Внутренние документы по использованию и защите ПД на предприятии
Многие субъекты хозяйствования ошибочно считают: все, что от них требуется, — зарегистрировать базу персональных данных. Однако предусмотренные законодательством меры распространяются далеко не только на те данные, которые составляют базу персональных данных. У субъекта хозяйствования может не быть базы персональных данных, но сведения о физлицах в своей деятельности он неизбежно использует, а значит — защищать их он обязан. Как это сделать, расскажем в данной статье.
Елена УВАРОВА, юрист Издательского дома «Фактор»
Состав документов по защите персональных данных
Какие внутренние документы должны быть на предприятии по защите ПД? Надо ли назначать ответственное лицо за ведение БПД*?
* С примерными формами документов, предложенными сотрудниками Госслужбы по защите персональных данных, можно ознакомиться по адресу http://zpd.gov.ua/dszpd/uk/publish/article/38799
Анализ текста Закона № 2297, разъяснений Государственной службы по вопросам защиты персональных данных и Минюста говорит о том, что для субъекта хозяйствования наиболее полным будет такой алгоритм действий:
1. Получить согласие физических лиц, персональными сведениями которых владеет субъект хозяйствования (как юридическое лицо, так и физлицо-предприниматель), на использование информации о них в своей деятельности.
В этой части необходимо сделать некоторые оговорки.
Во-первых, Закон № 2297 предусматривает в качестве отдельного основания для использования персональных данных разрешение на обработку персональных данных, предоставленное владельцу базы персональных данных согласно закону исключительно для осуществления своих полномочий. Поэтому, скажем, работодатель вполне может сослаться на данное положение Закона № 2297 для обоснования отсутствия необходимости получения согласия работников на использование их персональных данных, тем более что реализовывать требования трудового законодательства без таких данных в принципе невозможно.
Те работодатели, которые все же решили обратиться к работникам с просьбой предоставить соответствующее согласие, но получили отказ, по сути, сами загоняют себя в тупик: с одной стороны, такой отказ не может стать основанием для расторжения трудового договора, с другой — работодатель оказывается в безвыходной ситуации, поскольку все равно вынужден использовать персональные данные работника, уже получив от него отказ в предоставлении согласия на такое использование.
На наш взгляд, более разумно не столько испрашивать согласие работников на использование их персональных данных в необходимом для работы объеме, сколько ознакомить их с предоставляемыми им законодательными гарантиями в части защиты персональных данных.
Впрочем, те работодатели, которые все же захотят перестраховаться (с учетом того, что представители Госслужбы каждый раз по-разному отвечают на вопрос о необходимости получения такого согласия), могут использовать такую примерную форму подписываемого работниками заявления (см. приложение 4). Она же может послужить ориентиром при разработке формы согласия на использование персональных данных в других БПД (например, БПД «Клинеты»).
Во-вторых, тем субъектам хозяйствования, которые захотят зарегистрировать не только базу персональных данных в отношении своих сотрудников, но и, руководствуясь пожеланиями Госслужбы по защите персональных данных, базу данных «Клиенты» (либо «Контрагенты») либо любую иную базу данных, то от физлиц, сведения о которых будут включены в такую базу данных, необходимо также получить письменное согласие на использование и обработку их персональных данных (исключение Госслужба делает только для тех персональных данных, которые были получены до 01.01.2011 г.). Как мы указывали выше, согласие не обязательно должно предоставляться в форме отдельного заявления. Это может быть пункт в анкете либо в электронной регистрационной форме, в договоре и т. п. Например, Правила предоставления и получения телекоммуникационных услуг, утвержденные постановлением Кабмина от 11.04.2012 г. № 295, предусматривают, что оператор, провайдер в порядке, установленном законодательством, создает и использует базы данных, которые необходимы для предоставления услуг и содержат сведения, предоставленные абонентом во время заключения договора, и обеспечивает защиту и неразглашение информации с ограниченным доступом. Персональные данные абонентов могут обрабатываться с целью предоставления услуг, обеспечения выполнения обязательств по договору. Предназначенные для обнародования телефонные справочники, в том числе их электронные версии и базы данных информационно-справочных служб, могут содержать фамилию, имя, отчество, наименование, адрес и номер телефона абонента, если потребитель дал согласие на обнародование такой информации (пункты 43, 44 Правил).
2. Составить положение о защите персональных данных на предприятии (на физлиц-предпринимателей либо других самозанятых лиц это требование не распространяется).
В качестве ориентира можно взять Типовой порядок обработки персональных данных в базах персональных данных (http://www.zpd.gov.ua/indexDovidkaInfo.html). Разработанный нами пример Положения о защите персональных данных приведен в приложении 2.
3. Издать приказ, которым назначить ответственное лицо либо указать структурное подразделение, на которое возлагаются функции по организации работы, связанной с защитой персональных данных, обеспечением государственной регистрации баз используемых в работе субъекта хозяйствования персональных данных. Однако поскольку такие функции не были оговорены при заключении трудового договора с сотрудниками, занимающими на предприятии соответствующие должности, и по сути речь идет о дополнении их трудовых обязанностей, в этом случае должны действовать требования к порядку существенного изменения условий труда: либо сотрудник должен дать согласие на такое изменение в письменной форме, либо о предстоящих изменениях его необходимо уведомить в письменной форме за два месяца до начала их действия (пример приказа см. в приложении 3).
4. Зарегистрировать базы персональных данных, предварительно определившись в вопросе о том, какие именно базы данных используются субъектом хозяйствования.
Согласие на регистрацию БПД «Работники» у сотрудников получать необязательно
Надо ли уведомлять работников о регистрации БПД «Работники»? Следует ли просить их согласие на регистрацию? Что делать, если работник заявляет о своем несогласии на использование его персональных данных?
В силу актуальности вопроса остановимся на нем более подробно, хотя вскользь о своей позиции по данной проблеме мы уже говорили.
Как многие знают, Государственная служба по вопросам защиты персональных данных с самого начала настаивает на необходимости получения согласия от физлиц на использование их персональных данных. Единственное исключение — персональные данные, полученные до 01.01.2011 г. (дата вступления в силу Закона № 2297).
Данное требование Госслужба изначально распространяла и на работников тоже, не делая каких-либо оговорок (соответствующее разъяснение и сейчас размещено на сайте Госслужбы). Однако видимо, понимая всю неразумность ситуации, представители Госслужбы в своих интервью все чаще стали признавать, что необходимости получения согласия от работников на обработку и использование их персональных данных нет, если такое использование осуществляется исключительно в пределах, предусмотренных законодательными требованиями (например, такая позиция была высказана К. Мельником, заместителем начальника Управления юридического обеспечения Госслужбы по вопросам защиты персональных данных, к аналогичным выводам приходила Т. Степаненко, ведущий специалист управления юридического обеспечения Государственной службы Украины по вопросам защиты персональных данных). И в более поздней своей консультации Госслужба признала, что «персональные данные работника, которые содержатся в паспорте либо документе, удостоверяющем личность, в трудовой книжке, документе об образовании (специальности, квалификации), документе о состоянии здоровья и других документах, которые работник подал при заключении трудового договора, обрабатываются владельцем базы персональных данных на основании статьи 24 Кодекса законов о труде Украины исключительно для осуществления полномочий владельца базы персональных данных в сфере правоотношений, которые возникли у него с работником на основании трудового договора (контракта)» (см. http://zpd.gov.ua/dszpd/uk/publish/article/36511).
Подведем итог: необходимость в получении согласия работника на использование его персональных данных возникает лишь в том случае, если такие данные используются в объеме, превышающем тот минимум, который необходим для выполнения работодателем возложенных на него законодательством требований (ст. 11 Закона № 2297).
Прекращение отношений с физлицом не влечет необходимость уничтожить данные о нем
Физлицо уволилось по собственному желанию. Должно ли предприятие в силу требований Закона № 2297 уничтожить все данные о нем?
Вопрос возник, видимо, в связи со ст. 15 Закона № 2297. Она, в частности, предусматривает, что персональные данные в базах персональных данных подлежат уничтожению в случае:
1) окончания срока хранения данных, определенного согласием субъекта персональных данных на обработку этих данных либо законом;
2) прекращения правоотношений между субъектом персональных данных и владельцем либо распорядителем базы, если иное не предусмотрено законом;
3) вступлением в законную силу решением суда по изъятию данных о физическом лице из базы персональных данных.
Однако не следует забывать о требованиях к срокам и порядку хранения документов в архивных и налоговых целях (о чем см. подробно газету «Налоги и бухгалтерский учет», 2012, № 43). Данные требования являются более специальными при определении возможности уничтожения тех или иных документов и потому именно им необходимо отдать приоритет.
Каким числом датировать согласие физлица?
Каким числом необходимо датировать получение согласия физлиц на использование их персональных данных: до подачи заявления о регистрации БПД или после?
Поскольку Закон № 2297 называет согласие субъекта персональных данных на использование сведений о нем одним из условий правомерности такого использования, из этого следует, что получение согласия должно предшествовать самому началу использования таких данных. Следовательно, наиболее оптимальный вариант оформления отношений — получить подписанное физическим лицом заявление о его согласии на использование персональных данных одновременно с оформлением правовых отношений с ним (в частности, на момент заключения договора).
Как мы понимаем, наиболее проблемным в этом отношении является 2011 год. Вариант оформления подобного заявления задним числом мы рассматривать не будем, хотя, следует признать, он в такой ситуации выглядит наиболее безболезненным.
Предположим, что предприятие соберет соответствующие заявления у своих сотрудников только сейчас, в середине 2012 года. Чем это может грозить? На наш взгляд, ничем. Дело в том, что санкции за нарушение требований законодательства о защите персональных данных заработают только с 01.07.2012 г. (об этом также см. «Налоги и бухгалтерский учет», 2011, № 97, с. 26). Среди них штраф за неуведомление или несвоевременное уведомление субъекта персональных данных (в том числе работника) о его правах в связи с включением его персональных данных в базу персональных данных, цели сбора этих данных и лицах, которым эти данные передаются, который может быть наложен на должностных лиц предприятия либо на физлиц-предпринимателей в размере от 300 до 400 необлагаемых минимумов доходов граждан (т. е. от 5100 до 6800 грн.), на физлиц-работодателей, не имеющих статуса предпринимателя, — от 200 до 300 ннмдг (от 3400 до 5100 грн.). Поскольку начиная с 01.01.2011 г. и до 01.07.2012 г. использование базы персональных данных без соответствующего уведомления субъекта таких данных уже было нарушением требований, но за него не была предусмотрена ответственность, если субъект хозяйствования успеет устранить это нарушение до 01.07.2012 года, т. е. на момент вступления в силу норм, устанавливающих штрафы за такие нарушения, оснований для применения штрафов не будет.
Защита персональных данных: вносить ли изменения в устав?
Надо ли вносить изменения в устав в связи с регистрацией БПД, в частности для включения в него цели использования ПД?
Многих субъектов хозяйствования смутила норма, закрепленная в ч. 1 ст. 6 Закона № 2297. В соответствии с ней цель обработки персональных данных должна быть сформулирована в законах, других нормативно-правовых актах, положениях, учредительных и других документах, регулирующих деятельность владельца базы персональных данных, и должна соответствовать законодательству о защите персональных данных. В случае изменения определенной цели обработки персональных данных субъектом персональных данных должно быть дано согласие на обработку его данных в соответствии с измененной целью.
Однако приведенная норма Закона № 2297 совсем не предполагает обязательное внесение изменений в учредительные документы владельца базы персональных данных. Устанавливая подобное требование, законодатель лишь хотел указать на то, что цель обработки персональных данных должна так или иначе быть связанной с деятельностью владельца персональных данных. Если такая связь прослеживается, учредительные документы изменения не требуют.
Кроме того, субъекту хозяйствования в любом случае придется утвердить внутреннее положение о порядке обработки и защиты персональных данных, в котором в том числе будет указана цель их использования. Тем самым будет выполнено приведенное выше требование ч. 1 ст. 6 Закона № 2297.