Школа правовых знаний. Персональные данные: алгоритм действий

Печать

Персональные данные: алгоритм действий

Приближается дата, с которой связано не только праздничное настроение, но и многие бухгалтерские хлопоты. И одна из проблем, занимающая в эти уже предновогодние дни мысли бухгалтеров, — как выполнить требования, касающиеся регистрации баз персональных данных. Мы ввиду актуальности этого вопроса решили снова к нему вернуться (см. также «Налоги и бухгалтерский учет», 2011, № 90, с. 45).

Елена УВАРОВА, юрист Издательского дома «Фактор»

Есть ли у вас базы персональных данных?

Это вопрос, с которого необходимо начать. Дело в том, что информационная кампания, развернутая Государственной службой по защите персональных данных в последние недели и направленная на ознакомление субъектов хозяйствования с законодательными требованиями в части защиты персональных данных, привела к всеобщей «персонализации» страны. Все массово бросились в буквальном смысле изыскивать у себя персональные данные и думать над тем, какую еще базу и под каким названием зарегистрировать. Размер штрафов за нерегистрацию, как говорят, стимулирует.

Но тут, на наш взгляд, необходимо провести разграничение между персональными данными, которые, так или иначе, неизбежно используются в деятельности любого субъекта хозяйствования (информация о работниках, о должностных лицах контрагентов, подписывающих договоры, о физлицах-клиентах и т. д.), и базой персональных данных, т. е. об именованной совокупности упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных. Много ли на предприятиях картотек со специально упорядоченными сведениями о физических лицах?

Впрочем, нельзя не учитывать подхода Государственной службы по защите персональных данных к этому вопросу. По ее мнению, «каждое предприятие (организация) является владельцем как минимум двух баз персональных данных, а именно базы персональных данных работников, которая ведется с целью обеспечения требований трудового законодательства, реализации налоговых отношений и отношений в сфере бухгалтерского учета и аудита, и базы персональных данных клиентов либо других лиц, персональные данные которых обрабатываются в целях хозяйственной деятельности». В то же время «разные типы отчетов и форм, содержащие в себе определенную совокупность сведений о физлицах, отобранных из баз персональных данных владельца и периодически передаваемых в органы госвласти, — не рассматриваются как отдельные базы персональных данных». К перечню из базы персональных данных «Работники» и базы «Клиенты» наиболее усердные налогоплательщики добавляют также такие базы данных, как «Учредители» и «Контрагенты».

Мы бы все же исходили из того, что Закон Украины «О защите персональных данных» от 01.06.2010 г. № 2297-VI (далее — Закон о защите персональных данных*) не распространяется на любую информацию, которая оказывается у субъекта хозяйствования в ходе его деятельности и с помощью которой можно идентифицировать физлицо. Получение таких сведений, как фамилия, имя, отчество и паспортные данные, занимаемая должность (вид деятельности), чаще всего продиктовано специальными требованиями законодательства. Кроме своего непосредственного предназначения (идентификации лица, с которым субъект хозяйствования вступает в правоотношения), данная информация никак не используется, не упорядочивается и не систематизируется, а потому под определение базы персональных данных подпадать не должна.

* Текст Закона о защите персональных данных и связанных с ним документов см. на сайте газеты «Налоги и бухгалтерский учет» (www.nibu.factor.ua, раздел «Справочная», «Нормативная база», «Персональные данные»).

А вот в отношении кадровой документации есть смысл пожеланиям Госслужбы не противиться и соответствующую базу данных зарегистрировать. В отношении других сведений, имеющихся у субъекта хозяйствования, следует оценить их на предмет соответствия критериям базы персональных данных.

Обратим внимание: к персональным данным относятся только сведения о физических лицах (в том числе о физлицах-предпринимателях). Поэтому если субъект хозяйствования систематизирует, скажем, сведения о контрагентах — юридических лицах, то подобная картотека базой персональных данных считаться не будет. Не распространяется Закон о защите персональных данных и на те сведения, которые физлицо собирает в своих личных непрофессиональных целях (телефонный справочник, анкеты знакомых и прочее).

Защита персональных данных: требования к субъекту хозяйствования

Какие законодательные требования предъявляются законодательством к субъектам хозяйствования?

Анализ текста Закона о защите персональных данных и разъяснений Государственной службы говорит о том, что наиболее полным будет такой алгоритм действий:

1. Получить согласие физических лиц, персональными сведениями которых владеет субъект хозяйствования (как юридическое лицо, так и физлицо-предприниматель), на использование информации о них в своей деятельности.

В этой части необходимо сделать некоторые оговорки.

Во-первых, Закон о защите персональных данных предусматривает в качестве отдельного основания для использования персональных данных разрешение на обработку персональных данных, предоставленное владельцу базы персональных данных согласно закону исключительно для осуществления своих полномочий. Поэтому, скажем, работодатель вполне мог бы сослаться на данное положение Закона для обоснования отсутствия необходимости получения согласия работников на использование их персональных данных, тем более что реализовывать требования трудового законодательства без таких данных в принципе невозможно. И если, например, работник ответит работодателю отказом, то, по сути, такой отказ должен становиться отдельным основанием для расторжения трудового договора, поскольку работодатель попросту оказывается в безвыходной ситуации. На наш взгляд, более разумно не столько испрашивать согласие работников на использование их персональных данных в необходимом для работы объеме, сколько ознакомить их с предоставляемыми им законодательными гарантиями в части защиты персональных данных. С учетом сказанного предлагаем использовать такую примерную форму подписываемого работниками заявления:

ЗГОДА
на збір та обробку персональних даних

Я, ___________________________________________________________________________________________ ,

(П. I. Б.)

(народився «______» ____________ 19____ року, паспорт серії _____ №__________________) підтверджую, що ознайомлений з вимогами Закону України «Про захист персональних даних» від 01.06.2010 р. № 2297-VI та інших нормативних актів про захист персональних даних і надаю згоду
_____________________________________________________________________________________________)

(повна назва суб’єкта господарювання)

на обробку відомостей про мене у картотеках та/або за допомогою інформаційно-телекомунікаційної системи бази персональних даних працівників суб’єкта господарювання з метою ведення кадрової документації, підготовки відповідно до вимог законодавства податкової та статистичної звітності, іншої інформації, а також внутрішніх документів підприємства з питань реалізації визначених законодавством і колективним договором прав та обов’язків у сфері трудових правовідносин і соціального захисту.

Зобов’язуюсь при зміні моїх персональних даних надавати у термін до 10 робочих днів відповідальній особі уточнену інформацію щодо відомостей про мене, необхідних для реалізації вимог чинного законодавства.

«____» ____________ 20___ року ____________ (____________________)

Я, ________________________посвідчую, що отримав повідомлення про включення інформації про мене до бази персональних даних з метою ведення кадрової документації, підготовки відповідно до вимог законодавства податкової та статистичної звітності, іншої інформації, а також внутрішніх документів підприємства з питань реалізації визначених законодавством і колективним договором прав та обов’язків у сфері трудових правовідносин і соціального захисту, а також відомості про мої права, визначені Законом України «Про захист персональних даних», і про осіб, яким мої дані надаються, для виконання зазначеної мети.

«___» _________ 20___ року.

__________________________
(підпис)

Повідомляємо, що надані Вами відомості включені до бази персональних даних (назва суб’єкта господарювання) з метою ведення кадрової документації, підготовки відповідно до вимог законодавства податкової та статистичної звітності, іншої інформації з питань персоналу, а також внутрішніх документів підприємства з питань реалізації визначених законодавством і колективним договором прав та обов’язків у сфері трудових правовідносин і соціального захисту. Відповідно до ст. 8 Закону України «Про захист персональних даних» суб’єкт персональних даних має право:

1) знати про місцезнаходження бази даних, яка містить його персональні дані, її призначення та найменування, місцезнаходження її володільця чи розпорядника;

2) отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані, що містяться у базі персональних даних;

3) на доступ до своїх персональних даних, що містяться у відповідній базі персональних даних;

4) отримувати не пізніш як за 30 календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи зберігаються його персональні дані у відповідній базі персональних даних, а також отримувати зміст його персональних даних, що зберігаються;

5) пред’являти вмотивовану вимогу із запереченням проти обробки своїх персональних даних органами державної влади, органами місцевого самоврядування при здійсненні їхніх повноважень, передбачених законом;

6) пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником цієї бази, якщо ці дані обробляються незаконно чи є недостовірними;

7) на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;

8) звертатися з питань захисту своїх прав щодо персональних даних до органів державної влади, органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних;

9) застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних.

Во-вторых, тем субъектам хозяйствования, которые захотят зарегистрировать не только базу персональных данных в отношении своих сотрудников, но и, руководствуясь пожеланиями Госслужбы по защите персональных данных, базу данных «Клиенты» (либо «Контрагенты») либо любую иную базу данных, от физлиц, сведения о которых будут включены в такую базу данных, необходимо также получить письменное согласие на использование и обработку их персональных данных. За основу можно взять приведенный выше образец, изменив в нем цель использования персональных данных (например, ограничиться лаконичным: «з метою ведення господарської діяльності, виконання вимог чинного законодавства»).

2. Составить положение о защите персональных данных на предприятии (на физлиц-предпринимателей либо других самозанятых лиц это требование не распространяется).

Текст такого положения преимущественно может состоять из цитат Закона о защите персональных данных, отдельные положения можно позаимствовать из разъяснений Госслужбы по защите персональных данных. В качестве ориентира следует взять проект Типового порядка обработки персональных данных в базах персональных данных (http://www.zpd.gov.ua/indexDovidkaInfo.html). К примеру, в него можно включить такие разделы:

I. Общие положения.

II. Персональные данные, принципы и цели их обработки. Перечень баз персональных данных, владельцем которых является субъект хозяйствования.

III. Организация обработки персональных данных. Цель использования.

IV. Порядок использования персональных данных: получение согласия от субъекта персональных данных, информирование его о правах, гарантированных законодательством по защите персональных данных.

V. Порядок доступа к персональным данным (указать, в частности, структурное подразделение либо ответственное лицо, которое организовывает работу, связанную с защитой персональных данных при их обработке).

VI. Права субъекта персональных данных.

VII. Государственная регистрация базы персональных данных.

3. Издать приказ, которым утвердить положение о защите персональных данных, назначить ответственное лицо либо указать структурное подразделение, на которое возлагаются функции по организации работы, связанной с защитой персональных данных, обеспечением государственной регистрации баз персональных данных, используемых в работе субъекта хозяйствования. Однако, поскольку такие функции не были оговорены при заключении трудового договора с сотрудниками, занимающими на предприятии соответствующие должности, и по сути речь идет о дополнении их трудовых обязанностей, в этом случае должны действовать требования к порядку существенного изменения условий труда: либо сотрудник должен дать согласие на такое изменение в письменной форме, либо о предстоящих изменениях его необходимо уведомить в письменной форме за два месяца до начала их действия.

4. Зарегистрировать базы персональных данных, предварительно определившись в вопросе о том, какие именно базы данных используются субъектом хозяйствования. Как мы установили, как минимум, базу данных «Работники» зарегистрировать придется (исключение составят те субъекты хозяйствования, прежде всего, физические лица — предприниматели, у которых наемных работников нет). Остановимся подробнее на порядке регистрации.

Порядок регистрации базы персональных данных

Заявление о регистрации базы персональных данных можно подать либо в бумажной, либо в электронной форме. Причем сразу скажем, что сами персональные данные в заявление не включаются. Может возникнуть вопрос, с какой целью тогда вообще введено требование о регистрации, если из заявления ничего, кроме самого наличия определенных персональных данных у субъекта хозяйствования, Госслужба не узнает. Сама Госслужба фактически указывает на то, что необходимость регистрации базы персональных данных заставляет субъектов хозяйствования задуматься о гарантиях защиты таких данных от неправомерного использования и формирует ответственное отношение к законодательству о защите персональных данных.

Требования к составлению заявления ограничиваются необходимостью указания названия базы персональных данных, цели их обработки и местонахождения базы (более подробно см. «Налоги и бухгалтерский учет», 2011, № 90, с. 45; Инструкцию по созданию и предоставлению заявления в электронном виде см. далее). Причем и название, и цель обработки указываются по усмотрению субъекта хозяйствования.

Инструкция по созданию и подаче заявления в электронном виде

1. Создание заявления

o Выберите пункт меню сайта «Создать заявление» и подпункт меню с соответствующим названием заявления («О регистрации БПД» или «О предоставлении извлечения из реестра»), которое необходимо создать.

o Заполните сведениями все поля формы заявления.

Внесите контрольные символы из изображения, которое находится ниже всех полей формы заявления, и нажмите кнопку «Сформировать заявление».

o Если указанные в форме заявления сведения являются корректными, и контрольные символы из изображения указаны верно, откроется страница «Сохранение файла заявления» с сообщением об успешном формировании файла заявления.

o На странице «Сохранение файла заявления» нажмите элемент «Сохранить файл заявления» (файл заявления открывать не нужно!) и сохраните файл заявления на локальном диске компьютера.

2. Подпись файла заявления электронной цифровой подписью

o Подпишите сохраненный на локальном диске компьютера файл заявления электронной цифровой подписью и сохраните подписанный файл заявления на локальном диске компьютера.

3. Подача заявления Регистратору

o Выберите пункт меню сайта «Подать заявление», и на открывшейся странице нажмите на элемент «Подать заявление в электронном виде».

o Откроется новая страница, к 3 полям которой с помощью кнопок «Обзор» необходимо выбрать на локальном диске и загрузить следующие файлы:

o файл заявления (максимальный размер файла — 512 кБ, тип файла «ДокументXML»);

o подписан ЭЦП файл заявления (максимальный размер файла — 512 кБ, тип файла «Подписанный файл»);

o файл публичного сертификата (максимальный размер файла — 100кБ, тип файла «Сертификат безопасности»).

o Внесите контрольные символы из изображения, которое находится ниже полей выбора файлов, и нажмите кнопку «Подать заявление».

o Если указанные на странице файлы являются корректными и контрольные символы из изображения указаны верно, заявление в электронном виде будет передано Регистратору и зарегистрировано в базе данных заявлений.

o После регистрации заявления отображается сообщение об успешной подаче заявления в электронном виде, в котором указан регистрационный номер заявления. На адрес электронной почты заявителя, указанный в заявлении, поступает сообщение об успешной подаче заявления, содержащее регистрационный номер заявления. Зарегистрированное заявление отображается на главной странице сайта в результатах поиска зарегистрированных заявлений.

Наибольшие сложности у субъектов хозяйствования возникают при заполнении поля «Цель обработки персональных данных», поэтому приведем рекомендуемые Госслужбой формулировки: обеспечение реализации трудовых отношений, административно-правовых, налоговых отношений и отношений в сфере бухгалтерского учета и аудита, отношений в сфере управления человеческими ресурсами, отношений в сфере экономических, финансовых услуг, отношений в сфере рекламы, отношений в сфере телекоммуникационных услуг, отношений в сфере общественной, политической и религиозной деятельности, отношений в сфере культуры, досуга, спортивной и социальной деятельности, отношений в сфере образования, отношений в сфере охраны здоровья, отношений в сфере безопасности, отношений в сфере транспорта, отношений в сфере науки, исторических исследований и статистики и т. п.

Контроль и ответственность

Проблема в том, что Закон Украины «Об основных принципах государственного надзора (контроля) в сфере хозяйственной деятельности» от 05.04.2007 г. № 877-V на осуществление мер по контролю в сфере защиты персональных данных вряд ли можно распространить, поскольку данная сфера отношений не является видом хозяйственной деятельности.

На сегодня законодательное регулирование порядка проведения проверок в сфере защиты персональных данных ограничивается одной статьей Закона о защите персональных данных (согласно ст. 22 контроль за соблюдением законодательства о защите персональных данных в пределах полномочий, предусмотренных законом, осуществляет уполномоченный государственный орган по вопросам защиты персональных данных) и несколькими предписаниями в Положении о Государственной службе Украины по вопросам защиты персональных данных, утвержденном Указом Президента Украины от 06.04.2011 г. № 390/2011. Так, в частности, Положением предусмотрено, что Госслужба осуществляет госнадзор и контроль за соблюдением законодательства о защите персональных данных, разрабатывает и утверждает планы проверок владельцев баз персональных данных, проводит в пределах своих полномочий выездные и невыездные проверки, выдает обязательные для выполнения предписания по устранению нарушений законодательства о защите персональных данных, составляет админпротоколы о выявленных нарушениях законодательства.

Следует обратить внимание на то, что и Закон, и Положение указывают на необходимость установления надзорных полномочий на уровне закона. Пока порядка проведения проверок нет не только в законе, но и в подзаконных нормативных актах. Впрочем, это не помешало Госслужбе утвердить план проведения проверок на IV квартал 2011 года. Правда, в него вошло только 9 субъектов хозяйствования, что, видимо, объясняется отсутствием на данный момент территориальных органов Госслужбы. В целом, следует сказать, что на сегодня правомерность проведения проверок Государственной службой по защите персональных данных в условиях отсутствия порядка их осуществления вызывает вопросы.

Что касается ответственности, то самому предприятию ничего не грозит. А вот его должностным лицам есть чего опасаться. Размеры штрафов более чем внушительные. За неуведомление или несвоевременное уведомление субъекта персональных данных (в том числе работника) о его правах в связи с включением его персональных данных в базу персональных данных, цели сбора этих данных и лицах, которым эти данные передаются, может быть наложен штраф на должностных лиц, физлиц-предпринимателей — от 300 до 400 не облагаемых минимумов доходов граждан (т. е. от 5100 до 6800 грн.), на физлиц-работодателей, не имеющих статуса предпринимателя, — от 200 до 300 ннмдг (от 3400 до 5100 грн.). За неуведомление или несвоевременное уведомление Госслужбы об изменении сведений, которые подаются для государственной регистрации базы персональных данных на должностных лиц предприятия либо на физлицо-предпринимателя может быть наложен штраф от 200 до 400 ннмдг (от 3400 до 6800 грн.), на физлиц-работодателей, не имеющих статуса предпринимателя, — от 100 до 200 ннмдг (от 1700 до 3400 грн.). За уклонение от государственной регистрации базы персональных данных предусмотрен штраф на граждан, не имеющих статуса предпринимателя, от 300 до 500 ннмдг (от 5100 до 8500 грн.), на должностных лиц, физлиц-предпринимателей — от 500 до 1000 ннмдг (от 8500 до 17000 грн.).

На составление админпротоколов уполномочены должностные лица Государственной службы по защите персональных данных. Рассматривают дела и налагают штрафы суды.

Уголовная ответственность будет наступать за незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о работнике или незаконное изменение такой информации в виде штрафа от 500 до 1000 ннмдг (от 8500 до 17000 грн.) либо исправительных работ на срок до двух лет, либо в виде ареста на срок до шести месяцев, либо ограничения свободы на срок до трех лет.

Напомним, нормы об ответственности заработают с 1 января 2012 года, а потому нужно поспешить зарегистрировать те базы персональных данных, которые использует предприятие в своей деятельности.