БАЗЫ ПЕРСОНАЛЬНЫХ ДАННЫХ:
отвечаем на актуальные вопросы
Вопрос регистрации баз персональных данных (БПД) в последнее время один из наиболее горячо обсуждаемых, о чем свидетельствуют многочисленные звонки, поступающие к нам в редакцию. Совсем недавно этой проблеме мы посвящали публикацию «Базы персональных данных физических лиц регистрировать придется практически всем» // «БН», 2011, № 49, с. 12, но вопросы продолжают поступать, поэтому сегодня мы еще раз возвращаемся к этой теме.
Жанна СЕМЕНЧЕНКО, экономист-аналитик Издательского дома «Фактор»
Порядок подачи заявления о регистрации БПД
Кто от имени предприятия должен подписывать заявление о регистрации базы персональных данных?
Согласно п. 2 Порядка № 1824/5 владелец БПД или уполномоченное им лицо (далее — заявитель) подает заявление по установленным формам. Заявление заполняется и подается в бумажном или электронном виде*.
* В случае подачи заявления в бумажном виде заявитель подписывает каждую страницу заявления и скрепляет ее печатью (при наличии). В электронной форме заявления подаются согласно требованиям законов Украины «Об электронной цифровой подписи» от 22.05.03 г. № 852-IV и «Об электронных документах и электронном документообороте» от 22.05.03 г. № 851-IV, т. е. такое заявление должно быть подписано с помощью электронной цифровой подписи.
Под владельцем БПД, в свою очередь, понимается физическое или юридическое лицо, которому законом или по согласию субъекта персональных данных предоставлено право на обработку этих данных, которое утверждает цель обработки персональных данных в этой базе данных, устанавливает состав этих данных и процедуры их обработки, если иное не определено законом.
Согласно п. 3 ст. 24 Закона № 2297 обеспечение защиты персональных данных возлагается на владельца этой базы. При этом в органах государственной власти и органах местного самоуправления, организациях, учреждениях и на предприятиях всех форм собственности определяется структурное подразделение или ответственное лицо, которое организует работу, связанную с защитой персональных данных при их обработке, в соответствии с законом**.
** Физические лица — предприниматели, в том числе врачи, которые имеют соответствующую лицензию, адвокаты, нотариусы, лично обеспечивают защиту баз персональных данных, которыми они владеют, согласно требованиям закона (п. 6 ст. 24 Закона № 2297).
Из этого делаем вывод, что от имени предприятия заявителем может выступать либо лицо, которое на законных основаниях имеет право представлять интересы предприятия (согласно учредительным документам или выданной доверенности), либо специально уполномоченное на эти действия лицо (например, работник, назначенный приказом руководителя предприятия ответственным за регистрацию БПД).
Предприятие (ООО), основанное на частной собственности, регистрирует БПД. Кого следует указывать в разделе о распорядителе БПД и сколько страниц заявления в таком случае нужно подавать?
Распорядитель базы персональных данных — физическое или юридическое лицо, которому владельцем базы персональных данных или законом предоставлено право обрабатывать эти данные.
Распорядителем БПД, владельцем которой является орган государственной власти или орган местного самоуправления, кроме этих органов, может быть только предприятие государственной или коммунальной формы собственности, которое относится к сфере управления этого органа.
Итак, БПД, которой владеет предприятие частной формы собственности, может не иметь распорядителя (владелец не передавал другому физическому или юридическому лицу право на обработку БПД). В таком случае заявитель заполняет 3 страницы заявления, при этом поля раздела IV «Iнформація про розпорядників бази персональних даних» на с. 3 заявления не заполняются (в них лучше проставить прочерки). В рекомендациях ГСЗПД по заполнению заявления о регистрации БПД, размещенных на сайте www.zpd.gov.ua, сказано, что дополнительные листы 4 и 5 заполняются только при наличии в этом необходимости (например, если местонахождений БПД и/или распорядителей БПД более одного). Если БПД находится в одном месте (по фактическому адресу юридического лица) и при этом распорядителя у БПД нет (или есть только один), то заявление состоит из трех страниц.
По какому почтовому адресу нужно посылать заявление о регистрации БПД в бумажном виде? Кого указывать адресатом получателя?
Заполненные печатными буквами на украинском языке, пронумерованные, подписанные на каждой странице с проставлением при наличии печати, заявления отправляются по адресу:
02660, г. Киев, ул. Марины Расковой, 15 (можно указать каб. 1205, где находится Начальник управления регистрации БПД).
Адресат: Государственная служба Украины по вопросам защиты персональных данных (можно в скобках пояснить «заявление о регистрации баз персональных данных»).
В электронном виде заявление можно подать либо через веб-сайт ГСЗПД https://rbpd.informjust.ua, либо по электронной почте на адрес register@zpd.gov.ua, но сделать это можно только при наличии сертифицированного ключа электронной цифровой подписи (ЭЦП). ГСЗПД уведомляет, что большинство поданных в электронном виде заявлений не может быть обработано ввиду несоблюдения установленной процедуры, а именно в случае подачи заявления, не подписанного ЭЦП, а также без сертификата открытого ЭЦП.
Обработка БПД
Обязательно ли получать согласие от работников на обработку их данных? Если да, то какой датой должно быть оформлено такое согласие?
Сначала отметим, что основания для возникновения права на обработку персональных данных приведены в ст. 11 Закона № 2297:
— согласие субъекта персональных данных на обработку его персональных данных. Субъект персональных данных имеет право при предоставлении согласия внести предостережение относительно ограничения права на обработку своих персональных данных;
— разрешение на обработку персональных данных, предоставленное владельцу базы персональных данных в соответствии с законом исключительно для осуществления его полномочий.
Это дает основания утверждать, что относительно сведений о работниках у субъекта хозяйствования есть разрешение на обработку их персональных данных, предоставленное ему законом (в частности, КЗоТ). Следовательно, если работодатель обрабатывает данные работников исключительно для обеспечения реализации трудовых отношений, на что действующим законодательством у него есть полномочия, то отпадает необходимость отдельно получать у работников согласие на обработку таких данных.
В то же время ГСЗПД считает, что владельцу БПД «Работники» нужно получить соответствующее согласие от работников, правда, только от тех, которые были приняты на работу после 1 января 2011 года, т. е. после начала действия Закона № 2297.
Важным моментом здесь является то, что штраф предусмотрен не за отсутствие согласия физического лица на обработку его данных, а за неуведомление или несвоевременное уведомление субъекта персональных данных о его правах в связи с включением его персональных данных в БПД, цели сбора этих данных и лицах, которым эти данные передаются (штраф на должностных лиц, физлиц-предпринимателей — от 300 до 400 ннмдг (т. е. от 5100 до 6800 грн.), на физлиц-работодателей, не имеющих статуса предпринимателя, — от 200 до 300 ннмдг (от 3400 до 5100 грн.). Согласно ч. 2 ст. 12 Закона № 2297 субъект персональных данных в течение 10 рабочих дней со дня включения его персональных данных в БПД уведомляется о своих правах, определенных этим Законом, цели сбора данных и лицах, которым передаются его персональные данные, исключительно в письменной форме.
Из этого делаем вывод, что независимо от того, что является правом для обработки персональных данных (согласие физического лица или прямая норма закона), физическое лицо должно быть уведомлено о включении его данных в БПД в течение 10 рабочих дней с этого момента.
В связи с этим владельцу БПД нужно составить отдельные формы уведомлений физических лиц под каждую БПД. Причем цель обработки БПД в уведомлении должна совпадать с таковыми, указанными в заявлении о регистрации соответствующей БПД (см. пример на с. 51). Такое уведомление может быть либо лично вручено физическому лицу, либо направлено по почте. Для этих целей владелец БПД может вести журнал учета уведомлений физических лиц о включении их данных в БПД.
Рис. 1. Образец Уведомления работника о включении его данных в БПД
Как вы понимаете, чтобы выполнить требования Закона № 2297, уведомить работника о включении его данных в БПД нужно в течение 10 рабочих дней с момента принятия его на работу.
Рискнем предположить, что если владелец БПД до 1 января 2012 года уведомит всех физических лиц, сведения о которых занесены в ту или иную БПД, владельцем которой он является, то он не будет оштрафован. Основываемся на том, что Закон № 3454, которым предусмотрены штрафы за нарушения законодательства в сфере защиты персональных данных, вступает в силу с 1 января 2012 года, и если на этот момент все требования будут соблюдены, то и оснований для штрафов не будет. Предпосылки для такого развития событий видим и в некоторых разъяснениях ГСЗПД, размещенных на ее официальном сайте www.zpd.gov.ua, где говорится, что если владелец отправит ГСЗПД заявление о регистрации БПД до 01.01.12 г., то это не будет считаться уклонением от госрегистрации БПД. К тому же ГНЗПД подтверждает, что данные заявления будут приниматься и после 1 января 2012 года.
И все же желательно получить согласие физлица (если это необходимо) и уведомить его о включении данных в БПД «своевременно». Еще раз скажем, что уведомлять нужно только тех физических лиц (в том числе работников), персональные данные о которых оказались у субъекта хозяйствования после 1 января 2011 года.
Определение БПД
Частный предприниматель занимается поставкой питьевой воды населению. Доставка воды осуществляется по звонку клиента с проведением расчетов наличными по месту доставки воды. Считаются ли БПД сведения, которые содержат только имя покупателя (не всегда с фамилией), номер контактного телефона и адрес доставки?
Вряд ли сведения, которыми располагает данный субъект хозяйствования, можно считать персональными данными.
Персональные данные — сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано.
Для того чтобы считать сведения персональными данными, нужно решить, можно ли по ним идентифицировать личность физического лица. Очевидно, что если субъект хозяйствования имеет лишь сведения о месте доставки воды, контактном телефоне и имени (без фамилии), то эти данные не дают возможность идентифицировать это физическое лицо. Если по какому-то из клиентов будет хотя бы полностью Ф.И.О. и контактный телефон, то тут уже есть намек на то, что это персональные данные. Хотим заметить, что сама ГСЗПД в разъяснении на своем официальном сайте www.zpd.gov.ua не может сказать, что является минимальной совокупностью сведений о физическом лице, позволяющих идентифицировать такое физлицо.
Итак, четких критериев, соблюдение которых дает основания утверждать, что физическое лицо может быть идентифицировано, в законодательстве нет. Согласно ч. 3 ст. 6 Закона № 2297 состав и содержание персональных данных должны быть соответствующими и не излишними относительно определенной цели их обработки. Объем персональных данных, которые могут быть включены в БПД, определяется условиями согласия субъекта персональных данных или в соответствии с законом. Первичными источниками сведений о физическом лице являются: выданные на его имя документы; подписанные им документы; сведения, которые лицо предоставляет о себе (п. 4 ст. 6 Закона № 2297). Все это говорит о широком понятии «персональные данные», под которое при желании можно подвести очень много ситуаций. Безоговорочно, идентифицировать личность можно по паспортным данным или реквизитам другого документа, удостоверяющего личность (пенсионное удостоверение, водительское удостоверение, свидетельство о рождении, заграничный паспорт и т. п.). В тех случаях, когда субъект хозяйствования не располагает сведениями, позволяющими определить, что имеющийся у них номер телефона Иванова Ивана Ивановича — это номер именно того Иванова Ивана Иванович, который родился тогда-то и там-то, зарегистрирован по местожительству там-то и т. п., то тут можно отстаивать, что располагаемые предпринимателем сведения о физическом лице не входят в понятие «персональные данные».
Пример заполнения заявление о регистрации БПД
Покажем на примере, как уведомить работников субъекта хозяйствования (субъектов персональных данных) об их правах в связи с включением их персональных данных в БПД, цели сбора этих данных и лицах, которым эти данные передаются (рис. 1 на с. 51). А также покажем, как заполнить заяление о регистрации БПД (рис. 2 на с. 51-52).
Рис. 2
Надеемся, что мы подробно (на сколько это позволяет «сырое» законодательство о защите персональных данных) ответили на наиболее часто задаваемые вопросы наших читателей. Конечно, очень много моментов вызывает недоумение, особенно, когда речь идет о согласовании с физическими лицами права на обработку их данных, предоставляемых в обязательном порядке, многие вопросы остаются дискуссионными. Поживем — увидим, как будут развиваться события вокруг БПД. А пока можем сообщить, что появился законопроект, которым планируется перенести дату начала действия Закона № 3454, устанавливающего штрафные санкции за нарушения в сфере защиты БПД, с 1 января 2012 года на 1 июля 2012 года. Надеемся, что данный законопроект примут. Да, и не факт, что размеры штрафов останутся на прежнем, таком высоком уровне, как это сейчас предусмотрено Законом № 3454. По крайней мере, Интернет-источники говорят о том, что Премьер-министр Украины поставил задачу разобраться с чрезмерными размерами штрафов, установленными за нарушение законодательства в этой сфере.
Документы и сокращения статьи
КЗоТ — Кодекс законов о труде Украины от 10.12.71 г.
КоАП — Кодекс Украины об административных правонарушениях от 07.12.84 г. № 8073-Х.
ХКУ — Хозяйственный кодекс Украины 16.01.03 г. № 436-IV.
ГКУ — Гражданский кодекс Украины от 16.01.03 г. № 435-IV.
Закон № 2297 — Закон Украины «О защите персональных данных» от 01.06.10 г. № 2297-VI.
Закон № 3454 — Закон Украины «О внесении изменений в некоторые законодательные акты Украины об усилении ответственности за нарушение законодательства о защите персональных данных» от 02.06.11 г. № 3454-VI.
Закон о хозобществах — Закон Украины «О хозяйственных обществах» от 19.09.91 г. № 1576-ХII.
Приказ № 1824/5 — Приказ Министерства юстиции Украины «Об утверждении форм заявлений о регистрации базы персональных данных и о внесении изменений в сведения Государственного реестра баз персональных данных и порядка их предоставления» от 08.07.11 г. № 1824/5.
ГСЗПД — Государственная служба по защите персональных данных.
БПД — база персональных данных.
ннмдг — не облагаемый налогом минимум доходов граждан.
