(044) 391-51-92
ru ua

Есть предложения, замечания или пожелания? Свяжитесь с редакцией!
Мы обязательно ответим.



 Актуально!




Ближайшие семинары,
тренинги, вебинары ...
Все семинары ...
(полный план-график)









 : общий
   (по всем сайтам ДК)






Дебет-Кредит № 09 (3.3.2014)
Суть дела :: Точка зрения

Внимание! Архивная публикация 

 


Эта страница содержит давнюю архивную публикацию бухгалтерского еженедельника "Дебет-Кредит", которая в настоящее время, вполне возможно, утратила актуальность и может не соответствовать действующим нормам бухгалтерского и налогового учета.
Для работы с актуальными материалами журнала перейдите к ONLINE.dtkt.ua.

Защита персональных данных в 2014 году

Еще пару лет тому назад тема защиты персональных данных была одной из наиболее актуальных. Не последнюю роль в заинтересованности СХД данной темой сыграли огромные штрафы, вступившие в силу вместе с обязанностью защищать персональные данные физлиц — работников и контрагентов. Какова же ситуация на данный момент для СХД, в распоряжении которых находятся персональные данные? Проанализируем ее.

Персональные данные (далее — ПД) — это сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано. Данные о физлицах, более или менее подробные, хранятся в разных местах: в госорганах, по месту работы и учебы, у страховых компаний и банков, у провайдеров и операторов мобильной связи и т. д. Однако каждый человек имеет право на защиту личной жизни и на безопасность в том случае, если он по своему желанию или по требованию закона предоставил свои ПД для использования (обработки) их в четко обозначенных целях. Именно это и призвана обеспечить защита ПД.

Основным документом, регулирующим защиту ПД, является Закон №2297. Согласно ст. 1 данного Закона, он распространяется на отношения, связанные с защитой и обработкой ПД (которая осуществляется как автоматизированным, так и неавтоматизированным способом). То есть как только какое-либо лицо начинает сбор ПД с целью их обработки в установленном законодательством порядке, тут же возникает и обязанность эти данные защищать.

Базы персональных данных

База персональных данных (далее — БПД) — это именованная совокупность упорядоченных ПД в электронной форме и/или в форме картотек ПД. Таким образом, каждая БПД имеет свое название — в соответствии с тем, какие данные она содержит или с какой целью они обрабатываются. При этом основным критерием формирования БПД являются не сведения о физлицах, а именно цель, с которой они обрабатываются. В разных БПД даже на одном предприятии могут хранится ПД одних и тех же физлиц. Как следует из указанного выше, собираться (храниться) БПД может как в бумажном (карточном), так и в электронном виде.

При этом юридическое или физическое лицо, которое собирает, устанавливает цель создания БПД и обрабатывает ПД, получает статус владельца ПД (до 20.12.2012 г. этот статус назывался «владелец БПД»). И именно на него возлагается обязанность по защите полученных им ПД физлиц, в том числе от посягательства на них со стороны третьих лиц в случаях, прямо не установленных законодательством. Кроме владельца ПД, доступ к БПД может иметь и распорядитель. Распорядитель ПД — это лицо, осуществляющее обработку ПД, переданных ему их владельцем, на основании соответствующего договора (и только в объеме и в целях, установленных таким договором).

Уведомление об обработке ПД

До 01.01.2014 г. БПД подлежали государственной регистрации их владельцами. Государственный реестр баз персональных данных (далее — Госреестр) — это единая государственная информационная система сбора, накопления и обработки сведений о зарегистрированных БПД. Однако с 01.01.2014 г. процедура регистрации БПД заменена на уведомление об обработке ПД (и далеко не всеми владельцами ПД). Говоря о государственном контроле за защитой ПД, нужно упомянуть двух лиц:

Государственную службу по защите персональных данных (далее — ГСЗПД). Она была основана в соответствии с Указом Президента Украины от 06.04.2011 г. №390/2011 (с 18.04.2011 г.). Изначально именно этот орган, в соответствии со ст. 22 Закона №2297, осуществлял контроль за соблюдением законодательства о защите ПД. На данный момент, однако, эта функция с ГСЗПД снята;

Уполномоченный ВРУ по правам человека (далее — Омбудсмен) — именно так с 01.01.2014 г. называется лицо, осуществляющее основной контроль за соблюдением законодательства о защите ПД. Порядок осуществления Омбудсменом такого контроля1 утвержден Приказом №1/02-142. Кроме него, такой контроль с 01.01.2014 г. осуществляют суды (а не «другие органы государственной власти», как было установлено ст. 22 Закона №2297 ранее).

1 В этом документе прописывается порядок организации и проведения проверок (плановых, внеплановых, выездных, невыездных), оформления результатов проверок, права и обязанности как проверяющих, так и проверяемых. Как приложения к нему утверждены формы акта проверки, предписания об устранении нарушений, а также акта осмотра электронного документа (выведенного на экран монитора). Подробнее о таких проверках читайте в следующих номерах «ДК».

2 Учитывая особый статус Омбудсмена как лица, на которое возложен парламентский контроль за соблюдением конституционных прав и свобод человека и гражданина (Закон Украины от 23.12.97 г. №776/97-ВР «Об Уполномоченном Верховной Рады Украины по правам человека»), его приказы подлежат обязательному исполнению без регистрации в Минюсте Украины.

Именно Омбудсмена владелец ПД с 01.01.2014 г. уведомляет об обработке ПД — в течение 30 рабочих дней со дня начала такой обработки (ч. 1 ст. 9 Закона №2297). При этом уведомлять следует не о любой обработке ПД, а только о той, которая представляет особый риск для прав и свобод субъектов ПД (физлиц).

Порядок уведомления (далее — Порядок) уже утвержден приказом Омбудсмена №1/02-14, вступившим в силу с 08.01.2014 г. Этим Порядком установлен перечень видов обработки ПД, о которых необходимо уведомлять Омбудсмена, а также тех, для обработки которых уведомление Омбудсмена не требуется.

Виды обработки ПД, о которых необходимо уведомлять Омбудсмена

В отличие от действовавшего ранее требования регистрировать БПД практически о любых данных о физлицах, с 08.01.2014 г. уведомлять нужно лишь об обработке информации о:

— расовом, этническом и национальном происхождении;

— политических, религиозных или мировоззренческих убеждениях;

— членстве в политических партиях и/или организациях, профессиональных союзах, религиозных организациях или в общественных организациях мировоззренческой направленности;

— состоянии здоровья;

— половой жизни;

— биометрических данных;

— генетических данных;

— привлечении к административной или уголовной ответственности;

— применении к лицу мер в рамках досудебного расследования;

— применении к лицу мер, предусмотренных Законом Украины «Об оперативно-розыскной деятельности»;

— совершении в отношении лица тех или иных видов насилия;

— местонахождении и/или путях передвижения лица.

Пункт 1.2 Порядка

Случаи, в которых уведомлять об обработке ПД не нужно:

— если осуществляется обработка, целью которой является ведение реестра для предоставления информации населению, который открыт для населения в целом;

— если обработка осуществляется общественными объединениями, политическими партиями и/или организациями, профессиональными союзами, объединениями работодателей, религиозными организациями, общественными организациями мировоззренческой направленности при условии, что обработка касается исключительно ПД членов этих объединений и не передается без их согласия;

— если обработка необходима для реализации прав и исполнения обязанностей владельца ПД в сфере трудовых правоотношений в соответствии с законом.

Пункт 2.1 Порядка

Теперь непосредственно о форме уведомления. Она утверждена в виде заявления (приложение 1 к Порядку). К сожалению, действующая форма заявления об обработке ПД не намного проще сложных и непривычных для большинства владельцев БПД заявлений о регистрации БПД, которые им приходилось заполнять ранее. Нет в Порядке и образцов заполнения такого заявления, которыми можно было бы воспользоваться как типовыми. Нет их (надеемся, что лишь пока) и на сайте Омбудсмена http://www.ombudsman.gov.ua. Хотя неполная информация, указанная в заявлении, является причиной для отказа в ее рассмотрении (п. 2.8 Порядка), а также основанием для применения весьма солидного административного штрафа(см. далее).

Однако некоторые указания по заполнению заявления содержатся как в самом Порядке, так и в форме заявления:

— сведения, которые должны содержаться в заявлении, перечислены в п. 2.4 Порядка;

— заявление заполняется печатными буквами. Это уточнение больше относится к заполнению заявления от руки, ведь в случае распечатки его или отправки в электронном виде буквы и так будут печатными;

— заявление составляется в двух экземплярах, при этом один отправляется Омбудсмену, а второй (копия) — остается у владельца ПД (п. 2.5 Порядка).

Отправить заявление Омбудсмену можно любым доступным способом (п. 2.3 Порядка):

— почтой по адресу: «Секретаріат Уповноваженого Верховної Ради України, вул. Інститутська, 21/8; м. Київ, 01008»;

— факсом. Телефоны Секретариата и график его работы приведены на сайте Омбудсмена;

— по электронной почте. В этом случае отправляется отсканированная копия заявления;

— опустить в специальный ящик, установленный на первом этаже по указанному выше адресу.

Видимо, учитывая предыдущий опыт, ни в Законе №2297, ни в Порядке не указывается, как скоро заявление будет обработано и сообщение о результатах такой обработки получит владелец ПД. Не предусмотрена на сей раз и отправка таких сообщений каждому владельцу по отдельности. Данные об успешно обработанных заявлениях и заявлениях, которые не были приняты к рассмотрению, должны публиковаться на сайте Омбудсмена (п. 2.6 и п. 2.9 Порядка).

Владелец ПД обязан информировать об изменениях сведений, которые подлежат уведомлению (указанных в заявлении согласно п. 2.4 Порядка) в течение 10 рабочих дней, заявлением по форме приложения 2 к Порядку.

О прекращении обработки ПД владелец уведомляет уполномоченного заявлением по форме приложения 3 к Порядку. Срок уведомления — 10 дней с момента прекращения обработки. Обратите внимание: не рабочих, а календарных дней.

Кроме того, владельцы ПД обязаны уведомлять Омбудсмена о структурных подразделениях или ответственных лицах, которые организовывают работу, связанную с защитой ПД при их обработке. Уведомление производится в форме заявления (приложение 4 к Порядку) в течение 30 календарных дней со дня создания такого подразделения или назначения такого ответственного лица.

Данные, полученные на основании всех перечисленных выше заявлений от владельца ПД, должны публиковаться на сайте Омбудсмена.

Типовой порядок обработки ПД: что нового?

До 01.01.2014 г. в Украине действовал типовой порядок обработки ПД, утвержденный приказом Минюста Украины от 30.12.2011 г. №3659/5. Однако с 08.01.2014 г. вступил в силу новый типовой порядок обработки ПД (далее — Типовой порядок), также утвержденный приказом Омбудсмена №1/02-14.

Существенных изменений данный документ не несет. Однако есть некоторые моменты, на которые стоит обратить внимание.

Владелец ПД, кроме случаев, предусмотренных законодательством Украины, уведомляет субъекта ПД (т. е. физлицо) о составе и содержании собранных ПД, его правах, определенных Законом №2297, целях сбора ПД и о третьих лицах, которым передаются его ПД. Ранее такое уведомление нужно было произвести в течение 10 рабочих дней со дня сбора ПД. С 08.01.2014 г. сроки уведомления изменены:

в момент сбора ПД, если ПД собираются у субъекта ПД;

— в других случаях в течение 30 рабочих дней со дня сбора ПД.

Как и прежде, ПД обрабатываются в форме, допускающей идентификацию физического лица, которого они касаются, в течение срока не более, чем это необходимо в соответствии с целью их обработки. Но с 08.01.2014 г. они обрабатываются не дольше, чем это предусмотрено законодательством в сфере архивного дела и делопроизводства (п. 2.10 Типового порядка).

С 08.01.2014 г. в случае выявления в БПД сведений о лицах, не соответствующих действительности, такие сведения должны быть безотлагательно изменены или уничтожены.

Пунктами 2.12 — 2.15 Типового порядка прописаны действия владельца ПД в случае требования со стороны физлица прекратить обработку его ПД или отзыва ранее данного согласия на такую обработку. В общем эти действия практически не изменились и были и раньше установлены в нормах Закона №2297. Однако на сей раз указаны сроки, в течение которых владелец ПД обязан отреагировать — согласиться или отказаться выполнить требования физлица:

о запрете на обработку — в течение 10 дней со дня получения. Не указано, каких дней — рабочих или календарных, поэтому, по общему правилу, считаем, что речь идет о календарных днях. Как о прекращении обработки ПД, так и в случае отказа прекратить обработку ПД, физлицо нужно уведомить. По нашему мнению, такое уведомление стоит оформить в письменном виде и указать основания для такого отказа, например, что такая обработка ПД осуществляется в соответствии с требованиями действующего законодательства (со ссылкой на нормы такого законодательства), а не по желанию владельца ПД;

об отзыве согласия на обработку — с момента получения такого отзыва.

Штрафы за нарушения

По-прежнему ответственность за нарушение законодательства о защите персональных данных несут владельцы и распорядители персональных данных, а также третьи лица, получившие доступ к таким данным. А ими могут быть как физические, так и юридические лица.

С 01.01.2014 г. вступили в силу новые административные штрафы за нарушение указанных выше новых норм защиты ПД. Обратите внимание: физлица, подпадающие под административную ответственность, как видно из указанного ниже, делятся на физлиц-СПД, должностных лиц (т. е. работников, в трудовые обязанности которых входит защита БПД и уведомление об их обработке) и обычных граждан. В какую же категорию из них попадают физлица, осуществляющие независимую профессиональную деятельность (нотариусы, адвокаты и пр.)? По мнению автора, отсутствие такой категории физлиц в перечисленных ниже статьях не случайно, и они не подпадают под административную ответственность за перечисленные ниже нарушения. Однако не исключен вариант, что в последующих разъяснениях Омбудсмен укажет, что данные штрафы касаются и таких физлиц.

Так, Законом №383 статья 188-39 КУоАП была изложена в новой редакции, которая предусматривает:

за неуведомление или несвоевременное уведомление Омбудсмена об обработке ПД или об изменении сведений, подлежащих уведомлению, сообщение неполных или недостоверных сведений в таком уведомлении — наложение штрафа на граждан от 100 до 200 н. м. д. г. (1700 — 3400 грн); а на должностных лиц, физлиц-СПД — от 200 до 400 н. м. д. г. (3400 — 6800 грн);

за невыполнение законных требований (предписаний) Омбудсмена или определенных им должностных лиц секретариата Омбудсмена по предотвращению или устранению нарушений законодательства о защите ПД — наложение штрафа на граждан от 200 до 300 н. м. д. г. (3400 — 5100 грн); а на должностных лиц, физлиц-СПД — от 300 до 1000 н. м. д. г. (5100 — 17000 грн).

И это еще не все. За повторное в течение календарного года совершение данных нарушений (если к нарушителю уже применялись указанные выше штрафы) ответственность возрастает: штраф налагается на граждан в размере от 300 до 500 н. м. д. г. (5100 — 8500 грн) и на должностных лиц, физлиц-СПД — от 500 до 2000 н. м. д. г. (8500 — 34000 грн).

Отдельный штраф предусмотрен ст. 188-39 КУоАП за несоблюдение установленного законодательством порядка защиты БПД, что привело к незаконному доступу к ним или нарушению прав субъекта ПД. За первое такое выявленное нарушение налагается административный штраф: на граждан — от 100 до 500 н. м. д. г. (1700 — 8500 грн) и на должностных лиц, физлиц-СПД — от 300 до 1000 н. м. д. г. (5100 — 17000 грн). При повторном привлечении к административной ответственности в течение календарного года штраф налагается на нарушителей уже в размере от 1000 до 2000 н. м. д. г. (17000 — 34000 грн).

Нормативная база

  • КУоАП — Кодекс Украины об административных правонарушениях от 07.12.84 г. №8073-X.
  • Закон №2297 — Закон Украины от 01.06.2010 г. №2297-VI «О защите персональных данных».
  • Закон №383 — Закон Украины от 03.07.2013 г. №383-VII «О внесении изменений в некоторые законодательные акты Украины по усовершенствованию системы защиты персональных данных».
  • Порядок — Порядок уведомления Уполномоченного Верховной Рады Украины по правам человека об обработке персональных данных, представляющей особый риск для прав и свобод субъектов персональных данных, о структурном подразделении или ответственном лице, организующем работу, связанную с защитой персональных данных при их обработке, а также обнародования указанной информации, утвержденный приказом Уполномоченного ВРУ по правам человека от 08.01.2014 г. №1/02-14.
  • Типовой порядок — Типовой порядок обработки персональных данных, утвержденный приказом Уполномоченного ВРУ по правам человека от 08.01.2014 г. №1/02-14.

Анна БЫКОВА, «Дебет-Кредит»



Следующая статья:  В начало статьи 



Восстановление НК по НДС при продаже ОС Фрагмент статьи (только начало)
Суть дела :: Точка зрения
Наше предприятие использовало ОС (оборудование) как в облагаемых, так и в не облагаемых операциях. При этом такое ОС на 95% использовалось в необлагаемых операциях. Сейчас мы реализуем это ОС резиденту и, соответственно, будем начислять НО по НДС по такой...

В рубрике: 


Жизнь, поделенная надвое Фрагмент статьи (только начало)
№ 22 (2.6.2014) :: Суть дела :: Точка зрения
События последних месяцев, можно уверенно сказать, изменили мир. И в первую очередь — нас самих. Наработанные годами бизнес-отношения, пока еще есть возможность поддерживать их, функционируют в более-менее дееспособном режиме. Но, учитывая неоднозначность...

Ценнобумажные проверки Фрагмент статьи (только начало)
№ 15-16 (14.4.2014) :: Суть дела :: Точка зрения
Ценнобумажные проверки — едва ли не самые дорогие проверки по размеру возможных штрафных санкций. Реалии бизнеса свидетельствуют, что не всегда финсанкций можно избежать, даже если действовать максимально в законодательно установленных рамках. А порой рез...

0.012002