А ТАК ЛИ СТРАШЕН ВОЛК, КАК ЕГО МАЛЮЮТ?
(или о проверках по вопросам защиты персональных данных)
Принятие 02.06.11 г. Закона № 3454, которым установлены безумные штрафы за нарушение законодательства о защите персональных данных, не на шутку напугало общество. Ведь никто толком не объяснил, как правильно применять Закон № 2297, а за наименьшее нарушение грозят штрафом в несколько тысяч гривень. Еще больше опасений возникло, когда Министерство юстиции Украины своим приказом от 22.06.12 г. № 947/5 утвердило Порядок осуществления Государственной службой Украины по вопросам защиты персональных данных государственного контроля за соблюдением законодательства о защите персональных данных. Почти год действует указанный Порядок и проходят проверки, но так ли страшен волк, как его малюют? О практике проведения проверок соблюдения законодательства о защите персональных данных и о типичных ошибках в применении Закона № 2297 читайте в нашей статье.
Юлия Шипилова, консультант
О том, как проходят проверки, какие типичные ошибки допускают владельцы баз персональных данных, к какой ответственности привлекаются виновные в нарушении законодательства о защите персональных данных, рассказывает ГСЗПД на своем сайте (см. http://zpd.gov.ua/dszpd/uk/publish/article/52224).
Так, в соответствии с ч. 1 ст. 22, ч. 2 ст. 23 Закона № 2297, а также в соответствии с пп. 12 — 18 п. 4 Положения № 390/2011 ГСЗПД осуществляет в рамках своих полномочий контроль за соблюдением законодательства о защите персональных данных.
Кто же именно в ГСЗПД осуществляет проверки? В соответствии с Положением об отделе контроля за соблюдением требований законодательства о защите персональных данных Государственной службы Украины по вопросам защиты персональных данных, утвержденным Председателем ГСЗПД 30.11.12 г., в ГСЗПД функция контроля возложена на отдел контроля за соблюдением требований законодательства о защите персональных данных (далее — отдел контроля). Отдел контроля в рамках своих полномочий осуществляет выездные и безвыездные проверки владельцев и (или) распорядителей баз персональных данных.
При осуществлении мероприятий государственного надзора и контроля ГСЗПД проверяла соблюдение требований законодательства о защите персональных данных, а именно: Закона № 2297, а также Типового порядка № 3659/5. По результатам проведенных проверок был выявлен ряд типичных нарушений законодательства о защите персональных данных, о которых мы далее и поговорим.
ОСНОВАНИЯ ДЛЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Наибольшее количество проблем у субъектов, осуществляющих обработку персональных данных, возникает с определением правовых оснований возникновения права на такую обработку. Напоминаем, что в соответствии с ч. 1 ст. 11 Закона № 2297 основаниями для обработки персональных данных являются:
| 1 | согласие субъекта персональных данных на обработку его персональных данных |
| 2 | разрешение на обработку персональных данных, предоставленное владельцу персональных данных в соответствии с законом исключительно для осуществления его полномочий |
| 3 | заключение и выполнение сделки, стороной которой является субъект персональных данных или которая заключена в пользу субъекта персональных данных либо для осуществления мероприятий, предшествующих заключению сделки по требованию субъекта персональных данных |
| 4 | защита жизненно важных интересов субъекта персональных данных |
| 5 | необходимость защиты законных интересов владельцев персональных данных, третьих лиц, кроме случаев, когда субъект персональных данных требует прекратить обработку его персональных данных и потребности защиты персональных данных превышают такой интерес |
Согласно ч. 5 ст. 6 Закона № 2297 обработка персональных данных осуществляется для конкретных и законных целей, определенных по согласию субъекта персональных данных или в случаях, предусмотренных законами Украины, в порядке, установленном законодательством.
Среди проверенных субъектов хозяйствования было выявлено, что ими нарушались требования законодательства в части обработки персональных данных без согласия субъекта персональных данных. Ведь прежде чем начинать обработку персональных данных, владелец базы персональных данных должен определить, на каком основании он может осуществлять такую обработку.
Вместе с тем в ходе проверок ГСЗПД было выявлено, что некоторые владельцы и/или распорядители персональных данных не понимают, на каком из правовых оснований, предусмотренных ст. 11 Закона № 2297, они используют персональные данные. Прежде чем получать у субъекта согласие на обработку персональных данных, владельцу и/или распорядителю персональных данных необходимо определить, нет ли других правовых оснований для обработки персональных данных, в частности разрешения на обработку персональных данных, предоставленного на основании норм действующего законодательства Украины. Например, обработка персональных данных работников предприятия (учреждения, организации) с целью обеспечения реализации трудовых отношений не требует согласия, однако если предприятием (учреждением, организацией) собираются персональные данные, не предусмотренные трудовым законодательством, необходимо получить согласие работников на обработку таких данных.
Например, в отношении персональных данных потребителей жилищно-коммунальных услуг. Поскольку в соответствии с Законом № 1875 предоставление жилищно-коммунальных услуг осуществляется исключительно на договорных началах, т. е. в любом случае между исполнителем/производителем жилищно-коммунальных услуг и потребителем должен быть заключен договор о предоставлении определенного вида жилищно-коммунальных услуг, следовательно, получать согласие субъекта персональных данных на их обработку не требуется, поскольку можно использовать такое основание для обработки персональных данных, как заключение и выполнение сделки, стороной которой является субъект персональных данных или которая заключена в пользу субъекта персональных данных либо для осуществления мероприятий, предшествующих заключению сделки по требованию субъекта персональных данных.
ИЗМЕНЕНИЕ СВЕДЕНИЙ, НЕОБХОДИМЫХ ДЛЯ РЕГИСТРАЦИИ БАЗЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
Частью 6 ст. 9 Закона № 2297 определено, что владелец персональных данных обязан уведомлять ГСЗПД о каждом изменении сведений, необходимых для регистрации соответствующей базы персональных данных. Причем сделать это он должен не позднее чем в течение 10 рабочих дней со дня наступления такого изменения. И здесь проблемы начинаются с непониманием того, что именно является изменением сведений, необходимых для регистрации соответствующей базы персональных данных.
Выяснить этот вопрос достаточно легко, стоит лишь обратиться к заявлениям о регистрации баз персональных данных, которые вы подавали в ГСЗПД для регистрации баз персональных данных. Вспомнили? Понятно, что это сведения о владельце или распорядителе баз персональных данных (его наименование или фамилия, имя, отчество, местонахождение и т. п.), информация о цели обработки персональных данных, о местонахождении базы персональных данных, об основаниях для обработки персональных данных, о составе персональных данных. И здесь нужно кое-что объяснить.
Во-первых, сведения о составе персональных данных — это не конкретные персональные данные конкретных физических лиц, а только сведения о категориях собираемой информации, например, информация о фамилии, имени, отчестве, информация о месте рождения, информация о семейном положении, информация об образовании, информация о месте проживания лица и т. п. То есть не нужно заваливать ГСЗПД письмами с требованием внести изменения о составе персональных данных каждый раз, когда у вас в базе персональных данных изменяется информация о том или ином лице, или появляется информация о лице, которой раньше не было в базе персональных данных. Бить тревогу следует тогда, когда вы решили, что, кроме сведений о фамилии, имени, отчестве, о месте рождения и месте проживания, вам также понадобилась информация об образовании. Именно о том, что отныне вы будете обрабатывать информацию об образовании физических лиц в конкретной базе данных, вам и следует уведомлять ГСЗПД.
Во-вторых, не стоит забывать уведомить ГСЗПД о том, что изменился ваш юридический адрес, или ваш офис переехал и отныне база персональных данных находится по другому адресу. Так, ГСЗПД были выявлены следующие нарушения: не была информирована ГСЗПД об изменении местонахождения базы персональных данных, а также об изменении сведений о распорядителях базы персональных данных.
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ ЛИЦАМИ, НЕ ИМЕЮЩИМИ НА ЭТО НЕОБХОДИМЫХ ПОЛНОМОЧИЙ
Часть 3 ст. 10 Закона № 2297 устанавливает, что использование персональных данных работниками субъектов отношений, связанных с персональными данными, должно осуществляться лишь теми лицами, к чьим профессиональным, служебным или трудовым обязанностям относится обработка персональных данных. На практике это значит, что на предприятии (в учреждении, организации) обработку персональных данных могут осуществлять только те лица, у которых должностной инструкцией или другими внутренними документами определена обязанность осуществления обработки персональных данных. Те лица, для которых никакими внутренними документами не предусмотрено осуществление обработки персональных данных, не должны иметь доступа к этим данным. Более того, лица, осуществляющие обработку персональных данных, должны написать обязательство о неразглашении персональных данных физических лиц, которые стали известны им в связи с исполнением ими своих служебных или должностных обязанностей. Что же делать? — спросите вы. Во-первых, довести до ума должностные инструкции и другие внутренние документы, которыми определяются обязанности работника по обработке персональных данных. Во-вторых, принять за правило регулярно пересматривать эти должностные инструкции или другие документы при изменении в организации труда, например, когда у вас изменяется штатная структура, или перераспределяются обязанности между разными категориями работников. Более того, обратите внимание, что работников, которые осуществляют обработку персональных данных, следует ознакомить под роспись с документом (например, должностной инструкцией), которым на него возлагается обязанность по обработке персональных данных. В этом случае руководитель предприятия, учреждения, организации снимает с себя ответственность за нарушения законодательства в сфере защиты персональных данных, которые случились по вине работника, и отвечать в этом случае придется самому работнику. Если же работник не ознакомлен с таким документом, ответственность за нарушение законодательства о защите персональных данных будет возложена на руководителя предприятия, учреждения, организации.
НЕПРАВИЛЬНОЕ ОФОРМЛЕНИЕ ОТНОШЕНИЙ МЕЖДУ ВЛАДЕЛЬЦАМИ И РАСПОРЯДИТЕЛЯМИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Не меньше выявлено нарушений ч. 4 и 5 ст. 4 Закона № 2297, касающихся обработки персональных данных распорядителями персональных данных. Напомним, что в соответствии с ч. 4 ст. 4 Закона № 2297 владелец персональных данных может поручить обработку персональных данных распорядителю персональных данных в соответствии с договором, заключенным в письменной форме. Согласно ч. 5 ст. 4 Закона № 2297 распорядитель персональных данных может обрабатывать персональные данные лишь с целью и в объеме, определенных в договоре.
Во многих случаях обработка персональных данных осуществляется распорядителями без заключения договора между владельцем и распорядителем персональных данных, что является безусловным нарушением Закона № 2297, ведь фактически в этом случае распорядитель вообще не имеет права на обработку персональных данных владельца персональных данных. Ведь такое право возникает с момента заключения письменного договора между владельцем и распорядителем персональных данных.
Другим выявленным нарушением было то, что распорядители персональных данных осуществляли обработку персональных данных в объеме, превышающем объем, предоставленный распорядителю владельцем персональных данных, или с целью, которая не соответствовала цели обработки персональных данных владельца персональных данных.
НЕУВЕДОМЛЕНИЕ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ ОБ ОБРАБОТКЕ ЕГО ДАННЫХ
Часть 2 ст. 12 Закона № 2297 определяет, что в момент сбора персональных данных или в течение 10 рабочих дней со дня сбора персональных данных субъект персональных данных должен быть уведомлен о:
— владельце персональных данных;
— составе собранных персональных данных;
— содержании собранных персональных данных;
— правах субъекта персональных данных, определенных Законом № 2297;
— цели сбора персональных данных;
— лицах, которым передаются его персональные данные.
Как показала практика проведенных проверок, имели место неуведомление или несвоевременное уведомление субъектов персональных данных об обработке их данных. У некоторых субъектов проверок такое уведомление не содержало необходимую информацию, указанную выше.
ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ ТРЕТЬИХ ЛИЦ
Часть 4 ст. 16 Закона № 2297 устанавливает, что при передаче персональных данных третьим лицам в запросах третьих лиц должны быть указаны:
| 1 | фамилия, имя и отчество, место жительства (место пребывания) и реквизиты документа, удостоверяющего физическое лицо, которое подает запрос (для физического лица — заявителя) |
| 2 | наименование, местонахождение юридического лица, которое подает запрос, должность, фамилия, имя и отчество лица, удостоверяющего запрос; подтверждение того, что содержание запроса отвечает полномочиям юридического лица (для юридического лица — заявителя) |
| 3 | фамилия, имя и отчество, а также другие сведения, которые дают возможность идентифицировать физическое лицо, в отношении которого делается запрос |
| 4 | сведения о базе персональных данных, по которой подается запрос, либо сведения о владельце или распорядителе персональных данных |
| 5 | перечень запрашиваемых персональных данных |
| 6 | цель и/или правовые основания для запроса |
Во время проверок было установлено, что некоторые владельцы и распорядители баз персональных данных осуществляли передачу персональных данных третьим лицам с нарушением ч. 4 ст. 16 Закона № 2297, а именно: без указания всей необходимой информации, которая должна содержаться в запросах на доступ к персональным данным третьих
лиц.
НАРУШЕНИЕ ТИПОВОГО ПОРЯДКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Кроме нарушений Закона № 2297 было выявлено и нарушение Типового порядка № 3659/5. Так, у большинства субъектов проверок были выявлены нарушения требований п. 1.8 Типового порядка, а именно:
| 1 | указанная в свидетельстве о государственной регистрации базы персональных данных (или в заявлении о регистрации базы персональных данных, если такое заявление подано, а свидетельство еще не получено) и/или во внутренних документах цель обработки персональных данных отличается от цели, с какой владелец (распорядитель) базы персональных данных осуществляет обработку персональных данных |
| 2 | состав персональных данных в базе персональных данных значительно отличается от состава персональных данных в базе персональных данных, указанного в свидетельстве о государственной регистрации базы персональных данных (заявлении о регистрации базы персональных данных) и/или во внутренних документах владельца (распорядителя) |
| 3 | во внутренних документах, устанавливающих порядок обработки персональных данных, не определен или только частично определен порядок внесения, изменения, восстановления, использования, распространения, обезличения, уничтожения персональных данных в базах персональных данных |
| 4 | владельцами (распорядителями) персональных данных (юридическими лицами) не определены лица или структурное подразделение, ответственные за обработку и защиту персональных данных |
| 5 | во внутренних документах, устанавливающих порядок обработки персональных данных, не определен или определен частично порядок защиты персональных данных, в том числе от незаконной обработки и незаконного доступа к ним |
| 6 | внутренними документами владельцев (распорядителей) персональных данных не определены или частично определены задачи, предусмотренные п. 1.9 Типового порядка № 3659/5, а именно: обеспечение ознакомления работников с требованиями законодательства о защите персональных данных; обеспечение организации обработки персональных данных в соответствии с их профессиональными, служебными или трудовыми обязанностями; организация работы по обработке запросов относительно доступа к персональным данным субъектов отношений, связанных с обработкой персональных данных; обеспечение доступа субъектов персональных данных к собственным персональным данным; информирование руководителя о мерах, которые необходимо принять для приведения состава персональных данных и процедур их обработки в соответствие с законом; информирование руководителя о нарушении установленных процедур по обработке персональных данных |
| 7 | не определена процедура регистрации результатов идентификации и/или аутентификации работников, действий по обработке персональных данных, результатов проверки целостности средств защиты персональных данных |
| 8 | не обеспечена надлежащая защита помещений, в которых находятся персональные данные, как в электронной форме, так и в форме картотек, например, двери в помещениях и/или шкафах, сейфах не были оборудованы замками |
Как показала практика проведенных проверок, внутренние документы субъектов проверок, определяющие порядок обработки персональных данных, часто просто дублируют Типовой порядок обработки, не учитывая специфику деятельности субъекта проверки, и не в полном объеме раскрывают порядок обработки и защиты персональных данных. Такие документы требуют пересмотра и приведения в соответствие с законодательством о защите персональных данных.
ПРАКТИКА ПРИВЛЕЧЕНИЯ К АДМИНИСТРАТИВНОЙ ОТВЕТСТВЕННОСТИ
За 6 месяцев осуществления контрольных мероприятий по результатам проведенных проверок было составлено 30 предписаний об устранении нарушения требований законодательства в сфере защиты персональных данных, выявленных в ходе проверки. Субъектами проверки требования предписаний выполнены в полном объеме.
Также по результатам проведенных проверок в 2013 году были составлены два протокола об административных правонарушениях, предусмотренных частями 1 (неуведомление или несвоевременное уведомление субъекта персональных данных о его правах в связи с включением его персональных данных в базу персональных данных, цели сбора этих данных и лицах, которым эти данные передаются) и 2 (неуведомление или несвоевременное уведомление специально уполномоченного центрального органа исполнительной власти по вопросам защиты персональных данных об изменении сведений, которые подаются для государственной регистрации базы персональных данных) ст. 18839 Кодекса Украины об административных правонарушениях от 07.12.84 г. № 8073-Х, а материалы дел переданы в суд.
Недолго музыка играла...
Прошло немного больше трех лет с момента принятия Закона № 2297, а его уже в который раз кардинально изменяют. Но последний законопроект № 2836, принятый ВРУ 14.05.13 г., не просто изменяет Закон № 2297, а фактически уничтожает всю систему защиты персональных данных, которую пытались создать в течение трех последних лет. Что же такого особенного предусматривается этим законопроектом?
Во-первых, ликвидация ДСЗПД и передача ее функций Уполномоченному ВРУ по правам человека (далее — Омбудсмен). Здесь отметим, что законопроектом № 2836 на Омбудсмена возлагаются не свойственные ему полномочия в сфере исполнительной власти, чем фактически создаются предпосылки для его включения в систему соответствующих центральных органов исполнительной власти, ответственных за формирование и реализацию государственной политики в сфере персональных данных, что не согласовывается с природой института Омбудсменов, главное функциональное назначение которого заключается в осуществлении контроля за деятельностью именно органов исполнительной власти, что, естественно, делает невозможным возложение на него функций органов исполнительной власти, в частности, контрольной.
Ввиду того что функция контроля за соблюдением законодательства о защите персональных данных все равно будет только небольшим дополнением к основным функциям Омбудсмена, направлять свою деятельность на выполнение этой функции Омбудсмен вряд ли будет, скорее всего с проверками будут приходить только в случае, когда к Омбудсмену поступит жалоба на конкретного владельца или распорядителя персональных данных. С другой стороны, в начале этого года Омбудсменом было утверждено Положение о региональных представительствах Уполномоченного ВРУ по правам человека и на его основании уже действуют региональные представительства в АРК, во Львовской и Днепропетровской областях. Возможно, Омбудсмен расширит сеть своих региональных представительств, жизнь покажет.
Во-вторых, отмена необходимости регистрации баз персональных данных и уничтожение действующего Государственного реестра баз персональных данных. В то же время владелец персональных данных должен уведомлять Омбудсмена об обработке персональных данных, которая составляет особый риск для прав и свобод субъектов персональных данных, в течение 30 рабочих дней со дня начала такой обработки. То есть отныне не будет привязки к так называемым уязвимым или неуязвимым категориям персональных данных, а будет привязка к видам обработки персональных данных. Виды обработки персональных данных, которая составляет особенный риск для прав и свобод субъектов персональных данных, и категории субъектов, на которых распространяется требование по уведомлению, определит Омбудсмен. Скорее всего, документ, которым будут определяться виды обработки персональных данных, составляющей особый риск для прав и свобод субъектов персональных данных, и категории субъектов, на которых будет распространяться требование по уведомлению, будет утвержден в начале января 2014 года, как только функции по защите персональных данных перейдут от ДСЗПД
к Омбудсмену.
Кроме этого, Омбудсмен должен определить форму уведомления об обработке персональных данных и порядок подачи уведомления об обработке персональных данных.
Сообщать Омбудсмену нужно будет о каждом изменении сведений, которые будут подлежать уведомлению, в течение 10 рабочих дней со дня наступления такого изменения.
Сообщаемая информация будет размещаться на официальном веб-сайте Омбудсмена в определенном им порядке.
В-третьих, изменена ответственность за нарушение требований Закона № 2297. В частности, отсутствует ответственность за неуведомление или несвоевременное уведомление субъекта персональных данных о его правах в связи с включением его персональных данных в базу персональных данных, цели сбора этих данных и лиц, которым эти данные передаются. Конечно, что поскольку вообще теряется понятие «база персональных данных», то и уведомление субъекта персональных данных о включении его данных в базу персональных данных теряет свой смысл.
Самым тяжелым правонарушением в сфере защиты персональных данных по-прежнему останется несоблюдение установленного законодательством о защите персональных данных порядка защиты персональных данных, что привело к незаконному доступу к ним и/или нарушению прав субъекта персональных данных. И здесь следует отметить, что законопроектом № 2836 предусматривается, что Омбудсменом будет утвержден новый типовой порядок обработки персональных данных, будет ли он существенно отличаться от действующего сейчас порядка, покажет время. Но свои внутренние документы по обработке персональных данных придется переделывать, это факт.
Привлекать к административной ответственности и налагать административное взыскание смогут работники секретариата Омбудсмена в порядке, определенном Омбудсменом.
Законопроектом № 2836 предусмотрено еще много других новшеств в сфере защиты персональных данных, однако по сравнению с тем, какие мы только что рассмотрели, они являются менее существенными и кардинально не изменяют порядок обработки персональных данных.
Сейчас законопроект находится на подписи у Президента Украины, но ввиду количества народных депутатов, проголосовавших за его принятие (348 человек), сомнений в том, что глава государства его таки подпишет, не имеют. В случае подписания законопроекта Президентом Украины он вступит в силу с 01.01.14 г. Так что действующая теперь редакция Закона № 2297 будет действовать еще почти полгода, а поэтому не спешите что-то изменять в своей деятельности, ведь до 01.01.14 г. ГСЗПД продолжает выполнять свои функции (в том числе и контрольные), в частности:
— регистрирует базы персональных данных;
— осуществляет полномочия по контролю за соблюдением требований законодательства о защите персональных данных путем проведения выездных и безвыездных проверок владельцев (распорядителей) персональных данных;
— рассматривает обращение и жалобы физических и юридических лиц.
Да и следует помнить, что до вступления законопроекта в силу его еще могут изменить или и вообще отменить.
ИСПОЛЬЗОВАННЫЕ НОРМАТИВНЫЕ ДОКУМЕНТЫ И СОКРАЩЕНИЯ
Закон № 3454 — Закон Украины «О внесении изменений в некоторые законодательные акты Украины по усилению ответственности за нарушение законодательства о защите персональных данных» от 02.06.2011 г. № 3454-VI.
Закон № 2297 — Закон Украины «О защите персональных данных» от 01.06.2010 г. № 2297-VI.
Закон № 1875 — Закон Украины «О жилищно-коммунальных услугах» от 24.06.2004 г. № 1875-IV.
Положение № 390/2011 — Положение о Государственной службе Украины по вопросам защиты персональных данных, утвержденное Указом Президента Украины от 06.04.2011 г. № 390/2011.
Типовой порядок № 3659/5 — Типовой порядок обработки персональных данных в базах персональных данных, утвержденный приказом Минюста от 30.12.2011 г. № 3659/5.
ГСЗПД — Государственная служба Украины по вопросам защиты персональных данных.
ВРУ — Верховная Рада Украины.
