В последнее время тема использования и защиты персональных данных физических лиц приобрела особую актуальность.

Вопросы защиты персональных данных украинским законодательством предусмотрены в ст. 32 Конституции Украины в отношении недопущения сбора, хранения, использования и распространения конфиденциальной информации о лице без его согласия, кроме случаев, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека. Аналогичная норма содержится и в ст. 11 Закона Украины «Об информации» от 02.10.1992 г. № 2657-XII.

Не так давно Украина ратифицировала Конвенцию Совета Европы о защите лиц в связи с автоматизированной обработкой персональных данных и Дополнительный протокол к этой Конвенции относительно органов надзора и трансграничных потоков данных (конвенция от 28.01.1981 г., ратификация Украиной 06.07.2010 г.).

Выполняя принятые обязательства, с целью адаптации украинского законодательства к международным нормам, 1 июня 2010 года Верховная Рада Украины приняла Закон Украины «О защите персональных данных» № 2297-VI (далее – Закон № 2297). Данный Закон вступил в силу с 1 января 2011 года. А с 1 июля текущего года субъекты хозяйствования обязаны регистрировать базы персональных данных. Государственным органом, который уполномочен осуществлять регистрационные процедуры и контроль в данной сфере, получила Государственная служба Украины по вопросам защиты персональных данных (далее – ГС ЗПД).

Оговоримся сразу, невыполнение требований Закона № 2297 карается довольно строго. С 01.01.2012 вступает в силу Закон Украины «О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных» от 02.06.2011 г.  № 3454-VI, которым предусмотрены административные штрафные санкции в размере от 5100 грн до 17000 грн.

 В настоящей статье мы рассмотрим, что же нужно знать предприятиям, чтобы не нарушать законодательство о защите персональных данных.

 В соответствии со ст. 11 Закона об информации к персональным данным относится любая информация о физическом лице, которая позволяет его идентифицировать, в частности об: имени, дате и месте рождения, месте работы и проживания, образовании и т.д. Персональными данными также могут быть сведения о: национальности, образовании, семейном положении, религиозности, состоянии здоровья и др.

Согласно Закону № 2297 к базам персональных данных относятся любые картотеки и документы, имеющиеся в электронном виде, которые содержат в определенной форме структурированные персональные данные. При этом субъектом персональных данных является физическое лицо, относительно которого осуществляется передача персональных данных согласно закону, а объектами защиты являются лишь те персональные данные, которые обрабатываются и вносятся в базу персональных данных.

Исходя из этих определений, мы видим, что как минимум одна база данных физических лиц  имеется на каждом предприятии. Это база наемных работников, которая формируется при оформлении их кадровых дел. Но в зависимости от видов деятельности предприятие может владеть еще несколькими базами данных, например, база данных покупателей, база данных продавцов, база данных пациентов (в медицинском учреждении). Перечислить все случаи, когда используются данные о физических лицах, невозможно, назовем некоторые из них: база данных учащихся, база данных лиц, прошедших внешнее независимое оценивание знаний, база данных потребителей телекоммуникационных услуг, база данных покупателей, имеющих бонусные карточки, база данных вкладчиков банка, база данных салонов красоты, база данных ректрутинговых агентств, база данных ГАИ  и т.д.

Нужно иметь в виду, что поскольку Закон № 2297 регулирует защиту персональных данных физических лиц, то и базы данных должны формироваться только в отношении физических лиц: физических лиц – работников, физических лиц-покупателей, физических лиц-продавцов и т.д.

Как мы выяснили, баз персональных данных на одном предприятии может быть несколько. Нельзя исключить случаи, когда одни и те же данные дублируются в электронном и бумажном виде (например, картотека личных дел сотрудников и данные о сотрудниках в автоматизированной системе). Однако, если цель обработки сведений, которые обрабатываются в электронном виде и в виде картотек, одна и та же, то это и будет одна база данных. Просто способ обработки данных в данном случае смешанный.

Также следует обратить внимание, что требования Закона № 2297 распространяются не только на юридических лиц, но и на физических лиц, которые в своей деятельности используют базы данных. Так, если физическое лицо-предприниматель в ходе осуществления деятельности осуществляет закупки или продает товары другим физическим лицам, которых можно идентифицировать, то в отношении таких контрагентов формируется и регистрируется БПД.

Требования Закона № 22297 не распространяются только на физических лиц, использующих базы данных исключительно для непрофессиональных личных или бытовых нужд, например, формирование в мобильном телефоне базы данных контактов в виде групп или формирование списка электронных адресов для личных нужд. Под понятие базы персональных данных не подпадает также персональная страница в социальной сети, поскольку такая база создается физическим лицом исключительно для непрофессиональных личных целей. Т.е. личная страница физического лица в социальной сети, даже если в ней содержатся контакты его друзей (физических лиц), регистрации не подлежит.

Владельцами базы персональных данных являются физические или юридические лица, которым законом или по согласию субъекта персональных данных предоставлено право на обработку этих данных, которые утверждают цель обработки данных в этой базе данных, устанавливают состав этих данных и процедуры их обработки, если иное не установлено законом.

В соответствии с Законом № 2297 все субъекты, которые обрабатывают, вносят в базы или используют персональные данные физических лиц, должны регистрировать такие базы персональных данных в установленном законом порядке.

Положение о государственном реестре баз персональных данных и порядок его ведения утверждено постановлением Кабинета Министров Украины от 25.05.2011 г. № 616. Существующая сегодня процедура регистрации баз персональных данных не предполагает передачу в ГС ЗПД персональных данных физических лиц, которые  были переданы последними тем или иным предприятиям или физическим лицам. Фактически в ГС ЗПД передаются лишь общие данные о такой базе (картотеке), в частности, информация о: цели сбора информации, правовых основаниях обработки персональных данных, месте хранения. Такие сведения указываются в заявлении установленного образца, утвержденном приказом Министерства юстиции Украины от 08.07.2011 г. № 1824/5. Этим же приказом утвержден и порядок подачи такого заявления. Процедура заканчивается выдачей Свидетельства о регистрации базы персональных данных, которой присваивается соответствующий номер.

 До того, как будет зарегистрирована база персональных данных, предприятию следует провести огромную работу. Необходимо определить количество баз данных, оперативные системы, на которых они будут обрабатываться.

После этого определяются цели обработки данных. Согласно п. 1 ст. 6 Закона № 2297 цель обработки персональных данных должна быть сформулирована в положениях, уставных или иных документах, которые регулируют деятельность владельца базы персональных данных,  и отвечать законодательству о защите персональных данных.

К типовым целям обработки персональных данных относится обеспечение реализации:
- трудовых отношений;
- административно-правовых (в том числе, отношений в сфере государственного управления), налоговых отношений и отношений в сфере бухгалтерского учета;
- отношений в сфере управления человеческими ресурсами, в частности, кадровым потенциалом;
- отношений в сфере экономических, финансовых услуг и страхования;
- отношений в сфере рекламы и сбора персональных данных в коммерческих целях;
- отношений в сфере телекоммуникационных услуг;
- отношений в сфере общественной, политической и религиозной деятельности, культуры, досуга, спортивной и социальной деятельности;
- отношений в сфере образования;
- отношений в сфере здравоохранения;
- отношений в сфере безопасности, включая вопросы частных расследований, построения системы частной безопасности и частной охраны;
- отношений в сфере транспорта;
- отношений в сфере науки, исторических исследований и статистики;
- иных отношений, требующих обработки персональных данных.

Т.е. на предприятии целью создания базы персональных данных сотрудников будет являться обеспечение трудовых отношений, административно-правовых и налоговых отношений и отношений в сфере бухгалтерского учета, отношений в сфере управления человеческими ресурсами, в частности, кадровым потенциалом, согласно КЗоТ, НКУ, Закону Украины «О бухгалтерском учете и финансовой отчетности», Закону Украины «О занятости населения», Закону Украины «О сборе и учете единого взноса на общеобязательное государственное социальное страхование».

Если же предприятие регистрирует базу персональных данных контрагентов (покупателей и продавцов), то в таком случае целью создания такой базы будет являться обеспечение налоговых отношений и отношений в сфере бухгалтерского учета согласно НКУ, Закону Украины «О бухгалтерском учете и финансовой отчетности», Закону Украины «О сборе и учете единого взноса на общеобязательное государственное социальное страхование».

 После определения цели обработки базы персональных данных следует определить, что будет включаться в такую БПД. Поскольку информация о лицах может использоваться в будущем для разных целей, при первоначальной оценке следует охватить как можно больше моментов, в которых могут быть использованы персональные данные. Например, если в будущем предприятие решит в базу включить адреса электронной почты сотрудников, то в дальнейшем для такой обработки потребуется получение нового согласия на обработку данных с учетом изменений (ч. 1 ст. 6 Закона № 2297). Ведь в соответствии с законом под обработкой данных понимается не только сбор, накопление, передача, но и хранение персональных данных.

Также при первичной оценке состояния обработки персональных данных необходимо выявить перечень процессов обработки персональных данных, а также определить статус субъекта обработки персональных данных: владелец или распорядитель базы персональных данных. Так, предприятие является владельцем базы данных, если ему предоставлено право на обработку БПД, но, если такое предприятие поручило обработку БПД другому лицо (например, заключен договор на оказание услуг аутсорсинга в сфере бухгалтерского учета), такое другое лицо считается распорядителем БПД. При этом, в соответствии с п. 2, п. 3 ст. 11 Закона № 2297, владелец базы данных может поручить обработку таких данных только при заключении договора в письменной форме, а распорядитель БПД обязан обрабатывать персональные данные только с целью и в объеме, определенном договором.

Согласно Закону № 2297 Типовой порядок обработки персональных данных должен быть утвержден ГС ЗПД. В настоящее время на сайте этой службы размещен только проект такого типового порядка.

На сегодняшний день не урегулирован законодательством вопрос передачи персональных данных сотрудников предприятиями в банки при выплате заработной платы: считаются ли в таком случае банки распорядителями БПД. По устным консультациям работников ГС ЗПД решение данного вопроса будет предусмотрено законодательными актами, регламентирующими работу банков.

В соответствии с п. 10 ст. 6 Закона № 2297 порядок обработки персональных данных, являющихся банковской тайной, должен быть утвержден Национальным банком Украины. В своем письме от 08.02.2011 № 18-311/695-2160 НБУ указал, что до принятия нормативно-правовых актов Кабинетом министров Украины и уполномоченным органом в сфере защиты БПД банки обязаны обеспечивать хранение, защиту, использование и раскрытие банковской тайны в соответствии с Правилами хранения, защиты, использования и раскрытия банковской тайны, утвержденными постановлением Правления НБУ от 14.07.2006 № 267.

Определение только количества БПД и целей обработки БПД недостаточно. Предприятие должно обосновать законность обработки персональных данных в БПД.

Согласно ст. 6 Закона № 2297 обработка персональных данных должна осуществляться для конкретных и законных целей, определенных по согласию субъекта персональных данных, или в случаях, предусмотренных законами Украины.

В ст. 11 Закона № 2297 указаны общие основания возникновения права на обработку персональных данных. К ним относятся:

1) согласие субъекта персональных данных на обработку его персональных данных. Субъект персональных данных имеет право при согласии внести оговорку относительно ограничения права на обработку своих персональных данных;
2) предоставленное владельцу базы персональных данных в порядке, определенном законодательством Украины, право на обработку персональных данных в соответствии с Законом, и исключительно в интересах национальной безопасности, экономического благосостояния и прав человека;
3) необходимость защиты жизненно важных интересов субъекта персональных данных до времени, когда получение согласия на обработку персональных данных от субъекта персональных данных станет возможным.

Закон № 2297 определяет согласие субъекта персональных данных как любое документированное, в частности в письменном виде, добровольное волеизъявление физического лица относительно предоставления разрешения на обработку его персональных данных согласно сформулированной цели их обработки.

Т.е. согласие на обработку БПД можно оформить в виде заявления или разрешения, но в обязательном порядке в письменном виде.

У многих сразу же возникает вопрос: что делать предприятию, если вдруг сотрудник не даст такого согласия. Это же фактически означает невозможность подачи сведений в контролирующие органы, обязательность которых предусмотрена законодательством. К сожалению, наши законы зачастую противоречат друг другу.

С одной стороны, согласно п. 2 ст. 11 Закона № 2297 одним из оснований для возникновения права на использование персональных данных является разрешение на обработку персональных данных, предоставленное владельцу базы персональных данных в соответствии с законом исключительно для осуществления его полномочий. Т.е., поскольку обязанность по подаче сведений о выплаченных доходах работникам или другим физическим лицам и удержанным из таких доходов налогов предусмотрена Налоговым кодексом Украины от 02.12.2010 № 2275, владелец базы персональных данных разрешение на обработку баз данных имеет на основании закона.

С другой стороны, база работников предприятия не ограничивается только данными о ФИО сотрудника, его ИНН, поле, резиденции, необходимыми для подачи отчетности в ГНС или отделения Пенсионного фонда. Такая база также содержит и прочие индивидуальные данные физического лица: место проживания, номера телефонов, адрес электронной почты, автобиографию, результаты аттестации и т.п., т.е. совокупность данных, по которым физическое лицо можно идентифицировать.

Следовательно, предприятие в обязательном порядке должно получить разрешение от сотрудника на право обработки его персональных данных. Другое дело, что в таком заявлении-согласии можно предусмотреть перечень данных, которые предприятие имеет право передавать без согласия работника, и перечень данных, которые без согласия работника передаваться третьим лицам не могут.

Поскольку у большинства предприятий базы персональных данных созданы давно, и обрабатываются эти базы не первый день, возникает еще один вопрос: а нужно ли получать разрешение на обработку таких данных, которые были созданы до даты вступления в силу Закона № 2297. В настоящее время на сайте ГС ЗПД  размещено разъяснение службы (http://www.zpd.gov.ua), что согласие субъекта персональных данных на обработку его персональных данных повторно не предоставляется, если владелец продолжает обрабатывать персональные данные субъекта, согласно правоотношениям на основе свободного волеизъявления физического лица, возникшим до вступления в силу Закона № 2297. И все же, по нашему мнению, для устранения недоразумений, которые могут возникнуть в отношениях вопроса сохранности персональных данных, предприятиям стоит получить от сотрудников необходимое разрешение на обработку определенных категорий персональных данных.

 Рассмотрим примерное содержание такого разрешения.


Директору  (наименование предприятия)________

ФИО директора _________________________

ФИО сотрудника______________________

 

 

 

 

 

 

Заявление согласие

на использование и обработку персональных данных

Я, ____________________ (ФИО сотрудника) настоящим документом даю свое согласие с «____» _______ 201… г. на использование и обработку моих персональных данных ________________(название предприятия) исключительно для обеспечения трудовых отношений, административно-правовых, налоговых отношений и отношений в сфере бухгалтерского учета согласно КЗоТ, НКУ, Закону Украины «О бухгалтерском учете и финансовой отчетности», Закону Украины «О занятости населения», Закону Украины «О сборе и учете единого взноса на общеобязательное государственное социальное страхование».

Даю свое согласие на передачу моих персональных данных третьему лицу исключительно в пределах Закона Украины «О защите персональных данных» от 01.06.2010 г. № 2297-VI для реализации вышеперечисленных целей.

_______________________                                                               _____________________

(дата)                                                                                                  (подпись)

 

 Если предприятие создает базу персональных данных контрагентов, то соответствующее разрешение может быть получено или в виде отдельного заявления-согласия, или такая информация может быть указана в договоре.

Обратите внимание, магазин, выдавший Вам дисконтную карту покупателя на основании заполненной Вами анкеты с указанием фамилии, имени, отчества, даты рождения, места проживания, телефонного номера и т.п., имеет право передать Ваши личные данные (например, номер мобильного телефона для рассылки СМС) другому лицу только при наличии разрешения физического лица на совершение таких действий, что регулируется п. 1 ст. 11 Закона № 2297. Такое разрешение может быть указано в анкете и, как правило, отмечается «галочкой». Поэтому если Вы против, чтобы Ваши данные были использованы другим лицом, при заполнении анкеты внимательно читайте информацию. Ваши права описаны в ст. 16 Закона № 2297: субъекты, чьи персональные данные занесены в базу, имеют право получать информацию об условиях доступа к персональным данным, в частности, о тех третьих лицах, которым такой доступ будет предоставлен.

Также следует обратить внимание физлиц, задолжавших банкам или другим финансовым учреждениям. В рамках действующего Закона № 2297 передача персональных данных должника в при оформлении договора уступки права требования без согласия такого должника является нелегитимной. Т.е. банки не имеют право передавать сведения о своих должниках коллекторским компаниям.

После выполнения перечисленных процедур необходимо организовать на предприятии работу, связанную с защитой персональных данных при их обработке.

Согласно ст. 24 Закона № 2297 все субъекты правоотношений, связанных с персональными данными, обязаны обеспечить защиту таких данных от незаконной обработки, и также от незаконного доступа к ним. Причем обеспечение защиты таких данных в базе персональных данных возлагается на владельца этой базы.

Специалисты ГС ЗПД для обеспечения защиты на предприятии персональных данных рекомендуют оформить ряд документов, в частности такие как:
- Приказ о создании Базы персональных данных и  Положение о базах персональных данных, порядок обработки и защиты персональных данных (целесообразно ознакомить сотрудников, чья работа непосредственно связана с обработкой ПД),
- Приказ о назначении ответственного лица (возлагаются обязанности относительно обеспечения защиты персональных данных),
- Должностную инструкцию ответственного лица,
- Положение о конфиденциальной информации,
- Соглашение о неразглашении конфиденциальной информации и др,
- Порядок обучения, повышения квалификации и принятия других мер, направленных на обеспечение компетентности персонала владельца.

Пока нормативно четко не установлены требования к таким процедурам, каждый субъект самостоятельно определяет, что именно нужно сделать для того, чтобы привести свои базы персональных данных в соответствие с действующим законодательством.

Также следует разработать текст заявления о согласии лица на обработку его ПД, текст уведомления, в котором изложить информацию о правах субъекта ПД, цели обработки данных и лицах, которым передаются ПД.

Только после выполнения всех перечисленных процедур можно подавать в ГС ЗПД заявление о регистрации базы персональных данных, которое должно содержать информацию:
- о владельце и распорядителях базы,
- информацию о базе данных и месте ее нахождения,
- а также подтверждение обязательства по выполнению требований законодательства по защите ПД.

О каждом изменении вышеуказанных сведений, не позднее чем в течение 10 рабочих дней со дня наступления такого изменения, владелец базы ПД обязан уведомлять Службу путем подачи заявления о внесении изменений в сведения Государственного реестра баз персональных данных. Обратите внимание, под изменением понимается не изменение количества работников или контрагентов, данные о которых сформировали БПД, а изменение сведений, необходимых для регистрации базы:  владелец или распорядитель базы, место ее нахождения, цели обработки данных.

Подать заявление можно как на бумажном носителе, так и электронным способом, соблюдая правила, установленные для оформления электронных документов. В настоящее время форма заявления и пример его заполнения размещены на сайте https://rbpd.informjust.ua/.

При регистрации базы данных, ГС ЗПД выдает предприятию Свидетельство о регистрации, где будут включены только основные данные. Перерегистрация предполагается только в случае смены юридического адреса, наименования компании, при этом будет происходить смена Свидетельства.

Согласно разъяснениям ГС ЗПД регистрация баз персональных данных осуществляется бесплатно. Но ни в одном нормативном документе об этом не сказано, в связи с чем, нельзя исключить, что для подачи заявления нужно будет оплатить некой фирме стоимость услуг по заполнению требуемых документов.

Законодатель «побеспокоился», чтобы решение о регистрации БПД было принято предприятиями до 01.01.2012, поскольку именно с этой даты вступает закон, предусматривающий штрафные санкции за невыполнение требований Закона № 2297.

Так, согласно Закону Украины «О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных» от 02.06.2011 г. № 3454 в Кодекс Украины об административных правонарушениях включены новые статьи 188-39 и 188-40.

Вид нарушения

Ст. КоАП

Ответственное лицо

Сумма штрафных санкций

Несообщение или несвоевременное сообщение субъекту персональных данных об его правах в связи с включением его персональных данных в базу персональных данных, или цели сбора этих данных и лиц, которым эти данные передаются

188-39

Граждане

– 200-300 НМДГ

(3400 грн.-5100 грн.)

 

Должностные лица предприятий, физлица-СПД

300-400 НМДГ

(5100 грн. – 6800 грн.)

Неуведомление или несвоевременное уведомление специально уполномоченного центрального органа исполнительной власти по вопросам защиты персональных данных об изменении сведений, которые подаются для государственной регистрации базы персональных данных

188-39

Граждане

100-200 НМДГ

(1700 грн. - 3400 грн.)

 

Должностные лица предприятий, физлица-СПД

200-400 НМДГ

(3400 грн. – 6800 грн.)

 

Уклонение от государственной регистрации базы персональных данных

188-39

Граждане

300-500 НМДГ

(5100грн. - 8500 грн.)

Должностные лица предприятий, физлица-СПД

500-1000 НМДГ

(8500 грн. – 17000 грн.)

Несоблюдение установленного законодательством о защите персональных данных порядка защиты персональных данных в базе персональных данных, приведшее к незаконному доступу к ним

188-39

-

300-1000 НМГД (5100 грн. – 17000 грн.)

Невыполнение законных требований должностных лиц специально уполномоченного  центрального органа исполнительной власти по вопросам защиты персональных данных относительно устранения нарушений законодательства о защите персональных данных

188-40

Должностные лица предприятий, физлица-СПД

100-200 НМДГ

(1700 грн. - 3400 грн.)

Кроме того, ст. 182 УК Украины предусматривает уголовную ответственность, в т.ч. санкции в виде ограничения или лишения свободы за незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о личности.

Учитывая столь серьезные санкции, субъектам хозяйствования всех форм собственности рекомендуем обязательно зарегистрировать до 1 января 2012 года базы персональных данных.

По материалам И.Дидюра, аудитора ООО АФ "Капитал"