В последнее время тема использования и защиты персональных данных физических лиц приобрела особую актуальность, в том числе среди предприятий туристической сферы, активно использующих в работе персональные данные своих клиентов.
Как известно, не так давно Украина ратифицировала Конвенцию Совета Европы о защите лиц в связи с автоматизированной обработкой персональных данных и Дополнительный протокол к этой Конвенции относительно органов надзора и трансграничных потоков данных.
Выполняя принятые обязательства, с целью адаптации украинского законодательства к международным нормам, 1 июня 2010 года Верховная Рада Украины приняла Закон Украины «О защите персональных данных» № 2297-VI (далее – Закон).
Закон вступил в силу с 1 января 2011 года и с этого момента начали формироваться государственные органы, уполномоченные осуществлять регистрационные процедуры и контроль в данной сфере. В настоящий момент такие полномочия получила Государственная служба Украины по вопросам защиты персональных данных (далее – Служба).
До недавнего времени предприниматели не жаловали новый закон своим вниманием, пока не появилась новость о том, что с будущего года за его нарушение будут применяться высокие штрафные санкции.
Действительно, с 1 января 2012 года полномочия у Службы будут существенно расширены, а к нарушителям будут применяться санкции как административного, так и уголовного характера.
Уклонение от государственной регистрации базы персональных данных – повлечет за собой наложение внушительных штрафов на должностные лица, граждан-субъектов предпринимательской деятельности.
Редакция портала Мастер тура решила разобраться в особенностях нового закона.
Итак, начнем, пожалуй, с понятий используемых в новом законе.
Что является базой персональных данных физических лиц (далее – База данных):
Статьей Закона определено, что база персональных данных — это именуемая совокупность упорядоченных персональных данных в электронном виде (каталоге) и/или в виде бумажных картотек.
В соответствии с действующим законодательством Украины персональными данными является любая информация о физическом лице, которая позволяет его идентифицировать среди других лиц, в частности: фамилия, имя и отчество, дата и место рождения, место работы и проживания, образование и т.д. Персональными данными также могут быть сведения о: национальности, образовании, семейном положении, религиозности, состоянии здоровья и др. Как раз все те данные, которые в туристических компаниях ежедневно используют, внося их в анкеты, бронировки, ведя клиентскую базу и т.п.
В соответствии с Законом, объектами защиты являются те персональные данные, которые обрабатываются и вносятся в Базу данных. То есть все те данные, которые на предприятии хранятся в упорядоченном виде (в виде каталогов, списков, картотек и т.п.) на любых видах носителей информации. Соответственно, стопка упорядоченных договоров с клиентами или папка на вашем компьютере с заявками на бронирование будут считаться Базами данных!
Следует отметить, что, как минимум, одна база персональных данных физических лиц есть у каждого работодателя. Это база наемных работников, которая формируется при оформлении их кадровых дел.
Из какого минимального количества лиц может состоять База данных, которую нужно регистрировать:
Специалисты Службы советуют регистрировать Базы данных, начиная с появления информации о первом лице в этой Базе. В ближайшее время планируется внести изменения в уже принятый Закон, в соответствии с которыми нужно будет регистрировать Базу данных еще до создания такой Базы и внесения в нее первых данных.
Кто может считаться владельцем Базы:
Владельцами базы персональных данных или распорядителями базы персональных данных могут быть предприятия, учреждения и организации всех форм собственности, органы государственной власти или органы местного самоуправления, физические лица - предприниматели, которые обязаны обрабатывать персональные данные в соответствии с законом.
То есть, любая туристическая компания, которая ежедневно работает с данными клиентов, сохраняя эти данные на бумажных или электронных носителях, создает базу данных, которая с момента принятия соответствующего закона подлежит обработке в соответствии с Законом, а также обязательной регистрации в Службе.
Кому регистрация баз персональных данных может быть полезной:
Появление такого закона – на благо многим, ведь он не столько обязывающий, сколько защищающий от любого несанкционированного доступа к и использованию информации. Ведь с момента принятия Закона, субъекты отношений, связанные с персональными данными, обязаны обеспечить защиту этих данных от незаконной обработки, а также от незаконного доступа к ним.
Ведь, если задуматься, то предприятия туристической сферы ежедневно используют весьма «интимные» персональные данные своих клиентов - это и паспортные данные и адреса клиентов, и сведения о месте работы, зарплате, наличии счетов, о количестве браков и разводов, составе семьи и т.п. А новый Закон позволяет назначить ответственного за сбор и хранение такой информации, а значит, защитит владельцев и руководителей предприятия от ее несанкционированного использования или потери (например, от случаев «утечки» базы данных клиентов при увольнении менеджеров).
Какие данные нужно передавать в Службу регистрируя Базу:
Существующая сегодня процедура регистрации баз персональных данных не предполагает передачу в Службу персональных данных физических лиц, внесенных в базу данных организаций или физических лиц.
Фактически, в Службу передаются лишь общие данные о такой базе (картотеке), в частности информация о:
Такие сведения указываются в заявлении установленного образца.
Зарегистрировать базу персональных данных можно как лично, так и через представителя (документы необходимо подавать непосредственно в Службу, которая, к слову сказать, находится только в Киеве).
Если предприниматель или предприятие является счастливым обладателем электронной подписи, можно подать электронную заявку на регистрацию базы данных на сайте Службы.
Как правильно организовать работу с персональными данными физических лиц на предприятии или в организации:
Еще до регистрации Базы данных необходимо установить цель обработки входящих в нее данных, назначить ответственное лицо, на которое возложить обязанности относительно обеспечения защиты персональных данных, обеспечить получение в письменной форме согласия от физических лиц на обработку их персональных данных.
Пока нормативно четко не установлены требования к таким процедурам, каждый субъект самостоятельно определяет, что именно нужно сделать для того, чтобы привести свои базы персональных данных в соответствие с действующим законодательством.
Статья 24 Закона определяет, что государство гарантирует защиту персональных данных. Все субъекты правоотношений, связанных с персональными данными, обязаны обеспечить защиту таких данных от незаконной обработки, и также от незаконного доступа к ним. Причем обеспечение защиты таких данных в базе персональных данных полагается на владельца этой базы.
Специалисты Службы для обеспечения защиты на предприятии (в организации) персональных данных рекомендуют оформить ряд документов, в частности таких как: Положение о базах персональных данных, Приказ о создании Базы персональных данных, Приказ о назначении ответственного лица, Должностную инструкцию ответственного лица, Положение о конфиденциальной информации, Соглашение о неразглашении конфиденциальной информации и др.
Проверки:
В соответствии с Законом специально уполномоченным государственным органом по вопросам защиты персональных данных физических лиц является именно Государственная служба Украины по вопросам защиты персональных данных (Служба). А также любые органы государственной власти и органы местного самоуправления или уполномоченный представитель Верховной Рады Украины по правам человека.
В составе Службы уже действует Отдел контроля над соблюдением законодательства о защите персональных данных (далее – Отдел контроля). Это подразделение уполномочено проводить плановые и внеплановые проверки предприятий, организаций, физических лиц-предпринимателей и по их результатами давать предписания об устранении нарушений, а также налагать штрафные санкции на нарушителей.
Служба разработала проект Положения по осуществлению контроля за защитой персональных данных.
Согласно этому проекту, проверки владельцев или держателей Баз данных традиционно будут разделяться на плановые и внеплановые. Основанием для проведения плановой проверки субъекта, предполагают сделать его включение в годовой и квартальный план проверок, который будет утверждаться Службой и размещаться на ее официальном сайте. Предложенным проектом вводится ограничение по количеству плановых проверок - не чаще одного раза в 5 лет.
Внеплановые проверки могут проводиться любыми уполномоченными Законом органами, только на законном основании (например, при наличии жалобы от граждан).
Наказания:
С 1 января 2012 года, уклонение от государственной регистрации базы персональных данных – влечет за собой наложение штрафа на должностные лица, граждан-субъектов предпринимательской деятельности от 8500 до 17000 грн.
Несоблюдение установленного законодательством порядка защиты персональных данных в базе персональных данных, которое привело к незаконному доступу к ним, влечет за собой наложение штрафа от 5100 до 17000 грн.
Уважаемые турагенты и туроператоры, регистрируйте базы вовремя и будьте готовы к возможным проверкам, берегите свои деньги и нервы!
Благодарных вам и верных клиентов!
Автор: Светлана Чернер