Обработка персональных данных с учетом последних изменений: пошаговый алгоритм

Обработка персональных данных с учетом последних изменений: пошаговый алгоритм

С 20.12.2012 г. вступил в силу Закон № 5491, внесший многочисленные изменения в Закон о защите персональных данных.

Кратко основные новшества в работе с персональными данными (далее – ПД) были проанализированы в «СД», 2013, № 3, с. 41. Сегодня мы подробнее поговорим о том, что такое ПД и как их обрабатывать, кто и какие базы персональных данных (далее – БПД) обязан регистрировать, каким образом происходит такая регистрация. При этом мы будем исходить из требований действующего законодательства с учетом последних нововведений, привнесенных Законом № 5491.

ПД и БПД: определяемся с понятиями

Определение термина «персональные данные», приведенное в статье 2 Закона о защите ПД, изменений не претерпело. Под ПД по-прежнему понимаются «сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано». Конституционный Суд Украины (КСУ) под ПД понимает национальность, образование, семейное положение, религиозные убеждения, состояние здоровья, материальное положение, адрес, дату и место рождения, место проживания / нахождения физического лица, данные о личных имущественных и неимущественных отношениях с другими лицами и т. д. (см. решение КСУ от 20.01.2012 г. № 2-рп/2012). То есть персональными можно считать лишь те данные, которые предоставляют дополнительную информацию о физическом лице помимо сведений, позволяющих идентифицировать такое физлицо (например, образование, размер зарплаты, прописка, медицинский диагноз и др.).

Первичными источниками сведений о физлице являются выданные на его имя документы; подписанные им документы; сведения, предоставляемые лицом о себе (часть 4 статьи 6 Закона о защите ПД).

ПД могут составлять БПД, определение которой в статье 2 Закона о защите ПД также не изменилось и, как и ранее, представляет собой именованную совокупность упорядоченных ПД в электронной форме и/или в форме картотек ПД.

Следует отметить, что далеко не все ПД являются БПД. Говорить о наличии БПД можно лишь в том случае, если мы имеем дело с данными о физлицах, структурированными по определенным критериям с целью обеспечения легкого доступа к ПД. В частности, БПД в виде картотеки – это любой структурированный массив ПД, доступный по определенным критериям, независимо от того, является такой массив централизованным, децентрализованным или разделенным по функциональным или географическим принципам.

Например, гражданско-правовые договоры с физлицами-предпринимателями, отсортированные в хронологическом порядке, нельзя считать БПД, так как систематизация осуществляется по дате заключения договоров, а не исходя из сведений, касающихся физлиц. А вот структурирование тех же гражданско-правовых договоров с физлицами-предпринимателями, например, по фамилиям предпринимателей в алфавитном порядке с целью быстрого доступа к ПД этих предпринимателей (например, к информации об их местонахождении, о реквизитах их счетов, о контактных телефонах и т. д.) уже позволяет делать вывод о наличии БПД.

И еще один момент: ПД одного физического лица не являются БПД. К такому заключению пришел Минюст в письме от 08.11.2011 г. № 17304-0-33-11/61 на основании самого определения термина «база персональных данных», говорящего о совокупности упорядоченных ПД, т. е. о наличии сведений о двух и более физлицах. Так, например, информация об одном арендодателе-физлице не является БПД.

Однако отсутствие БПД не освобождает владельца ПД от обязанности по обработке, хранению и защите этих ПД в соответствии с Законом о защите ПД (напомним, что последними изменениями законодатель несколько изменил сферу действия этого Закона, в том числе распространил его на все действия по обработке ПД, а не только в БПД).

Субъекты отношений, связанных с ПД

Согласно статье 4 Закона о защите ПД субъектами отношений, связанных с ПД, являются:

1) субъекты ПД – физлица, ПД которых обрабатываются (это могут быть наемные работники, физлица-предприниматели, физлица-учредители, физлица-клиенты и т. д.);

2) владельцы ПД – физические или юридические лица, которым законом или по согласию субъекта ПД предоставлено право на обработку этих данных, которые утверждают цель обработки ПД, устанавливают состав этих данных и процедуры их обработки, если иное не определено законом. В частности, владельцами ПД являются предприятия и предприниматели, обрабатывающие ПД своих наемных работников, клиентов, контрагентов и т. д.;

3) распорядители ПД – физические или юридические лица, которым владельцем ПД или законом предоставлено право обрабатывать эти данные от имени владельца;

4) третьи лица – любые лица, за исключением субъектов ПД, владельцев или распорядителей ПД и уполномоченного госоргана по вопросам защиты ПД, которым владельцем или распорядителем ПД осуществляется передача ПД в соответствии с законом;

5) уполномоченный государственный орган по вопросам защиты ПД – таким органом является Государственная служба Украины по вопросам защиты персональных данных (далее – ГСЗПД).

Обработка ПД: шаг за шагом

Согласно статье 2 Закона о защите ПД обработка ПД – это любое действие, совокупность действий, таких как сбор, регистрация, накопление, хранение, адаптирование, изменение, возобновление, использование и распространение (реализация, передача), обезличивание, уничтожение ПД, в том числе с использованием информационных (автоматизированных) систем.

Исходя из анализа данного определения и всего текста Закона о защите ПД можно говорить о необходимости проведения субъектами хозяйствования – владельцами или распорядителями ПД следующих действий.

Шаг 1. Получение согласия субъекта ПД (физлица) на использование информации о нем в деятельности предприятия (предпринимателя).

В соответствии с частью 6 статьи 6 Закона о защите ПД не допускается обработка данных о физлице без его согласия, кроме случаев, определенных законом. То есть помимо получения собственно согласия физлица, право на обработку ПД может возникать у владельца (или распорядителя ПД) в ряде других случаев, среди которых можно выделить (статья 11 Закона о защите ПД):

– разрешение на обработку ПД, предоставленное владельцу ПД в соответствии с законом исключительно для осуществления его полномочий (т. е., грубо говоря, возможность обрабатывать ПД в силу требований закона);

– заключение и исполнение сделки, стороной которой является субъект ПД или которая заключена в пользу субъекта ПД или для осуществления мероприятий, предшествующих заключению сделки по требованию субъекта ПД.

То есть не нужно получать согласие субъекта ПД, например, в случае если обработка сведений о нем осуществляется на основании требований трудового законодательства. Но, нужно заметить, представители ГСЗПД часто в своих консультациях говорят о том, что такое согласие от работника получить все-таки нужно. И лучше, наверное, с этим не спорить (из чего и будем исходить далее).

Не нужно получать согласие на обработку ПД и в случае заключения гражданско-правового договора с физлицом, поскольку заключение договора само по себе уже является основанием для обработки ПД физлица.

В то же время в большинстве остальных случаев получение согласия физлица на обработку его ПД является обязательным. Оформляется такое согласие в форме заявления. Исходя из требований Закона о защите ПД, согласие физлица на обработку его ПД должно содержать такую информацию, как:

– цель обработки ПД, которая должна быть сформулирована в положениях, учредительных и других документах, регулирующих деятельность владельца ПД (ч. 1 ст. 6 Закона о защите ПД). Наиболее типичными целями обработки ПД являются ведение кад­ровой документации, подготовка налоговой и другой отчетности, обеспечение реализации трудовых отношений, ведение хозяйственной деятельности и т. д. Цель обработки ПД определяется каждым владельцем ПД самостоятельно в зависимости от специфики его вида деятельности;

– объем ПД – четкий перечень ПД физлица, обрабатываемых в БПД;

– порядок использования ПД, предусматривающий действия владельца по обработке ПД, их защите (в том числе использование ПД работниками владельца ПД), а также действия по предоставлению частичного или полного права обработки ПД другим субъектам отношений, связанных с ПД;

– порядок распространения ПД, предусматривающий действия владельца ПД по передаче сведений о физлице из БПД;

– порядок доступа к ПД третьих лиц, определяющий действия владельца ПД в случае получения запросов от третьих лиц касательно доступа к ПД физлица.

Конкретную форму согласия физлица на обработку его ПД каждый субъект хозяйствования разрабатывает самостоятельно. К примеру, можно разработать трафаретные формы согласия для разных категорий физлиц (работников, клиентов, контрагентов и т. д.).

Шаг 2. Сбор ПД и уведомление субъекта ПД о цели их обработки.

Сбор ПД является составной частью процесса их обработки, предусматривающей действия по подбору или упорядочению сведений о физлице (ст. 12 Закона о защите ПД).

Требования к уведомлению физлица о начале обработки его ПД, содержащиеся в статье 12 Закона о защите ПД, несколько изменены. В частности, теперь уведомление о владельце ПД, составе и содержании собранных ПД, правах субъекта ПД, определенных статьей 8 Закона о защите ПД, цели сбора ПД и лицах, которым передаются такие ПД, должно быть направлено физлицу в момент получения его согласия на обработку ПД, а в других случаях – в течение 10 рабочих дней со дня сбора ПД.

Например, если учитывать требования ГСЗПД и получать согласие работников на обработку их ПД, то уведомление таких работников о включении их данных в БПД должно происходить в момент получения такого согласия, т. е. уже при получении ПД от работников.

Отметим также, что из статьи 12 Закона о защите ПД исчезло требование относительно обязательной письменной формы уведомления. В то же время, на наш взгляд, лучше продолжать направлять физлицам уведомления именно в письменной форме, что поможет доказать факт осуществления уведомления в случае возникновения спорных ситуаций.

Кроме того, исключено положение о неосуществлении уведомления в случае, если ПД собираются из общедоступных источников. Это значит, что владелец ПД обязан уведомить физлицо о начале обработки его ПД в том числе в случае получения данных из печатных СМИ, интернет-порталов, средств телерадиовещания и других источников информации, к которым физические и юридические лица имеют свободный, не ограниченный доступ.

Шаг 3. Разработка Положения о защите персональных данных.

Для регламентации мероприятий в сфере защиты ПД каждое предприятие обязано разработать и утвердить внутренний документ, которым может быть, например, Положение о порядке обработки и защиты персональных данных. Заметим, что на физлиц-предпринимателей это требование не распространяется, следовательно, выполнять его не обязательно. Как разъясняют специалисты ГСЗПД, в зависимости от специфики предприятия и категории обрабатываемых данных предприятие может разрабатывать или одно Положение сразу для всех БПД, или несколько Положений для каждого вида БПД (например, Положение о порядке обработки и защиты персональных данных работников, Положение о порядке обработки и защиты персональных данных контрагентов).

Текст Положения может состоять преимущественно из цитат Закона о защите ПД, а в качестве ориентира можно использовать Типовой порядок обработки персональных данных в базах персональных данных, утвержденный приказом Минюста от 30.12.2011 г. № 3659/5.

Приведем примерный перечень разделов Положения:

I. Общие положения.

II. Состав и цели обработки персональных данных.

III. Способы обработки персональных данных (в автоматизированной системе и/или в форме картотек). Базы персональных данных, владельцем которых является предприятие.

IV. Организация работы по защите персональных данных: получение согласия и уведомление субъекта персональных данных о его правах и действиях с его данными; обязанности и права лиц, ответственных за обеспечение защиты персональных данных; порядок хранения и уничтожения персональных данных.

V. Порядок доступа к персональным данным третьих лиц и субъектов персональных данных. Передача персональных данных.

VI. Права субъектов персональных данных.

VII. Государственная регистрация баз персональных данных.

В приложениях к Положению целесообразно утвердить образцы (трафаретные формы) согласия на обработку ПД, уведомления о цели обработки ПД и правах субъекта ПД, а также обязательства о неразглашении ПД для ответственных лиц.

Положение о порядке обработки и защите персональных данных утверждается приказом руководителя предприятия.

Шаг 4. Издание приказа о назначении ответственных лиц.

Согласно части 5 стати 24 Закона о защите ПД на предприятиях всех форм собственности определяется структурное подразделение или ответственное лицо, которое организовывает работу, связанную с защитой ПД при их обработке, в соответствии с законом.

Таким образом, руководитель предприятия своим приказом должен назначить лиц (или структурное подразделение), ответственных за организацию работы по защите ПД и госрегистрации БПД. В приказе необходимо указать Ф. И. О. ответственных лиц, занимаемые должности, перечислить их полномочия и функции, выполняемые в рамках предоставленных полномочий.

Что касается физлиц-предпринимателей, то они ответственных лиц не назначают, а обеспечивают защиту ПД, которыми они владеют, лично.

Шаг 5. Регистрация БПД.

Согласно статье 9 Закона о защите ПД БПД подлежит госрегистрации путем внесения соответствующей записи в Госреестр БПД. Положение о Госре­естре баз персональных данных и порядке его ведения утверждено постановлением КМУ от 25.05.2011 г. № 616.

Регистрации подлежат все БПД в электронном виде и/или в форме картотек, независимо от объема и формы применения ПД, вида деятельности владельца ПД. Исключение составляют (с учетом нововведений Закона № 5491):

– БПД, ведение которых связано с обеспечением и реализацией трудовых отношений;

– БПД членов общественных, религиозных организаций, проф­союзов, политических партий.

Таким образом, с 20.12.2012 г. (даты вступления в силу Закона № 5491) те субъекты хозяйствования, которые еще не подали заявление о регистрации БД «Работники», могут такое заявление не подавать. Тем же, кто успел зарегистрировать БПД «Работники» до указанной даты, никаких действий по отмене регистрации предпринимать не нужно, тем более, что процедура аннулирования регистрации БПД Законом о защите ПД не предусмотрена. При этом в случае возникновения изменений в сведениях, необходимых для регистрации БПД «Работники», таким субъектам придется сообщить об изменениях ГСЗПД в установленном порядке (см. ниже).

Что касается субъектов, подав­ших заявления о регистрации БПД «Работники» до 20.12.2012 г. и еще не получивших Свидетельство о госрегистрации БПД, им представители ГСЗПД рекомендуют направить письмо в произвольной форме об отзыве заявления о регистрации БД «Работники».

Примерный образец просьбы выглядит следующим образом (все пункты обязательны для заполнения):

У зв’язку з набранням чинності 20.12.2012 р. Законом України від 20.11.2012 р. № 5491-VI «Про внесення змін до Закону України «Про захист персональних даних» просимо Вас не реєструвати базу(и) персональних даних. Для пошуку заяви надаємо наступний перелік інформації:

1. Найменування володільця персональних даних, наприклад – ТОВ «Мрія» або Пилипенко Микола Сергійович.

2. Код ЄДРПОУ/Реєстраційний номер облікової картки платника податків – володільця персональних даних.

3. Вихідна дата та номер поданої заяви про реєстрацію бази персональних даних.

4. Найменування бази персональних даних, зазначеної у заяві, наприклад – База персональних даних «Працівники».

5. Адреса електронної пошти/Контактний телефон.

Підпис (печатка)

При этом независимо от того, зарегистрирована БПД «Работники» или нет, все работодатели обязаны принимать меры по защите ПД своих работников, предусмотренные действующим законодательством.

Регистрация БПД (например, БПД «Контрагенты»/«Клиенты») осуществляется путем подачи заявления по форме, утвержденной приказом Минюста от 08.07.2011 г. № 1824/5. Перечень сведений, которые должны содержаться в заявлении, определен частью 3 статьи 9 Закона о защите ПД.

Заявление заполняется на украинском языке и подается в бумажной или в электронной форме. В случае подачи заявления в бумажной форме заявитель (владелец БПД) подписывает каждую страницу заявления и скрепляет ее печатью (при наличии). Вместе с заявлением на бумаге желательно предоставлять также его электронную копию.

В электронной форме заявление можно подать лишь при соблюдении требований Законов № 852 и № 851.

Адрес ГСЗПД для подачи заявлений: 02660, г. Киев, ул. Марины Расковой, 15, каб. 1205; e-mail: register@zpd.gov.ua.

Существует также возможность подачи заявления о регистрации БПД через официальный сайт ГСЗПД: https://rbpd.informjust.ua. Инструкцию по созданию и подаче заявления в электронной форме через веб-сайт Госреестра БПД можно найти по адресу: http://zpd.gov.ua/dszpd/uk/publish/article/32536.

На каждую БПД необходимо подавать отдельное заявление о регистрации.

ГСЗПД должна принять решение о регистрации БПД в течение 30 рабочих дней со дня поступления заявления (ранее этот срок носил скорее декларативный характер и составлял 10 рабочих дней). После этого владельцу ПД будет выдано Свидетельство о госрегистрации БПД (по форме приказа Минюста от 08.07.2011 г. № 1823/5).

Обратите внимание: регистрации подлежит сам факт наличия БПД. Сведения о физлицах, внесенные в БПД, в ГСЗПД не передаются и не регистрируются. Соответственно в случае изменения сведений о физлицах, составляющих содержание БПД, никаких действий по регистрации изменений предпринимать не нужно. Регистрировать следует только изменения в сведениях, которые предоставлялись при регистрации соответствующей БПД, – названии и местонахождении БПД, цели использования, информации о распорядителях БПД и т. д. Подать заявление о внесении изменений в Госреестр БПД нужно в течение 10 рабочих дней со дня наступления изменений (ч. 6 ст. 9 Закона о защите ПД).

ГСЗПД в течение 10 рабочих дней со дня поступления сообщения об изменении сведений, необходимых для регистрации соответствующей БПД, должна принять решение об указанном изменении и сообщить об этом владельцу ПД.

Документы консультации

Закон о защите ПД – Закон Украины «О защите персональных данных» от 01.06.2010 г. № 2297-VI.

Закон № 5491 – Закон Украины «О внесении изменений в Закон Украины «О защите персональных данных» от 20.11.2012 г. № 5491-VI.

Закон № 852 – Закон Украины «Об электронной цифровой подписи» от 22.05.2003 г. № 852-IV.

Закон № 851 – Закон Украины «Об электронных документах и электронном документообороте» от 22.05.2003 г. № 851-IV.

Материал подготовила Елена Беляева,
консультант газеты «Собственное Дело»