Базы персональных данных в вопросах и ответах: продолжаем обсуждать

Вопрос

Ответ (Разъяснение)

ОБЩИЕ ВОПРОСЫ

В каких случаях предприниматель должен или не должен регистрировать БПД?

Регистрация БПД связана только с персональными данными, которые имеются у предпринимателя о сторонних физических лицах (как предпринимателях, так и обычных гражданах): работниках (кадровая документация), поставщиках, пациентах и т. д.

Обратите внимание, даже, если у предпринимателя нет наемных работников, но он заключает договоры с поставщиками-физлицами, то ему нужно зарегистрировать БПД контрагентов.

Если у предпринимателя указанные выше данные не накапливаются и не хранятся, то подавать заявление и регистрировать БПД ему не нужно. Не считаются БПД сведения (письмо Минюста от 08.11.2011 г. № 17304-0-33-11/61) только об одном контрагенте.

Также не нужно регистрировать БПД по данным, которые предприниматели собирают для «себя» в личные справочники и т. д.

Добавим, что в разъяснении Минюста о применении Закона № 2297 от 21.12.2011 г. (http://www.minjust.gov.ua/0/38266) говорится о том, что предприниматели самостоятельно определяют, обладают ли они БПД в понимании Закона № 2297.

При этом, если руководствоваться данным разъяснением, то БПД считается совокупность сведений, которые хранятся и обрабатываются:
— соответствующим программным обеспечением — БПД в электронной форме;
— на бумажных носителях информации — БПД в форме картотек.

Картотеки представляют собой именно упорядоченные данные, т. е. когда они сгруппированы по определенным критериям, например, по алфавиту.

Большинство предпринимателей не заводят упорядоченные картотеки ни по работникам, ни по другим физлицам.

Однако пока нельзя однозначно утверждать, что регистрировать БПД им не нужно

Нужно ли предпринимателю регистрировать БПД «на себя»?

Нет. Предприниматель регистрирует и описывает в заявлении только виды сведений о сторонних физических лицах.

Свои реквизиты предприниматель приводит в заявлении, но только для того, чтобы было ясно, кто является владельцем БПД физических лиц (работников и т. д.)

Считаются ли БПД сведения о поставщиках, покупателях, подрядчиках (исполнителях), которые указаны в ГП-договорах?

По мнению Минюста (разъяснение относительно применения Закона № 2297 от 21.12.2011 г. (http://www.minjust.gov.ua/0/38266)), если предприниматели заключают договоры выполнения работ (подряда) или оказания услуг с физлицами, то такие договоры не являются БПД и не подлежат регистрации.

На наш взгляд, более корректной была бы формулировка о том, что данные физлиц в таких договорах не формируют БПД. Тем не менее, предприниматели могут воспользоваться этим разъяснением и не регистрировать БПД по подрядчикам или исполнителям по ГП-договорам.

Поскольку относительно данных о поставщиках и покупателях по договорам купли-продажи Минюст свое мнение не высказал, то БПД «Контрагенти» желательно зарегистрировать

Предприниматель работает
с поставщиками — юридическими лицами, нужно ли регистрировать по ним БПД?

БПД регистрируются только по сведениям, полученным о физических лицах.

Если в договорах, заключенных с юрлицами, присутствуют данные их представителей (директора, бухгалтера, доверенных лиц и т. д.), то, учитывая положения
Закона № 2297, они должны были дать согласие на передачу их данных третьим лицам. Поэтому предпринимателям не нужно регистрировать по ним БПД.

Тем не менее, если предприниматели, которые работают с большим количеством юридических лиц, не уверены в том, что такое согласие было предоставлено, мы бы рекомендовали им зарегистрировать БПД представителей юридических лиц

Предприниматель закупает товар на рынке (договоры не заключает), нужно ли ему регистрировать БПД?

Нет. Если при покупке товаров никакие данные (о продавцах) не передаются предпринимателю, то регистрировать БПД не нужно

Кто такие распорядители БПД, есть ли они у предпринимателей?

Распорядителем БПД согласно статьи 2 Закона № 2297 может быть физическое или юридическое лицо, которому владельцем БПД или законом предоставлено право обрабатывать эти данные.

Примером таких распорядителей являются филиалы юридических лиц. Они распоряжаются БПД работников, а владельцем таких БПД выступает юрлицо.

У физлиц-предпринимателей не бывает аналогичных структурных подразделений и с документооборотом они справляются самостоятельно, поэтому распорядителей БПД у них нет

ВИДЫ БПД

Нужно ли для регистрации БПД вести картотеки в алфавитном порядке, или можно просто складывать документацию по работникам, договоры и т. д. в сейф?

Вести картотеки, заполнять все обязательные формы кадровой документации
и т. д. трудовое законодательство предпринимателей не обязывает, аналогичных требований нет и в Законе № 2297.

Тем не менее, выше мы говорили о том, что БПД это упорядоченные данные либо в электронном виде, либо в форме картотек. Но на сегодняшний день представители ГСЗПД не настаивают на формовании картотек предпринимателями

Какие названия должны быть
у БПД?

Предприниматели вправе давать название БПД на свое усмотрение. В то же время ГСЗПД рекомендует указывать в заявлении, как правило, такие названия:
— база даних «Працівники»;
— база даних «Контрагенти»;
— база даних «Клієнти»

Обязательно ли создавать отдельные базы данных по различным группам работников или контрагентов?

Не обязательно, это можно делать на усмотрение предпринимателя. Например, если у него есть БПД арендаторов, то он может указать в заявлении ее название как «Контрагенти», так и «Орендарі»

СОГЛАСИЕ И УВЕДОМЛЕНИЕ РАБОТНИКОВ НА ОБРАБОТКУ БПД

Обязательно ли получать согласие на обработку данных у физлиц, которые не являются работниками предпринимателя?

Да, такое согласие нужно получать от любых физлиц, в том числе контрагентов, клиентов и т. д.

Формами предоставления согласия субъекта персональных данных (физического лица) являются:
— документ на бумажном носителе с реквизитами, позволяющими идентифицировать этот документ и физическое лицо. Добровольное волеизъявление субъекта персональных данных заверяется его подписью;
— электронный документ, включая обязательные реквизиты документа, позволяющие идентифицировать этот документ и физическое лицо. Добровольное волеизъявление физического лица о предоставлении разрешения на обработку его персональных данных заверяется электронной подписью субъекта персональных данных;
— отметка на электронной странице документа или в электронном файле, обрабатываемом в информационной системе на основе документированных программно-технических решений.

Если такими лицами не предоставлено согласие на обработку их персональных данных, то предприниматель не сможет с ними сотрудничать, ведь такими действиями они не позволяют использовать их персональные данные. Кроме того, контрагенты — физические лица должны быть уведомлены о внесении их персональных данных в соответствующую БПД ^{справка 1}.

Аналогичного мнения придерживается и Минюст в своем разъяснении относительно применения Закона № 2297 от 21.12.2011 г. (http://www.minjust.gov.ua/0/38266)

Обязательно ли уведомлять всех физических лиц о цели сбора данных и об их правах в связи
с обработкой?

Да. Все физические лица, как работники, так и контрагенты, должны в течение
10 рабочих дней со дня включения их данных в БПД, после получения их согласия (приема на работу, заключения договора и т. д.) быть уведомлены об этом в письменной форме

Будет ли считаться получением согласия на обработку персональных данных и уведомлением физлица специальная форма, размещенная на сайте интернет-магазина?

Да. По устным разъяснениям ГСЗПД, интернет-магазинам рекомендовано на сайте (имеется в виду на сайте самого интернет-магазина) разработать определенный вид сообщения (например, окошко), в котором будет перечислена вся информация, необходимая для получение согласия на обработку данных от физических лиц — клиентов. Физическое лицо, например, нажимая «ОК», дает свое согласие на обработку его персональных данных. В таком формате необходимо создать и уведомление о внесении персональных данных физического лица
в соответствующую БПД

ПОРЯДОК РЕГИСТРАЦИИ, ПОДАЧИ, ЗАПОЛНЕНИЯ ЗАЯВЛЕНИЯ

В какие сроки нужно подать заявление о регистрации БПД?

Законодательством не предусмотрены конкретные сроки для подачи заявления и регистрации БПД. Однако, учитывая то, что с 01.01.2012 г. ^{справка 2} вступят в силу изменения в КУоАП и УКУ, которыми предусмотрены большие штрафные санкции, сделать это лучше до указанной даты.

Вместе с тем, если предприниматель сделает это после 01.01.2012 г., то ему также удастся избежать штрафов, о чем мы скажем ниже

Если у предпринимателя несколько БПД, сколько заявлений он должен подать?

По каждой БПД, находящейся во владении заявителя, должно подаваться отдельное заявление о регистрации

В каком порядке предприниматель получает Свидетельство о регистрации БПД после подачи заявления?

ГСЗПД уведомляет заявителя не позднее следующего рабочего дня со дня поступления заявления о его получении. В уведомлении указываются дата и регистрационный номер записи о заявлении в Реестре, а также дата обращения за получением свидетельства или уведомления об отказе в регистрации.

Отказать в регистрации БПД могут, если заявление о регистрации не соответствует требованиям части третьей статьи 9 Закона № 2297 или в случае, если представленные сведения являются неполными или недостоверными.

В течение 10 рабочих дней со дня поступления соответствующего заявления принимается решение о регистрации БПД путем выдачи ее владельцу свидетельства о государственной регистрации БПД или уведомление об отказе в регистрации

Какие цели обработки БПД могут быть приведены в заявлении (раздел III)?

Целями обработки персональных данных, указываемыми в заявлении, в частности, является обеспечение реализации:
— трудовых отношений;
— административно-правовых (в том числе отношений в сфере государственного управления), налоговых отношений и отношений в сфере бухгалтерского учета;
— отношений в сфере управления человеческими ресурсами, в частности, кадровым потенциалом;
— отношений в сфере экономических, финансовых услуг и страхования;
— отношений в сфере рекламы и сбора персональных данных в коммерческих целях;
— отношений в сфере телекоммуникационных услуг;
— отношений в сфере общественной, политической и религиозной деятельности, культуры, досуга, спортивной и социальной деятельности;
— отношений в сфере образования;
— отношений в сфере здравоохранения;
— отношений в сфере безопасности, включая вопросы частных расследований, построения системы частной безопасности и частной охраны;
— отношений в сфере транспорта;
— отношений в сфере науки, исторических исследований и статистики и т. п.

ВНЕСЕНИЕ ИЗМЕНЕНИЙ

Если произошли изменения в данных, указанных в регистрационном заявлении, нужно ли вносить изменения, как и когда?

Да. Согласно части 4 статьи 9 Закона № 2297 владелец базы персональных данных обязан сообщать ГСЗПД о каждом изменении сведений, необходимых для регистрации БПД, не позднее чем в течение 10 рабочих дней со дня наступления такого изменения.

Бланк заявления о внесении изменений утвержден приказом № 1824, как и основное заявление. Его заполнение практически не отличается от первоначального заявления, однако для исправления данных нужно ставить дополнительные отметки «х» в полях «Вилучити» и «Додати».

Для удаления БПД из Государственного реестра владелец такой базы направляет в ГСЗПД заявление о внесении изменений в сведения Госреестра и обозначает «Вилучити» все поля сведений, которые были внесены

ПРИМЕНЕНИЕ ШТРАФНЫХ САНКЦИЙ ПОСЛЕ 01.01.2012 г.

Если предприниматель не успеет подать заявление о регистрации БПД до 01.01.2012 г., будут ли к нему применяться штрафные
санкции ^{справка 2}?

Даже если предприниматели не успели подать заявление до 01.01.2012 г., им не стоит волноваться.

Во-первых, до сих пор нет механизма осуществления проверок, порядок их проведения существует только в виде проекта, территориальных органов у ГСЗПД нет и, следовательно, в ближайшее время проверок не предвидется.

Во-вторых, существует статья 38 КУоАП, которая ограничивает сроки применения админштрафов. Предположим, заявление будет подано в ГСЗПД 25.01.2012 г. Тогда до 25.01.2012 г. физлицо-предприниматель формально считается совершающим длящееся нарушение — уклонение от регистрации БПД. С момента подачи заявления о регистрации нарушение считается прекратившимся. Поскольку налагать штрафы за его совершение уполномочены суды (на основании составленных ГСЗПД протоколов), то согласно статьи 38 КУоАП срок давности по такому нарушению составляет три месяца.

Это означает, чтобы успеть наложить штраф, до 26.04.2012 г. не только должна быть проведена проверка, составлен и направлен в суд протокол об админправонарушении, но и суд должен успеть рассмотреть дело и вынести постановление о наложении штрафа.

Такой вариант развития событий сегодня выглядит маловероятным

ЗГОДА

на збір та обробку персональних даних

Я,_____________________________________________________________________________________________

(П. I. Б.)

(народився «_________» __________________ 19_______ року, паспорт серії ________ №____________________,

підтверджую, що ознайомлений з вимогами Закону України «Про захист персональних даних» від 01.06.2010 р. № 2297-VI та інших нормативних актів про захист персональних даних і надаю згоду

________________________________________________________________________________________________

(повна назва суб’єкта господарювання)

на обробку відомостей про мене у картотеках та/або за допомогою інформаційно-телекомунікаційної системи бази персональних даних працівників суб’єкта господарювання з метою ведення кадрової документації, підготовки відповідно до вимог законодавства податкової та статистичної звітності, іншої інформації, а також внутрішніх документів підприємця з питань реалізації визначених законодавством прав та обов’язків у сфері трудових правовідносин і соціального захисту.

Зобов’язуюсь при зміні моїх персональних даних надавати у термін до 10 робочих днів уточнену інформацію щодо відомостей про мене, необхідних для реалізації вимог чинного законодавства.

«____» ____________ 20___ року ___________ (____________________)

Я, ________________________________________ , посвідчую, що отримав повідомлення про включення інформації
про мене до бази персональних даних з метою ведення кадрової документації, підготовки відповідно до вимог законодавства податкової та статистичної звітності, іншої інформації, а також внутрішніх документів підприємця з питань реалізації визначених законодавством прав та обов’язків у сфері трудових правовідносин і соціального захисту, а також відомості про мої права, визначені Законом України «Про захист персональних даних», і про осіб, яким мої дані надаються, для виконання зазначеної мети.

«___» _________ 20___ року

__________________________
                     (підпис)

Повідомляю, що надані Вами відомості включені до бази персональних даних

________________________________________________________________________________________________

(назва суб’єкта господарювання)

з метою ведення кадрової документації, підготовки відповідно до вимог законодавства податкової та статистичної звітності, іншої інформації з питань персоналу, а також внутрішніх документів підприємця з питань реалізації визначених законодавством прав та обов’язків у сфері трудових правовідносин і соціального захисту. Відповідно до ст. 8 Закону України «Про захист персональних даних» суб’єкт персональних даних має право:

1) знати про місцезнаходження бази даних, яка містить його персональні дані, її призначення та найменування, місцезнаходження її володільця чи розпорядника;

2) отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані, що містяться у базі персональних даних;

3) на доступ до своїх персональних даних, що містяться у відповідній базі персональних даних;

4) отримувати не пізніш як за 30 календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи зберігаються його персональні дані у відповідній базі персональних даних, а також отримувати зміст його персональних даних, що зберігаються;

5) пред’являти вмотивовану вимогу із запереченням проти обробки своїх персональних даних органами державної влади, органами місцевого самоврядування при здійсненні їхніх повноважень, передбачених законом;

6) пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником цієї бази, якщо ці дані обробляються незаконно чи є недостовірними;

7) на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;

8) звертатися з питань захисту своїх прав щодо персональних даних до органів державної влади, органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних;

9) застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних.

Обробка персональних даних фізичних осіб загального характеру (прізвище, ім'я та по батькові, дата

та місце народження, громадянство, місце проживання, ідентифікаційні номери, реєстраційні дані тощо)

здійснюється для забезпечення реалізації адміністративно-правових, податкових відносин відповідно

до Цивільного кодексу України від 16.01.2003 р. № 435-IV, Податкового кодексу України від 02.12.2010 р.

№ 2755-VI та інших нормативно-правових актів.

Правові підстави обробки персональних даних (відповідно до статті 11 Закону України

«Про захист персональних даних»):

1) згода суб'єкта персональних даних на обробку його персональних даних

2) дозвіл на обробку персональних даних, наданий володільцю бази персональних даних відповідно

до Цивільного кодексу України від 16.01.2003 р. № 435-IV, Податкового кодексу України

від 02.12.2010 р. № 2755-VI та інших нормативно-правових актів.