— База ль данных этот счет
и налоговый отчет?
Базы персональных данных: продолжаем обсуждать…
ФОП выписывает счета другим физическим лицам, в которых указывает Ф. И. О. и ИНН. Кроме того, ФОП представляет отчеты ф. № 1 ДФ в ГНИ по поставщикам, где указывает их ИНН. Является ли такая информация базой персональных данных и следует ли ее регистрировать в соответствии с Законом «О защите персональных данных»?
Статьей 2 Закона от 01.06.2010 г. № 2297-VI «О защите персональных данных» (далее — Закон № 2297) установлено, что базой персональных данных является именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных.
Исходя из указанного определения можно установить следующие признаки базы персональных данных:
1) данные должны быть персональными.
Так, в контексте Закона № 2297 персональными данными считаются сведения о физическом лице, с помощью которых такое лицо может быть идентифицировано. Более информативным в данном случае является положение Директивы Европейского парламента и Совета Европейского Союза от 24 октября 1995 года 95/46 «О защите физических лиц при обработке персональных данных и о свободном перемещении таких данных» (далее — Директива), статья 2 которой разъясняет, что с помощью таких данных физическое лицо может быть установлено прямо или косвенно, в частности с помощью идентификационного кода или одного или более факторов, присущих физическим, физиологическим, ментальным, экономическим, культурным или социальным аспектам его личности. Вместе с тем согласно Рекомендациям CM/Rec (2010) 13 Комитета Министров СЕ о защите лиц в связи с применением автоматизированной обработки персональных данных и в контексте использования таких данных лицо не считается «подлежащим идентификации», если идентификация требует необоснованных времени и усилий;
2) такие данные должны быть упорядоченными в электронной форме или в форме картотек.
Этот критерий, можно сказать, является краеугольным, с помощью которого можно установить, является ли определенная группа собранных сведений базой данных.
Однако действующее законодательство не предоставляет толкования указанного термина. Академический толковый словарь украинского языка определяет, что упорядоченный это такой, который характеризуется определенной последовательностью, очередностью чего-то, в котором выражается некая закономерность, который имеет надлежащий порядок, лад, хорошо организованный, настроенный.
Пункт 15 Преамбулы Директивы устанавливает, что обработка персональных данных подпадает под действие Директивы только в тех случаях, когда обработка является автоматизированной либо когда обработанные данные размещаются или предназначены для размещения в картотеках, структурированных по определенным критериям, касающимся физических лиц, таким образом, чтобы обеспечить легкий доступ к соответствующим персональным данным.
Кроме того, Директива говорит о том, что государства должны разрабатывать критерии определения составных частей структурированной совокупности персональных данных, а дела или собрание дел, как и их титульные листы, которые не разработаны в соответствии с определенными критериями, ни при каких обстоятельствах не входят в сферу действия данной Директивы.
Полезным в данном случае является разъяснение Министерства юстиции Украины, размещенное на сайте Министерства (http://www.minjust.gov.ua/0/38266).
Так, Минюст, используя положения, сформулированные в Директиве, разъяснил, что база персональных данных является упорядоченной совокупностью логично связанных данных о физических лицах, которые хранятся и обрабатываются соответствующим программным обеспечением, являются базой персональных данных в электронной форме; которые хранятся и обрабатываются на бумажных носителях информации, являются базой персональных данных в форме картотек.
При этом, по разъяснению Минюста, картотекой персональных данных является любой структурированный массив персональных данных, который доступен с определенными критериями, независимо от того, является ли такой массив централизованным, децентрализованным или разделенным по функциональным или географическим принципам (соответствует п. «с» ст. 2 Директивы). Такие данные должны быть структурированы по определенным критериям, касающимся физических лиц, чтобы обеспечить легкий доступ к соответствующим персональным данным (п. 15 и 27 Преамбулы Директивы);
3) совокупность персональной информации должна быть именованной.
Таким образом, базой персональных данных являются сведения о физическом лице, с помощью которых такое физическое лицо может быть прямо или опосредствованно идентифицировано, которые собраны в именованную совокупность в некоторой последовательности, в определенной закономерности (по критериям), для облегчения доступа к соответствующим данным.
Государственная служба Украины по вопросам защиты персональных данных на своем сайте акцентирует внимание на том, что владелец базы данных самостоятельно принимает решение о том, является ли та или иная совокупность персональных данных физических лиц, находящаяся в его владении, базой персональных данных*. На это же указывает в своем разъяснении Минюст.
* Однако на сегодняшний день не понятно, является ли владелец персональных данных конечной инстанцией и не будет ли он нести ответственность за то, что неправильно определил, что [не] владеет базами персональных данных в понимании Закона № 2297.
Кроме того, на сайте Службы размещено разъяснение, в соответствии с которым разные типы отчетов и форм, которые содержат определенную совокупность сведений о физических лицах, извлеченных из баз персональных данных владельца, и которые в соответствии с законом периодически представляются в органы государственной власти, не рассматриваются как отдельные базы персональных данных.
При заполнении счетов и отчетов СПД использует персональные данные, которыми он уже владеет и которые ему переданы субъектами персональных данных для указанных целей, поэтому сама по себе совокупность отчетов и счетов, даже если они упорядочены (подшиты, отсортированы по определенным признакам), не является базой персональных данных.
Подытожим: если СПД каким-то образом упорядочивает ИНН, Ф. И. О. других ФОПов, группирует их по каким-либо признакам с целью обеспечения легкого доступа к соответствующим данным, то такая совокупность соответствует определению базы данных, приведенному в Законе № 2297, а следовательно, является базой персональных данных и, соответственно, подлежит государственной регистрации.
В случае если СПД не упорядочивает такие персональные данные, то, по нашему мнению, они не будут рассматриваться как базы персональных данных. Кроме того, следует учесть принцип самостоятельности в принятии решения относительно наличия баз и данных владельца персональных данных. Осторожный предприниматель, вероятно, издаст распоряжение, которым строго запретит себе упорядочивать персональные данные. Такой документ точно не повредит.
Следует ли работодателю получать согласие у работников на обработку их персональных данных, если он производит обработку данных на основании закона? В каких случаях работодатель собирает сведения о работнике без его согласия? Следует ли регистрировать базу персональных данных работодателям по работникам? Следует ли сообщать работникам о том, что их персональные данные включены в базу персональных данных, и о том, что их данные переданы третьим лицам, если работодатель представляет отчеты по работникам в ГНИ по форме № 1ДФ?
Статья 11 Закона № 2297 устанавливает следующие основания использования персональных данных субъекта персональных данных:
1) согласие субъекта персональных данных на обработку его персональных данных;
2) разрешение на обработку персональных данных, предоставленное владельцу базы персональных данных в соответствии с законом исключительно для осуществления его полномочий.
При этом под использованием Закон № 2297 понимает любые действия владельца базы относительно обработки этих данных, действия по их защите, а также действия по предоставлению частичного или полного права обработки персональных данных другим субъектам отношений, связанных с персональными данными, которые осуществляются с согласия субъекта персональных данных или в соответствии с законом.
В сфере трудовых отношений действующее законодательство Украины обязует лицо, которое нанимается на работу, при заключении трудового договора представить паспорт или другой документ, удостоверяющий личность, трудовую книжку, а в случаях, предусмотренных законодательством,— также документ об образовании (специальность, квалификацию), о состоянии здоровья и прочие документы (см. ст. 24 КЗоТ в «Бухгалтере» № 7’2008 на с. 3т–4т). К прочим документам можно отнести, например, документ военного учета (приписное свидетельство, или военный билет, или справку, которая выдается вместо военного билета), представление которого предусмотрено ст. 2113 КоАП Украины, ч. 4 ст. 34 Закона «О воинской повинности и воинской службе». Все вышеперечисленные документы содержат персональные данные о физическом лице.
В то же время следует отметить, что работодатель обрабатывает, то есть собирает, использует, хранит такие данные, не по собственному желанию. Этого от него требует Закон. Как известно, одним из правомерных оснований для использования персональных данных является разрешение на обработку персональных данных, предоставленное владельцу БПД в соответствии с законом исключительно для осуществления его полномочий. Поэтому от работников получать согласие на обработку их персональных данных, собранных на основании КЗоТ, не нужно.
Такого мнения придерживаются Госслужба по вопросам защиты персональных данных, а также Минюст в своем разъяснении (http://www.minjust.gov.ua/0/38266).
Обработка работодателем других персональных данных работника (например, Ф. И. О. жены, детей, даты их рождения, местожительство), по нашему мнению, во многих случаях тоже может осуществляться без получения согласия работника. В этой ситуации работодатель должен ссылаться на нормы других актов законодательства, которые обязуют его к осуществлению такой обработки (например, нормы Семейного кодекса — при удержании и выплате алиментов). Однако в других случаях, когда обязанность относительно обработки данных не может быть легитимирована законом, работодатель должен получить согласие работника.
Теперь — относительно регистрации БПД по работникам. С учетом того что каждый работодатель обязан вести личные карточки работников (см. п. 1.6 Инструкции по статистике количества работников, утвержденной приказом Государственного комитета статистики Украины от 28.09.2005 г. № 286, в «Бухгалтере» № 7’2011 на с. 20т), такие карточки соответствуют определению базы данных, приведенному в Законе № 2297, и всем признакам базы данных, а именно: являются сведениями о физическом лице, с помощью которых такое физическое лицо может быть прямо или опосредствованно идентифицировано; собраны в именованную совокупность в некой последовательности, в определенной закономерности (по критериям), чтобы обеспечить легкий доступ к соответствующим персональным данным. Поэтому совокупность сведений по работникам является базой персональных данных, а следовательно, подлежит государственной регистрации — независимо от того, существовала ли потребность в получении согласия работника.
Также следует отметить, что в случае включения работодателем персональных данных работников в базу персональных данных работодатель обязан сообщить работнику в течение 10 дней о таком включении, а также о его правах как субъекта персональных данных, цели сбора данных и лицах, которым передаются его персональные данные, исключительно в письменной форме (ст. 12 Закона № 2297) — опять же независимо от того, существовала ли необходимость в получении согласия работника.
Кроме того, при буквальном толковании норм Закона № 2297 работодатель обязан получить согласие от работника на распространение его персональных данных, то есть передачу таких данных третьим лицам, в том числе органам налоговой инспекции, органам Пенсионного фонда, фондов социального страхования. Владелец БПД обязан сообщать субъекту персональных данных о такой передаче в течение 10 дней с момента передачи (ст. 21 Закона № 2297).
Конечно, для работодателей такое обязательство является тяжким бременем. Не исключаем, что в ближайшее время Минюст или Государственная служба по вопросам защиты персональных данных отреагируют на такие моменты и ситуация немного упростится. Тем более что Директива 95/46 «О защите физических лиц при обработке персональных данных и о свободном перемещении таких данных» требует сообщения только в случае, когда персональные данные работника впервые раскрываются третьей стороне. К тому же согласно Директиве с целью избежания ненужных административных формальностей государство может освободить владельцев от обязательства уведомлять субъектов данных или упростить процедуру уведомления в случаях, когда обработка персональных данных вряд ли может причинить ущерб правам и свободам субъектов данных, и при условии, что она проводится в общих рамках обработки, установленных национальным законодательством.
Иванна Погребняк, юрист ЮФ «ILF»,
Алла Погребняк
