“База персональних даних підлягає державній реєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних”.
(
стаття 9 Закону України «Про захист персональних даних»)
Реєстрація баз персональних даних допомагає:
· володільцям – детально знати та ретельно виконувати вимоги законодавства;
· суб’єктам персональних даних – на основі аналізу отриманої інформації, про те чи зберігаються його персональні дані в базі даних конкретної компанії та категорій таких даних, коректно формулювати запити та скарги;
· уповноваженому державному органу з питань захисту персональних даних – слідкувати за ситуацією, використовувати записи про зареєстровані бази персональних даних для проведення виїзних та безвиїзних перевірок володільців та розпорядників баз персональних даних.
Реєстрація баз персональних даних та внесення змін до відомостей Державного реєстру баз персональних даних здійснюється відповідно до
Закону України „Про захист персональних даних” від 01.06.2010 № 2297-VI, Положення про Державний реєстр баз персональних даних та порядок його ведення, затвердженого Постановою Кабінету Міністрів України від 25.05.2011 №616, за формами та згідно з
Порядком подання заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних, що затверджені
наказом Міністерства юстиції України від 08.07.2011 № 1824/5.
Державній реєстрації підлягають усі бази персональних даних в електронному вигляді та/або в картотеках, в яких обробляються персональні дані, незалежно від обсягу та форми їх застосування, виду діяльності. При цьому, щодо кожної бази даних, яка перебуває у володінні заявника, подається окрема заява.
Для реєстрації бази персональних даних, уповноваженому державному органу з питань захисту персональних даних, подається
заява встановленого зразка.
Заява про реєстрацію бази персональних даних повинна містити інформацію про володільця та розпорядників бази персональних даних, інформацію про базу даних та місце її знаходження, а також підтвердження зобов’язання стосовно виконання вимог законодавства щодо захисту персональних даних.
Про кожну зміну вищезазначених відомостей, не пізніш як протягом десяти робочих днів з дня настання такої зміни, володілець бази персональних даних зобов'язаний повідомляти уповноважений державний орган з питань захисту персональних даних шляхом подання
заяви про внесення змін до відомостей Державного реєстру баз персональних даних.
Заява подається в паперовій формі (бажано, з наданням електронної копії) або у формі електронного документа на електронну пошту
register@zpd.gov.ua відповідно до вимог Законів України «Про електронні документи та електронний документообіг» та «Про електронний цифровий підпис». При цьому, ДСЗПД обробляє заяви у формі електронного документу, підписані володільцями, що отримують послуги електронного цифрового підпису (ЕЦП) у
акредитованих центрах сертифікації ключів, які надали у розпорядження ДСЗПД надійні засоби ЕЦП.
Рекомендації щодо заповнення заяв про реєстрацію БПД
Володілець БПД – юридична особа
Володілець БПД – фізична особа
Інструкція створення та подачі заяви в електронному вигляді
Довідкова інформація для організацій
Діяльність підприємств, установ, організацій, незалежно від підпорядкування та форм власності, осіб, які здійснюють незалежну професійну діяльністю, значною мірою пов’язана з обробкою персональних даних фізичної особи. При цьому, повинно забезпечуватись конституційне право кожної людини на невтручання в її особисте та сімейне життя. Персональні дані повинні оброблятися відповідно до встановлених
Законом України «Про захист персональних даних» вимог обробки персональних даних, які часто називають
принципами.
Підприємства, установи, організації та особи, які здійснюють незалежну професійну діяльність,
повинні привести свої процеси та процедури обробки ПД у відповідність до Закону України «Про захист персональних даних».
Більш детальну інформацію щодо організації обробки персональних даних можна знайти у проекті
Типового порядку
Відповідно до пункту 1 частини 1 статті 22 Закону України «Про захист персональних даних» та підпунктів 12, 13, 14 пункту 4 Положення про Державну службу України з питань захисту персональних даних, затвердженого Указом Президента України від 06.04.2011 №390/2011, Державною службою з питань захисту персональних даних здійснюється контроль за додержанням законодавства про захист персональних даних.
Відповідно до вищезазначених нормативно-правових актів, Державною службою з питань захисту персональних даних затверджено
План проведення перевірок володільців та (або) розпорядників баз персональних даних щодо дотримання ними вимог законодавства у сфері захисту персональних даних на IV квартал 2011 року.
Поширені питання та відповіді:
· Що таке мета (ціль) обробки персональних даних, яка вона може бути?
· Що саме є базою персональних даних і які бази потрібно реєструвати?
· Яким чином можна подати заяву про реєстрацію бази персональних даних?
· Чи існують територіальні органи або регіональні представництва Державної служби України з питань захисту персональних даних?
· Хто такий володілець та розпорядник баз персональних даних та їх обов’язок ?
· Чи потрібно окремо реєструвати бази персональних даних філій та інших підрозділів юридичних осіб, які розташовані поза місцями знаходження таких юридичних осіб?
· Яким чином потрібно здійснювати захист бази персональних даних у формі картотек персональних даних та/або електронної бази персональних даних?
· Чи належать документи з кадрових питань до баз персональних даних?
· Які відомості належать до персональних даних?
· Яка мінімальна сукупність відомостей дає можливість конкретно ідентифікувати особу та складає собою суть визначення «персональні дані»?
· Які підстави виникнення права на обробку персональних даних?
· Як бути з фізичними особами, які не надали чітко виражену згоду на обробку їх персональних даних, до 1 січня 2011 року (до вступу в силу Закону України «Про захист персональних даних»)?
· Де шукати цілі обробки персональних даних і що вони собою являють?
· Чи потрібно підприємствами, установами і організаціями отримувати документовану згоду від фізичних осіб (найманих працівників) відповідно до ч.5 статті 6 Закону України «Про захист персональних даних» для цілей обробки документації при здійсненні діяльності?
· Які умови повинен створити володілець для належного захисту персональних даних? Що повинен включати процес обробки персональних даних?
· Чи вважатиметься документація, що використовується в діяльності підприємств, установ та організацій та містить певним чином структуровані персональні дані найманих працівників «базою персональних даних» в розумінні Закону України «Про захист персональних даних»?
· Для чого потрібна реєстрація баз персональних даних?
· Чи має право фізична особа безоплатно одержувати інформацію з персональними даними про себе?
· Які вимоги до порядку зберігання та порядку відправки паперових носіїв персональних даних у формі картотек на вимогу державних органів виконавчої влади?
· Що є предметом контролю за додержанням законодавства про захист персональних даних суб’єктом відносин (володільцем, розпорядником БД) відповідно до Закону?
· Яка відповідальність передбачена за недотримання вимог законодавства про захист персональних даних?
· Які умови обробки персональних даних в базах персональних даних при здійсненні повноважень роботодавця в сфері трудових відносин?
· Чи поширюється на банківські та фінансово-кредитні установи законодавство про захист персональних даних?
· Який порядок реєстрації баз персональних даних?
· Чи є учасники (тимчасові учасники) Фонду гарантування вкладів фізичних осіб (банки, філії іноземних банків, включені до Реєстру учасників (тимчасових учасників) Фонду) володільцями баз персональних даних?
· Яким чином повинна здійснюватись обробка персональних даних у базах персональних даних банками, враховуючи відсутність на даний момент затвердженого Типового порядку обробки персональних даних у базах персональних даних та порядку обробки персональних даних, які належать до банківської таємниці?
· Яким чином повинна бути сформульована банком мета обробки персональних даних у базі персональних даних при поданні заяви про реєстрацію бази персональних даних та якими нормативно-правовими актами повинні керуватися банки при формулюванні мети обробки персональних даних (в т.ч. що становлять банківську таємницю), які знаходяться у володінні банку, враховуючи відсутність такого формулювання у чинних нормативно-правових актах?
· Які існують способи (форми) отримання згоди від суб’єкта персональних даних?
· В яких випадках та в якому порядку необхідно проводити знищення персональних даних / баз персональних даних?
· Яким чином необхідно надавати інформацію про фізичних осіб з баз персональних даних на вимогу інших осіб, які мають право отримувати цю інформацію?
· Які заходи впливу можна застосовувати до володільця бази персональних даних, який безпідставно заперечує наявність у нього персональних даних, що належать суб’єкту?
· Які особливості передачі персональних даних за кордон?