Согласно последним законодательным изменениям, с 01.07.2012 вводится административная и уголовная ответственность за нарушение законодательства о персональных данных (далее – ПД).

Для того, чтобы не попасть под действие соответствующих санкций, каждая существующая в Украине компания должна сделать, по крайней мере, следующее:

(1) Изменения во внутренней документации

і. Принять положение о персональных данных

Каждая компания в своей внутренней документации должна определить, по крайней мере:

• цель обработки ПД;
• состав (перечень) обрабатываемых ПД;
• процедуры обработки ПД;
• местонахождение базы ПД;
• должностные лица, подразделения ответственные за работу с ПД;
• меры по защите ПД;
• порядок работы с запросами о ПД;
• порядок уведомления лица о действиях с его ПД;
• порядок внесения изменений в ПД;
• порядок доступа к ПД;
• порядок уничтожения ПД.

Перечисленные положения можно добавить в уже существующую документацию компании. Однако, с практической точки зрения, более рациональным является принятие единого внутреннего документа, который регулирует все эти вопросы.

іі. Разработать типовой документ, предусматривающий

• согласие лица на обработку ПД;
• согласие лица на распространение ПД;
• состав и объем предоставляемых лицом ПД;
• права лица, предоставляющего ПД;
• цель обработки ПД;
• уведомление о включении ПД в соответствующую базу данных;
• согласие лица на доступ третьих лиц к ПД;
• согласие лица на передачу ПД третьим лицам без уведомления.

Такой документ должно подписать каждое лицо, чьи ПД обрабатываются компанией. Как вариант, такие положения могут быть имплементированы в договора с контрагентами, потому что на практике, данные физлиц, заключающих договора от имени компаний, также признаются ПД.

(2) Изменения в деятельности компании

і. Назначить конкретных лиц, ответственных за работу с ПД;

іі. Обеспечить техническую защиту ПД;

ііі. Обеспечить исполнение положений внутренней документации о ПД.

(3) Государственная регистрация баз персональных данных

В соответствии с Законом все базы ПД подлежат обязательной государственной регистрации. Регистрацию осуществляет Государственная служба по вопросам защиты персональных данных http://217.20.166.204/dszpd/uk/publish/article/32503. Для регистрации нет необходимости предоставлять сами базы ПД. Достаточно заполнить и подать соответствующее заявление http://217.20.166.204/dszpd/doccatalog/document?id=32534.

В настоящее время сложилась практика, согласно которой каждая компания имеет, по крайней мере, две базы ПД: база внутренних ПД (сотрудники, учредители, акционеры компании и т.п.) и база внешних ПД (клиенты, контрагенты и т.п.).

В целом и бизнес, и государственные органы признают, что законодательство о ПД далеко от совершенства. Соответственно, не исключено, что правила работы с ПД будут вскоре изменены. Однако, несмотря на это, уже сейчас следует приводить свою деятельность в соответствие с существующими требованиями закона, чтобы избежать достаточно серьезной ответственности за их нарушение.

Авторы: Тарас Кислый, советник, и Ольга Юрченко, юрист.