05.12.2011
БАЗЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
физических лиц регистрировать придется практически всем
Так уж получается, что большинство благих намерений оборачивается излишними и подчас бессмысленными обязанностями, возлагаемыми на субъектов хозяйствования и их должностных лиц. Особенно печально, когда невыполнение таких обязанностей влечет наложение немалых штрафов. Так, по нашему убеждению, случилось и с требованиями вступившего в силу с 1 января 2011 года Закона Украины «О защите персональных данных» от 01.06.10 г. № 2297-VI. Давайте разберемся, что же представляет собой база персональных данных и как происходит ее регистрация.
Жанна СЕМЕНЧЕНКО, экономист-аналитик газеты «Бухгалтерская неделя»
Общее понятие БПД
Начнем с того, что, действительно, немало государственных органов, учреждений, субъектов хозяйствования по роду своей деятельности владеют информацией о физических лицах, распространение которой является нежелательной для них. Это, к примеру, касается имущественных вопросов (заключение сделок по недвижимому и движимому имуществу, оформление банковских кредитов, вступление в состав участников хозяйственных обществ и т. п.). Согласитесь, что каждая из вышеперечисленных сделок предполагает предоставление немалого количества «бумажек» с теми или иными данными о физическом лице. Логично, что права граждан в части несанкционированного распространения информации о них должны быть защищены. На защиту этих прав и направлены требования Закона № 2297.
Согласно ему база персональных данных (БПД) — именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных.
В свою очередь, под персональными данными понимаются сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано.
Как видим, любые сведения или совокупность сведений о физическом лице (например, паспортные данные) попадают под определение персональных данных, и если субъект в какой-либо форме имеет такие данные (причем хотя бы по одному физическому лицу), то это уже может попасть под определение БПД, которая подлежит регистрации.
Отметим, что 10.05.11 г. вступил в силу Закон № 2939, который определяет, что относится к публичной информации, а что признается информацией с ограниченным доступом. Так, публичная информация — это отображенная и задокументированная любыми средствами и на любых носителях информация, которая была получена или создана в процессе выполнения субъектами властных полномочий своих обязанностей, предусмотренных действующим законодательством, или которая находится во владении субъектов властных полномочий, других распорядителей публичной информации, определенных данным Законом (ч. 1 ст. 1 Закона № 2939). Публичная информация является открытой, кроме случаев, установленных законом.
К информации с ограниченным доступом относится (ч. 1 ст. 6 Закона № 2939):
— конфиденциальная информация, т. е. доступ к которой ограничен физическим или юридическим лицом, кроме субъектов властных полномочий, и которая может распространяться в определенном ими порядке по их желанию в соответствии с предусмотренными ими условиями;
— тайная информация, которой признается информация, содержащая государственную, профессиональную, банковскую тайну, тайну следствия и другую предусмотренную законом тайну;
— служебная информация, к которой относится: информация, содержащаяся в документах субъектов властных полномочий, которые составляют внутриведомственную служебную корреспонденцию, докладные записки, рекомендации, если они связаны с разработкой направления деятельности учреждения или осуществлением контрольных, наблюдательных функций органами государственной власти, процессом принятия решений и предшествуют публичному обсуждению и/или принятию решений; информация, собранная в процессе оперативно-разыскной, контрразведывательной деятельности, в сфере обороны страны, которая не отнесена к государственной тайне. Документам, содержащим информацию, которая составляет служебную информацию, присваивается гриф «для служебного пользования».
Логично предположить, что механизм регистрации БПД внедрялся только относительно информации с ограниченным доступом, но в итоге получилось, что любая информация о физическом лице составляет его персональные данные и подлежит обработке субъектом хозяйствования только с разрешения такого физического лица. И по мнению Государственной службы по защите персональных даннях, должна быть зарегистрирована в составе БПД.
Примечательно, что в отчете о ходе реализации программы вступления Украины в Европейский союз от 25.05.11 г. «Реализация Европейской политики соседства в 2010 году. Отчет о ходе реализации проекта в Украине» сказано, что в сфере сотрудничества между правоохранительными органами и судебной властью в июне в 2010 г. парламент принял Закон № 2297. В сентябре 2010 года Украиной была ратифицирована Конвенция Совета Европы 1981 года о защите лиц относительно автоматической обработки персональных данных, большинство положений которой и перекочевало в Закон № 2297. Честно говоря, пока не совсем ясно, как втягивание практически всех работодателей в процедуру регистрации БПД в том объеме сведений, которые регистрируются, поможет сотрудничеству между правоохранительными органами Украины и стран ЕС.
Что может быть БПД
Действующее законодательство в некоторых случаях обязывает субъектов хозяйствования собирать и хранить определенную информацию о физических лицах. Например, гражданин согласно КЗоТ при заключении трудового договора обязан предоставить паспорт или другой документ, удостоверяющий личность, трудовую книжку, а в случаях, предусмотренных законодательством, — также документ об образовании (специальности, квалификации), о состоянии здоровья и другие документы (например, о составе семьи, пенсионное удостоверение и т. п.). Собранная о работнике информация отражается, как правило, в личной карточке работника по форме № П-2. Соответственно субъект хозяйствования, использующий наемный труд, владеет как минимум одной БПД, которая называется «Работники».
Кроме того, БПД в некоторых случаях можно причислить и клиентскую базу, ведь согласно требованиям ГКУ и Закона о бухучете при оформлении договоров и первичных документов (накладных, актов выполненных работ и т. п.) требуются данные об идентификации лица. Надо сказать, что Государственная служба по защите персональных данных (далее — Госслужба) считает, что субъект хозяйствования, работая с клиентами — физическими лицами, является владельцем БПД «Клиенты». Однако мы бы о таком факте говорили с некоторыми оговорками. Под владельцем БПД понимается физическое или юридическое лицо, которому законом или по согласию субъекта персональных данных предоставлено право на обработку этих данных, которое утверждает цель обработки персональных данных в этой базе данных, устанавливает состав этих данных и процедуры их обработки, если иное не определено законом. В свою очередь, под обработкой персональных данных понимается — какое-либо действие или совокупность действий, осуществленных полностью или частично в информационной (автоматизированной) системе и/или в картотеках персональных данных, которые связаны со сбором, регистрацией, накоплением, адаптированием, изменением, восстановлением, использованием, распространением (распространением, в укр. «поширенням (розповсюдженням)» (реализацией, передачей), обезличиванием, уничтожением сведений о физическом лице. Отсюда можно сделать вывод, что просто владение данными, необходимыми для идентификации клиента (например, Ф.И.О. и паспортные данные), без обработки этих данных не подпадает под владение БПД. Да, у субъекта есть подписанные договоры и первичные документы, в которых приведены определенные персональные данные о физических лицах, но если они не систематизированы в какой-либо электронной форме или картотеке, то тогда можно говорить об отсутствии у субъекта БПД «Клиенты». Казалось бы, нежели потом долго и упорно доказывать проверяющим, что у вас нет БПД «Клиенты», легче ее просто зарегистрировать, тем более что процедура эта несложная и бесплатная. Далее мы подробно опишем порядок регистрации БПД, пока же отметим, что регистрировать нужно саму базу (например, БПД «Работники», «Клиенты»), что говорит о том, что все сведения, имеющиеся у работодателя о наемных работниках, находятся под защитой. Вносить в Государственный реестр баз персональных данных (далее — Госреестр БПД) сведения о каждом физическом лице (работнике, клиенте) не нужно. Еще раз повторим — казалось бы. На самом деле есть одно серьезное «но»: физическое лицо должно дать согласие на обработку его персональных данных.
Согласие субъекта персональных данных — какое-либо документированное, в частности, письменное добровольное волеизъявление физического лица относительно предоставления разрешения на обработку его персональных данных согласно сформулированной цели их обработки (ст. 2 Закона № 2297). Получается, что если клиент не дал письменное согласие, то обрабатывать и использовать его персональные данные в ходе ведения хозяйственной деятельности нельзя. При получении персональных данных от физического лица после 1 января 2011 года, т. е. после вступления в силу Закона № 2297, обрабатывать такие данные можно только с согласия (причем письменного) такого физического лица. Что касается данных, полученных до этой даты, то, по мнению Госслужбы, согласие на их использование можно не получать. В частности, в п. 2.5 проекта Типового Порядка обработки персональных данных в БПД (далее — проект Типового Порядка) (размещен на http://www.zpd.gov.ua/indexDovidkaInfo.html) говорится, что согласие на обработку повторно не предоставляется, если владелец БПД продолжает ее использовать согласно правоотношениям на основании свободного волеизъявления физического лица, которые возникли до вступления в силу Закона № 2297.
Четких требований к содержанию и виду документа о согласии физического лица на использование его персональные данные нет. Лучше, если это будет оформлено в виде отдельного документа (расписка, заявление, приложение к договору, дополнительное соглашение и т. п.). В то же время, на наш взгляд, такое согласие может быть закреплено в виде отдельной нормы в типовом договоре с работниками (клиентами). Содержание «согласия» может быть примерно следующее:
«Согласен на использование и обработку моих персональных данных, предоставленных ______________ (наименование субъекта) для _____________ целей (например, для целей оформления и ведения трудовых отношений; для административно-правовых целей; для использования в сфере рекламы и в коммерческих целях и т. п. (см. п. 2.8 проекта Типового Порядка)). Согласен на передачу моих персональных данных третьему лицу исключительно в порядке, установленном Законом Украины «О защите персональных данных» от 01.06.10 г. № 2297-VI.»
Итак, еще раз скажем, что сюда попадают любые обрабатываемые на законных основаниях или с согласия физических лиц (в том числе и частных предпринимателей) их персональные данные («Работники», «Клиенты», «Учащиеся», «Контрагенты» и др.). Сведения о юридических лицах в БПД не попадают.
Как соблюсти требования о БПД
Выше мы уже затронули вопрос получения согласия от физического лица на использование и обработку его персональных данных. Это один из важных моментов, который нужно внедрить владельцу БПД. В противном случае (за использование персональных данных, полученных после 01.01.11 г. без согласия физического лица) на должностных лиц субъекта налагается далеко не символический штраф, о чем мы скажем ниже.
Итак, разобьем порядок действий субъекта как владельца БПД на несколько этапов.
1. Разработка внутреннего документа — Положения (Порядка) обработки персональных данных в БПД. За основу можно взять проект Типового Порядка (http://www.zpd.gov.ua/indexDovidkaInfo.html), а также непосредственно нормы Закона № 2297.
2. Назначение лиц, ответственных за защиту данных в БПД. В число их обязанностей, в частности, следует включить получение (обеспечение получения) от физических лиц разрешений на использование и обработку их данных, а также уведомление физических лиц в случае предоставления сведений о них третьим лицам с соблюдением требований Закона № 2297.
3. Регистрация БПД в Госреестре БПД.
Как зарегистрировать БПД
Регистрация БПД осуществляется в соответствии с Законом № 2297, а также Положением № 616. Для регистрации владелец БПД или уполномоченное им лицо должен подать заявление, форма которого утверждена приказом № 1824/5. Выше мы уже говорили, что регистрируется сама БПД (ее название, местонахождение, наименование владельца (при наличии распорядителя), цель обработки данных). Сведения о физических лицах, составляющие такую БПД, в Госреестр не вносятся (соответственно не указываются в регистрационном заявлении).
Заявления заполняются и подаются в бумажной или электронной форме. В случае представления заявлений в бумажной форме заявитель подписывает каждую страницу заявления и скрепляет ее печатью (при наличии). На официальном сайте Госслужбы www.zpd.gov.ua указан адрес данной службы, куда и нужно направлять заявления при их подаче в бумажном виде:
02660 г. Киев, ул. Марины Расковой, 15.
Телефоны: 517-68-00 (канцелярия), (044) 517-89-66 (горячая линия).
В электронной форме заявления подаются в соответствии с требованиями законов Украины «Об электронной цифровой подписи» и «Об электронных документах и электронном документообороте». Заполненное заявление в электронном виде, подписанное электронной подписью, направляется на электронную почту register@zpd.gov.ua. Кроме того, заявление о регистрации БПД можно подать непосредственно с сайта Госслужбы, зайдя в пункт меню «Рекомендації щодо подання та заповнення заяв про реєстрацію БПД».
Заявления заполняются на государственном языке разборчивыми, печатными буквами. Заявления не должны содержать помарки, зачеркивания и исправления. При заполнении заявлений выбранный заявителем признак отмечается символом «х». Даты в заявлениях заполняются арабскими цифрами в формате — день, месяц, год, например «12.12.2011». Страницы заявлений нумеруются, на каждой странице заявления указывается номер страницы и общее количество страниц. В случае если заявителю необходимо заполнить больше чем один раз разделы, которые содержат информацию о владельце, распорядителях, наименованиях, местонахождениях базы персональных данных и цели обработки персональных данных, заявитель заполняет в заявлении соответствующие разделы необходимое количество раз.
Для заполнения заявления нужно знать, кто относится к владельцам БПД, а кто к распорядителям. Так:
— владелец базы персональных данных — физическое или юридическое лицо, которому законом или с согласия субъекта персональных данных предоставлено право на обработку этих данных, которое утверждает цель обработки персональных данных в этой базе данных, устанавливает состав этих данных и процедуры их обработки, если другое не определено законом;
— распорядитель базы персональных данных — физическое или юридическое лицо, которому владельцем базы персональных данных или законом предоставлено право обрабатывать эти данные.
В отношении БПД «Работники» владельцем и распорядителем, на наш взгляд, является работодатель.
Название БПД и цель обработки заявитель указывает по своему усмотрению. При определении целей обработки можно ориентироваться на таковые, приведенные в проекте Типового Порядка. так, целью может быть обеспечение реализации:
— трудовых отношений;
— административно-правовых (в том числе отношений в сфере государственного управления), налоговых отношений и отношений в сфере бухгалтерского учета и аудита;
— отношений в сфере управления человеческими ресурсами, в частности кадровым потенциалом;
— отношений в сфере экономических, финансовых услуг и страхования;
— отношений в сфере рекламы и сбора персональных данных в коммерческих целях;
— отношений в сфере телекоммуникационных услуг;
— отношений в сфере общественной, политической и религиозной деятельности, отношений в сфере культуры, досуга, спортивной и социальной деятельности;
— отношений в сфере образования;
— отношений в сфере охраны здоровья;
— отношений в сфере безопасности, включая вопросы частных расследований;
— отношений в сфере транспорта;
— отношений в сфере науки, исторических исследований и статистики;
— других отношений, которые требуют обработки персональных данных.
Факт регистрации БПД оформляется выдачей заявителю Свидетельства о государственной регистрации БПД, форма которого утверждена приказом № 1823/5.
Ответственность
Теперь поговорим о «кнуте», который должен активно вовлечь субъектов хозяйствования в процесс регистрации БПД. Законом № 3454 были внесены изменения в КоАП и УКУ, которые касаются санкций за нарушения законодательства в сфере защиты персональных данных физических лиц. Санкции налагаются на должностных лиц владельцев (распорядителей) БПД. Составляют протоколы о выявленных правонарушениях должностные лица Госслужбы, а принимают решения о привлечении к ответственности суды.
Закон № 3454 вступает в силу с 1 января 2012 года, а значит, с этой даты начнут действовать приведенные ниже санкции, а они немаленькие:
— за неуведомление или несвоевременное уведомление субъекта персональных данных (в том числе работника) о его правах в связи с включением его персональных данных в базу персональных данных, цели сбора этих данных и лицах, которым эти данные передаются, может быть наложен штраф на должностных лиц, физлиц-предпринимателей — от 300 до 400 ннмдг (от 5100 до 6800 грн.), на физлиц-работодателей, не имеющих статуса предпринимателя, — от 200 до 300 ннмдг (от 3400 до 5100 грн.);
— за неуведомление или несвоевременное уведомление Госслужбы об изменении сведений, которые подаются для государственной регистрации базы персональных данных на должностных лиц предприятия либо на физлицо-предпринимателя может быть наложен штраф от 200 до 400 ннмдг (от 3400 до 6800 грн.), на физлиц-работодателей, не имеющих статуса предпринимателя, — от 100 до 200 ннмдг (от 1700 до 3400 грн.);
— за уклонение от государственной регистрации базы персональных данных предусмотрен штраф на граждан, не имеющих статуса предпринимателя, от 300 до 500 ннмдг (от 5100 до 8500 грн.), на должностных лиц, физлиц-предпринимателей — от 500 до 1000 ннмдг (от 8500 до 17000 грн.).
Уголовная ответственность будет наступать за незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о лице или незаконное изменение такой информации в виде штрафа от 500 до 1000 ннмдг (от 8500 до 17000 грн.) либо исправительных работ на срок до двух лет, либо в виде ареста на срок до шести месяцев, либо ограничения свободы на срок до трех лет.
Здесь, правда, стоит обратить внимание на такой немаловажный момент: на сегодняшний день остается открытым вопрос, имеет ли право Госслужба по защите персональных данных проводить проверки в этой сфере. В ст. 22 Закона № 2297 действительно сказано, что контроль за соблюдением законодательства о защите персональных данных в пределах полномочий, предусмотренных законом, осуществляет уполномоченный государственный орган по вопросам защиты персональных данных. А Положением о Госслужбе предусмотрено, что Госслужба осуществляет госнадзор и контроль за соблюдением законодательства о защите персональных данных, разрабатывает и утверждает планы проверок владельцев баз персональных данных, проводит в пределах своих полномочий выездные и невыездные проверки, выдает обязательные для выполнения предписания по устранению нарушений законодательства о защите персональных данных, составляет админпротоколы о выявленных нарушениях законодательства. Однако пока порядка проведения проверок нет не только в законе, но и в подзаконных нормативных актах. А это ставит под сомнение правомерность проведения проверок Госслужбой.
Вот такие вопросы мы хотели рассмотреть сегодня. Надо сказать, это тот случай, когда затраты (в том числе и трудовые) на выполнение требования законодательства несоизмеримо малы по сравнению с наказанием, которое может последовать за его невыполнение. Уверены, что у многих читателей, ознакомившихся с этим материалом, возникнет вопрос, а зачем вообще нужна такая регистрация, если сведения о физических лицах не заносятся в Госреестр? Ответ на поверхности: таким образом государство хочет привлечь внимание и повысить бдительность субъектов относительно того, что они являются владельцами информации о лицах, несанкционированное распространение которой защищается государством. Другой вопрос, насколько эффективна такая защита.
Документы статьи
КЗоТ — Кодекс законов о труде Украины от 10.12.71 г.
КоАП — Кодекс Украины об административных правонарушениях от 07.12.84 г. № 8073-Х.
УКУ — Уголовный кодекс Украины от 05.04.01 г. № 2341-III.
Закон № 2297 — Закон Украины «О защите персональных данных» от 01.06.10 г. № 2297-VI.
Закон № 2939 — Закон Украины «О доступе к публичной информации» от 13.01.11 г. № 2939-VI.
Закон № 3454 — Закон Украины «О внесении изменений в некоторые законодательные акты Украины об усилении ответственности за нарушение законодательства о защите персональных данных» от 02.06.11 г. № 3454-VI.
Положение № 616 — Положение о Государственном реестре баз персональных данных и порядке его ведения, утвержденное постановлением КМУ от 25.05.11 г. № 616.
Приказ № 1823/5 — приказ Минюста «Об утверждении образца свидетельства о государственной регистрации базы персональных данных» от 08.07.11 г. № 1823/5.
Приказ № 1824/5 — приказ Минюста «Об утверждении форм заявлений о регистрации базы персональных данных и о внесении изменений в сведения Государственного реестра баз персональных данных и порядка их предоставления» от 08.07.11 г. № 1824/5.
Положение о Госслужбе — Положение о Государственной службе Украины по вопросам защиты персональных данных, утвержденное Указом Президента Украины от 06.04.11 г. № 390/2011.