В рамках своїх зобов’язань перед Європейським союзом щодо вдосконалення законодавства відносно захисту персональних даних, 01 червня 2010 року Верховна Рада України прийняла Закон "Про захист персональних даних". Згідно даного закону персональні дані – це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Іншими словами, це П.І.Б., паспортні дані, ідентифікаційний код, адреса проживання тощо. При прийнятті людини на роботу, остання, як правило, надає роботодавцю інформацію про себе, в тому числі П.І.Б., дату та місце народження, рівень освіти, кваліфікації, місце проживання і т.п. Проте вказана інформація відноситься до категорії персональні дані, а сукупність таких даних вже говорить про існування бази персональних даних, яка передбачає певні норми. Про це і поговорімо далі.

Реєстрація бази персональних даних

Будь-яка база персональних даних, в тому числі і стосовно співробітників, відповідно до ст. 9 Закону підлягає державній реєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних.

Таким уповноваженим органом є Державна служба України з питань захисту персональних даних, саме до цієї установи всі підприємства, установи, організації, фізичні особи-підприємці подають відповідні заяви, які, до речі, мають встановлену та затверджену форму (Наказ Мінюсту України від 08.07.2011р. № 1824/5).


Реєстрація баз даних здійснюється за заявочним принципом шляхом повідомлення. Це означає, що не потрібно подавати інформацію про суб’єктів персональних даних (П.І.П., місце проживання, кваліфікацію і т.п.), в заяві лише констатується сам факт наявності на підприємстві тієї чи іншої бази даних.

Рішенні про реєстрацію бази персональних даних приймається протягом 10-ти робочих днів з дня надходження заяви. На підтвердження реєстрації бази персональних даних, її володільцю видається свідоцтво про реєстрацію бази персональних даних.

Обробка персональних даних

Маючи свідоцтво про реєстрацію бази персональних даних, підприємство вже може здійснювати обробку цих даних. Під даним терміном розуміється – збирання, адаптування, зміна, поновлення, використання, поширення (розповсюдження, реалізація, передача), знищення відомостей про фізичних осіб. Здійснення дій по обробці персональних даних передбачає ще й наявність правових підстав такої обробки. Такими підставами може бути: згода самого суб’єкта персональних даних на обробку персональних даних, та право на обробку персональних даних, наданих володільцю відповідно до закону у порядку, визначеному законодавством.

Таким чином, для обробки персональних даних працівників потрібно отримати згоду від них. Такою згодою може бути будь-яке документальне письмове волевиявлення особи щодо надання дозволу на обробку її персональних даних. Крім цього, згода може надаватись шляхом зазначення про це у заяві про прийняття на роботу.

Важливо зазначити, що будь-яка обробка персональних даних має здійснюватись з конкретною метою. Так, якщо мова йде про трудові відносини, то обробка персональних даних буде здійснюватись з метою забезпечення реалізації трудових відносин на підприємстві (установі, організації), які регулюються законодавством про працю України (ст. 4 КЗпП) та статутом організації (положенням, тощо).

З метою належного дотримання законодавства про захист персональних даних, володільцям таких баз (підприємствам, установам, організаціям) рекомендується прийняти локальний нормативний акт у вигляді наказу або розпорядження, яким визначити кількість баз персональних даних, що будуть сформовані на підприємстві, мету обробки персональних даних, їх обсяг та зміст, а також процедуру обробки. Цим же актом можна передбачити порядок отримання згоди працівника на обробку його даних, а також визначити відповідальну особу, яка забезпечуватиме захист персональних даних.

Відповідальність за недотримання закону

Звичайно, якщо є закон, то є й відповідальність за не дотримання норм цього закону. Не виключенням є і Закон України "Про захист персональних даних". З 01 січня 2012 року набуває чинності Закон України "Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних" від 02 червня 2011 року. Даним законом передбачена адміністративна та кримінальна відповідальність за порушення посадовими особами підприємств законодавства у сфері захисту персональних даних.

Так, за неповідомлення або несвоєчасне повідомлення суб'єкта персональних даних про його права у зв'язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються, наступає адміністративна відповідальність. Такий проступок карається штрафом для громадян – від 3400 до 5100 грн, для посадових осіб та громадян - суб'єктів підприємницької діяльності – від 5100 до 6800 грн.


За неповідомлення або несвоєчасне повідомлення спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних про зміну відомостей, що подаються для державної реєстрації бази персональних даних, передбачена відповідальність у вигляді штрафу від 1700 до 3400 грн. (для громадян) та від 3400 до 6800 грн. (для посадових осіб, громадян- суб'єктів підприємницької діяльності).

За ухилення від державної реєстрації бази персональних даних передбачена відповідальність у вигляді штрафу – від 5100 до 8500 грн. (для громадян) та від 6800 до 11900 грн. (для посадових осіб, громадян - суб'єктів підприємницької діяльності).

Недотримання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них, тягне за собою накладення штрафу від 5100 до 17000 гривень.

Крім цього, потрібно бути уважним і до вимог Державної служби з питань захисту персональних данних, оскільки невиконання законних вимог посадових осіб спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних щодо усунення порушень законодавства про захист персональних даних тягне за собою накладення штрафу на посадових осіб, громадян - суб'єктів підприємницької діяльності від 1700 до 3400 гривень.

Коли наступає кримінальна відповідальність

Крім адміністративної відповідальності, за невиконання вимог Закону може наступати і кримінальна відповідальність. Так, за незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації, крім випадків, передбачених іншими статтями КК України, передбачено кримінальну відповідальність у вигляді штрафу від 8500 до 17000 гривень або виправних робіт на строк до 2-х років, або арешту на строк до шести місяців, або обмеження волі на строк до трьох років.

Якщо ж ті самі дії вчинені повторно, або якщо вони заподіяли істотну шкоду охоронюваним законом правам, свободам та інтересам особи, відповідальність може бути у вигляді арешту, або обмеження волі на строк від 3-х до 5-ти років, або позбавлення волі на той же строк.

Як бачимо, законодавець значно підвищив відповідальність за невиконання вимог законодавства про захист персональних даних. Як цей закон буде впроваджуватись у наше життя, які будуть реальні наслідки, покаже час. Єдине, про що хочеться мріяти, так це про те, щоб цей закон не став черговим "інструментом" для впливу на бізнес.