База персональных данных: когда и как зарегистрировать?

База персональных данных:
 когда и как зарегистрировать?

Роман Кабальский, консультант

Сегодня многие бухгалтеры испытывают чувство дежавю: многометровые очереди, вопросы, которые доносятся со всех сторон о заполнении того или иного реквизита, угроза штрафов за неподачу... Уже такое было, и не так давно. В последний раз — с введением обязанности подавать декларацию по НДФЛ. Но тогда законодатель, к счастью, быстро спохватился и обязанность отменил. И вот новая напасть — регистрация баз персональных данных.

ДОКУМЕНТ СТАТЬИ

Закон № 2297 — Закон Украины «О защите персональных данных» от 01.06.2010 г. № 2297-VI.

База персональных данных:
есть ли она у вас?

С 1 января 2011 года действует Закон Украины «О защите персональных данных» от 01.06.2010 г. № 2297-VI.
Руководствуясь положениями этого Закона, с 01.07.2011 г. Государственная служба Украины по вопросам защиты персональных данных уже должна была начать регистрацию баз персональных данных в Госреестре баз персональных данных. Но сама форма заявления на регистрацию вступила в силу только 05.08.2011 г.

Однако основной вопрос, с которым столкнулись субъекты хозяйствования: используют ли они персональные данные в своей деятельности и распространяется ли на них обязанность по регистрации баз персональных данных (далее — БПД)?

Обратимся к тексту Закона № 2297.

Согласно ст. 2 Закона № 2297 персональные данные — это сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано, база персональных данных — именуемая совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных. Источниками сведений о физическом лице являются: выданные на его имя документы; подписанные им документы; сведения, которые лицо предоставляет о себе (ч. 4 ст. 6 Закона № 2297).

Вывод первый: Закон № 2297 касается только данных, позволяющих идентифицировать физическое лицо, а потому на используемую субъектом хозяйствования информацию о юридических лицах точно не распространяется.

Кроме того, необходимо обратить внимание, что из сферы действия Закона № 2297 исключены физические лица, владеющие персональными данными о других людях (Ф.И.О, телефон, адрес места проживания и т. п.) и использующие их исключительно в бытовых и некоммерческих целях.

Вывод второй: использование простыми физическими лицами в своей повседневной деятельности упорядоченных по тому или иному критерию данных о других людях обязанности по регистрации баз персональных данных на таких лиц не возлагает.

Сама Государственная служба Украины по вопросам защиты персональных данных (далее — ГСЗПД) рекомендует рассматривать кадровую документацию, статистическую, налоговую и другую отчетность в электронной форме и/или в форме картотек, которая обрабатывается работодателем и содержит персональные данные работников базой персональных данных или составной частью базы персональных данных. По ее мнению, «каждое предприятие (организация) является владельцем, как минимум, двух баз персональных данных, а именно базы персональных данных работников, которая ведется с целью обеспечения требований трудового законодательства, реализации налоговых отношений и отношений в сфере бухгалтерского учета и аудита, и базы персональных данных клиентов либо других лиц, персональные данные которых обрабатываются в целях хозяйственной деятельности». В то же время «разные типы отчетов и форм, содержащие в себе определенную совокупность сведений о физлицах, отобранных из баз персональных данных владельца и периодически передаваемых в органы госвласти, — не рассматриваются как отдельные базы персональных данных». Кроме того, при таком подходе возникает вопрос о наличии на предприятии не только базы персональных данных «Работники» и базы «Клиенты», но и, к примеру, такой БПД, как «Учредители» или, к примеру, «Контрагенты».

Условным ориентиром для субъектов хозяйствования может стать тот факт, что сама ГСЗПД зарегистрировала две базы персональных данных:

1) база персональных данных представителей юридических лиц, которые вступают в правовые отношения с ГСЗПД (т. е., по мнению ГСЗПД, разрозненная информация о должностных лицах юрлица, которая фигурирует в договоре, — это тоже база персональных данных);

2) база персональных данных физических лиц, вступающих в правовые отношения с ГСЗПД в своем личном качестве.

Вывод третий: ГСЗПД исходит из необходимости регистрации субъектами хозяйствования (как юридическими лицами, так и физлицами-предпринимателями), у которых есть наемные работники, БПД «Працівники» (либо с другим, удобным для владельца базы названием, например БПД «Кадри»); поскольку субъект хозяйствования заключает в своей деятельности договоры, стороной в которых либо в своем самостоятельном качестве, либо как представитель юрлица выступают также физлица, должна быть зарегистрирована БПД «Контрагенти». С последним выводом готов не согласиться Минюст, который в разъяснении от 21.12.2011 г. указал, что сами по себе договоры на оказание услуг либо выполнение работ БПД не являются

Безусловно, ситуация абсурдная: Закон № 2297 написан таким образом, что сегодня каждый субъект предпринимательской и непредпринимательской деятельности, нанимающий работников либо заключающий с физлицами договоры гражданско-правового или хозяйственного характера, оказывается перед необходимостью регистрации, как минимум, одной базы данных («Працівники»). При этом та информация, которую такие субъекты получают от физлиц, зачастую необходима им в силу определенных возложенных на них законодательных требований: составления налоговой и статистической отчетности, уплаты налогов и проч. — и вовсе не собирается по личной инициативе.

Более того, сама ГСЗПД на сегодня сама оказалась не готова к реализации своих же настойчивых рекомендаций, адресованных ко всем субъектам сразу. По состоянию на конец декабря было зарегистрировано около 2000 баз персональных данных. Десятки тысяч заявлений о регистрации баз персональных данных уже поданы, но очередь к их рассмотрению, как признаются сами сотрудники ГСЗПД, дойдет еще не скоро, хотя по Закону № 2297 свидетельство о регистрации базы персональных данных должно быть выдано в течение 10 рабочих дней со дня получения заявления о регистрации.

И тем не менее, позицию ГСЗПД поддержали другие центральные органы исполнительной власти, в частности Минздравоохранения издало Методрекомендации от 01.12.2011 г. № 11-02-09/10-299, в которых рекомендовало пребывающим в сфере его управления учреждениям предпринять меры по регистрации баз данных «Пациенты», «Работники», «Контрагенты». Минюст в письме от 08.11.2011 г. № 17304-0-33-11/61 также подтвердил, что у каждого физлица-предпринимателя, у которого есть наемные работники, возникает обязанность регистрации БПД.

Аргументы в пользу
«нерегистрации БПД»

Те, кто готов рискнуть, воспользовавшись недостаточной четкостью законодательных предписаний, и не регистрировать базы персональных данных, могут обратиться к таким аргументам:

1) Закон № 2297 не распространяется на любую информацию, которая оказывается у субъекта хозяйствования в ходе его деятельности и с помощью которой можно идентифицировать физлицо. Получение таких сведений, как фамилия, имя, отчество и паспортные данные, занимаемая должность чаще всего продиктовано специальными требованиями законодательства. Кроме своего непосредственного предназначения (идентификации лица, с которым субъект хозяйствования вступает в правоотношения) данная информация никак не используется, не упорядочивается и не систематизируется, а потому под определение базы персональных данных подпадать не должна;

2) идея международных стандартов (под которые был принят Закон № 2297) — установить требования в отношении действий, специально направленных на создание и использование неких баз данных о физических лицах (телефонный справочник, справочник адресов, перечень адресов электронной почты и т. п.). Из приведенного в Законе № 2297 понятия базы персональных данных как «именованной совокупности упорядоченных персональных данных в электронной форме или в форме картотеки» следует, что одного факта наличия у предприятия данных, позволяющих идентифицировать физлицо, недостаточно, чтобы считать, что предприятие владеет базой персональных данных, поскольку это должна быть: а) именованная; б) упорядоченная совокупность данных; в) в электронной форме или в форме картотеки;

3) базой персональных данных совокупность сведений о физлицах должна считаться только в том случае, когда обработка таких сведений является автоматизированной либо когда обработанные данные размещаются или предназначены для размещения в картотеках, структурированных по определенным критериям, касающимся физических лиц, таким образом, чтобы обеспечить легкий доступ к соответствующим персональным данным.

Смелости может придать и тот факт, что на данный момент у ГСЗПД нет территориальных органов, а порядок проведения проверок существует лишь в проекте. Так что есть все шансы переждать немного и очереди, и панику: авось, ситуация к тому времени прояснится. Тем более, что в парламенте зарегистрировано уже два законопроекта, которыми переносятся сроки вступления в силу норм об ответственности.

Вывод четвертый: неоднозначность законодательных формулировок субъекты хозяйствования могут использовать для обоснования отсутствия у них обязанности по регистрации баз персональных данных. Однако при этом им надо подготовить аргументы на случай спора с контролирующими органами

Порядок регистрации БПД

Теперь информация для тех субъектов хозяйствования, которые решили не испытывать судьбу и подчиниться требованиям ГСЗПД, зарегистрировав соответствующие базы данных. Итак, Памятка субъекту хозяйствования, регистрирующему БПД, приведена ниже.

Для регистрации базы персональных данных необходимо подать заявление установленного образца в ГСЗПД. Форма заявления о регистрации базы персональных данных утверждена приказом Минюста от 08.07.2011 г. № 1824/5.

Подать заявление можно одним из следующих способов:

1. Заполнить заявление на сайте Государственного реестра баз персональных данных (https://rbpd.informjust.ua/), для этого необходимо:

— выбрать раздел «Створити заяву» (подраздел «Про реєстрацію БПД»);

— заполнить соответствующими сведениями все поля формы заявления, отмеченные звездочкой (*), остальные поля заполняются лишь в том случае, если заявитель хочет указать дополнительные сведения;

— как указывает сама Госслужба, для корректного ввода данных не следует использовать фрагменты текста, которые скопированы из других файлов. Вводить текст необходимо последовательно в поля веб-формы при помощи клавиатуры, используя для разграничения слов между собой клавишу «Space» («Enter») либо знаки «,», «.» и другие;

— внести контрольные символы с изображения, которое находится ниже всех полей формы заявления, и нажать кнопку «Сформувати заяву». Если указанные в форме заявления сведения являются корректными и контрольные символы с изображения внесены правильно, откроется страничка «Збереження файлу заяви» с уведомлением об успешном формировании файла заявления;

— на страничке «Збереження файлу заяви» нажать элемент «Зберегти файл заяви» (при этом сам файл заявления не открывайте) и сохранить файл заявления на локальном диске компьютера;

— подписать сохраненный на локальном диске компьютера файл заявления электронной цифровой подписью руководителя предприятия и сохранить подписанный файл заявления на локальном диске компьютера;

— выбрать пункт меню сайта «Подати заяву» и на открывшейся странице нажать на элемент «Подати заяву в електронному вигляді». Откроется новая страница, в которой при помощи кнопки «Обзор» необходимо указать путь на локальном диске и загрузить следующие файлы поочередно: сохраненный файл заявления (максимальный размер файла — 512 кБ, тип файла «Документ XML»); подписанный ЭЦП руководителя предприятия файл заявления (максимальный размер файла — 512 кБ, тип файла «Підписаний файл»); файл сертификата открытого ключа руководителя предприятия, предоставленный центром сертификации ключей (максимальный размер файла — 100кБ, тип файла «Сертифікат безпеки»);

— внести контрольные символы с изображения, которое находится ниже полей выбора файлов, и нажать кнопку «Подати заяву». Если указанные на странице файлы являются корректными и контрольные символы внесены правильно, заявление в электронном виде будет зарегистрировано в базе данных заявлений и передано Регистратору для рассмотрения.

Составленное на сайте заявление должно быть подписано с помощью электронной цифровой
подписи (ЭЦП), полученной в одном из таких аккредитованных центров сертификации ключей: ООО «Украинский сертификационный центр», ООО «Интер Метл», ООО «Арт-Мастер» (Центр сертификации ключей «Masterkey»), ПАО «Коммуникационный фондовый центр», ЗАО «Научно-исследовательский институт прикладных информационных технологий», ЗАО «Инфраструктура открытых ключей», ОАО «Национальный депозитарий Украины», Центр сертификации ключей «УСС-Цезарис» ДП «Украинские специальные системы», Коммунальное предприятие «Главный информационно-коммуникационный и научно-производственный центр», Государственное предприятие «Главный информационно-вычислительный центр Государственной администрации железнодорожного транспорта Украины».

2. Заполнить заявление в электронной форме (скачать форму заявления в удобном для заполнения формате можно на сайте Госслужбы, http://www.zpd.gov.ua/indexServices.html). Требования к подписанию заявления аналогичны приведенным выше правилам подписи заявления, заполненного на сайте Государственного реестра баз персональных данных. После заполнения файл заявления (тип файла «Документ XML»), подписанный ЭЦП руководителя предприятия файл заявления (тип файла «Підписаний файл»), файл сертификата открытого ключа руководителя предприятия, предоставленный центром сертификации ключей (тип файла «Сертифікат безпеки»), следует направить по адресу электронной почты register@zpd.gov.ua.

3. Заполнить электронную форму заявления и распечатать ее либо заполнить заявление вручную, после чего заявитель (это может быть руководитель либо иное уполномоченное им лицо) должен подписать каждую страницу заявления и скрепить ее печатью (при наличии). Составленное таким образом заявление направляется заказным письмом либо подается лично. Заявитель при этом должен быть готов предоставить сотрудникам Госслужбы документ, подтверждающий его полномочия.

Предупредим: некоторые из заявителей уже столкнулись с категорическими отказами сотрудников Госслужбы, не желающих перенабирать указанный в заявлениях текст, принимать заявления в бумажной форме без приложения к ним электронной копии. Безусловно, такие отказы ни на чем не основаны. Но, возможно, в данной ситуации более целесообразно пойти на уступки и вложить в конверт диск с заявлением в электронной форме (ЭЦП в данном случае не нужна) либо прихватить с собой флешку при подаче заявления лично.

Для начала сделаем важную оговорку: заполнение заявления о регистрации базы персональных данных не следует отождествлять с заполнением налоговой декларации либо налоговой накладной, где любое отступление от установленных в законодательстве правил либо рекомендаций налоговиков грозит непризнанием документа. Заявление о регистрации базы персональных данных носит исключительно информационный характер (чтобы с указанными в нем сведениями о владельце базы, ее наименовании и цели использования в последующем можно было ознакомиться в общедоступном Государственном реестре баз персональных данных https://rbpd.informjust.ua,
задав наименование владельца базы либо ее регистрационный номер). Поэтому и к заполнению данного заявления предъявляются куда менее строгие требования, чем к налоговой отчетности и первичным документам. Но и к ним следует отнестись внимательно. Рассмотрим основные из них.

Утвержденный приказом Минюста от 08.07.2011 г. № 1824/5 Порядок подачи заявлений о регистрации базы персональных данных устанавливает такие требования:

— заявление заполняется на украинском языке разборчивыми, печатными буквами и не должно содержать помарок, зачеркиваний и исправлений;

— при заполнении выбранный заявителем признак обозначается символом Ч;

— даты заполняются арабскими цифрами в формате — день, месяц, год;

— страницы заявлений нумеруются, на каждой странице указываются ее номер и общее количество страниц.

Заявление о регистрации БПД:
заполняем реквизиты

Теперь «пройдемся» по реквизитам заявления, вызвавшим наибольшие затруднения у субъектов хозяйствования.

Заполняя раздел «Інформація про володільця бази персональних даних», следует обратить внимание на необходимость указания полного наименования юридического лица в соответствии с учредительными документами. В печатной форме заявления при указании кода ЕГРПОУ клеточки заполняются начиная с первой слева. Оставшиеся свободными клеточки прочеркиваются.

Реквизит «Реєстраційний номер облікової картки платника податків» предусмотрен на тот случай, если владельцем базы выступает физическое лицо, поэтому при подаче заявления юридическим лицом он не заполняется.

В реквизите «Місцезнаходження (для юридичної особи)/ місце проживання (для фізичної особи)» указывается место государственной регистрации, а не фактического местонахождения/места проживания. Фактическое местонахождение базы персональных данных, которое указывается отдельно, может как совпадать с местонахождением владельца базы, так и отличаться от него (к примеру, если фактически картотека либо электронная база персональных данных находится в структурном подразделении юрлица).

При указании наименования базы персональных данных предприятие свободно в выборе любого наименования, которое будет в целом отражать характер тех персональных сведений, которые включены в такую базу. Предлагаемые Госслужбой варианты: «Працівники», «Клієнти», «Контрагенти» и прочее. Еще раз подчеркнем — приведенные варианты не являются обязательными для использования. Предприятие может указать любое удобное для использования в его деятельности наименование базы персональных данных.

Реквизит «Мета обробки персональних даних» предприятие также заполняет на свое усмотрение. Рекомендуемые Госслужбой формулировки: обеспечение реализации трудовых отношений, административно-правовых, налоговых отношений и отношений в сфере бухгалтерского учета и аудита, отношений в сфере управления человеческими ресурсами, отношений в сфере экономических, финансовых услуг, отношений в сфере рекламы, отношений в сфере телекоммуникационных услуг, отношений в сфере общественной, политической и религиозной деятельности, отношений в сфере культуры, досуга, спортивной и социальной деятельности, отношений в сфере образования, отношений в сфере охраны здоровья, отношений в сфере безопасности, отношений в сфере транспорта, отношений в сфере науки, исторических исследований и статистики и т. п. В этом же разделе заявления необходимо сослаться на нормативно-правовые акты (например, Кодекс законов о труде, Налоговый кодекс Украины, Хозяйственный кодекс Украины и другие акты законодательства), а также учредительные либо иные внутренние документы, в соответствии с которыми осуществляется использование базы персональных данных (можно дополнительно сослаться на утвержденное на предприятии Положение о защите персональных данных). Тут же указывается категория используемых персональных данных (см. приведенное в качестве примера заявление).

Что касается реквизита «Правові підстави обробки персональних даних», то Государственная служба по вопросам защиты персональных данных говорит о том, что в нем необходимо указывать один либо одновременно несколько из следующих оснований:

1) согласие физического лица на использование его персональных данных;

2) разрешение на использование персональных данных, предоставленное владельцу базы нормативно-правовыми актами (указать, какими именно) для выполнения возложенных на него полномочий в пределах своей компетенции;

3) использование персональных данных в рамках правоотношений, возникших до вступления в силу Закона о защите персональных данных на основании свободного волеизъявления физического лица.

Большей части субъектов хозяйствования заполнять реквизит «Відомості про розпорядників бази персональних даних», поскольку использование персональных данных осуществляется ими, как правило, самостоятельно, без передачи сведений для обработки на договорных основаниях третьим лицам. Передача данных органам государственной власти (налоговой службе, органам Пенсионного фонда Украины и др.) либо местного самоуправления в рамках требований законодательства не считается предоставлением сведений распорядителю базы данных, а потому специального указания в заявлении не требует.

Вопросы вызывает такой реквизит, как «Відомості про заявника». Логично было бы указывать в нем информацию непосредственно о том лице, которое заявление подписывает и подает (если заявление подается в электронной форме, то информацию о директоре, если в бумажной — то о том лице, на которого возложена обязанность физически подать заявление в Госслужбу). Однако сама Госслужба в приведенном ею примере заполнения заявления в данном реквизите дублирует информацию о юридическом лице — владельце базы персональных данных. Причем обратим внимание, что в данном реквизите есть отличия между формой заявления, размещенной на сайте Государственного реестра баз персональных данных (в ней требуется указать документ, которым лицо уполномочено на подачу заявления о регистрации), и бумажной формой заявления, в которой аналогичного требования нет.

Всего в утвержденной форме заявления пять страниц. Но четвертая и пятая заполняются только в том случае, если, к примеру, база данных передавалась нескольким распорядителям либо состоит из нескольких частей с разным местонахождением. Как правило, субъекты хозяйствования с такой ситуацией не сталкиваются, а потому им достаточно заполнить первые три страницы заявления. Если, например, у предприятия есть обособленное подразделение, название базы персональных данных которой совпадает с названием базы персональных данных головного предприятия (скажем, база персональных данных «Працівники» или «Абоненти» и т. п.), то ГСЗПД признает, что необходимости в отдельной регистрации нет, однако в разделе ІІ на четвертой странице заявления на регистрацию необходимо продублировать название базы персональных данных и указать местонахождение такого обособленного подразделения. Если же в обособленном подразделении ведется своя уникальная база персональных данных, по названию не совпадающая с базой персональных данных головного предприятия, то тогда на нее составляется отдельное заявление о регистрации. В качестве владельца базы указывается головное предприятие, но в качестве местонахождения — адрес, по которому расположено обособленное подразделение.

Примеры заполнения заявлений о регистрации есть на сайте Службы (зайти в раздел «Рекомендації щодо подання та заповнення заяв про реєстрацію БПД»).

Заявление о регистрации БПД подано. Что дальше?

Следует сказать, что ГСЗПД Законом № 2297 предоставлен срок в 10 рабочих дней со дня поступления заявления на регистрацию базы персональных данных, о чем владельцу выдается свидетельство утвержденного образца. Однако учитывая наплыв заявлений, Госслужба сама признает, что физически вложиться в установленные сроки не может. Отслеживать судьбу поданного заявления можно следующим образом:

— после регистрации заявления, если оно составлялось на сайте Государственного реестра баз персональных данных, прямо на сайте отражается соответствующее уведомление с регистрационным номером заявления и кодом доступа для дальнейшего поиска заявления и получения информации о состоянии их обработки; если заявление направлялось по электронной либо по обычной почте с указанием электронного адреса заявителя, то на такой электронный адрес также должны быть направлены регистрационный номер и код доступа к информации о заявлении;

— по регистрационному номеру может получить информацию об одном из таких состояний обработки заявления:

а) «Зареєстровано» (заявление зарегистрировано в Реестре);

б) «Відмовлено» (принято решение об отказе в регистрации базы персональных данных; при этом на почтовый адрес предприятия направляется письмо с указанием причин отказа в регистрации; исходя из текста Закона о защите персональных данных можно сделать вывод, что единственным основанием для отказа в регистрации базы может быть неуказание в заявлении требуемой информации либо ее предоставление неуполномоченным субъектом; по нашему мнению, к должностным лицам субъекта хозяйствования в случае отказа в регистрации базы персональных данных административные штрафы как за нерегистрацию либо уклонение от регистрации баз персональных данных применяться не должны, при условии, что указанные Госслужбой недостатки в заявлении будут устранены и заявление снова направлено с целью регистрации базы данных);

в) «Прийнято рішення про реєстрацію» (выдается Свидетельство о регистрации базы персональных данных, которое, если в заявлении о регистрации была сделана соответствующая отметка, направляется на почтовый адрес субъекта хозяйствования — владельца базы, если отметка проставлена не была — то за Свидетельством уполномоченному сотруднику субъекта хозяйствования придется явиться в Госслужбу лично).

Дополнительная контактная информация Государственной службы по вопросам защиты персональных данных (начальник управления регистрации баз персональных данных Кривда Светлана Геннадиевна): тел: (044)517-81-68, e.mail: register@zpd.gov.ua, почтовый адрес: 02660 г. Киев, ул. М. Расковой, 15, каб.1205.

Но вынуждены предупредить — только регистрации БПД будет недостаточно. Придется предпринять еще целый ряд действий. Остановимся на оптимальном алгоритме действий для субъекта хозяйствования с учетом всех пожеланий ГСЗПД.

Согласие физлиц на использование их персональных данных

Итак, субъекту хозяйствования придется озаботиться получением согласия от работников (и получается, директоров контрагентов, персональные данные которых фигурируют в договорах, а также физлиц-предпринимателей и физлиц, не имеющих предпринимательского статуса, с которыми заключались договоры) об использовании их персональных данных.

Впрочем, получение согласия от всех физических лиц, с которыми субъект хозяйствования вступает в те или иные правовые отношения, порой задача нереализуемая. В этой связи субъекту хозяйствования не помешает вооружиться следующим аргументом. Статья 11 Закона № 2297 называет основания возникновения права на использование персональных данных:

1) согласие субъекта персональных данных (работника либо иного физлица) на обработку его персональных данных. Субъект персональных данных¹ имеет право при предоставлении согласия внести оговорку в отношении ограничения права на обработку своих персональных данных;

2) разрешение на обработку персональных данных, предоставленное владельцу базы персональных данных согласно закону исключительно для осуществления своих полномочий.

¹ А это те физические лица, данные по которым подлежат обработке.

Субъект хозяйствования вполне может воспользоваться вторым из приведенных оснований и настаивать на отсутствии необходимости получения отдельного согласия работников и других физлиц на использование предоставляемых ими данных для целей, предусмотренных законодательством. Работодатель при этом, к примеру, может ссылаться на то, что есть целый ряд законодательных положений, обязывающих работодателей владеть определенными персональными данными наемных работников. Это, в частности, ст. 24 КЗоТ, пункты 2 — 4 постановления Кабмина «О трудовых книжках работников» от 27.04.93 г. № 301, п. 1.3 и п. 1.4 Инструкции о порядке ведения трудовых книжек работников, утвержденной приказом Минтруда, Минюста, Минсоцзащиты от 29.07.93 г. № 58, приказ Госкомстата и Минобороны «Об утверждении типовой формы первичного учета № П-2 «Личная карточка работника» от 25.12.2009 г. № 495/656, приказ Минстата «Об утверждении формы первичного учета № П-2ДС и Инструкции по ее заполнению» от 26.12.95 г. № 343, акты законодательства, которыми установлены ограничения, гарантии, компенсации, льготы в сфере трудовых и социальных правоотношений.

В то же время должны сказать, что отказ работника дать согласие на использование его персональных данных не может стать основанием для расторжения трудового договора. Работник не обязан давать такое согласие. И ни под одно из оснований для расторжения трудового договора такая ситуация не подпадает. Другое дело, что в тех случаях, когда персональные данные получены для использования в объеме, требуемом законодательством, согласие работника и вовсе не надо. Использование персональных данных итак правомерно. Если вдруг хотите перестраховаться — составьте акт, который пускай подпишут два сотрудника предприятия, о том, что работник ознакомлен со своими правами согласно Закону № 2297, а также с тем, что персональные данные будут использоваться исключительно в объеме, необходимом для выполнения предприятием законодательных обязанностей.

Безопаснее, безусловно, если есть возможность, такое согласие получить. Дело в том, что ГСЗПД признает отсутствие необходимости получать разрешение только у тех физлиц, которые предоставили данные о себе до 01.01.2011 г. По ее мнению, от остальных физлиц таким согласием заручиться необходимо.

Текст согласия работника на обработку данных о нем может быть, к примеру, таким, как показано на рис. 1 на с. 41. К тому же целесообразнее его составить на украинском языке.

Рис. 1

Внутреннее положение о защите персональных данных

Это следующий шаг, который должен совершить субъект хозяйствования.

Образец такого положения, который может быть взять за основу, приведен на рис. 2, см. ниже.

ЗАТВЕРДЖЕНО

Положення

про обробку і захист персональних даних у базі персональних даних,
володільцем баз яких є ___________ «__________________»

1. ЗАГАЛЬНІ ПОНЯТТЯ ТА СФЕРА ЗАСТОСУВАННЯ

1.1. Визначення термінів:

база персональних даних — іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;

відповідальна особа — визначена особа, яка організовує роботу, пов'язану із захистом персональних даних при їх обробці, відповідно до закону;

володілець бази персональних даних — фізична або юридична особа, якій законом або за згодою суб'єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом;

Державний реєстр баз персональних даних — єдина державна інформаційна система збору, накопичення та обробки відомостей про зареєстровані бази персональних даних;

загальнодоступні джерела персональних даних — довідники, адресні книги, реєстри, списки, каталоги, інші систематизовані збірники відкритої інформації, які містять персональні дані, розміщені та опубліковані з відома суб’єкта персональних даних.

Не вважаються загальнодоступними джерелами персональних даних соціальні мережі та інтернет-ресурси, в яких суб’єкти персональних даних залишають свої персональні дані (окрім випадків, коли суб’єктом персональних даних прямо зазначено, що персональні дані розміщені з метою їх вільного поширення та використання);

згода суб'єкта персональних даних — будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки;

знеособлення персональних даних — вилучення відомостей, які дають змогу ідентифікувати особу;

обробка персональних даних — будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов'язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу;

персональні дані — відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;

розпорядник бази персональних даних — фізична чи юридична особа, якій володільцем бази персональних даних або законом надано право обробляти ці дані.

Не є розпорядником бази персональних даних особа, якій володільцем та/або розпорядником бази персональних даних доручено здійснювати роботи технічного характеру з базою персональних даних без доступу до змісту персональних даних;

суб'єкт персональних даних — фізична особа, стосовно якої відповідно до закону здійснюється обробка її персональних даних;

третя особа — будь-яка особа, за винятком суб'єкта персональних даних, володільця чи розпорядника бази персональних даних та уповноваженого державного органу з питань захисту персональних даних, якій володільцем чи розпорядником бази персональних даних здійснюється передача персональних даних відповідно до закону;

особливі категорії даних — персональні дані про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров'я чи статевого життя.

1.2. Дане Положення обов’язкове для застосування відповідальною особою та працівниками Організації, які безпосередньо здійснюють обробку та/або мають доступ до персональних даних у зв’язку з виконанням своїх службових обов’язків.

2. ПЕРЕЛІК БАЗ ПЕРСОНАЛЬНИХ ДАНИХ, ВОЛОДІЛЬЦЕМ ЯКИХ Є «____________________»

2.1. Організація є володільцем наступної бази персональних даних: база даних «Працівники» у вигляді картотеки особових карток, особових справ, відомостей, внесених до інформаційних баз програми ______________.

3. МЕТА ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ

3.1. Метою обробки персональних даних у документації з персоналу Організації є забезпечення реалізації трудових відносин, адміністративно-правових, податкових відносин та відносин у сфері бухгалтерського обліку, відносин у сфері управління людськими ресурсами, зокрема кадровим потенціалом відповідно до Кодексу законів про працю України, Податкового кодексу України, Закону України «Про бухгалтерський облік та фінансову звітність в Україні», Закону України «Про зайнятість населення», Закону України «Про відпустки» та інших актів законодавства, діючого в Організації колективного договору, а також установчих документів організації.

4. ПОРЯДОК ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ: ОТРИМАННЯ ЗГОДИ, ПОВІДОМЛЕННЯ
ПРО ПРАВА ТА ДІЇ З ПЕРСОНАЛЬНИМИ ДАНИМИ СУБ’ЄКТА ПЕРСОНАЛЬНИХ ДАНИХ

4.1. Згода суб'єкта персональних даних має бути документованим, зокрема письмовим, добровільним волевиявленням фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки.

4.2. Згода суб’єкта персональних даних має бути надана шляхом підписання суб’єктом персональних даних затвердженого наказом _____________чи виконуючого обов`язки ____________тексту згоди-повідомлення.

4.3. Згода-повідомлення складається у двох примірниках, один з яких після підписання суб’єктом персональних даних залишається у нього, а інший зберігається Організацією протягом всього часу обробки персональних даних вказаного суб’єкта персональних даних, але не менш ніж 5 років.

4.4. Обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров'я чи статевого життя (особливі категорії даних), забороняється.

5. МІСЦЕЗНАХОДЖЕННЯ БАЗИ ПЕРСОНАЛЬНИХ ДАНИХ

5.1. Вказана у розділі 2 цього Положення база персональних даних знаходиться за адресою:___________.

6. УМОВИ РОЗКРИТТЯ ІНФОРМАЦІЇ ПРО ПЕРСОНАЛЬНІ ДАНІ ТРЕТІМ ОСОБАМ

6.1. Порядок доступу до персональних даних третіх осіб визначається умовами згоди суб'єкта персональних даних, наданої володільцю бази персональних даних на обробку цих даних, або відповідно до вимог закону.

6.2. Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов'язання щодо забезпечення виконання вимог Закону України «Про захист персональних даних» або неспроможна їх забезпечити.

6.3. Суб'єкт відносин, пов'язаних з персональними даними, подає запит щодо доступу (далі — запит) до персональних даних володільцю бази персональних даних.

6.4. У запиті зазначаються:

прізвище, ім'я та по батькові, місце проживання (місце перебування) і реквізити документа, що посвідчує фізичну особу, яка подає запит (для фізичної особи — заявника);

найменування, місцезнаходження юридичної особи, яка подає запит, посада, прізвище, ім'я та по батькові особи, яка засвідчує запит; підтвердження того, що зміст запиту відповідає повноваженням юридичної особи (для юридичної особи — заявника);

прізвище, ім'я та по батькові, а також інші відомості, що дають змогу ідентифікувати фізичну особу, стосовно якої робиться запит;

відомості про базу персональних даних, стосовно якої подається запит, чи відомості про володільця чи розпорядника цієї бази;

перелік персональних даних, що запитуються;

мета запиту.

6.5. Строк вивчення запиту на предмет його задоволення не може перевищувати десяти робочих днів з дня його надходження.

Протягом цього строку володілець бази персональних даних доводить до відома особи, яка подає запит, що запит буде задоволено або відповідні персональні дані не підлягають наданню, із зазначенням підстави, визначеної у відповідному нормативно-правовому акті.

Запит задовольняється протягом тридцяти календарних днів з дня його надходження, якщо інше не передбачено законом.

6.6. Усі працівники Організації зобов'язані додержуватися вимог конфіденційності щодо персональних даних.

6.7. Відстрочення доступу до персональних даних третіх осіб допускається у разі, якщо необхідні дані не можуть бути надані протягом тридцяти календарних днів з дня надходження запиту. При цьому загальний строк вирішення питань, порушених у запиті, не може перевищувати сорока п'яти календарних днів.

6.8. Повідомлення про відстрочення доводиться до відома третьої особи, яка подала запит, у письмовій формі з роз'ясненням порядку оскарження такого рішення.

6.9. У повідомленні про відстрочення зазначаються:

прізвище, ім'я та по батькові посадової особи;

дата відправлення повідомлення;

причина відстрочення;

строк, протягом якого буде задоволено запит.

6.10. Відмова у доступі до персональних даних допускається, якщо доступ до них заборонено згідно із законом.

6.11. У повідомленні про відмову зазначаються:

прізвище, ім'я, по батькові посадової особи, яка відмовляє у доступі;

дата відправлення повідомлення;

причина відмови.

6.12. Рішення про відстрочення або відмову у доступі до персональних даних може бути оскаржено до уповноваженого державного органу з питань захисту персональних даних, інших органів державної влади та органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних, або до суду.

7. ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ: СПОСОБИ ЗАХИСТУ, ВІДПОВІДАЛЬНА ОСОБА, ПРАЦІВНИКИ,
 ЯКІ БЕЗПОСЕРЕДНЬО ЗДІЙСНЮЮТЬ ОБРОБКУ ТА/АБО МАЮТЬ ДОСТУП
ДО ПЕРСОНАЛЬНИХ ДАНИХ У ЗВ’ЯЗКУ З ВИКОНАННЯМ СВОЇХ СЛУЖБОВИХ ОБОВ’ЯЗКІВ,
СТРОК ЗБЕРІГАННЯ ПЕРСОНАЛЬНИХ ДАНИХ

7.1. Організація обладнана системними і програмно-технічними засобами та засобами зв'язку, які запобігають втратам, крадіжкам, несанкціонованому знищенню, викривленню, підробленню, копіюванню інформації і відповідають вимогам міжнародних та національних стандартів.

7.2. Норми технічного захисту інформації відповідають законодавству, актам України.

7.3. Функціонування системних, програмно-технічних засобів та засобів зв'язку забезпечує дублювання роботи всіх систем та елементів для забезпечення збереження інформації та забезпечення неможливості її знищення з будь-яких обставин засобами, передбаченими Організацією.

7.4. Програмний продукт, що використовується Організацією в процесі обробки персональних даних для досягнення мети їх обробки має вбудовані механізми захисту інформації від несанкціонованого доступу для забезпечення ідентифікації та автентифікації користувачів, цілісності електронних документів, реєстрації дій користувачів, управління доступом користувачів до інформації та окремих функцій, що надаються продуктом, та/або має змогу використовувати зазначені механізми захисту системного програмного забезпечення, а також можливість інтегруватися в комплексну систему захисту інформації автоматизованої системи, у якій цей продукт використовується.

7.5. Відповідальна особа організовує роботу, пов'язану із захистом персональних даних при їх обробці, відповідно до закону.

Відповідальна особа призначається наказом _____________ чи виконуючого обов`язки _________________.

Обов’язки відповідальної особи щодо організації роботи, пов'язаної із захистом персональних даних при їх обробці, зазначаються у посадовій інструкції.

7.6. Відповідальна особа зобов’язана:

знати законодавство України в сфері захисту персональних даних;

розробити процедури доступу до персональних даних працівників відповідно до їхніх професійних чи службових або трудових обов'язків;

забезпечити виконання працівниками Організації вимог законодавства України в сфері захисту персональних даних та внутрішніх локальних правових актів й документів, що регулюють діяльність Організації щодо обробки і захисту персональних даних у базах персональних даних;

повідомляти керівництво Організації про факти порушень працівниками вимог законодавства України в сфері захисту персональних даних та внутрішніх локальних правових актів й документів, що регулюють діяльність Організації щодо обробки і захисту персональних даних у базах персональних даних у строк не пізніше одного робочого дня з моменту виявлення таких порушень;

забезпечити зберігання документів, що підтверджують надання суб’єктом персональних даних згоди на обробку своїх персональних даних та повідомлення вказаного суб’єкта про його права.

7.7. З метою виконання своїх обов’язків відповідальна особа має право:

отримувати від працівників Організації необхідні документи, у тому числі накази й інші розпорядчі документи, видані _____________ чи виконуючого обов`язки ______________, пов’язані із обробкою персональних даних;

робити копії з отриманих документів, у тому числі копії файлів, будь-яких записів, що зберігаються в локальних обчислювальних мережах і автономних комп'ютерних системах;

доступу до всіх приміщень, документів, засобів телекомунікації Організації;

брати участь в обговоренні виконуваних ним обов’язків організації роботи, пов'язаної із захистом персональних даних при їх обробці;

вносити на розгляд ______________ чи виконуючого обов`язки _______________ пропозиції щодо покращення діяльності Організації та вдосконалення методів роботи, подавати зауваження щодо діяльності Організації та пропозиції усунення виявлених недоліків у процесі обробки персональних даних;

здійснювати взаємодію з іншими працівниками Організації при виконанні своїх обов’язків з організації роботи, пов'язаної із захистом персональних даних при їх обробці;

одержувати від працівників Організації незалежно від обійманих ними посад (за виключенням __________, ___________ чи виконуючого обов`язки ______________, членів та Голови ___________, керівника _____________) пояснення з питань здійснення обробки персональних даних;

підписувати та візувати документи в межах своєї компетенції.

7.8. Працівники, які безпосередньо здійснюють обробку та/або мають доступ до персональних даних у зв’язку з виконанням своїх службових (трудових) обов’язків, зобов’язані дотримуватись вимог законодавства України в сфері захисту персональних даних та внутрішніх локальних правових актів й документів, що регулюють діяльність Організації щодо обробки і захисту персональних даних у базах персональних даних.

7.9. Працівники, що мають доступ до персональних даних, у тому числі здійснюють їх обробку, зобов’язані не допускати розголошення/розкриття у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв'язку з виконанням професійних чи службових або трудових обов'язків. Таке зобов'язання чинне після припинення ними діяльності, пов'язаної з персональними даними, крім випадків, установлених законом.

7.10. Особи, що мають доступ до персональних даних, у тому числі здійснюють їх обробку, у разі порушення ними вимог Закону України «Про захист персональних даних» несуть відповідальність згідно із законодавством України.

7.11. Персональні дані не повинні зберігатися довше, ніж це необхідно для мети, для якої такі дані зберігаються, але у будь-якому разі не довше строку зберігання даних, визначеного згодою суб'єкта персональних даних на обробку цих даних та/або законодавством про працю.

7.12. Строк зберігання персональних даних, що містяться у документації з персоналу Організації, визначається відповідно до чинного законодавства України.

8. ПРАВА СУБ’ЄКТА ПЕРСОНАЛЬНИХ ДАНИХ

8.1. Суб'єкт персональних даних має право:

знати про місцезнаходження бази персональних даних, яка містить його персональні дані, її призначення та найменування, місцезнаходження та/або місце проживання (перебування) володільця чи розпорядника цієї бази або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;

отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані, що містяться у відповідній базі персональних даних;

на доступ до своїх персональних даних, що містяться у відповідній базі персональних даних;

отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи зберігаються його персональні дані у відповідній базі персональних даних, а також отримувати зміст його персональних даних, які зберігаються;

пред'являти вмотивовану вимогу із запереченням проти обробки своїх персональних даних органами державної влади, органами місцевого самоврядування при здійсненні їхніх повноважень, передбачених законом;

пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким власником та розпорядником цієї бази, якщо ці дані обробляються незаконно чи є недостовірними;

на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;

звертатися з питань захисту своїх прав щодо персональних даних до органів державної влади, органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних;

застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних.

9. ПОРЯДОК РОБОТИ З ЗАПИТАМИ СУБ’ЄКТА ПЕРСОНАЛЬНИХ ДАНИХ

9.1. Суб'єкт персональних даних має право на одержання будь-яких відомостей про себе у будь-якого суб'єкта відносин, пов'язаних з персональними даними, без зазначення мети запиту, крім випадків, установлених законом.

9.2. Доступ суб'єкта персональних даних до даних про себе здійснюється безоплатно.

9.3. Суб’єкт персональних даних подає запит щодо доступу (далі — запит) до персональних даних володільцю бази персональних даних.

У запиті зазначаються:

прізвище, ім'я та по батькові, місце проживання (місце перебування) і реквізити документа, що посвідчує особу суб’єкта персональних даних;

інші відомості, що дають змогу ідентифікувати особу суб’єкта персональних даних;

відомості про базу персональних даних, стосовно якої подається запит, чи відомості про володільця чи розпорядника цієї бази;

перелік персональних даних, що запитуються.

9.4. Строк вивчення запиту на предмет його задоволення не може перевищувати десяти робочих днів з дня його надходження.

Протягом цього строку володілець бази персональних даних доводить до відома суб’єкта персональних даних, що запит буде задоволено або відповідні персональні дані не підлягають наданню, із зазначенням підстави, визначеної у відповідному нормативно-правовому акті.

Запит задовольняється протягом тридцяти календарних днів з дня його надходження, якщо інше не передбачено законом.

9.5. Запитувана інформація надається суб’єкту персональних даних у письмовій формі (лист).

10. ДЕРЖАВНА РЕЄСТРАЦІЯ БАЗИ ПЕРСОНАЛЬНИХ ДАНИХ

10.1. Державна реєстрація баз персональних даних здійснюється відповідно до статті 9 Закону України «Про захист персональних даних».

Рис. 2

Приказ о возложении обязанностей по обеспечению защиты персональных данных

Таким приказом соответствующие обязанности могут быть возложены на руководителя кадровой службы либо на иное лицо (с его согласия). Примерный текст приказа может быть таким, как показано на рис. 3 на с. 47.

Рис. 3

Ответственность за нарушение требований по защите БПД

За нарушение требований законодательства о защите персональных данных может наступать административная либо даже уголовная ответственность. Соответствующие нормы вступили в силу 01.01.2012 г. (согласно Закону Украины «О внесении изменений в некоторые законодательные акты Украины по усилению ответственности за нарушение законодательства о защите персональных данных» от 02.06.2011 г. № 3454-VI),
но велики шансы на то, что парламент приостановит их действие на полгода.

Так, административная ответственность будет наступать за:

— неуведомление или несвоевременное уведомление субъекта персональных данных (в том числе работника) о его правах в связи с включением его персональных данных в базу персональных данных, цели сбора этих данных и лицах, которым эти данные передаются, в виде штрафа на должностных лиц, физлиц-предпринимателей — от 300 до 400 не облагаемых налогом минимумов доходов граждан (т. е. от 5100 до 6800 грн.), на физлиц-работодателей, не имеющих статуса предпринимателя, — от 200 до 300 ннмдг (от 3400 до 5100 грн.);

— неуведомление или несвоевременное уведомление ГСЗПД об изменении сведений, которые подаются для государственной регистрации базы персональных данных в виде штрафа на должностных лиц, физлиц-предпринимателей от 200 до 400 ннмдг (от 3400 до 6800 грн.), на физлиц-работодателей, не имеющих статуса предпринимателя, — от 100 до 200 ннмдг (от 1700 до 3400 грн.);

— за уклонение от государственной регистрации базы персональных данных в виде штрафа на граждан, не имеющих статуса предпринимателя, от 300 до 500 ннмдг (от 5100 до 8500 грн.), на должностных лиц, физлиц-предпринимателей — от 500 до 1000 ннмдг (от 8500 до 17000 грн.).

Уголовная ответственность будет наступать за незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о работнике или незаконное изменение такой информации в виде штрафа от 500 до 1000 ннмдг (от 8500 до 17000 грн.) либо исправительных работ на срок до двух лет, либо в виде ареста на срок до шести месяцев, либо ограничения свободы на срок до трех лет.