БАЗИ ПЕРСОНАЛЬНИХ ДАНИХ
фізичних осіб реєструвати доведеться практично всім
Так уже виходить, що більшість добрих намірів обертаються зайвими і часом безглуздими обов'язками, які покладають на суб'єктів господарювання та їх посадових осіб. Особливо сумно, коли невиконання таких обов'язків спричинює накладення чималих штрафів. Так, за нашим переконанням, сталося і з вимогами Закону України «Про захист персональних даних» від 01.06.10 р. № 2297-VI, що набрав чинності з 1 січня 2011 року. Розберемося, що ж являє собою база персональних даних та як відбувається її реєстрація.
Жанна СЕМЕНЧЕНКО, економіст-аналітик газети «Бухгалтерський тиждень»
Загальне поняття БПД
Почнемо з того, що, дійсно, чимало державних органів, установ, суб'єктів господарювання за родом своєї діяльності володіють інформацією про фізичних осіб, розповсюдження якої є небажаним для них. Це, наприклад, стосується майнових питань (укладення правочинів з нерухомим та рухомим майном, оформлення банківських кредитів, вступ до складу учасників господарських товариств тощо). Погодьтеся, що кожна з перелічених вище операцій передбачає надання чималої кількості «папірців» з тими чи іншими даними про фізичну особу. Логічно, що права громадян у частині несанкціонованого розповсюдження інформації про них має бути захищено. На захист цих прав і спрямовано вимоги Закону № 2297.
Згідно з ним база персональних даних (БПД) — іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних.
У свою чергу, під персональними даними розуміються відомості або сукупність відомостей про фізичну особу , яку ідентифіковано чи може бути конкретно ідентифіковано.
Як бачимо, будь-які відомості або сукупність відомостей про фізичну особу (наприклад, паспортні дані) підпадають під визначення персональних даних, і якщо суб'єкт у будь-якій формі має такі дані (причому хоча б стосовно однієї фізичної особи), то це вже може підпасти під визначення БПД, що підлягає реєстрації.
Зауважимо, що 10.05.11 р. набрав чинності Закон № 2939, де визначається, що належить до публічної інформації, а що визнається інформацією з обмеженим доступом. Так, публічна інформація — це відображена та задокументована будь-якими засобами та на будь-яких носіях інформація, яку було отримано або створено у процесі виконання суб'єктами владних повноважень своїх обов'язків, передбачених чинним законодавством, або яка перебуває у володінні суб'єктів владних повноважень, інших розпорядників публічної інформації, визначених цим Законом (ч. 1 ст. 1 Закону № 2939). Публічна інформація є відкритою, крім випадків, установлених законом.
До інформації з обмеженим доступом належить (ч. 1 ст. 6 Закону № 2939):
— конфіденційна інформація, тобто доступ до якої обмежено фізичною або юридичною особою, окрім суб'єктів владних повноважень та яка може розповсюджуватися у визначеному ними порядку за їх бажанням відповідно до передбачених ними умов;
— таємна інформація, якою визнається інформація, що містить державну, професійну, банківську таємницю, таємницю слідства та іншу передбачену законом таємницю;
— службова інформація, до якої належить: інформація, що міститься в документах суб'єктів владних повноважень, які складають внутрішньовідомчу службову кореспонденцію, доповідні записки, рекомендації, якщо вони пов'язані з розробкою напряму діяльності установи або здійсненням контрольних, наглядових функцій органами державної влади, процесом прийняття рішень та передують публічному обговоренню та/або прийняттю рішень; інформація, зібрана у процесі оперативно-розшукової, контррозвідувальної діяльності, у сфері оборони країни, яку не віднесено до державної таємниці. Документам, що містять інформацію, яка становить службову інформацію, присвоюється гриф «Для службового користування».
Логічно припустити, що механізм реєстрації БПД запроваджувався лише стосовно інформації з обмеженим доступом, але в результаті вийшло, що будь-яка інформація про фізичну особу складається з її персональних даних та підлягає обробці суб'єктом господарювання тільки з дозволу такої фізичної особи і, на думку Державної служби із захисту персональних даних, має бути зареєстрована у складі БПД.
Варте уваги, що у звіті про хід реалізації програми вступу України до Європейського союзу від 25.05.11 р. «Реалізація Європейської політики сусідства у 2010 році. Звіт про хід реалізації проекту в Україні» зазначено, що у сфері співпраці між правоохоронними органами та судовою владою у червні 2010 році парламент прийняв Закон № 2297. У вересні 2010 року Україною було ратифіковано Конвенцію Ради Європи 1981 року про захист осіб щодо автоматичної обробки персональних даних, більшість положень якої перекочувало до Закону № 2297. Відверто кажучи, поки не зовсім зрозуміло, як залучення практично всіх роботодавців до процедури реєстрації БПД у тому обсязі відомостей, що реєструються, допоможе співпраці між правоохоронними органами України та країн ЄС.
Що може бути БПД
Чинне законодавство в деяких випадках зобов'язує суб'єктів господарювання збирати і зберігати певну інформацію про фізичних осіб. Наприклад, громадянин згідно з КЗпП при укладенні трудового договору зобов'язаний надати паспорт чи інший документ, що засвідчує особу, трудову книжку, а у випадках, передбачених законодавством, — також документ про освіту (спеціальність, кваліфікацію), про стан здоров'я та інші документи (наприклад, про склад сім'ї, пенсійне посвідчення тощо). Зібрана про працівника інформація відображається, як правило, в особовій картці працівника за формою № П-2. Відповідно суб'єкт господарювання, який використовує найману працю, володіє, як мінімум, однією БПД, що називається «Працівники».
Крім того, до БПД у деяких випадках можна зарахувати і клієнтську базу, адже згідно з вимогами ЦКУ та Закону про бухоблік при оформленні договорів та первинних документів (накладних, актів виконаних робіт тощо) потрібні дані про ідентифікацію особи. Слід зауважити, що Державна служба із захисту персональних даних (далі — Держслужба) вважає, що суб'єкт господарювання, працюючи з клієнтами — фізичними особами, є власником БПД «Клієнти». Однак ми б про такий факт говорили з деякими застереженнями. Під власником БПД розуміється фізична або юридична особа, якій законом або за згодою суб'єкта персональних даних надано право на обробку цих даних, що затверджує мету обробки персональних даних у цій базі даних, установлює склад цих даних та процедури їх обробки, якщо інше не визначено законом. У свою чергу, під обробкою персональних даних розуміється будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, що пов'язані зі збиранням, реєстрацією, накопиченням, адаптацією, зміною, відновленням, використанням, поширенням (розповсюдженням) (реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу. Звідси можна зробити висновок, що просто володіння даними, необхідними для ідентифікації клієнта (наприклад, П. І. Б. та паспортні дані), без обробки цих даних не підпадає під володіння БПД. Так, у суб'єкта є підписані договори та первинні документи, в яких наведено певні персональні дані про фізичних осіб, але якщо їх не систематизовано в будь-якій електронній формі чи картотеці, то можна говорити про відсутність у суб'єкта БПД «Клієнти». Здавалося б, ніж потім довго та наполегливо доводити перевіряючим, що у вас немає БПД «Клієнти», легше її просто зареєструвати, тим більше, що ця процедура нескладна і безкоштовна. Далі ми докладно опишемо порядок реєстрації БПД, поки ж зауважимо, що реєструвати потрібно власне базу (наприклад, БПД «Працівники», «Клієнти»), а це свідчить про те, що всі відомості, наявні в роботодавця про найманих працівників, перебувають під захистом. Уносити до Державного реєстру баз персональних даних (далі — Держреєстр БПД) відомості про кожну фізичну особу (працівника, клієнта) не потрібно. Ще раз повторимо: здавалося б. Насправді одне серйозне «але»: фізична особа має дати згоду на обробку його персональних даних.
Згода суб'єкта персональних даних — будь-яке документоване, зокрема, письмове добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки (ст. 2 Закону № 2297). Виходить: якщо клієнт не дав письмову згоду, то обробляти й використовувати його персональні дані під час ведення господарської діяльності не можна. При отриманні персональних даних від фізичної особи після 1 січня 2011 року, тобто після набуття чинності Законом № 2297, обробляти такі дані можна лише за згодою (причому письмовою) такої фізичної особи. Що стосується даних, отриманих до цієї дати, то, на думку Держслужби, згоду на їх використання можна не отримувати. Зокрема, у п. 2.5 проекту Типового порядку обробки персональних даних у БПД (далі — проект Типового Порядку) (розміщено на http://www.zpd.gov.ua/indexDovidkaInfo.html) зазначається, що згода на обробку повторно не надається, якщо власник БПД продовжує її використовувати згідно з правовідносинами на підставі вільного волевиявлення фізичної особи, що виникли до набуття чинності Законом № 2297.
Чітких вимог до змісту і виду документа про згоду фізичної особи на використання її персональних даних немає. Краще, якщо це буде оформлено у вигляді окремого документа (розписка, заява, додаток до договору, додаткова угода тощо). Водночас, на наш погляд, таку згоду може бути закріплено у вигляді окремої норми в типовому договорі з працівниками (клієнтами). Зміст «згоди» може бути приблизно таким:
«Згоден на використання та обробку моїх персональних даних, наданих ______________ (найменування суб'єкта) для _____________ цілей (наприклад, для цілей оформлення та ведення трудових відносин; для адміністративно-правових цілей; для використання у сфері реклами та з комерційною метою тощо (див. п. 2.8 проекту Типового порядку)). Згоден на передачу моїх персональних даних третій особі виключно в порядку, установленому Законом України «Про захист персональних даних» від 01.06.10 р. № 2297-VI».
Отже, ще раз зауважимо, що сюди потрапляють будь-які оброблювані на законних підставах або за згодою фізичних осіб (у тому числі й приватних підприємців) їх персональні дані («Працівники», «Клієнти», «Учні», «Контрагенти» тощо). Відомості про юридичних осіб до БПД не потрапляють.
Як дотриматись вимог про БПД
Вище ми вже порушили питання отримання згоди від фізичної особи на використання та обробку її персональних даних. Це один з важливих моментів, який потрібно запровадити власнику БПД. Інакше (за використання персональних даних, отриманих після 01.01.11 р. без згоди фізичної особи) на посадових осіб суб'єкта накладається аж ніяк не символічний штраф, про що йтиметься нижче.
Отже, розіб'ємо порядок дій суб'єкта як власника БПД на кілька етапів.
1. Розробка внутрішнього документа — Положення (Порядку) обробки персональних даних у БПД. За основу можна взяти проект Типового порядку (http://www.zpd.gov.ua/indexDovidkaInfo.html), а також безпосередньо норми Закону № 2297.
2. Призначення осіб, відповідальних за захист даних у БПД. До їх обов'язків, зокрема, слід уключити отримання (забезпечення отримання) від фізичних осіб дозволів на використання та обробку їх даних, а також повідомлення фізичних осіб у разі надання відомостей про них третім особам з дотриманням вимог Закону № 2297.
3. Реєстрація БПД у Держреєстрі БПД.
Як зареєструвати БПД
Реєстрація БПД здійснюється відповідно до Закону № 2297, а також Положення № 616. Для реєстрації власник БПД чи уповноважена ним особа має подати заяву, форму якої затверджено наказом № 1824/5. Вище вже зазначалося, що реєструється сама БПД (її назва, місцезнаходження, найменування власника (за наявності розпорядника), мета обробки даних). Відомості про фізичних осіб, з яких складається така БПД, до Держреєстру не вносяться (відповідно не вказуються в реєстраційній заяві).
Заяви заповнюються та подаються в паперовій чи електронній формі. У разі подання заяв у паперовій формі заявник підписує кожну сторінку заяви та скріплює її печаткою (за наявності). На офіційному сайті Держслужби www.zpd.gov.ua зазначено адресу цієї служби, куди й потрібно надсилати заяви при їх поданні в паперовому вигляді:
02660 м. Київ, вул. Марини Раскової, 15.
Телефони: 517-68-00 (канцелярія), (044) 517-89-66 («гаряча лінія»).
В електронній формі заяви подаються відповідно до вимог законів України «Про електронний цифровий підпис» та «Про електронні документи та електронний документообіг». Заповнена заява в електронному вигляді, підписана електронним підписом, надсилається на електронну пошту register@zpd.gov.ua. Крім того, заяву про реєстрацію БПД можна подати безпосередньо із сайта Держслужби, зайшовши до пункту меню «Рекомендації щодо подання та заповнення заяв про реєстрацію БПД».
Заяви заповнюються державною мовою розбірливими, друкованими літерами. Заяви не повинні містити підчищення, закреслення та виправлення. При заповненні заяв вибрана заявником ознака позначається символом «х». Дати в заявах заповнюються арабськими цифрами у форматі «день, місяць, рік» (наприклад «12.12.2011»). Сторінки заяв нумеруються, на кожній сторінці заяви вказуються номер сторінки і загальна кількість сторінок. У разі якщо заявнику необхідно заповнити більше одного разу розділи, що містять інформацію про власника, розпорядників, найменування, місцезнаходження бази персональних даних і мету обробки персональних даних, заявник заповнює в заяві відповідні розділи необхідну кількість разів.
Для заповнення заяви потрібно знати, хто належить до власників БПД, а хто — до розпорядників. Так:
— власник бази персональних даних — фізична або юридична особа, якій законом або за згодою суб'єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних в цій базі даних, установлює склад цих даних та процедури їх обробки, якщо інше не визначено законом;
— розпорядник бази персональних даних — фізична або юридична особа, якій власником бази персональних даних або законом надано право обробляти ці дані.
Стосовно БПД «Працівники» власником та розпорядником, на наш погляд, є роботодавець.
Назву БПД і мету обробки заявник указує на власний розсуд. При визначенні цілей обробки можна орієнтуватися на їх перелік, наведений у проекті Типового порядку. Метою може бути забезпечення реалізації:
— трудових відносин;
— адміністративно-правових (у тому числі відносин у сфері державного управління), податкових відносин та відносин у сфері бухгалтерського обліку й аудиту;
— відносин у сфері управління людськими ресурсами, зокрема кадровим потенціалом;
— відносин у сфері економічних, фінансових послуг і страхування;
— відносин у сфері реклами та збирання персональних даних з комерційною метою;
— відносин у сфері телекомунікаційних послуг;
— відносин у сфері громадської, політичної та релігійної діяльності, відносин у сфері культури, дозвілля, спортивної та соціальної діяльності;
— відносин у сфері освіти;
— відносин у сфері охорони здоров'я;
— відносин у сфері безпеки, уключаючи питання приватних розслідувань;
— відносин у сфері транспорту;
— відносин у сфері науки, історичних досліджень і статистики;
— інших відносин, що потребують обробки персональних даних.
Факт реєстрації БПД оформляється видачею заявнику Свідоцтва про державну реєстрацію БПД, форму якого затверджено наказом № 1823/5.
Відповідальність
Тепер поговоримо про «батіг», який повинен активно залучити суб'єктів господарювання до процесу реєстрації БПД. Законом № 3454 було внесено зміни до КУпАП та ККУ , що стосуються санкцій за порушення законодавства у сфері захисту персональних даних фізичних осіб. Санкції накладаються на посадових осіб власників (розпорядників) БПД. Протоколи про виявлені правопорушення складають посадові особи Держслужби, а приймають рішення про притягнення до відповідальності суди.
Закон № 3454 набирає чинності з 1 січня 2012 року, а отже, з цієї дати почнуть діяти наведені нижче санкції, а вони чималенькі:
— за неповідомлення або несвоєчасне повідомлення суб'єкта персональних даних (у тому числі працівника) про його права у зв'язку із включенням його персональних даних до бази персональних даних, мету збирання цих даних та осіб, яким ці дані передаються, може бути накладено штраф на посадових осіб, фізичних осіб — підприємців від 300 до 400 нмдг (від 5100 до 6800 грн.), на фізичних осіб — роботодавців, які не мають статусу підприємця, — від 200 до 300 нмдг (від 3400 до 5100 грн.);
— за неповідомлення або несвоєчасне повідомлення Держслужби про зміну відомостей, що надаються для державної реєстрації бази персональних даних, на посадових осіб підприємства або на фізичну особу — підприємця може бути накладено штраф від 200 до 400 нмдг (від 3400 до 6800 грн.), на фізичних осіб — роботодавців, які не мають статусу підприємця, — від 100 до 200 нмдг (від 1700 до 3400 грн.);
— за ухилення від державної реєстрації бази персональних даних передбачено штраф: на громадян, які не мають статусу підприємця, — від 300 до 500 нмдг (від 5100 до 8500 грн.), на посадових осіб, фізичних осіб — підприємців — від 500 до 1000 нмдг (від 8500 до 17000 грн.).
Кримінальна відповідальність наставатиме за незаконні збирання, зберігання, використання, знищення, розповсюдження конфіденційної інформації про особу або незаконну зміну такої інформації у вигляді штрафу від 500 до 1000 нмдг (від 8500 до 17000 грн.) або виправних робіт на строк до двох років, або у вигляді арешту на строк до шести місяців, або обмеження волі на строк до трьох років.
Тут, щоправда, варто звернути увагу на такий важливий момент: на сьогодні залишається відкритим питання, чи має право Держслужба із захисту персональних даних проводити перевірки в цій сфері. У ст. 22 Закону № 2297 дійсно зазначено, що контроль за дотриманням законодавства про захист персональних даних у межах повноважень, передбачених законом, здійснює уповноважений державний орган з питань захисту персональних даних. А Положенням про Держслужбу передбачено, що Держслужба здійснює держнагляд і контроль за дотриманням законодавства про захист персональних даних, розробляє та затверджує плани перевірок власників баз персональних даних, проводить у межах своїх повноважень виїзні та невиїзні перевірки, видає обов'язкові для виконання приписи щодо усунення порушень законодавства про захист персональних даних, складає адмінпротоколи про виявлені порушення законодавства. Однак поки що порядку проведення перевірок немає не лише в законі, а і в підзаконних нормативних актах. А це ставить під сумнів правомірність проведення перевірок Держслужбою.
Ось такі питання ми хотіли розглянути сьогодні. Слід зауважити, це той випадок, коли витрати (у тому числі й трудові) на виконання вимоги законодавства несумірно малі порівняно з покаранням, яке може бути накладено за його невиконання. Упевнені, що в багатьох читачів, які ознайомилися з цим матеріалом, виникне запитання: а навіщо взагалі потрібна така реєстрація, якщо відомості про фізичних осіб не вносяться до Держреєстру? Відповідь на поверхні: у такий спосіб держава хоче привернути увагу та підвищити пильність суб'єктів стосовно того, що вони є власниками інформації про осіб, несанкціоноване розповсюдження якої захищається державою. Інше питання, наскільки ефективний такий захист.
Документи і скорочення статті
КЗпП — Кодекс законів про працю України від 10.12.71 р.
КУпАП — Кодекс України про адміністративні правопорушення від 07.12.84 р. № 8073-Х.
ККУ — Кримінальний кодекс України від 05.04.01 р. № 2341-III.
Закон № 2297 — Закон України «Про захист персональних даних» від 01.06.10 р. № 2297-VI.
Закон № 2939 — Закон України «Про доступ до публічної інформації» від 13.01.11 р. № 2939-VI.
Закон № 3454 — Закон України «Про внесення змін до деяких законодавчих актів України про посилення відповідальності за порушення законодавства про захист персональних даних» від 02.06.11 р. № 3454-VI.
Положення № 616 — Положення про Державний реєстр баз персональних даних та порядок його ведення, затверджене постановою КМУ від 25.05.11 р. № 616.
Наказ № 1823/5 — наказ Мін'юсту «Про затвердження зразка свідоцтва про державну реєстрацію бази персональних даних» від 08.07.11 р. № 1823/5.
Наказ № 1824/5 — наказ Мін'юсту «Про затвердження форм заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних та порядку їх надання» від 08.07.11 р. № 1824/5.
Положення про Держслужбу — Положення про Державну службу України з питань захисту персональних даних, затверджене Указом Президента України від 06.04.11 р. № 390/2011.
