База персональных данных — на страже интересов граждан

КЗоТ — Кодекс законов о труде Украины от 10.12.71 г.

КУоАП — Кодекс Украины об административных правонарушениях от 07.12.84 г. № 8073-Х.

УКУ — Уголовный кодекс Украины от 05.04.2001 г. № 2341-III.

Указ № 1085 — Указ Президента Украины «Об оптимизации системы центральных органов исполнительной власти» от 09.12.2010 г. № 1085/2010.

Указ № 390 — Указ Президента Украины «О Положении о Государственной службе Украины по вопросам защиты персональных данных» от 06.04.2011 г. № 390/2011.

Закон № 2297 — Закон Украины «О защите персональных данных» от 01.06.2010 г. № 2297-VI.

Закон № 3454 — Закон Украины «О внесении изменений в некоторые законодательные акты Украины об усилении ответственности за нарушение законодательства о защите персональных данных» от 02.06.2011 г. № 3454-VI.

Положение № 616 — Положение о Государственном реестре баз персональных данных и порядке его ведения, утвержденное постановлением Кабинета Министров Украины от 25.05.2011 г. № 616.

Приказ № 1824 — приказ Министерства юстиции Украины «Об утверждении форм заявлений о регистрации базы персональных данных и о внесении изменений в сведения Государственного реестра баз персональных данных и порядка их предоставления» от 08.07.2011 г. № 1824/5.

Приказ № 1823 — приказ Министерства юстиции Украины «Об утверждении образца свидетельства о государственной регистрации базы персональных данных» от 08.07.2011 г. № 1823/5.

При приеме на работу работодатель вправе требовать от работника определенные документы, необходимые для его кадрового оформления. Как указано в ст. 24 КЗоТ, при заключении трудового договора лицо обязано подать паспорт или другой документ, удостоверяющий личность, трудовую книжку, а в случаях, предусмотренных законодательством, также документы об образовании (специальности, квалификации), о состоянии здоровья и др.

Среди других документов, приобщаемых к личному делу работника, в частности, можно указать автобиографии, рекомендации и характеристики с предыдущих мест работы. Кроме того, довольно часто при приеме работника на предприятие, в организацию (учреждение) работодатель предлагает заполнить анкету, в которой могут содержаться данные, касающиеся лично работника и имеющие закрытый, частный характер. Такие сведения, как правило, причисляют к частной информации о работнике.

До недавнего времени такая информация накапливалась в отделе кадров того или иного предприятия, организации и учреждения и не содержала запрета в отношении ее распространения, кроме этических соображений самих работодателей. Однако в прошлом году был принят Закон № 2297, со вступлением в силу которого с 1 января 2011 года защита информации о персональных данных работников стала обязательной со стороны работодателя.

Таким образом, как указано в ст. 2 Закона № 2297, персональные данные — это сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано. Следовательно, отныне данные о работнике (например, статус одинокой матери, политическая принадлежность, опыт работы и т. п.) становятся защищенной информацией, которая не распространяется без согласия на это работника.

На данное время разработан проект Типового порядка обработки персональных данных в базах персональных данных, которым конкретизированы персональные данные. К ним, в частности, относятся:

— объективные сведения о физическом лице (биоматематические данные, состояние банковского счета и т. п.);

— субъективные сведения о физическом лице (автобиография, характеристика, материалы аттестации, описание личных качеств физического лица, досье и т. п.);

— сведения, содержащиеся в первичных и других источниках о физическом лице и т. п.

Кстати, как указано в ст. 5 Закона № 2297, персональные данные физического лица, претендующего занять или занимающего выборную должность (в представительских органах) или должность государственного служащего первой категории, не относятся к информации с ограниченным доступом, за исключением информации, определенной такой в соответствии с законом.

Аккумулируется такая кадровая информация в базе персональных данных, представляющей собой именуемую совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных.

В действительности базы персональных данных уже существуют на предприятиях, в организациях (учреждениях) в виде сводных данных о работниках (например, личных дел). Накопление информации в личных делах работников, как правило, происходит на основании данных, содержащихся в личных карточках. Типовая форма первичного учета № П-2 «Личная карточка работника» утверждена совместным приказом Государственного комитета статистики Украины и Министерства обороны Украины от 25.12.2009 г. № 495/656. В системе государственной службы личные дела ведутся по форме первичного учета № П-2ДС, утвержденной приказом Министерства статистики Украины от 26.12.95 г. № 343.

Также рекомендуется рассматривать кадровую документацию и статистическую, налоговую и другую отчетность в электронной форме и/или в форме картотек, составляемую работодателем и содержащую персональные данные работников, как базу персональных данных или ее составную часть.

Отныне законодатель, перенимая опыт стран Европейского союза, требует еще и регистрацию такой информации, сгруппированной в базе персональных данных. Причем в ст. 4 Закона № 2297 указано, что такие базы данных создаются всеми предприятиями, организациями и учреждениями независимо от формы собственности, а также органами государственной власти и местного самоуправления.

Для регистрации баз персональных данных и координации деятельности по их созданию Указом № 1085 была создана Государственная служба Украины по вопросам защиты персональных данных (официальный сайт: www.zpd.gov.ua), являющаяся центральным органом исполнительной власти, деятельность которой направляется и координируется Кабинетом Министров Украины через Министра юстиции Украины. Положение о деятельности указанной службы утверждено Указом № 390.

В ст. 9 Закона № 2297 указано, что база персональных данных подлежит государственной регистрации путем внесения соответствующей записи уполномоченным государственным органом по вопросам защиты персональных данных в Государственный реестр баз персональных данных (далее — ГРБПД).

ГРБПД — это единая государственная информационная система сбора, накопления и обработки сведений о зарегистрированных базах персональных данных. Кабинетом Министров Украины утверждено Положение № 616, на основании которого осуществляется ведение ГРБПД.

В таблице на с. 19 приведем полезность от регистрации базы персональных данных для разных участников этого процесса.

Обращаем внимание, что регистрация баз персональных данных началась с 1 июля 2011 года. При этом, как указано на официальном сайте Государственной службы Украины по вопросам защиты персональных данных (www.zpd.gov.ua), государственной регистрации подлежат все базы персональных данных в электронном виде и/или в картотеках, в которых обрабатываются персональные данные, независимо от объема и формы их применения, вида деятельности.

Однако процедуре регистрации предшествует достаточно хлопотная работа, связанная с обработкой персональных данных и соблюдением определенных правил в «дореестрационный период».

Формирование цели создания базы персональных данных. Начальным этапом разработки базы персональных данных являются определенные действия по ее созданию или обработке персональных данных. Как указано в ст. 2 Закона № 2297, обработка персональных данных — любое действие или совокупность действий, осуществленных полностью или частично в информационной (автоматизированной) системе и/или в картотеках персональных данных, связанные со сбором, регистрацией, накоплением, хранением, адаптированием, изменением, восстановлением, использованием и распространением (распространением, реализацией, передачей), обезличением, уничтожением сведений о физическом лице.

Не менее важной на этапе разработки базы персональных данных является формулировка цели по ее созданию и дальнейшему использованию. Так, типовые цели обработки персональных данных приведены в проекте Типового порядка обработки персональных данных в базах персональных данных, среди которых, в частности, определены такие, как обеспечение реализации:

— трудовых отношений;

— административно-правовых (в том числе, отношений в сфере государственного управления), налоговых отношений и отношений в сфере бухгалтерского учета.

В соответствии со ст. 6 Закона № 2297 цель обработки персональных данных должна быть сформулирована в законах, других нормативно-правовых актах, положениях, учредительных или других документах, регулирующих деятельность владельца (работодателя) базы персональных данных, и соответствовать законодательству о защите персональных данных. Специалисты кадровых служб рекомендуют разработать внутренний документ (положение), которым бы регламентировались цели создания базы персональных данных и основные правила по ее созданию.

Получение согласия работников. Обработка персональных данных проводится с согласия работников, информация о которых накапливается в соответствующих базах. При этом согласие субъекта персональных данных — любое документируемое, в частности письменное, добровольное волеизъявление физического лица о предоставлении разрешения на обработку его персональных данных в соответствии со сформулированной целью их обработки (ст. 2 Закона № 2297).

В проекте Типового порядка обработки персональных данных в базах персональных данных указано, что формами предоставления согласия субъекта персональных данных являются:

— документ на бумажном носителе с реквизитами, что дает возможность идентифицировать этот документ и физическое лицо. Например, это может быть заявление, в котором указывается: «Даю согласие на обработку моих персональных данных с целью обеспечения реализации трудовых отношений (могут быть указаны и другие цели обработки базы персональных данных, однако они должны соответствовать цели создания такой базы)». Добровольное волеизъявление субъекта персональных данных удостоверяется его подписью;

— электронный документ, включая обязательные реквизиты документа, предоставляющие возможность идентифицировать этот документ и физическое лицо. Добровольное волеизъявление физического лица о предоставлении разрешения на обработку его персональных данных удостоверяется электронной подписью субъекта персональных данных;

— отметка на электронной странице документа или в электронном файле, обрабатываемом в информационной системе на основании документируемых программно-технических решений.

Однако согласно информации, размещенной на официальном сайте Государственной службы Украины по вопросам защиты персональных данных, согласие работников на обработку их персональных данных не нужно, если они приняты до 1 января 2011 года.

Обращаем внимание, что в соответствии со ст. 12 Закона № 2297 субъект персональных данных в течение 10 рабочих дней со дня включения его персональных данных в базу персональных данных уведомляется о его правах, цели сбора данных и лиц, которым передаются его персональные данные, исключительно в письменной форме.

Для регистрации базы персональных данных уполномоченному государственному органу по вопросам защиты персональных данных подается заявление. Форма заявления о регистрации базы персональных данных утверждена приказом № 1824.

Как указано в п. 7 Положения № 616 заявление, в частности, должно содержать следующую информацию:

— о владельце базы персональных данных;

— наименование и местонахождение базы персональных данных;

— цель обработки персональных данных в базе персональных данных со ссылкой на нормативно-правовые акты, положения, учредительные или другие документы, регулирующие деятельность владельца базы персональных данных, в том числе об их категориях и правовых основаниях такой обработки;

— о распорядителях баз персональных данных.

Заявления заполняются и подаются в бумажной или электронной форме. При подаче заявлений в бумажной форме заявитель подписывает каждую страницу заявления и скрепляет ее печатью (при наличии). В электронной форме заявления подаются в соответствии с требованиями законов Украины «Об электронной цифровой подписи» от 22.05.2003 г. № 852-IV и «Об электронных документах и электронном документообороте» от 22.05.2003 г. № 851-IV.

Заявления в форме электронного документа отсылаются на электронную почту register@zpd.gov.ua. Заявления в электронном виде также можно создавать и подавать с помощью сайта Государственной службы Украины по вопросам защиты персональных данных, где переходя на ссылку https://rbpd.informjust.ua, можно заполнить уже приведенную форму заявления.

В п. 10 Положения № 616 указано, что Государственная служба Украины по вопросам защиты персональных данных уведомляет заявителя (не позднее следующего рабочего дня со дня поступления заявления) о его получении. В течение 10 рабочих дней со дня поступления соответствующего заявления ею принимается решение о регистрации базы персональных данных путем выдачи ее владельцу свидетельства о государственной регистрации базы персональных данных или сообщения об отказе в регистрации, о чем вносит запись в ГРБПД. Образец свидетельства о государственной регистрации базы персональных данных утвержден приказом № 1823.

Запись в ГРБПД о базе персональных данных содержит:

— информацию, предусмотренную в заявлении;

— регистрационный номер записи в ГРБПД;

— дату и время осуществления записи (изменений в нее) в ГРБПД;

— фамилию, имя и отчество регистратора, осуществившего запись (изменения в нее);

— сведения о выданном свидетельстве о государственной регистрации;

— сведения о внесении изменений.

Кстати, о каждом изменении вышеуказанных сведений не позднее чем в течение 10 рабочих дней со дня наступления такого изменения владелец базы персональных данных обязан уведомить уполномоченный государственный орган по вопросам защиты персональных данных путем подачи заявления о внесении изменений в сведения ГРБПД, форма которого утверждена приказом № 1824. Правила подачи такого заявления аналогичны особенностям подачи заявления о регистрации базы персональных данных. Примерами таких изменений могут быть: изменение информации о владельце базы персональных данных, цели ее создания, изменения самих персональных данных.

Государственная служба Украины по вопросам защиты персональных данных в течение 10 рабочих дней со дня поступления уведомления об изменении сведений, необходимых для регистрации соответствующей базы, должна принять решение об указанном изменении и уведомить об этом владельца базы персональных данных (ст. 9 Закона № 2297).

При этом, как указано в ст. 6 Закона № 2297, в случае изменения определенной цели обработки персональных данных работником должно быть дано согласие на обработку его данных в соответствии с измененной целью.

С целью усиления ответственности за несоздание баз персональных данных или их незаконное распространение принят Закон № 3454, которым вносятся изменения в КУоАП и УКУ.

Так, согласно дополненным ст. 188³⁹ и 188⁴⁰ КУоАП предусмотрена ответственность за:

— неуведомление или несвоевременное уведомление субъекта персональных данных о его правах в связи со включением его персональных данных в базу персональных данных, цели сбора этих данных и лицах, которым эти данные передаются;

— неуведомление или несвоевременное уведомление специально уполномоченного центрального органа исполнительной власти по вопросам защиты персональных данных об изменении сведений, подаваемых для государственной регистрации базы персональных данных;

— несоблюдение установленного законодательством о защите персональных данных порядка защиты персональных данных в базе персональных данных, что привело к незаконному доступу к ним;

— невыполнение законных требований должностных лиц специально уполномоченного центрального органа исполнительной власти по вопросам защиты персональных данных в отношении устранения нарушений законодательства о защите персональных данных.

Обращаем внимание, что уклонение от государственной регистрации базы персональных данных влечет за собой наложение штрафа на граждан от 300 до 500 не облагаемых налогом минимумов доходов граждан (от 5100 до 8500 грн.) и на должностных лиц, граждан — субъектов предпринимательской деятельности — от 500 до 1000 не облагаемых налогом минимумов доходов граждан (от 8500 до 17000 грн.).

Закон № 3454 вступит в силу 1 января 2012 года. До этой даты ответственность за несоздание базы персональных данных не предусмотрена. Следовательно, до 1 января 2012 года все предприятия, организации и учреждения должны позаботиться о создании и регистрации указанной базы.

Кроме того, ст. 182 УКУ предусмотрена уголовная ответственность за незаконные сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о лице или незаконное изменение такой информации.

Итак, подведем итоги, что же необходимо сделать работникам кадровых служб при формировании базы персональных данных:

— разработать внутреннее положение предприятия, организации, учреждения по регламентации создания и использования базы персональных данных. Данное требование законодательством не предусмотрено, но мы все же рекомендуем создать такой локальный акт;

— создать базы персональных данных на основании кадровой документации. При этом учитывать данные о всех работниках, а получить согласие в письменной форме от тех, которые были приняты на работу после 1 января 2011 года. Как уже было указано, такая информация содержится на официальном сайте Государственной службы Украины по вопросам защиты персональных данных, однако, большинство специалистов рекомендует получить согласие от всех работников;

— зарегистрировать созданную базу данных путем подачи заявления на ее регистрацию в Государственную службу Украины по вопросам защиты персональных данных.