Защита персональных данных в Украине:
ответы на вопросы и практические советы
Владимир Лежнин, юрист (консалтинговые услуги), г. Харьков
При реализации Закона № 2297 возникает огромное количество вопросов, ответы на большинство из которых вы сможете найти в этой статье.
ДОКУМЕНТЫ СТАТЬИ
Конституция — Конституция Украины от 28.06.2011 г. № 254к/96-ВР.
КЗоТ — Кодекс законов о труде Украины от 10.12.71 г. 322-VIII.
УКУ — Уголовный кодекс Украины от 05.04.2001 г. № 2341-III.
ГК — Гражданский кодекс Украины от 16.01.2003 г. № 435-IV.
УПКУ — Уголовный процессуальный кодекс Украины от 28.12.60 г. № 1000-V.
КоАПУ — Кодекс Украины об административных правонарушениях от 07.12.84 г. № 8073-Х.
НКУ — Налоговый кодекс Украины от 02.12.2010 г. № 2755-VI.
Закон № 2297 — Закон Украины «О защите персональных данных» от 01.06.2010 г. № 2297-VI.
Закон об обязательном экземпляре документов — Закон Украины «Об обязательном экземпляре документов» от 09.04.99 г. № 595-XIV.
Закон об информации — Закон Украины «Об информации» от 02.10.92 г. № 2657-XII.
Закон № 996 — Закон Украины «О бухгалтерском учете и финансовой отчетности в Украине» от 16.07.99 г. № 996-XIV.
Закон об электронной цифровой подписи — Закон Украины «Об электронной цифровой подписи» от 22.05.2003 г. № 852-IV.
Закон № 877 — Закон Украины «Об основных принципах государственного надзора (контроля) в сфере хозяйственной деятельности» от 05.04.2007 г. № 877-V.
Закон о государственной поддержке средств массовой информации и социальной защите журналистов — Закон Украины «О государственной поддержке средств массовой информации и социальной защите журналистов» от 23.09.97 г. № 540/97-ВР.
Закон о профессиональных творческих работниках и творческих союзах — Закон Украины «О профессиональных творческих работниках и творческих союзах» от 07.10.97 г. № 554/97-ВР.
Положение о ГСЗПД — Положение о Государственной службе Украины по вопросам защиты персональных данных, утвержденное Указом Президента Украины от 06.04.2011 г. № 390.
Разъяснение — разъяснение Министерства юстиции Украины «Некоторые вопросы практического применения Закона Украины «О защите персональных данных» от 21.12.2011 г.
Типовой порядок — Типовой порядок обработки персональных данных в базах персональных данных, утвержденный приказом Министерства юстиции Украины от 30.12.2011 г. № 3659/5.
Письмо Минюста — письмо Министерства юстиции Украины от 08.11.2011 г. № 17304-0-33-11/61.Закон № 2297 — Закон Украины «О защите персональных данных» от 01.06.2010 г. № 2297-VI.
Каков критерий отнесения сведений к персональным данным?
Персональные данные — сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано (ст. 2 Закона № 2297).
Не все сведения о физическом лице являются его персональными данными. Например, сбор и хранение только имен клиентов (без фамилий), их возраст и пол не могут быть персональными данными, поскольку по этим сведениям нельзя идентифицировать конкретное физическое лицо. В случаях распространенности фамилии (Иванов, Петров...) даже указание фамилии и инициалов не является персональными данными. Однако если фамилия редкая — это другое дело, поскольку по одной только этой фамилии можно определить личность, поэтому перечень выполненных работ с указанием псевдонима не является персональными данными и не составляет базу персональных данных (далее — БПД).
Как следует из определения, главным критерием персональных данных является возможность идентификации (установления тождественности) по этим сведениям конкретного физического лица.
Что означает упорядоченность персональных данных?
Как это влияет на регистрацию БПД?
Под базой персональных данных (далее — БПД) законодатель понимает именуемую совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных (ст. 2 Закона № 2297).
В соответствии с Разъяснением БПД представляет собой упорядоченную совокупность логично связанных данных о физических лицах, которые:
— хранятся и обрабатываются соответствующим программным обеспечением, являются базой персональных данных в электронной форме;
— хранятся и обрабатываются на бумажных носителях информации, являются базой персональных данных в форме картотек.
В случае хранения данных в электронной форме их упорядоченность очевидна, поскольку функция поиска обеспечивает легкий доступ к информации по заданным критериям. А «упорядочивать» означает «систематизировать», «составлять», «подбирать в определенном порядке» (какой-либо материал); «заключать».
Требования к обработке персональных данных в БПД в электронной форме:
— обработка персональных данных в информационной (автоматизированной) системе может осуществляться в составе информационно-телекоммуникационной системы с применением средств сетевой защиты от несанкционированного доступа при обработке персональных данных (п. 2.2 Типового порядка);
— работники владельца БПД допускаются к обработке персональных данных только после их авторизации (п. 2.3 Типового порядка);
— доступ лиц, не прошедших процедуру идентификации и/или аутентификации (процедура установления принадлежности работнику владельца или распорядителя БПД предъявленного им идентификатора), должен блокироваться (п. 2.4 Типового порядка);
— в информационной (автоматизированной) системе, где обрабатываются персональные данные, может осуществляться регистрация, в частности:
• результатов идентификации и/или аутентификации работников владельца БПД;
• действий по обработке персональных данных;
• факта установления признака «Подтверждение предоставления согласия на обработку персональных данных в БПД» с помощью управляющих элементов веб-ресурсов владельца или распорядителя БПД, интерфейсов пользователя программного обеспечения;
• результатов проверки целостности средств защиты персональных данных;
— ответственное лицо и/или структурное подразделение может проводить анализ регистрационных данных;
— регистрационные данные защищаются от модификации и уничтожения;
— регистрационные данные должны храниться и предоставляться по мотивированному требованию для анализа субъектам отношений, связанным с персональными данными (п. 2.5 Типового порядка);
— владелец БПД обеспечивает антивирусную защиту в информационной (автоматизированной) системе (п. 2.6 Типового порядка);
— владелец БПД обеспечивает использование технических средств бесперебойного питания элементов информационной (автоматизированной) системы (п. 2.7 Типового порядка).
Что же понимать под картотекой? Картотекой персональных данных является любой структурированный массив персональных данных, доступный по определенным критериям, независимо от того, является ли такой массив централизованным, децентрализованным либо разделенным на функциональных или географических принципах. Такие данные должны быть структурированы по определенным критериям, касающимся физических лиц, чтобы обеспечить легкий доступ к соответствующим персональным данным (Разъяснение).
Таким образом, для определения картотеки необходимо, чтобы документы были сгруппированы по определенным критериям (для физических лиц — по фамилиям по алфавиту, датам рождения, принадлежности к определенной группе и т. п.).
Требования к обработке персональных данных в БПД в форме картотек:
— документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных;
— дела с документами, содержащими персональные данные, должны иметь внутреннюю опись документов с указанием цели обработки и категории персональных данных;
— картотеки хранятся в помещениях (шкафах, сейфах), защищенных от несанкционированного доступа (п. 3.1 Типового порядка);
— двери в помещениях (шкафах, сейфах) должны быть оборудованы замком или контролем доступа (п. 3.2 Типового порядка).
Если же массив данных в бумажной форме не структурирован таким образом, то отсутствует БПД. Как сообщает пресс-служба Минюста, не являются БПД и не подлежат государственной регистрации неупорядоченные договоры выполнения работ или предоставления услуг с физическими лицами.
Однако в некоторых случаях необходимость упорядочения персональных данных физических лиц продиктована нормами других нормативно-правовых актов и необходимостью их защиты.
Ответственность за организацию бухгалтерского учета и обеспечение фиксирования фактов осуществления всех хозяйственных операций в первичных документах (договорах, актах и т. п.), сохранность обработанных документов, регистров и отчетности в течение установленного срока, но не менее трех лет, несет собственник (собственники) или руководитель (ч. 3 ст. 8 Закона № 996), а в соответствии с ч. 2 ст. 10 Закона № 2297 использование персональных данных владельцем базы осуществляется в случае создания им условий для защиты этих данных.
Таким образом, у юридических лиц не может быть «неупорядоченных» договоров, являющихся первичными документами. Ведь такое лицо регулярно подает отчетность, рассчитывает размер налога для уплаты и т. п., поэтому такое утверждение актуально в случае применения упрощенной системы налогообложения.
Если обрабатываются персональные данные одного физического лица,
следует ли регистрировать БПД?
В соответствии с письмом Минюста, исходя из содержания понятия БПД, определенного ст. 2 Закона № 2297, персональные данные одного физического лица не являются БПД. Однако лицо, владеющее этими данными, обязано принимать меры по их сохранности.
Какие виды персональных данных существуют?
Существуют персональные данные следующих категорий:
данные общего характера (фамилия, имя и отчество, дата и место рождения, гражданство, местожительство, личные сведения (возраст, пол, семейное положение и т. п.), состав семьи, образование, профессия, финансовая информация, электронные идентификационные данные, запись изображений (фото, видео) и т. п.);
и уязвимые (деликатные) персональные данные (расовое либо этническое происхождение, политические, религиозные или мировоззренческие убеждения, членство в политических партиях и профессиональных союзах, а также данные, касающиеся здоровья или половой жизни).
Что понимать под согласием субъекта персональных данных?
Может ли это согласие быть выражено в устной форме?
Согласно ст. 2 Закона № 2297 «согласие субъекта персональных данных — любое задокументированное, в частности письменное, добровольное волеизъявление физического лица о предоставлении разрешения на обработку его персональных данных в соответствии со сформулированной целью их обработки».
Как следует из определения, формой согласия являются:
— письменное волеизъявление;
— любое задокументированное волеизъявление.
Письменное волеизъявление является, по сути, письменной сделкой (действием лица, направленным на приобретение, изменение или прекращение прав и обязанностей), поэтому к письменному волеизъявлению применяются требования ст. 207 ГК:
— сделка считается совершенной в письменной форме, если ее содержание зафиксировано в одном или нескольких документах, в письмах, телеграммах, которыми обменялись стороны;
— сделка считается совершенной в письменной форме, если воля сторон выражена с помощью телетайпного, электронного или другого технического средства связи;
— сделка считается совершенной в письменной форме, если она подписана его стороной;
— согласие может быть подписано и электронной цифровой подписью в порядке, предусмотренном Законом об электронной цифровой подписи;
— если физическое лицо в связи с болезнью или физическим недостатком не может подписаться собственноручно, по его поручению текст сделки в его присутствии подписывает другое лицо. Подпись другого лица на тексте сделки, для которой не требуется нотариальное удостоверение, может быть заверена соответствующим должностным лицом по месту работы, учебы, проживания либо лечения лица, которое эту сделку совершает.
Что же такое «задокументированное» волеизъявление ? Задокументированное согласие — это согласие физического лица, закрепленное в документе.
Документ — материальная форма получения, хранения, использования и распространения информации, зафиксированной на бумаге, магнитной, кино-, фотопленке, оптическом диске или другом носителе (ст. 1 Закона об обязательном экземпляре документов).
Согласно ст. 1 Закона об информации документ — материальный носитель, содержащий информацию, основными функциями которого являются ее хранение и передача во времени и пространстве.
Таким образом, согласие лица на обработку его персональных данных может быть предоставлено путем его провозглашения (зачитывание текста согласия) с записью на видео или путем звукозаписи. В дальнейшем такую запись можно хранить на любых носителях информации — дисках, флеш-накопителях, жестких дисках, кинопленке и т. п.
Такой способ согласия приемлем не для всех, однако для некоторых категорий организаций или подразделений просто необходим. Так, кадровые службы строительной компании (или рекрутинговые агентства) общаются с кандидатами по всей Украине, хотя территориально находятся в одном месте. Как собирать согласия? Общаясь с кандидатом с помощью программы «Skype», попросите зачитать текст согласия, сохраните этот файл, и формальность по получению согласия будет соблюдена. А сообщение о включении его данных в БПД с разъяснением прав можно послать по электронной почте сразу при разговоре. Этот способ также подходит для лиц с ограниченными возможностями, которые не могут самостоятельно подписать документ.
Внимание: перед записью согласия необходимо спросить у лица согласие на видео- или звукозапись. Это согласие должно быть четко выражено во время записи.
Таким образом, предоставление устного согласия допускается при условии его записи с помощью видео- или звукозаписывающих устройств с последующим хранением такого документа.
Что должно содержать согласие субъекта персональных данных?
В соответствии с требованиями Закона № 2297 согласие субъекта персональных данных на обработку персональных данных должно содержать информацию о:
— цели , определяемой владельцем БПД в зависимости от вида его деятельности, при осуществлении которой возникает необходимость в обработке персональных данных в БПД, конкретных целей обработки персональных данных, для достижения которых владелец обрабатывает персональные данные в этой базе (ст. 2 Закона № 2297);
— объеме персональных данных, а именно четкий перечень персональных данных физического лица, которые могут обрабатываться владельцем базы персональных данных в этой базе (ст. 6 Закона № 2297);
— порядке использования персональных данных , предусматривающем действия владельца базы по обработке этих данных, в том числе использованию персональных данных работниками владельца БПД, в соответствии с их профессиональными или служебными или трудовыми обязанностями, действия по их защите, а также действия по предоставлению частичного или полного права обработки персональных данных другим субъектам отношений, связанных с персональными данными (ст. 10 Закона № 2297);
— порядке распространения персональных данных , предусматривающем действия владельца БПД по передаче сведений из БПД о физическом лице (ст. 14 Закона № 2297);
— порядке доступа к персональным данным третьих лиц , определяющем действия владельца БПД в случае получения запроса от третьего лица о доступе к персональным данным, в том числе порядок доступа субъекта персональных данных к сведениям о себе (ст. 16 Закона № 2297).
Каковы особенности защиты персональных данных
физическими лицами — предпринимателями
и самозанятыми лицами?
В соответствии с Разъяснением физические лица — предприниматели и самозанятые лица самостоятельно определяют, владеют ли они базами персональных данных в понимании Закона № 2297.
Самозанятое лицо — это плательщик налога, который является физическим лицом — предпринимателем либо осуществляет независимую профессиональную деятельность при условии, что такое лицо не является работником в рамках такой предпринимательской или независимой профессиональной деятельности.
Независимая профессиональная деятельность — участие физического лица в научной, литературной, артистической, художественной, образовательной или преподавательской деятельности, деятельность врачей, частных нотариусов, адвокатов, аудиторов, бухгалтеров, оценщиков, инженеров или архитекторов, лица, занятого религиозной (миссионерской) деятельностью, другой подобной деятельностью при условии, что такое лицо не является работником или физическим лицом — предпринимателем и использует наемный труд не более четырех физических лиц (п.п. 14.1.226 п. 14.1 ст. 14 НКУ).
Так, при осуществлении своей профессиональной деятельности на адвокатов законодательством не возложена обязанность ведения БПД клиентов. Но если адвокаты формируют на своих клиентов дела, которые они постоянно обновляют и поддерживают в актуальном состоянии, такие дела являются базой персональных данных и подлежат государственной регистрации.
Нотариусы могут обрабатывать персональные данные своих наемных работников, клиентов в базах персональных данных, однако документы нотариального делопроизводства и архив нотариуса, определенные в ст. 14 Закона Украины «О нотариате», не являются БПД в понимании Закона Украины «О защите персональных данных» и не подлежат государственной регистрации.
Кроме того, в случае если физические лица — предприниматели заключают договоры выполнения работ или предоставления услуг с физическими лицами, такие договоры также не являются БПД и не подлежат государственной регистрации.
Нужно ли юридическому лицу создавать БПД наемных работников?
Однозначный ответ на этот вопрос дается в Разъяснении:
«В соответствии со ст. 24 КЗоТ гражданин при заключении трудового договора обязан подать паспорт или другой документ, удостоверяющий личность, трудовую книжку, а в случаях, предусмотренных законодательством, — также документ об образовании (специальности, квалификации), о состоянии здоровья и другие документы.
В связи с этим персональные данные работника, содержащиеся в паспорте или документе, удостоверяющем личность, в трудовой книжке, документе об образовании (специальности, квалификации), документе о состоянии здоровья и других документах, которые он подал при заключении трудового договора, обрабатываются владельцем базы персональных данных на основании ст. 24 КЗоТ исключительно для осуществления полномочий владельца базы персональных данных в сфере правоотношений, возникших у него с работником на основании трудового договора (контракта).
Таким образом, информация о наемных работниках является БПД, поскольку личные дела, трудовые книжки, копии паспортов, документов об образовании хранятся и обрабатываются работодателем».
Если информация о работниках у юридического лица
не ведется, нужно ли регистрировать БПД?
Если сведения о работниках на предприятии отсутствуют и не обрабатываются, то отсутствует и БПД. Однако в таком случае сотрудники работают без надлежащего оформления. Как уже отмечалось выше, при оформлении работников в любом случае имеется БПД.
Отсутствие таких данных и соответственно зарегистрированной БПД свидетельствует о нарушении трудового законодательства и влечет за собой уголовную ответственность.
Согласно ч. 1 ст. 172 УКУ «Грубое нарушение законодательства о труде» незаконное увольнение работника с работы по личным мотивам, а также другое грубое нарушение законодательства о труде — наказываются штрафом до 850 грн. либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо исправительными работами на срок до двух лет.
На кого не распространяется Закон № 2297?
Действие Закона № 2297 не распространяется на деятельность по созданию баз персональных данных и обработке персональных данных в этих базах (абзац второй ст. 1 Закона № 2297):
физическим лицом — исключительно для непрофессиональных личных или бытовых нужд ;
журналистом — в связи с выполнением им служебных или профессиональных обязанностей;
профессиональным творческим работником — для осуществления творческой деятельности.
Под непрофессиональными личными и бытовыми нуждами понимаются нужды, которые непосредственно не связаны с предпринимательской деятельностью, деятельностью самозанятого лица или выполнением обязанностей наемного работника. Такие нужды обусловлены реализацией конституционных прав человека — на жизнь, на свободное развитие своей личности, на уважение к его достоинству, на свободу и личную неприкосновенность, тайны корреспонденции, свободу передвижения и свободный выбор местожительства, свободу мысли и слова, свободу мировоззрения и вероисповедания, распоряжение собственностью, на здравоохранение, на свободу литературного, художественного, научного и технического творчества и т. п.
Так, БПД для бытовых нужд мы пользуемся ежедневно — это телефонная книга с указанием лиц и номеров, перечень адресов знакомых, дат их рождения, перечень лиц, предоставляющих услуги, — врачи, парикмахеры, сантехники и т. п. Поэтому бессмысленно было бы требовать регистрировать такие БПД или при знакомстве с девушкой, перед тем как взять у нее номер телефона, предложить подписать согласие на обработку ее персональных данных...
Журналист — творческий работник, который профессионально собирает, получает, создает и занимается подготовкой информации для средств массовой информации, выполняет редакционно-должностные служебные обязанности в средстве массовой информации (в штате или на внештатных принципах) в соответствии с профессиональными названиями должностей (работы) журналиста, указываемыми в государственном классификаторе профессий Украины (ст. 1 Закона о государственной поддержке средств массовой информации и социальной защите журналистов).
Причиной для исключения журналистов является необходимость обеспечения «свободы слова» как одного из главных принципов демократического украинского общества.
Профессиональным творческим работником является лицо, осуществляющее творческую деятельность на профессиональной основе, результатом которой является создание либо интерпретация произведений в сфере культуры и искусства, публично представляющее такие произведения на выставках, путем публикации, сценического исполнения, кино-, теле-, видеопоказа и т. п. и/или являющееся членом творческого союза, и/или имеющее государственные награды за деятельность в сфере культуры и искусства (ст. 1 Закона о профессиональных творческих работниках и творческих союзах).
Основными направлениями деятельности таких работников, обусловливающими необходимость исключения их из сферы действия Закона № 2297, являются:
творческая деятельность в области культуры и искусства;
развитие национальной культуры и искусства, разработка и воплощение в жизнь культурно-художественных мероприятий, организация творческих конкурсов, выставок, авторских вечеров, премьер, фестивалей и т. п.;
создание условий для творческого труда, повышения профессионального, научного и общекультурного уровня членов творческого союза, воспитания творческой молодежи, овладения ею достижениями национальной и общечеловеческой культуры;
поиск талантов среди молодежи и содействие их творческому развитию;
издание газет, журналов, книг и другой печатной продукции, создание кино- и видеофильмов, аудиовизуальной продукции с целью популяризации достижений украинской и мировой культуры и искусства, творческого багажа членов союзов;
забота о правовой, социальной и профессиональной защите членов творческого союза;
содействие возрождению, развитию и популяризации народного творчества, творческому использованию народных традиций в развитии культуры и искусства, сохранению и обогащению историко-культурного наследия и окружающей природной среды, проведению массовых культурно-просветительских мероприятий, а также утверждению демократических, общечеловеческих ценностей;
постоянное сотрудничество с педагогическими и научно-педагогическими коллективами учебных заведений;
оказание помощи в учебно-воспитательной работе педагогическим коллективам в патриотическом, культурном и интеллектуальном развитии детей и молодежи, в морально-этическом и эстетичном воспитании;
содействие обмену культурными ценностями, сотрудничество между деятелями культуры и искусства разных стран, национальными и международными организациями культуры и искусств;
воспитание уважения к историко-культурным ценностям, традициям украинского и других народов (ч. 3 ст. 3 Закона о профессиональных творческих работниках и творческих союзах).
Каков момент выполнения обязанности регистрации БПД?
Как определено в Разъяснении, регистрация БПД осуществляется по заявочному принципу путем уведомления. Суть заявочного принципа заключается в том, что основным шагом является подача владельцем БПД заявления о регистрации БПД, а не получение свидетельства о государственной регистрации БПД. Следовательно, ключевым и определяющим является факт внесения соответствующей записи Государственной службой Украины по вопросам защиты персональных данных в Государственный реестр БПД, а не получение соответствующего свидетельства.
Таким образом, моментом выполнения требований Закона № 2297 по регистрации БПД является факт отправления заявления на регистрацию в Государственную службу Украины по вопросам защиты персональных данных.
Кто может проверять соблюдение законодательства
по защите персональных данных?
Осуществление контроля за соблюдением законодательства о защите персональных данных в соответствии со ст. 22 Закона № 2297 возложено на Государственную службу Украины по вопросам защиты персональных данных (далее — ГСЗПД); другие органы государственной власти и органы местного самоуправления.
Так, в соответствии с п.п. 14 п. 3 Положения о ГСЗПД осуществляет контроль за соблюдением законодательства о защите персональных данных путем проведения выездных и невыездных проверок владельцев и (или) распорядителей баз персональных данных.
Также согласно п.п. 16 п. 3 Положения о ГСЗПД составляет административные протоколы о выявлении нарушения законодательства в сфере защиты персональных данных.
В соответствии со ст. 19 Конституции органы государственной власти и органы местного самоуправления, их должностные лица обязаны действовать только на основании, в рамках полномочий и способом, предусмотренными Конституцией и законами Украины.
В законах, положениях о других контролирующих органах отсутствуют полномочия на проведение проверок по вопросам защиты персональных данных. Поэтому другие органы (УБОП, УБЭП, ГНИ и т. п.) не имеют права проводить проверки соблюдения законодательства в сфере защиты персональных данных.
Это касается нарушений, определенных КоАПУ. Однако ст. 182 УКУ «Нарушение неприкосновенности частной жизни» определяет: «1. Незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о лице или незаконное изменение такой информации, кроме случаев, предусмотренных другими статьями этого Кодекса, — наказываются штрафом от пятисот (8500 грн.) до одной тысячи (17000 грн.) не облагаемых налогом минимумов доходов граждан либо исправительными работами на срок до двух лет, либо арестом на срок до шести месяцев, либо ограничением свободы на срок до трех лет.
2. Те же действия, совершенные повторно, или если они причинили существенный ущерб охраняемым законом правам, свободам и интересам лица, — наказываются арестом на срок от трех до шести месяцев либо ограничением свободы на срок от трех до пяти лет, либо лишением свободы на тот же срок.
Примечание . Существенным ущербом в этой статье, если он заключается в причинении материальных убытков, считается такой ущерб, который в сто и более раз превышает не облагаемый налогом минимум доходов граждан».
Проверку , предшествующую возбуждению уголовного дела по ст. 182 УКУ, осуществляют органы милиции или прокуратуры в порядке, определенном УПКУ. Однако эта проверка проводится по конкретному факту нарушения, а не по всей деятельности. Расследования по уголовному делу о преступлении, предусмотренном ст. 182 УКУ, проводятся органами прокуратуры (ст. 112 УПКУ).
Однако привлечение к административной и уголовной ответственности за нарушение норм о защите персональных данных осуществляет исключительно суд.
Как проводится проверка ГСЗПД,
если отсутствует положение о проверках?
Действительно, на сегодняшний день еще не принято положение или другой документ, регламентирующий порядок проведения проверок ГСЗПД. Однако ГСЗПД наделено широкими полномочиями в соответствии с Законом № 2297 и Положением о ГСЗПД.
ГСЗПД имеет следующие права, касающиеся проверок :
— осуществляет в рамках своих полномочий контроль за соблюдением требований законодательства о защите персональных данных с обеспечением в соответствии с законом доступа к информации, связанной с обработкой персональных данных в БПД (комментарий см. ниже. — Примеч. авт.), и к помещениям, где осуществляется их обработка (п. 4 ч. 2 ст. 23 Закона № 2297);
— выдает обязательные для выполнения законные требования (предписания) об устранении нарушений законодательства о защите персональных данных (п. 5 ч. 2 ст. 23 Закона № 2297);
— рассматривает предложения, запросы, обращения, требования и жалобы физических и юридических лиц (п. 6 ч. 2 ст. 23 Закона № 2297);
— осуществляет государственный надзор и контроль за соблюдением законодательства о защите персональных данных (п.п. 12 п. 4 Положения о ГСЗПД);
— разрабатывает и утверждает планы проверок владельцев и (или) распорядителей баз персональных данных по соблюдению ими требований законодательства в сфере защиты персональных данных (п.п. 13 п. 4 Положения о ГСЗПД);
— проводит в пределах своих полномочий выездные и безвыездные проверки владельцев и (или) распорядителей баз персональных данных (п.п. 14 п. 4 Положения о ГСЗПД);
— получает информацию, документы и материалы от государственных органов и органов местного самоуправления, предприятий, учреждений, организаций всех форм собственности и их должностных лиц (п.п. 2 п. 6 Положения о ГСЗПД);
— пользуется соответствующими информационными базами данных государственных органов, государственными, в том числе правительственными, системами связи и коммуникаций, сетями специальной связи и другими техническими средствами (п.п. 4 п. 5 Положения о ГСЗПД).
Законодатель не раскрывает понятие «информация, связанная с обработкой персональных данных». По мнению автора, под этим термином следует понимать не сами персональные данные, а задокументированые согласия на обработку персональных данных, доказательства уведомления субъекта, внутренние документы по обработке и защите персональных данных.
В соответствии с ч. 7 ст. 4 Закона № 877, если норма закона или другого нормативно-правового акта, изданного в соответствии с законом, допускает неоднозначное толкование прав и обязанностей субъекта хозяйствования либо органа государственного надзора (контроля) и его должностных лиц, решение принимается в пользу субъекта хозяйствования. У ГСЗПД отсутствует право требовать предоставления именно БПД. Следовательно, на основании ч. 7 ст. 4 Закона № 877 ГСЗПД не имеет права требовать предоставлять именно БПД, если иное не определено в согласии физического лица на обработку персональных данных.
Таким образом, вся проверка может заключаться в том, что ГСЗПД пошлет запрос о предоставлении информации и документов, связанных с обработкой персональных данных. Или пожалует должностное лицо ГСЗПД и предложит предоставить такую информацию и документы.
Если ГСЗПД выявит нарушение, то вынесет предписание или составит протокол об административном правонарушении. В дальнейшем протокол будет передан в общий местный суд для принятия решения о привлечении к административной ответственности.
План проверок ГСЗПД публикуется на официальном сайте: http://zpd.gov.ua/indexDovidkaInfo.html. Периодически просматривая такую информацию, вы имеете возможность заблаговременно подготовиться к плановой проверке.
Общие условия проверки ГСЗПД определены в Законе № 877:
— плановые и внеплановые мероприятия осуществляются в рабочее время субъекта хозяйствования, установленное правилами внутреннего трудового распорядка (ч. 3 ст. 4 Закона № 877);
— ГСЗПД и субъекты хозяйствования имеют право фиксировать процесс осуществления планового или внепланового мероприятия либо каждое отдельное действие средствами аудио- и видеотехники, не препятствуя осуществлению такого мероприятия (ч. 8 ст. 4 Закона № 877);
— плановое или внеплановое мероприятие должно осуществляться в присутствии руководителя либо его заместителя или уполномоченного лица субъекта хозяйствования (ч. 11 ст. 4 Закона № 877);
— перед началом осуществления государственного надзора (контроля) должностное лицо ГСЗПД вносит запись в соответствующий журнал о проверках субъекта хозяйствования (при его наличии) (ч. 12 ст. 4 Закона № 877);
— перед началом осуществления проверки должностные лица ГСЗПД обязаны предъявить руководителю субъекта хозяйствования либо уполномоченному им лицу удостоверение (направление) и служебное удостоверение и предоставить субъекту хозяйствования копию удостоверения (направления). Должностное лицо ГСЗПД без удостоверения (направления) на осуществление мероприятия и служебного удостоверения не имеет права проводить проверку субъекта хозяйствования.
Внимание! Субъект хозяйствования имеет право не допускать должностных лиц ГСЗПД к осуществлению проверки, если они не предъявили направление и служебное удостоверение (ч. 5 ст. 7 Закона № 877);
— по результатам осуществления планового или внепланового мероприятия должностное лицо ГСЗПД в случае выявления нарушений требований законодательства составляет акт проверки. В последний день проверки два экземпляра акта подписываются должностными лицами ГСЗПД, осуществлявшими проверку, и субъектом хозяйствования либо уполномоченным им лицом, если иное не предусмотрено законом. Если вы не соглашаетесь с актом, то подписывайте акт с замечаниями (ч. 6 ст. 7 Закона № 877).
О плановых проверках . ГСЗПД осуществляет плановые проверки при условии письменного уведомления субъекта хозяйствования о проведении планового мероприятия не позднее чем за десять дней до дня осуществления этого мероприятия.
Уведомление должно содержать:
дату начала и дату окончания осуществления планового мероприятия;
наименование юридического лица либо фамилию, имя и отчество физического лица — предпринимателя, в отношении деятельности которых осуществляется мероприятие;
наименование органа государственного надзора (контроля).
Уведомление направляется заказным письмом или телефонограммой за счет средств ГСЗПД или вручается лично руководителю либо уполномоченному лицу субъекта хозяйствования под роспись.
Вы имеете право не допускать должностное лицо ГСЗПД к осуществлению планового мероприятия в случае неполучения уведомления об осуществлении планового мероприятия (ч. 4 ст. 5 Закона № 877).
Срок осуществления планового мероприятия не может превышать пятнадцати рабочих дней, а для субъектов малого предпринимательства — пяти рабочих дней, если иное не предусмотрено законом. Продление срока осуществления планового мероприятия не допускается (ч. 5 ст. 5 Закона № 877).
О внеплановой проверке . Основаниями для осуществления внеплановых мероприятий являются:
подача субъектом хозяйствования письменного заявления в ГСЗПД об осуществлении мероприятия государственного надзора (контроля) по его желанию;
выявление и подтверждение недостоверности данных, заявленных в документах обязательной отчетности, поданных субъектом хозяйствования;
проверка выполнения субъектом хозяйствования предписаний, распоряжений или других распорядительных документов об устранении нарушений требований законодательства, выданных по результатам проведения плановых мероприятий ГСЗПД;
обращение физических и юридических лиц о нарушении субъектом хозяйствования требований законодательства;
неподача в установленный срок субъектом хозяйствования документов обязательной отчетности без уважительных причин, а также письменных пояснений о причинах, препятствовавших подаче таких документов;
наступление аварии, смерти пострадавшего в результате несчастного случая или профессионального заболевания, которое было связано с деятельностью субъекта хозяйствования.
Внимание! Во время проведения внеплановой проверки выясняются только те вопросы, необходимость проверки которых стала основанием для осуществления этого мероприятия, с обязательным указанием этих вопросов в удостоверении (направлении) на проведение проверки (ч. 1 ст. 6 Закона № 877).
Проведение внеплановых мероприятий по другим основаниям, кроме предусмотренных этой статьей, запрещается, если иное не предусматривается законом или международным договором Украины, согласие на обязательность которого предоставлено Верховной Радой Украины (ч. 2 ст. 6 Закона № 877).
Субъект хозяйствования должен ознакомиться с основанием проведения внепланового мероприятия с предоставлением ему копии соответствующего документа. То есть вы имеете право получить копию жалобы, запросов и т. п. (ч. 3 ст. 6 Закона № 877).
Срок осуществления внепланового мероприятия не может превышать десяти рабочих дней, а в отношении субъектов малого предпринимательства — двух рабочих дней. Продление срока осуществления внепланового мероприятия не допускается (ч. 4 ст. 6 Закона № 877).
Должностные лица ГСЗПД при осуществлении проверки обязаны :
— полно, объективно и беспристрастно осуществлять проверку в рамках полномочий, предусмотренных законом, т. е. только относительно обработки и защиты персональных данных;
— соблюдать деловую этику во взаимоотношениях с субъектами хозяйствования;
— не вмешиваться и не препятствовать осуществлению хозяйственной деятельности при проведении проверки, если это не угрожает жизни и здоровью людей, не влечет за собой опасность возникновения техногенных ситуаций и пожаров;
— обеспечивать неразглашение коммерческой тайны субъекта хозяйствования, которая становится доступной должностным лицам в ходе осуществления проверки;
— ознакомить руководителя субъекта хозяйствования либо его заместителя или уполномоченное им лицо с результатами проверки;
— оказывать субъекту хозяйствования консультационную помощь в проведении проверки (ч. 2 ст. 8 Закона № 877).
Субъект хозяйствования при осуществлении проверки имеет право :
— проверять наличие у должностных лиц ГСЗПД служебного удостоверения и получать копии удостоверения (направления) на проведение планового или внепланового мероприятия;
— не допускать должностных лиц органа государственного надзора (контроля) к осуществлению государственного надзора (контроля), если:
• он осуществляется с нарушением требований о периодичности проведения мероприятий государственного надзора (контроля), предусмотренных законом;
• должностное лицо органа государственного надзора (контроля) не предоставило копии документов, предусмотренных Законом № 877, или если предоставленные документы не соответствуют требованиям Закона № 877;
— присутствовать при осуществлении мероприятий государственного надзора (контроля);
— требовать неразглашения информации, являющейся коммерческой тайной субъекта хозяйствования;
— получать и знакомиться с актами проверки;
— предоставлять в письменной форме свои пояснения, замечания либо возражения к акту проверки;
— обжаловать в установленном законом порядке неправомерные действия должностных лиц ГСЗПД (ст. 10 Закона № 877).
Что именно будет проверять ГСЗПД?
Как ГСЗПД выявит нарушение?
ГСЗПД проверяет соблюдение требований защиты персональных данных:
1) неуведомление или несвоевременное уведомление субъекта персональных данных о его правах в связи с включением его персональных данных в БПД, цели сбора этих данных и лицах, которым эти данные передаются;
2) неуведомление или несвоевременное уведомление ГСЗПД об изменении сведений, подаваемых для государственной регистрации БПД;
3) уклонение от государственной регистрации БПД;
4) несоблюдение установленного законодательством о защите персональных данных порядка защиты персональных данных в БПД, что привело к незаконному доступу к ним;
5) невыполнение законных требований должностных лиц ГСЗПД по устранению нарушений законодательства о защите персональных данных (Рекомендации).
Выявить же нарушение для ГСЗПД не трудно . ГСЗПД затребует сведения о контрагентах — физических лицах в налоговом органе, о работниках — в управлении Пенсионного фонда или службе занятости и т. п. В дальнейшем у вас потребуют доказательства совершения действий по регистрации БПД, получению согласия на обработку и уведомлению субъектов персональных данных. ГСЗПД ведет реестр БПД, поэтому легко проверить, зарегистрировали ли вы БПД работников и контрагентов физических лиц, если таковые имеются. Также у ответственного лица будет затребована информация по обработке и защите персональных данных.
Если в отношении вас поступила жалоба, проверяющие прежде всего проверят изложенные в ней факты.
Если проверка проводится по факту совершения преступления, предусмотренного ст. 182 УКУ, то средствами доказывания будут: показания свидетеля, показания пострадавшего, показания подозреваемого, показания обвиняемого, заключение эксперта, вещественные доказательства, протоколы следственных и судебных действий, протоколы с соответствующими приложениями, составленными уполномоченными органами по результатам оперативно-розыскных мероприятий, и другие документы (ч. 2 ст. 65 УПКУ).
Если в государственный реестр БПД
не вносятся персональные данные,
то зачем вообще нужна такая регистрация?
В соответствии с пояснительной запиской к законопроекту целью принятия такого законопроекта (а следовательно, и регистрации БПД) является содействие социальному, экономическому и научно-техническому прогрессу и обеспечению баланса прав человека, общества и государства в этой сфере общественных отношений, а также улучшение нормативно-правового обеспечения защиты персональных данных в Украине согласно международному праву.
Реалии украинского общества позволяют выделить следующие цели такой регистрации:
— учет БПД по всей Украине, что облегчает осуществление их проверок;
— доступность для каждого информации о зарегистрированных БПД, что позволяет найти такие базы субъектам персональных данных;
— пополнение бюджета за счет взыскания штрафов за нарушение норм о защите персональных данных;
— дополнительный рычаг воздействия на хозяйствующих субъектов.
Как физическое лицо узнает,
что его персональные данные обрабатываются?
Источники информации для физического лица, из которых можно узнать об обработке его персональных данных:
— согласие на обработку персональных данных. У физического лица берется согласие на обработку его персональных данных. Согласие содержит информацию, в частности, о БПД и объеме персональных данных (п. 1 ч. 1 ст. 11 Закона № 2297);
— письменное уведомление. Субъект персональных данных в течение десяти рабочих дней со дня включения его персональных данных в БПД уведомляется о его правах, цели сбора данных и лицах, которым передаются его персональные данные, исключительно в письменной форме (ч. 2 ст. 12 Закона № 2297). Такое уведомление вручается лицу под расписку или ценным заказным письмом с описью вложенного и уведомлением о вручении, иначе невозможно будет доказать уведомление физического лица. Ответ на такое уведомление законодательством не предусмотрен;
— ответ на запрос субъекта персональных данных. Субъект персональных данных может обратиться к владельцу БПД с запросом, хранятся ли его персональные данные в соответствующей базе персональных данных, и с просьбой получать содержание его хранимых персональных данных. Ответ предоставляется в течение 30 дней (пп. 3, 4 ч. 2 ст. 8 Закона № 2297). Субъект персональных данных имеет право на получение любых сведений о себе у любого субъекта отношений, связанных с персональными данными, без указания цели запроса, кроме случаев, установленных законом (ч. 6 ст. 16 Закона № 2297). Доступ субъекта персональных данных к данным о себе осуществляется безвозмездно (ч. 1 ст. 19 Закона № 2297);
— государственный реестр БПД. Вы можете зайти в государственный реестр БПД в сети Интернет (https://rbpd.informjust.ua/default.aspx) и узнать о БПД контрагентов, работодателя и т. п.
Может ли физическое лицо запретить обработку
своих персональных данных?
Не допускается обработка данных о физическом лице без его согласия, кроме случаев, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека (ч. 6 ст. 6 Закона № 2297).
Субъект персональных данных имеет право предъявлять мотивированное требование с возражением против обработки своих персональных данных органами государственной власти, органами местного самоуправления при осуществлении их полномочий, предусмотренных законом (п. 5 ч. 2 ст. 8 Закона № 2297).
Таким образом, по общему правилу физическое лицо может запретить обработку своих персональных данных. Об исключениях речь будет идти дальше.
В каких случаях могут быть ограничены права физического лица
на защиту его персональных данных?
Ограничение прав субъектов персональных данных осуществляется только в интересах:
1) национальной безопасности, экономического благосостояния и прав человека;
2) защиты прав и свобод физических лиц, персональные данные которых обрабатываются, или прав других субъектов отношений, связанных с персональными данными, а также с целью борьбы с преступностью;
3) обеспечения субъектов отношений, связанных с персональными данными, сводной обезличенной информацией о персональных данных в соответствии с законодательством (ст. 25 Закона № 2297).
Ограничение прав с целью борьбы с преступностью означает, что правоохранительные органы могут обрабатывать персональные данные без согласия и уведомления субъектов. Даже в случае запроса субъектов персональных данных последние получат ответ о невозможности предоставления таких сведений со ссылкой на цель «борьба с преступностью».
Нечеткость формулировки и порядка ограничения прав физических лиц, с одной стороны, дает основания для злоупотреблений. Однако, с другой стороны, порядок «ограничения прав» должен быть конкретно определен для каждого органа государственной власти либо местного самоуправления, что следует из ст. 19 Конституции. Поэтому когда такие права ограничиваются, следует требовать четкого указания — на основании какого нормативно-правового акта осуществляется такое ограничение.
Жизненный пример
Ситуация: функционирует станция технического осмотра, на которой работают двое сотрудников, т. е. уже имеется одна БПД «Рабочие». Но как проверяющие будут проверять, есть такая БПД или нет? Им необходимо получить такую БПД на компьютере? Однако тогда будут раскрыты персональные данные работников...
Также с помощью программы «Microsoft Excel» учитываются выполненные работы (указаны имя, дата, описание машины и повреждения, вместо фамилии — псевдоним). Нужно ли регистрировать такой перечень работ?
Как уже описывалось выше, если по трудовым договорам работают работники, то уже имеется БПД этих работников. ГСЗПД может узнать об этом, получив информацию в Пенсионном фонде, налоговой инспекции, центре занятости или от самого руководителя. Если же работники выполняют работы по гражданско-правовому договору и эти договоры не упорядочены по персональным данным этих лиц, то отсутствует необходимость регистрировать БПД. Показывать данные самих работников нет необходимости, поскольку это не относится к предмету проверки ГСЗПД.
Учет выполненных работ с помощью компьютерной программы можно рассматривать как БПД, если можно идентифицировать физических лиц. В приведенном примере, если не указаны фамилия, имя и отчество клиента, а также государственный номер автомобиля, то идентифицировать клиентов невозможно. Поэтому такой перечень не является БПД.
Таким образом, Закон № 2297 несовершенен и впоследствии в него будут вноситься изменения и дополнения. При реализации норм данного Закона на практике необходимо использовать такие «недостатки» в свою пользу и обязательно учитывать положения других нормативно-правовых актов. В дальнейшем официальные разъяснения и судебная практика дадут ответы на вопросы, которые неоднозначно урегулированы Законом № 2297. А на сегодняшний день вам следует не допускать тех нарушений, за которые предусмотрена административная и уголовная ответственность, и использовать нормы Закона с максимальной пользой для вас.
