Анализируем изменения в сфере законодательства о защите персональных данных
С 20.12.2012 г. вступил в силу Закон Украины «О внесении изменений в Закон Украины «О защите персональных данных» от 20.11.2012 г. № 5491-VI. Проанализируем в этой статье изменения, которые непосредственно касаются работодателей.
Людмила БЕЛЕВЦОВА, экономист-аналитик Издательского дома «Фактор»
ИСПОЛЬЗОВАННЫЕ ДОКУМЕНТЫ
ГКУ — Гражданский кодекс Украины от 16.01.2003 г. № 435-IV.
Закон № 2297 — Закон Украины «О защите персональных данных» от 01.06.2010 г. № 2297-VI.
Закон № 5491 — Закон Украины «О внесении изменений в Закон Украины «О защите персональных данных» от 20.11.2012 г. № 5491-VI.
ИСПОЛЬЗОВАННЫЕ СОКРАЩЕНИЯ
БПД — база персональных данных.
ГСЗПД — Государственная служба Украины по вопросам защиты персональных данных.
БПД «Работники» не регистрируется
Сначала напомним определение БПД, приведенное в ст. 2 Закона № 2297. Так, БПД — это именуемая совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных.
При этом персональные данные определены как сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано. Обращаем внимание, что при формировании БПД следует учитывать только сведения о физических лицах. Сведения о юридических лицах не относятся в состав БПД.
ГСЗПД на своем официальном сайте (http://zpd.gov.ua) приводила конкретные сведения, под которыми следует понимать персональные данные. Таким образом, существуют персональные данные следующих категорий:
— данные общего характера (фамилия, имя и отчество, дата и место рождения, гражданство, местожительство, личные сведения (возраст, пол, семейное положение и т. п.), состав семьи, образование, профессия, финансовая информация, электронные идентификационные данные, запись изображений (фото, видео и т. п.));
— уязвимые (чувствительные) данные (расовое или этническое происхождение, политические, религиозные или мировоззренческие убеждения, членство в политических партиях и профессиональных союзах, а также данные, касающиеся здоровья или половой жизни).
Также ГСЗПД отмечала, что каждое предприятие (учреждение, организация) является владельцем не менее двух БПД — работников и клиентов.
Однако Законом № 5491 внесены изменения в ст. 9 Закона № 2297, согласно которым владелец персональных данных освобождается от обязанности регистрации БПД:
— ведение которых связано с обеспечением и реализацией трудовых отношений;
— членов общественных, религиозных организаций, профессиональных союзов, политических партий.
Это означает, что владелец персональных данных с 20.12.2012 г. освобождается от регистрации БПД, содержащих в себе персональные данные, в частности, о работниках.
Тогда возникает абсолютно логический вопрос, как быть тем учреждениям и организациям, которые, побаиваясь значительных штрафов, направили заявление о регистрации БПД «Работники», однако так и не получили соответствующего свидетельства. Учитывая загруженность ГСЗПД и последние изменения в сфере законодательства по защите персональных данных, такие владельцы персональных данных уже не получат данного свидетельства.
Однако в этом контексте приведем некоторые нюансы обработки персональных данных работников с учетом последних изменений. Таким образом, согласно последним изменениям, внесенным в ст. 9 Закона № 2297, работодатели освобождаются именно от регистрации персональных данных, связанных с возникновением трудовых отношений. Вместе с тем понятие «обработка персональных данных» значительно шире, чем только регистрация. Так, согласно ст. 2 Закона № 2297 (с учетом последних изменений, внесенных в нее) под обработкой персональных данных следует понимать любые действия или совокупность действий, таких как сбор, регистрация, накопление, хранение, адаптирование, изменение, восстановление, использование и распространение (распространение, реализация, передача), обезличение, уничтожение персональных данных, в том числе с использованием информационных (автоматизированных) систем.
В связи с этим допускаем, что владелец освобождается от регистрации БПД «Работники», однако на него по-прежнему возлагается обязанность относительно других действий, связанных с обработкой персональных данных работников. Тогда работодателю, как и до внесения последних изменений, следует получать согласие от работников на обработку их персональных данных и формировать БПД «Работники» с единственным отличием — теперь такая база не будет подлежать регистрации. Ведь фактически одна из важнейших задач Закона № 2297 остается неизменной, а именно недопущение незаконного распространения персональных данных физических лиц.
Однако окончательный вывод по этому поводу можно будет сделать только после соответствующих разъяснений со стороны официальных органов.
Напомним, что в соответствии с разъяснениями ГСЗПД получить согласие на обработку персональных данных следует только от работников, принимаемых в учреждение (организацию) после 01.01.2011 г. Вместе с тем, в случае, если работник отказывается от предоставления такого согласия, в соответствии с нормами Кодекса законов о труде Украины это не рассматривается как основание для отказа в приеме работника на работу. При этих обстоятельствах возникают определенные трудности при оформлении трудового договора с таким работником.
Есть сделка — есть основание для обработки персональных данных
Еще раз заметим: ГСЗПД неоднократно отмечала, что персональные данные, полученные учреждением (организацией) от его контрагентов — физических лиц (поставщиков, клиентов), составляют соответствующие БПД. При этом основанием для обработки персональных данных, полученных от контрагентов — физических лиц, являются предоставленные ими согласия на обработку их персональных данных.
По аналогии с получением согласия на обработку персональных данных от работников получать такое согласие следовало только от тех контрагентов, отношения с которыми возникли после 1 января 2011 года. Однако обращаем внимание, что в БПД вносятся персональные данные по всем контрагентам независимо от даты возникновения с ними отношений.
В ст. 11 Закона № 2297 (с учетом изменений, внесенных в нее Законом № 5491) отмечено: основаниями для обработки персональных данных, в частности, являются заключение и выполнение сделки, стороной которой является субъект персональных данных или которая заключена в пользу субъекта персональных данных либо для осуществления мероприятий, предшествующих заключению сделки по требованию субъекта персональных данных.
При этом следует отметить, что в соответствии со ст. 202 ГКУ сделкой является действие лица, направленное на приобретение, изменение или прекращение гражданских прав и обязанностей. Сделка может совершаться устно или в письменной форме (ст. 205 ГКУ). Как отмечено в ст. 207 ГКУ, сделка считается совершенной в письменной форме, если ее содержание зафиксировано в одном или нескольких документах, в письмах, телеграммах, которыми обменялись стороны.
В общем случае по общепринятой практике сделку отождествляют со своего рода договором.
Учитывая вышеуказанное, можно сделать вывод, что отныне владелец персональных данных для обработки персональных данных контрагентов — физических лиц не должен получать от них согласия на это, поскольку заключенные с ними договоры уже являются основанием для обработки их персональных данных.
При этом, как указано в обновленной ст. 12 Закона № 2297, субъект персональных данных уведомляется о владельце персональных данных, составе и содержании собранных персональных данных, правах такого субъекта, определенных Законом № 2297, цели сбора персональных данных и лицах, которым передаются его персональные данные, в течение 10 рабочих дней со дня сбора персональных данных.
Однако подчеркнем, что такие БПД, как «Контрагенты», «Поставщики», «Клиенты», по-прежнему подлежат формированию и регистрации.
Подкорректирована схема регистрации БПД
Сначала рассмотрим схему регистрации БПД до внесения последних изменений. Как уже известно, регистрация БПД осуществляется по заявочному принципу путем уведомления. При этом заявление о регистрации БПД подает владелец персональных данных в уполномоченный государственный орган по вопросам защиты персональных данных — ГСЗПД. Форма такого заявления утверждена приказом Министерства юстиции Украины от 08.07.2011 г. № 1824/5.
В свою очередь ГСЗПД уведомляла заявителя не позднее следующего рабочего дня со дня поступления заявления о регистрации БПД о его получении. ГСЗПД принимала в течение 10 рабочих дней со дня поступления соответствующего заявления решение о регистрации БПД путем выдачи ее владельцу свидетельства о государственной регистрации БПД или уведомления об отказе в регистрации, о чем вносилась запись в Государственный реестр баз персональных данных. Образец свидетельства о государственной регистрации базы персональных данных утвержден приказом Министерства юстиции Украины от 08.07.2011 г. № 1823/5.
Однако в связи с неспособностью ГСЗПД своевременно обработать все заявления, поступавшие по ее адресу, на практике такая схема регистрации в течение 2012 года была несколько изменена. Так, после проработки заявления сведения, содержащиеся в нем, вносились в Государственный реестр баз персональных данных и на адрес владельца персональных данных (почтовый или электронный) направлялось официальное уведомление с указанием регистрационного номера заявления в этом Реестре и датой принятия решения о регистрации БПД. Как видим, владелец персональных данных получал уведомление о получении соответствующего заявления ГСЗПД только после того, как работники указанной Службы приступили к его обработке, а не в момент его непосредственного получения.
Следовательно, подобная схема регистрации применяется с 20.12.2012 г. Так, в ч. 4 ст. 9 Закона № 2297 внесены изменения, согласно которым уведомление о поступлении заявления о регистрации БПД не будет направляться ГСЗПД владельцу персональных данных. Вместе с тем решение о регистрации БПД отныне принимается ГСЗПД в течение 30 рабочих дней со дня поступления заявления, а не 10 календарных дней, как это предусматривалось до внесения последних изменений.
В связи с этим изменения должны коснуться и Положения о Государственном реестре баз персональных данных и порядке его ведения, утвержденного постановлением Кабинета Министров Украины от 25.05.2011 г. № 616, в котором подробнее, чем в Законе № 2297, расписана процедура регистрации БПД.
ГСЗПД предоставит практические рекомендации
Отметим, что функции ГСЗПД пополнились новыми. Соответствующие изменения внесены в ст. 23 Закона № 2297. Среди наиболее интересных уместно выделить издание рекомендации по практическому применению положений законодательства о защите персональных данных.
Подробный перечень функций и задач ГСЗПД приведен в Положении о Государственной службе Украины по вопросам защиты персональных данных, утвержденном Указом Президента Украины от 06.04.2011 г. № 390/2011. Отметим, что такая функция ГСЗПД не предусмотрена в указанном Положении.
Надеемся, что с установлением в Законе № 2297 прямой задачи ГСЗПД предоставлять практические рекомендации по применению законодательства в сфере защиты персональных данных подобных разъяснений прибавится.