вступление в силу норм об ответственности за нарушение законодательства о защите персональных данных переносится на 1 июля 2012 года.
  39. Похоже, закон о персональных данных будет меняться. На сегодня в парламенте есть ряд законопроектов, предусматривающих изменения. Среди них - проект Кабмина, самый вероятный претендент на одобрение парламентом.
Последний раз редактировалось vins 27 дек 2011, 10:08, всего редактировалось 1 раз.

Аватар пользователя
vins
 
Сообщений: 6654
Зарегистрирован: 27 дек 2010, 12:38
Благодарил (а): 2704 раз.
Поблагодарили: 2891 раз.

UNREAD_POST vins » 04 ноя 2011, 18:33

КИА писал(а):С 1 июля 2011 г. начал работать отдел регистрации баз персональных данных. "Закон о защите персональных данных" действует с 01.01.2011. А с 01.01.2012 - начинаются немалые штрафные санкции. Кто регистрировал свое предприятие? И что регистрировал?


Из консультаций, которые дают сотрудники самой Службы, то они рекомендуют в качестве базы данных регистрировать кадровую документацию, статотчетность, налоговую отчетность.
Можете заглянуть на сайт Госслужбы http://www.zpd.gov.ua/indexDovidkaInfo.html

За это сообщение автора vins поблагодарил:
Наташа216
Аватар пользователя
vins
 
Сообщений: 6654
Зарегистрирован: 27 дек 2010, 12:38
Благодарил (а): 2704 раз.
Поблагодарили: 2891 раз.

UNREAD_POST налоговик » 15 ноя 2011, 11:48

Набрел на вопрос по теме из "Налоги и бухгалтерский учет" № 90. Делюсь.

Персональные данные: вопросы работодателя

Нужно ли предприятию регистрировать сведения, которыми оно владеет в отношении своих работников? Нужно ли на это получать согласие самих работников?

(г. Одесса)

С 1 января 2011 года действует Закон Украины «О защите персональных данных» от 01.06.2010 г. № 2297-VI, руководствуясь положениями которого с 01.07.2011 г. Государственная служба Украины по вопросам защиты персональных данных начала регистрацию баз персональных данных в Госреестре баз персональных данных.

Давайте попробуем разобраться, что понимает законодатель под персональными данными и в каких случаях возлагает на работодателя обязанность зарегистрировать базу персональных данных.

Согласно ст. 2 Закона № 2297 персональные данные — это сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано, база персональных данных — именуемая совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных. Источниками сведений о физическом лице являются: выданные на его имя документы; подписанные им документы; сведения, которые лицо предоставляет о себе (ч. 4 ст. 6 Закона № 2297).

Работодатель, который в своей деятельности не может не использовать сведения о физических лицах, пребывающих с ним в трудовых отношениях (это, в частности, сведения о возрасте, дате и месте рождения, месте жительства, регистрационном номере учетной карточки, социальном статусе, наличии права на предоставляемые законодательством льготы, например для инвалидов, беременных женщин и женщин с детьми в возрасте до трех лет, несовершеннолетних, автобиографии, характеристики, данные о прохождении аттестации и т.д.), подпадает под определение владельца базы персональных данных, а значит — на нем лежит обязанность по установлению состава персональных данных и процедуры их обработки. В связи с этим Государственная служба Украины по вопросам защиты персональных данных (далее — ГСЗПД) рекомендует рассматривать кадровую документацию, статистическую, налоговую и другую отчетность в электронной форме и/или в форме картотек, которая обрабатывается работодателем и содержит персональные данные работников базой персональных данных или составной частью базы персональных данных.

Статья 11 Закона № 2297 называет основания возникновения права на использование персональных данных:

1) согласие субъекта персональных данных (в нашем случае — работника) на обработку его персональных данных. Субъект персональных данных имеет право при предоставлении согласия внести оговорку в отношении ограничения права на обработку своих персональных данных;

2) разрешение на обработку персональных данных, предоставленное владельцу базы персональных данных согласно закону исключительно для осуществления своих полномочий.

По нашему мнению, работодатель вполне может воспользоваться вторым из приведенных оснований и настаивать на отсутствии необходимости получения отдельного согласия работников на использование предоставляемых ими данных для целей, предусмотренных законодательством. Ссылаться при этом работодатель может на то, что есть целый ряд законодательных положений, обязывающих работодателей владеть определенными персональными данными наемных работников. Это, в частности, ст. 24 КЗоТ, пункты 2 — 4 постановления Кабмина «О трудовых книжках работников» от 27.04.93 г. № 301, п. 1.3 и п. 1.4 Инструкции о порядке ведения трудовых книжек работников, утвержденной приказом Минтруда, Минюста, Минсоцзащиты от 29.07.93 г. № 58, приказ Госкомстатистики и Минобороны «Об утверждении типовой формы первичного учета № П-2 «Личная карточка работника» от 25.12.2009 г. № 495/656, приказ Минстатистики «Об утверждении формы первичного учета № П-2ДС и Инструкции по ее заполнению» от 26.12.95 г. № 343, акты законодательства, которыми установлены ограничения, гарантии, компенсации, льготы в сфере трудовых и социальных правоотношений.

Однако этот вариант аргументации рекомендуем оставить «на крайний случай». Более уверенно будут себя чувствовать те из работодателей, которые получат письменное согласие работника на использование его персональных данных. Именно так рекомендуют поступить специалисты ГСЗПД*. Единственное исключение, которое они готовы сделать: согласие субъекта персональных данных на обработку его персональных данных повторно не предоставляется, если владелец продолжает обрабатывать персональные данные субъекта в рамках правоотношений на основании свободного волеизъявления физического лица, которые возникли до вступления в силу Закона № 2297. Другими словами, специалисты ГСЗПД признают, что если трудовые отношения возникли до 01.01.2011 г., то после этой даты получать отдельное согласие работника на использование его персональных данных нет необходимости. Получить согласие нужно только от тех работников, которые были приняты на работу в 2011 году и будут приниматься в последующем. Согласие, в частности, может предоставляться отдельным документом, составленным в произвольной форме, или путем указания об этом в заявлении о приеме на работу.

* Соответствующие консультации размещены на официальном сайте службы http://www.zpd.gov.ua. Там же размещен типовой порядок обработки персональных данных в базах персональных данных (http://www.zpd.gov.ua/zpd_14.pdf), который ГСЗПД рекомендует взять за основу и разработать внутреннее положение на предприятии.

Как мы указали выше, кадровая документация, статистическая, налоговая и другая отчетность, другие сведения о работниках, используемые работодателем, ГСЗПД рекомендует рассматривать в качестве базы персональных данных или в качестве составной части базы персональных данных, которая, в свою очередь, подлежит регистрации.

Порядок регистрации баз персональных данных регулируется Законом № 2297 и Положением о Государственном реестре баз персональных данных и порядке его ведения, утвержденным постановлением Кабмина от 25.05.2011 г. № 616. База персональных данных подлежит государственной регистрации путем внесения соответствующей записи ГСЗПД в Государственный реестр баз персональных данных на основании заявления, поданного владельцем такой базы или уполномоченным им лицом по форме и в порядке, утвержденным приказом Минюста «Об утверждении форм заявлений о регистрации базы персональных данных и о внесении изменений в сведения Государственного реестра баз персональных данных и порядок их представления» от 08.07.2011 г. № 1824/5.

Заявление должно содержать:

1) обращение о внесении базы персональных данных в Реестр;

2) информацию о владельце базы персональных данных, в частности:

— наименование (указывается полное название юридического лица без сокращений в соответствии с учредительными документами и/или свидетельством о государственной регистрации юридического лица), резидент/нерезидент, код налогоплательщика согласно ЕГРПОУ или налоговый номер (для резидента), место нахождения — для юридических лиц;

— фамилию, имя и отчество (при наличии), гражданство, номер, серию паспорта и выдавший его орган, а также для граждан Украины регистрационный номер учетной карточки налогоплательщика (не подается физическими лицами, которые по своим религиозным убеждениям отказались от присвоения регистрационного номера учетной карточки налогоплательщика и официально известили об этом соответствующие органы государственной власти, что подтверждается отметкой в паспорте), место жительства — для физических лиц;

3) информацию о наименовании и месте нахождения базы персональных данных:

— адрес фактического размещения — для баз данных в форме картотек;

— фактические адреса хранения носителей информации — для баз данных в электронной форме;

4) информацию о цели обработки персональных данных в базе персональных данных со ссылкой на нормативно-правовые акты, положения, учредительные или другие документы, регулирующие деятельность владельца базы персональных данных, в том числе об их категориях (перечень данных о физическом лице, которые обрабатываются в базе, например, Ф. И. О., паспортные данные, регистрационный номер учетной карточки налогоплательщика, данные об образовании, стаже работы, навыках и пр.) и правовых основаниях такой обработки;

5) информацию о распорядителях баз персональных данных (при их наличии):

— наименование, резидент/нерезидент, код налогоплательщика согласно ЕГРПОУ или налоговый номер (для резидента), место нахождения — для юридических лиц;

— фамилия, имя и отчество (при наличии), гражданство, номер, серия паспорта и орган, который его выдал, а также для граждан Украины регистрационный номер учетной карточки налогоплательщика (не подается физлицами, которые по своим религиозным убеждениям отказались от присвоения регистрационного номера учетной карточки налогоплательщика и официально известили об этом соответствующие органы государственной власти, что подтверждается отметкой в паспорте), место жительства — для физических лиц;

6) информацию о заявителе;

7) документ, подтверждающий обязательство относительно выполнения требований законодательства по защите персональных данных (в заявлении проставляется отметка в разделе подтверждения обязательства).

Заявления заполняются и подаются в бумажной или электронной форме. При представлении заявлений в бумажной форме заявитель подписывает каждую страницу заявления и скрепляет ее печатью (при наличии). В электронной форме заявления подаются в соответствии с требованиями законов Украины «Об электронной цифровой подписи» от 22.05.2003 г. № 852-IV и «Об электронных документах и электронном документообороте» от 22.05.2003 г. № 851-IV.

Заявления заполняются на государственном языке, разборчивыми печатными буквами. Они не должны содержать помарки, зачеркивания и исправления.

При заполнении заявлений выбранный заявителем признак отмечается символом «х». Даты в заявлениях заполняются арабскими цифрами в формате — день, месяц, год.

Страницы заявлений нумеруются, на каждой странице заявления указываются номер страницы и общее количество страниц.

Заявление в бумажной форме подается через курьера или отправляется по адресу: 02660 г. Киев, ул. Марины Расковой, 15 или в форме электронного документа отправляется по электронному адресу Государственной службы Украины по вопросам защиты персональных данных (register@zpd.gov.ua). Также заполнить и предоставить заявление в электронном виде можно непосредственно на сайте Государственного реестра баз персональных данных (https://rbpd.informjust.ua/default.aspx).

Если субъект хозяйствования имеет обособленные структурные подразделения, руководители которых наделены полномочиями по заключению и расторжению трудовых договоров с работниками этих обособленных структурных подразделений и эти подразделения ведут собственное кадровое делопроизводство, то в заявлении о регистрации базы персональных данных работников в разделе ІІ необходимо указывать адреса места нахождения базы персональных данных работников предприятия и каждого обособленного структурного подразделения.

ГСЗПД уведомляет заявителя не позже следующего рабочего дня со дня поступления заявления о его получении. В уведомлении указываются регистрационный номер и дата получения заявления, а также срок принятия решения относительно регистрации базы персональных данных в Реестре. В течение 10 рабочих дней со дня поступления соответствующего заявления ГСЗПД принимает решение о регистрации базы персональных данных путем выдачи его владельцу свидетельства о государственной регистрации базы персональных данных или уведомления об отказе в регистрации, о чем вносит запись в Реестр. Владелец базы персональных данных обязан уведомлять ГСЗПД о каждом изменении сведений, необходимых для регистрации соответствующей базы, не позднее чем в течение десяти рабочих дней со дня наступления такого изменения путем предоставления заявления о внесении изменений в сведения Государственного реестра баз персональных данных. К указанным сведениям относятся: изменения информации о владельце и распорядителях базы персональных данных, наименовании и месте нахождения базы персональных данных и изменении цели обработки персональных данных.

За нарушение требований законодательства о защите персональных данных может наступать административная либо даже уголовная ответственность. Соответствующие нормы вступят в силу с 01.01.2012 г. (согласно Закону Украины «О внесении изменений в некоторые законодательные акты Украины по усилению ответственности за нарушение законодательства о защите персональных данных» от 02.06.2011 г. № 3454-VI). Так, административная ответственность будет наступать за:

— неуведомление или несвоевременное уведомление субъекта персональных данных (в том числе работника) о его правах в связи с включением его персональных данных в базу персональных данных, цели сбора этих данных и лицах, которым эти данные передаются в виде штрафа на должностных лиц, физлиц-предпринимателей — от 300 до 400 не облагаемых минимумов доходов граждан (т.е. от 5100 до 6800 грн.), на физлиц-работодателей, не имеющих статуса предпринимателя, — от 200 до 300 ннмдг (от 3400 до 5100 грн.);

— неуведомление или несвоевременное уведомление ГСЗПД об изменении сведений, которые подаются для государственной регистрации базы персональных данных в виде штрафа на должностных лиц, физлиц-предпринимателей от 200 до 400 ннмдг (от 3400 до 6800 грн.), на физлиц-работодателей, не имеющих статуса предпринимателя, — от 100 до 200 ннмдг (от 1700 до 3400 грн.);

— за уклонение от государственной регистрации базы персональных данных в виде штрафа на граждан, не имеющих статуса предпринимателя, от 300 до 500 ннмдг (от 5100 до 8500 грн.), на должностных лиц, физлиц-предпринимателей — от 500 до 1000 ннмдг (от 8500 до 17000 грн.).

Уголовная ответственность будет наступать за незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о работнике или незаконное изменение такой информации в виде штрафа от 500 до 1000 ннмдг (от 8500 до 17000 грн.) либо исправительных работ на срок до двух лет, либо в виде ареста на срок до шести месяцев, либо ограничения свободы на срок до трех лет.


Елена Уварова, юрист

За это сообщение автора налоговик поблагодарили: 5
Аll, Ангва, Demerji, irinij, vasilisa
Аватар пользователя
налоговик
 
Сообщений: 5698
Зарегистрирован: 20 ноя 2010, 23:29
Благодарил (а): 806 раз.
Поблагодарили: 2592 раз.

UNREAD_POST vins » 19 ноя 2011, 16:46

Відповідає Світлана КРИВДА, начальник управління реєстрації баз персональних даних Державної служби України з питань захисту персональних даних

Чи потрібно розробляти на підприємстві локальний нормативний акт про захист персональних даних?
Відповідно до Закону України «Про захист персональних даних» від 1 червня 201О р. № 2297-VI (далі - Закон № 2297), який набрав чинності 1 січня 2011 року, персональні дані, крім знеособлених персональних даних, є інформацією з обмеженим доступом.
Персональні дані, які обробляються в базах персональних даних (зокрема, персональні дані найманих працівників), є об'єктом захисту.
Згідно із Законом NQ 2297 володілець бази персональних даних повинен забезпечити захист цих даних. Умови захисту персональних даних залежать від конкретних реальних загроз, природи персональних даних, які обробляються, технології обробки інформації та типу інформаційної системи, у рамках якої обробляються персональні дані.
...
При впровадженні системи управління персональними даними доцільно розробити покапьний нормативний акт, що регулюватиме процес обробки
персональних даних на підприємстві (це може бути, наприклад, Попоження про захист персонапьних даних на підприємстві).
Державною службою України з питань захисту персональних даних розроблено проект Типового порядку обробки персонапьних даних.
Проектом Типового порядку передбачено, що з метою створення дієвої системи управління персональними даними володільцем має бути визначено
структурний підрозділ або відповідальну особу, яка організовуватиме роботу, пов'язану із захистом персональних даних при їх обробці, відповідно до законодавства України, яке регулює його діяльність, та/або установчих документів володільця бази персональних даних.
На сьогодні завершено громадське обговорення Типового порядку.
Піспя прийняття Типового порядку (наразі він перебуває на розгляді у Міністерстві юстиції України) цей нормативно-правовий акт можна буде використовувати як основу при розробленні локального нормативного акта, що регламентуватиме обробку персональних даних.
"Справочник кадровика" № 11, с. 65-66

За это сообщение автора vins поблагодарили: 2
Demerji, Luka
Аватар пользователя
vins
 
Сообщений: 6654
Зарегистрирован: 27 дек 2010, 12:38
Благодарил (а): 2704 раз.
Поблагодарили: 2891 раз.

UNREAD_POST vins » 22 ноя 2011, 17:22

Вот читаю закон... и думаю, что может он вообще узкого узкого должен быть применения.
То есть применяться только тогда, когда у нас специальная самостоятельная цель - получить персональные данные, структурировать их и определенным образом у себя в деятельности использовать, чтобы была угроза, что кто-то откроет файлик (картотеку) - и вот они все данные. Или мы сами вдруг захотим кому-то отдать данные.
А если просто у суде, к примеру, куча дел в архиве - это не база персональных данных (хотя при желании из них информацию для такой базы можно взять, но пока не взяли - ее нет).

Посмотрел директивы ЕС, во исполнение которых Украина якобы приняла обсуждаемый закон. А там в частности:
Директива охоплює тільки картотеки даних, але не неструктуровані справи; враховуючи, що, зокрема, вміст картотеки даних повинен бути структурований відповідно до визначених критеріїв щодо фізичних осіб, що забезпечувало б легкий доступ до персональних даних

За это сообщение автора vins поблагодарили: 2
Asia, vasilisa
Аватар пользователя
vins
 
Сообщений: 6654
Зарегистрирован: 27 дек 2010, 12:38
Благодарил (а): 2704 раз.
Поблагодарили: 2891 раз.

UNREAD_POST vins » 22 ноя 2011, 18:13

Все больше утверждаюсь в мысли, что касаться эта обязанность должна далеко не всех. И можно доказывать, что набор личных дел в кадровом отделе - это еще не база персональных данных.
Комітету Міністрів державам-членам Ради Європи

про захист осіб у зв’язку із застосуванням автоматизованої обробки персональних даних та у контексті використання таких даних


(Ухвалена Комітетом міністрів 23 листопада 2010р.

на 1099-ому засіданні заступників Міністрів)

Комітет міністрів,

Враховуючи, що метою Ради Європи є досягнення ще більш тісного союзу між її членами;

Відзначаючи, що інформаційно-комунікаційні технології (ІКТ) дозволяють провадити збір та обробку даних у великих масштабах, у тому числі і персональних даних, як в приватному так і в державному секторах; зауваживши, що ІКТ використовуються для широкого спектру цілей, включаючи використання послуг, які мають широке визнання і цінуються суспільством, споживачами і в сфері економіки; відзначивши в той же час, що безперервний розвиток конвергентних технологій створює нові складнощі щодо збору й подальшої обробки даних;

Зауваживши, що цей збір і обробка даних може відбуватися в різних ситуаціях для різних цілей і стосуватись різних типів даних, наприклад, даних щодо рівня інформаційного обміну (трафіку) і запитів користувачів в Інтернеті, купівельних звичок споживачів, їх діяльності, способу життя і поведінки, дані про користувачів телекомунікаційних пристроїв, включаючи дані про їх місце розташування (геолокація), а також даних, що зокрема, почерпнуті із соціальних мереж, систем відео спостереження, біометричних систем та систем радіочастотної ідентифікації (RFID), які ознаменовують виникнення "Інтернету речей"; зазначивши, що бажано провадити оцінку різних подій та цілей за допомогою різних підходів;

Відзначаючи, що дані зібрані таким чином, підлягають обробці саме шляхом математичних підрахунків, порівняння та за допомогою програмного забезпечення в сфері статистичної кореляції, з метою створення профілів, які можуть бути використані по-різному для різних цілей, шляхом зіставлення даних про декількох осіб; зазначивши, що розвиток ІКТ дозволяє проводити таку роботу при її відносно низькій вартості;
....

За это сообщение автора vins поблагодарили: 3
Asia, Алекс Триг, Demerji
Аватар пользователя
vins
 
Сообщений: 6654
Зарегистрирован: 27 дек 2010, 12:38
Благодарил (а): 2704 раз.
Поблагодарили: 2891 раз.

UNREAD_POST vins » 22 ноя 2011, 19:18

Чи потрібно підприємствам, установам і організаціям відповідно до ч. 5 ст. 6 Закону України "Про захист персональних даних" отримувати від фізичних осіб (найманих працівників) документовану згоду для цілей обробки документації при здійсненні діяльності?
Відповідно до п. 1 ст. 11 Закону України "Про захист персональних даних" підставами виникнення права на використання персональних даних є: згода суб’єкта персональних даних на обробку його персональних даних. Суб’єкт персональних даних має право при наданні згоди внести застереження стосовно обмеження права на обробку своїх персональних даних або дати володільцю бази персональних даних дозвіл на їх обробку відповідно до закону виключно для здійснення його повноважень.
Отримання згоди працівника підприємства, установи, організації щодо надання дозволу на обробку його персональних даних відповідно до сформульованої мети їх обробки є підставою для виникнення права на обробку персональних даних найманих працівників.

Чи вважатиметься паперова документація, що використовується в діяльності підприємств, установ та організацій і містить певним чином структуровані персональні дані найманих працівників, базою персональних даних у розумінні Закону України "Про захист персональних даних"? Згідно із Законом України "Про захист персональних даних" персональними даними є відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Документація підприємств, установ та організацій в електронній формі та/або у формі картотек, що містить певним чином структуровані персональні дані найманих працівників, підпадає під визначення "база персональних даних" відповідно до ст. 2 Закону України "Про захист персональних даних".

За это сообщение автора vins поблагодарили: 2
Asia, Demerji
Аватар пользователя
vins
 
Сообщений: 6654
Зарегистрирован: 27 дек 2010, 12:38
Благодарил (а): 2704 раз.
Поблагодарили: 2891 раз.

UNREAD_POST vins » 23 ноя 2011, 20:05

Оказывается, в РФ уже давно внедрили прогрессивные законодательные веяния.

Трудовой кодекс Российской Федерации


Глава 14. Защита персональных данных работника

Статья 85. Понятие персональных данных работника. Обработка персональных данных работника

Персональные данные работника - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

Обработка персональных данных работника - получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты

В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, настоящим Кодексом и иными федеральными законами;

3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;

4) работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;

5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом;

6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;

7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральным законом;

8) работники и их представители должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;

9) работники не должны отказываться от своих прав на сохранение и защиту тайны;

10) работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

Статья 87. Хранение и использование персональных данных работников

Порядок хранения и использования персональных данных работников в организации устанавливается работодателем с соблюдением требований настоящего Кодекса.

Статья 88. Передача персональных данных работника

При передаче персональных данных работника работодатель должен соблюдать следующие требования:

не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;

не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;

осуществлять передачу персональных данных работника в пределах одной организации в соответствии с локальным нормативным актом организации, с которым работник должен быть ознакомлен под расписку;

разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

передавать персональные данные работника представителям работников в порядке, установленном настоящим Кодексом, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

Статья 89. Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя

В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на:

полную информацию об их персональных данных и обработке этих данных;

свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;

определение своих представителей для защиты своих персональных данных;

доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;

требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Кодекса. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;

требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

Статья 90. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско - правовую или уголовную ответственность в соответствии с федеральными законами.


Но, надо сказать, что никакой регистрации Баз персональных данных не предусматривают.
Аватар пользователя
vins
 
Сообщений: 6654
Зарегистрирован: 27 дек 2010, 12:38
Благодарил (а): 2704 раз.
Поблагодарили: 2891 раз.

UNREAD_POST налоговик » 24 ноя 2011, 09:55

vins писал(а):никакой регистрации Баз персональных данных не предусматривают.


vins, так а к чему все таки склоняетесь - на "обычные" предприятия закон не распространяется? можно Базу не регистрировать?

Хотя от себя скажу - процесс регистрации, надо признать, никаких сверхусилий не требует.
Аватар пользователя
налоговик
 
Сообщений: 5698
Зарегистрирован: 20 ноя 2010, 23:29
Благодарил (а): 806 раз.
Поблагодарили: 2592 раз.

UNREAD_POST Asia » 24 ноя 2011, 14:44

сверхусилий не требует - верно, как говорится, не боги горшки обжигают.
Помнится месяца четыре назад, с нас банк собирал письменные согласия на использование данных, учитывая требования Закона "этого самого",
ладно еще сотрудники, а конграгенты - физ.лица, которых можно идентифицировать, а если их еще и много, вот и призадумаешься про усилия..
Хотя размер штрафов мотивирует :a_g_a:
Аватар пользователя
Asia
 
Сообщений: 74
Зарегистрирован: 31 мар 2011, 13:28
Благодарил (а): 149 раз.
Поблагодарили: 57 раз.

UNREAD_POST Chiffi » 24 ноя 2011, 20:08

налоговик писал(а):
vins писал(а):никакой регистрации Баз персональных данных не предусматривают.


vins, так а к чему все таки склоняетесь - на "обычные" предприятия закон не распространяется? можно Базу не регистрировать?

Хотя от себя скажу - процесс регистрации, надо признать, никаких сверхусилий не требует.

Извините, но штрафовать нас будут не по закону РФ :ga-ze-ta; , а украинскому бюджету деньги нужны
Аватар пользователя
Chiffi
 
Сообщений: 53
Зарегистрирован: 25 фев 2011, 23:40
Благодарил (а): 40 раз.
Поблагодарили: 7 раз.

UNREAD_POST vins » 24 ноя 2011, 23:27

Вопросы-ответы по персональным данным: систематизация обсуждаемого на Бухфоруме


Актуальная и обновляемая версия в первом сообщении темы: http://buhforum.com/viewtopic.php?p=20500#p20500

Скрытый текст: показать
  • 1. Распространяются ли требования Закона на физлиц, владеющих персональными данными о других людях (Ф.И.О, телефон, адрес проживания и т.п.)?
    Нет, не распространяются в силу прямого указания на это Закона (см. ст. 1)
  • 2. Распространяется ли Закон на защиту данных о юридических лицах?
    Нет, касается только данных, позволяющих идентифицировать физическое лицо.
  • 3. Любая ли информация, позволяющая (прямо или косвенно) идентифицировать физлицо, подлежит регистрации как база персональных данных?
    ИМХО, нет, не любая. Идея принятия международных стандартов (под которые мы и приняли Закон, и он, надо сказать, по тексту очень близок к международным документам по защите персональных данных) - установить требования в отношении действий, специально направленных на создание и использование неких баз данных о физических лицах (телефонный справочник, справочник адресов, перечень адресов электронной почты и т.п.).
    Из приведенного в Законе понятия базы персональных данных как "именованной совокупности упорядоченных персональных данных в электронной форме или в форме картотеки" указывает на то, что одного факта наличия у предприятия данных, позволяющих идентифицировать физлицо недостаточно, чтобы считать, что предприятие владеет базой персональных данных.

    См. также тут

    Плюс: аргумент от Йнк

  • 4. Должно ли предприятие регистрировать базу персональных данных в связи с тем, что владеет информацией о руководителях предприятий-контрагентов? (они выступают при подписании договора от имени предприятия, указывая реквизиты своего паспорта) либо о физлицах-предпринимателях, с которыми заключаются договоры?
    На мой взгляд, нет. Это несистематизированная, неструктурированная информация, не представляющая собой единой базы данных. Критерием должно быть то, собрана ли информация в одном месте, по одному критерию, систематизирована, обеспечивает легкий доступ к данным о физлице.
    Однако Госслужба по вопросам защиты персональных данных настаивает на весьма и весьма широком понимании закона, призывая регистрировать и базу "Работники", и базу "Контрагенты".
  • 5. Может ли считаться базой персональных данных картотека с делами работников?
    Вот тут видимо действительно есть основания говорить, что картотека, состоящая из дел работников, является базой персональных данный(некоторые государства для баз, создаваемых в рамках трудовых отношений, делают исключения, но у нас в законодательстве его нет). Картотека представляет собой сосредоточение персональной информации, которая собрана и систематизирована.
    В то же время, сама Госслужба по защите персональных данных указывает

    Володілець самостійно приймає рішення про те, чи являється та чи інша сукупність персональних даних фізичних осіб, яка знаходиться в його володінні, базою персональних даних.

    Аналізуючи заяви про реєстрацію баз персональних даних, які надходять на реєстрацію до ДСЗПД, можна дійти висновку, що кожне підприємство (організація) є володільцем щонайменше двох баз персональних даних, а саме бази персональних даних працівників, яка ведеться з метою забезпечення вимог трудового законодавства, реалізації податкових відносин та відносин у сфері бухгалтерського обліку та аудиту, та бази персональних даних клієнтів або інших осіб персональні дані яких обробляються володільцем в результаті господарської діяльності організації.
    Крім того, слід зазначити, що різні типи звітів та форм, що містять в собі певну сукупність відомостей про фізичних осіб, вибраних з баз персональних даних володільця, та які, відповідно до закону, періодично подаються до органів державної влади - не розглядаються як окремі бази персональних даних.


    відомості про працівників, відображені в кадрових документах (картки Т – 2, особові справи, трудові книжки тощо), зокрема про вік, дату і місце народження, місце проживання, ідентифікаційний номер, соціальний статус, пільги відповідно до закону (одинокі матері, жінки з дітьми віком до трьох років, «чорнобильці», неповнолітні, пенсіонери тощо), з точки зору Закону вважаються персональними даними, які у своїй сукупності складають базу персональних даних або її частину.
    Крім того, документація підприємств, установ та організацій в електронній формі та/або у формі картотек, що містить певним чином структуровані персональні дані найманих працівників, також вважається базою персональних даних або її частиною.

  • 6. Если на предприятии всего один наемный работник, может ли информация о нем считаться базой данных?
    да, может, база данных может состоять из информации даже об одном человеке (ч. 1 ст. 13).
    Стаття 13. Накопичення та зберігання персональних даних

    1. Накопичення персональних даних передбачає дії щодо поєднання та систематизації відомостей про фізичну особу чи групу фізичних осіб або внесення цих даних до бази персональних даних.


    Такую позицию поддержала Чихуа
    Йнк при поддержке Demerji против, настаивая на том, что Базой может считаться только совокупность сведений как минимум о двух физлицах.
  • 7. Надо ли получать сейчас от всех работников разрешение на использование их персональных данных?
    Нет, не надо.
    Статья 11 Закона называет основания возникновения права на использование персональных данных:
    1) согласие субъекта персональных данных (в нашем случае — работника) на обработку его персональных данных. Субъект персональных данных имеет право при предоставлении согласия внести оговорку в отношении ограничения права на обработку своих персональных данных;
    2) разрешение на обработку персональных данных, предоставленное владельцу базы персональных данных согласно закону исключительно для осуществления своих полномочий.

    Работодатель вполне может воспользоваться вторым из приведенных оснований и настаивать на отсутствии необходимости получения отдельного согласия работников на использование предоставляемых ими данных для целей, предусмотренных законодательством. Ссылаться при этом работодатель может на то, что есть целый ряд законодательных положений, обязывающих работодателей владеть определенными персональными данными наемных работников. Это, в частности, ст. 24 КЗоТ, пункты 2 — 4 постановления Кабмина «О трудовых книжках работников» от 27.04.93 г. № 301, п. 1.3 и п. 1.4 Инструкции о порядке ведения трудовых книжек работников, утвержденной приказом Минтруда, Минюста, Минсоцзащиты от 29.07.93 г. № 58, приказ Госкомстатистики и Минобороны «Об утверждении типовой формы первичного учета № П-2 «Личная карточка работника» от 25.12.2009 г. № 495/656, приказ Минстатистики «Об утверждении формы первичного учета № П-2ДС и Инструкции по ее заполнению» от 26.12.95 г. № 343, акты законодательства, которыми установлены ограничения, гарантии, компенсации, льготы в сфере трудовых и социальных правоотношений.

    Но если хотите перестраховаться - можно такое согласие и получить.
    Госслужба по защите персональных данный на сегодня признает отсутствие необходимости получать разрешение у тех сотрудников, которые предоставили данные о себе до 01.01.2011.
  • 8. Каким должен быть текст согласия работника на обработку данных о нем?
    например таким


    ЗГОДА
    на збір та обробку персональних даних


    Я, ________________________________________________________________________ ,
    (народився „___” __________ 19 __ року , паспорт серії ___ №_________ ) шляхом підписання цього тексту, надаю згоду _____________________________________________________________________
    (назва підприємства)
    на збір та використання інформації про мене з обмеженим доступом забезпечення для реалізації вимог трудового законодавства, в адміністративно-правових відносинах (в тому числі, відносинах у сфері державного управління), податкових відносинах та відносинах у сфері бухгалтерського обліку; відносинах у сфері управління людськими ресурсами, зокрема, кадрами; інших відносинах, що вимагають обробки персональних даних.
    „___” _________ ______ р., ____________ (__________________________________)

    Особу та підпис __________________________________________ перевірено

    Керівник кадрового підрозділу ________________ ( _____________________)
    М.П.


    В этом же заявлении можно разместить такую информацию:

    Повідомляємо, що надані Вами відомості включені до бази персональних даних (назва підприємства) з метою виконання вимог трудового законодавства.
    Відповідно до ст.8 Закону України „Про захист персональних даних” суб’єкт персональних даних має право:
    1. знати про місцезнаходження бази даних, яка містить його перс.дані, її призначення та найменування, місцезнаходження її володільця чи розпорядника;
    2. отримувати інформацію про умови надання доступу до перс.даних, зокрема інформацію про третіх осіб, яким передаються його перс.дані, що містяться у базі перс.даних;
    3. на доступ до своїх перс.даних, що містяться у відповідній базі перс.даних;
    4. отримувати не пізніш як за 30 календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи зберігаються його перс.дані у відповідній базі перс.даних, а також отримувати зміст його перс.даних, що зберігаються;
    5. пред’являти вмотивовану вимогу із запереченням проти обробки своїх перс.даних органами державної влади, органами місцевого самоврядування при здійсненні їхніх повноважень, передбачених законом;
    6. пред’являти вмотивовану вимогу щодо зміни або знищення своїх перс.даних будь-яким володільцем та розпорядником цієї бази, якщо ці дані обробляються незаконно чи є недостовірними;
    7. на захист своїх перс.даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
    8. звертатися з питань захисту своїх прав щодо перс.даних до органів державної влади, органів місцевого самоврядування, до повноважень яких належить здійснення захисту перс.даних;
    9. застосовувати засоби правового захисту в разі порушення законодавства про захист перс.даних.


    +

    Я, _________________________, посвідчую, що отримав повідомлення про включення інформації про мене до бази персональних даних з метою дотримання вимог трудового законодавства, а також відомості про мої права, визначені Законом України „Про захист персональних даних” та про осіб, яким мої дані надаються, для виконання зазначеної мети.

    ____________ 20____ року.


    (підпис)


9. Надо ли при регистрации базы данных указывать сами данные, входящие в базу?
Нет, не нужно. Указывается только название и цель использования самой базы.
Тогда возникает следующий вопрос:

10. Какая польза (какой смысл) в такой регистрации? (ведь никакой информации по сути служба защиты персональных данных не получает)
На этот вопрос ответа нет :)
Официально идея такая:
Реєстрація баз персональних даних є:
· корисною для суб’єктів персональних даних, оскільки є важливою ознакою прозорості стосовно обробки персональних даних, аналіз записів у Державному реєстрі може слугувати відправною точкою для подання суб’єктом персональних даних скарги до компетентних органів;

· корисною для володільців баз персональних даних, оскільки сприяє їх обізнаності щодо вимог законодавства та щодо необхідності забезпечувати обробку персональних даних з дотриманням вимог законодавства;

· корисною для уповноваженого державного органу з питань захисту персональних даних, оскільки дозволяє йому бути обізнаним із ситуацією стосовно обробки персональних даних, та водночас дає змогу здійснювати аналіз записів з метою удосконалення положень типового порядку обробки персональних даних та методів контролю за додержанням вимог законодавства про захист персональних даних.


Проще говоря: регистрируйте, чтобы осознать все значение необходимости защиты персональных даных.

11. Какая цель использования может быть указана в заявлении о регистрации?

Як приклад, метою обробки персональних даних може бути: забезпечення реалізації трудових відносин; адміністративно-правових; податкових відносин та відносин у сфері бухгалтерського обліку та аудиту; відносин у сфері управління людськими ресурсами; відносин у сфері економічних, фінансових послуг; відносин у сфері реклами; відносин у сфері телекомунікаційних послуг; відносин у сфері громадської, політичної та релігійної діяльності; відносин у сфері культури, дозвілля, спортивної та соціальної діяльності; відносин у сфері освіти; відносин у сфері охорони здоров’я; відносин у сфері безпеки; відносин у сфері транспорту; відносин у сфері науки, історичних досліджень та статистики тощо.
Приклад формулювання мети :
Обробка персональних даних фізичних осіб загального характеру (прізвище, ім’я та по батькові, дата та місце народження, громадянство, місце проживання тощо) або вразливих персональних даних (расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров'я чи статевого життя) здійснюється для забезпечення реалізації (вказати яких саме) відносин, відповідно до (перерахувати правові акти, положення, установчі чи інші документи, які регулюють діяльність володільця).


Цілі обробки персональних даних повинні відповідати цілям діяльності володільця бази персональних даних, що зафіксовані в їх установчих документах та/або передбачені законодавством України, що регулює їх діяльність.

Типовими цілями обробки персональних даних є забезпечення реалізації:

- трудових відносин;

- адміністративно-правових (в тому числі, відносин у сфері державного управління), податкових відносин та відносин у сфері бухгалтерського обліку;

- відносин у сфері управління людськими ресурсами, зокрема, кадровим потенціалом;

- відносин у сфері економічних, фінансових послуг та страхування;

- відносин у сфері реклами та збору персональних даних у комерційних цілях;

- відносин у сфері телекомунікаційних послуг;

- відносин у сфері громадської, політичної та релігійної діяльності, культури, дозвілля, спортивної та соціальної діяльності;

- відносин у сфері освіти;

- відносин у сфері охорони здоров’я;

- відносин у сфері безпеки, включаючи питання приватних розслідувань, побудови системи приватної безпеки та приватної охорони;

- відносин у сфері транспорту;

- відносин у сфері науки, історичних досліджень та статистики;

- інших відносин, що вимагають обробки персональних даних.


12. Какой общий алгоритм действия для предприятия?
Оптимальный с учетом всех пожеланий Госслужбы выглядит так:
- получить согласия от работников (и получается, директоров контрагентов, персональные данные которых фигурируют в договорах, а также физлиц-предпринимателей) об использовании их персональных данных;
- составить внутреннее положение о защите персональных данных;
- издать приказ о возложении обязанностей по обеспечению защиты персональных данных на руководителя кадровой службы либо на иное лицо (с его согласия);
- зарегистрировать базу данных ("База даних працівників", "База даних фізичних осіб, що діють від імені контрагентів", "База даних фізичних осіб - підприємців"). Если есть электронные ключи - можно за 10 минут зарегистрировать прямо на сайте;
- получить свидетельство о зарегистрированной базу персональных данных.

13. Надо ли регистрировать в Госслужбе изменения Базы данных, если меняются сведения о физлице (фамилия, место проживания и т.д.)?
Нет, не надо. Регистрации подлежат только те изменения, которые касаются изначально заявленных данных (название базы персональных данных, ее местонахождения, цели использования и т.п.).

14. До когда необходимо успеть подать заявление о регистрации и уведомить физлиц, чьи данные используются о их правах по Закону о защите персональных данных?
До 01.01.2012 г. С этой даты начнут работать санкции за нарушение Закона.

15. Какие санкции предусмотрены?
За нарушение требований законодательства о защите персональных данных может наступать административная либо даже уголовная ответственность. Соответствующие нормы вступят в силу с 01.01.2012 г. (согласно Закону Украины «О внесении изменений в некоторые законодательные акты Украины по усилению ответственности за нарушение законодательства о защите персональных данных» от 02.06.2011 г. № 3454-VI). Так, административная ответственность будет наступать за:

— неуведомление или несвоевременное уведомление субъекта персональных данных (в том числе работника) о его правах в связи с включением его персональных данных в базу персональных данных, цели сбора этих данных и лицах, которым эти данные передаются в виде штрафа на должностных лиц, физлиц-предпринимателей — от 300 до 400 не облагаемых минимумов доходов граждан (т.е. от 5100 до 6800 грн.), на физлиц-работодателей, не имеющих статуса предпринимателя, — от 200 до 300 ннмдг (от 3400 до 5100 грн.);

— неуведомление или несвоевременное уведомление ГСЗПД об изменении сведений, которые подаются для государственной регистрации базы персональных данных в виде штрафа на должностных лиц, физлиц-предпринимателей от 200 до 400 ннмдг (от 3400 до 6800 грн.), на физлиц-работодателей, не имеющих статуса предпринимателя, — от 100 до 200 ннмдг (от 1700 до 3400 грн.);

— за уклонение от государственной регистрации базы персональных данных в виде штрафа на граждан, не имеющих статуса предпринимателя, от 300 до 500 ннмдг (от 5100 до 8500 грн.), на должностных лиц, физлиц-предпринимателей — от 500 до 1000 ннмдг (от 8500 до 17000 грн.).

Уголовная ответственность будет наступать за незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о работнике или незаконное изменение такой информации в виде штрафа от 500 до 1000 ннмдг (от 8500 до 17000 грн.) либо исправительных работ на срок до двух лет, либо в виде ареста на срок до шести месяцев, либо ограничения свободы на срок до трех лет.

16. Проводит ли Госслужба проверки?
Утвержденного порядка проведения проверок пока нет. Есть проект

17. Как подать заявление о регистрации?
Если есть ЭЦП - то можно составить заявление прямо на сайте либо отправить почтой, тоже предварительно подписав ЭЦП, на адрес register@zpd.gov.ua
Инструкция по заполнению заявления на сайте
Можно направить почтой - Поштова адреса: 02660, м. Київ, вул. М. Раскової, 15, каб.1205
Либо отвезти лично.
Примеры заполнения заявлений о регистрации есть на сайте Службы (зайти в раздел Рекомендації щодо подання та заповнення заяв про реєстрацію БПД)

18. Является ли Базой персональных данных визитница?
См. тут

19. Как назвать Базу?
См. тут

20. Что если откажут в регистрации Базы данных?
См. тут, тут и тут

21. Какую дату ставить в заявлениях работников о их согласии на использование персональных данных?
См. тут
Последний раз редактировалось vins 07 дек 2011, 12:48, всего редактировалось 4 раз(а).

За это сообщение автора vins поблагодарили: 9
Asia, Chiffi, Demerji, kollega, Luka, manuls, Olesya-lisa, Лоли, налоговик
Аватар пользователя
vins
 
Сообщений: 6654
Зарегистрирован: 27 дек 2010, 12:38
Благодарил (а): 2704 раз.
Поблагодарили: 2891 раз.

UNREAD_POST vins » 25 ноя 2011, 12:11

Asia писал(а):сверхусилий не требует - верно, как говорится, не боги горшки обжигают.
Помнится месяца четыре назад, с нас банк собирал письменные согласия на использование данных, учитывая требования Закона "этого самого",
ладно еще сотрудники, а конграгенты - физ.лица, которых можно идентифицировать, а если их еще и много, вот и призадумаешься про усилия..
Хотя размер штрафов мотивирует :a_g_a:


Думаю, что по сотрудникам действительно нужно подать. А вот по контрагентам - физлицам - сведения о них не попадают под определение базы персональных данных.

За это сообщение автора vins поблагодарил:
Asia
Аватар пользователя
vins
 
Сообщений: 6654
Зарегистрирован: 27 дек 2010, 12:38
Благодарил (а): 2704 раз.
Поблагодарили: 2891 раз.

UNREAD_POST Лоли » 25 ноя 2011, 13:03

vins писал(а):Можете заглянуть на сайт Госслужбы http://www.zpd.gov.ua/indexDovidkaInfo.html


Только у меня ничего не видно? - все зашифровано! :D
Лоли
 
Сообщений: 50
Зарегистрирован: 04 фев 2011, 21:47
Благодарил (а): 28 раз.
Поблагодарили: 13 раз.

UNREAD_POST Asia » 25 ноя 2011, 14:10

раз пошла такая пьянка - https://rbpd.informjust.ua/default.aspx,
тут можно подать заявление в электронном режиме
Аватар пользователя
Asia
 
Сообщений: 74
Зарегистрирован: 31 мар 2011, 13:28
Благодарил (а): 149 раз.
Поблагодарили: 57 раз.

След.

  • Похожие темы
    Ответов
    Просмотров
    Последнее сообщение

Вернуться в НОВОСТИ

Кто сейчас на форуме

Зарегистрированные пользователи: Ads, Gb, Kamillfo, lutishka, vikakool, Ya