БАЗИ ПЕРСОНАЛЬНИХ ДАНИХ:
відповідаємо на актуальні запитання
Питання реєстрації баз персональних даних (БПД) останнім часом — одне з найнагальніших та найбільш обговорюваних, про що свідчать численні дзвінки до нашої редакції. Зовсім недавно цій проблемі було присвячено публікацію «Бази персональних даних фізичних осіб реєструвати доведеться практично всім» // «БТ», 2011, № 49, с. 12, але запитання продовжують надходити, тому сьогодні ще раз повернемося до цієї теми.
Жанна СЕМЕНЧЕНКО, економіст-аналітик Видавничого будинку «Фактор»
Порядок подання заяви про реєстрацію БПД
Хто від імені підприємства має підписувати заяву про реєстрацію бази персональних даних?
Згідно з п. 2 Порядку № 1824/5 володілець БПД або уповноважена ним особа (далі — заявник) подає заяву за встановленими формами. Заяви заповнюються та подаються в паперовому чи електронному вигляді*.
* У разі подання заяви в паперовому вигляді заявник підписує кожну сторінку заяви та скріплює її печаткою (за наявності). В електронній формі заяви подаються згідно з вимогами законів України «Про електронний цифровий підпис» від 22.05.03 р. № 852-IV та «Про електронні документи та електронний документообіг» від 22.05.03 р. № 851-IV, тобто таку заяву має бути підписано за допомогою електронного цифрового підпису.
Під володільцем БПД, у свою чергу, розуміється фізична або юридична особа, якій законом або за згодою суб'єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, установлює склад цих даних та процедури їх обробки, якщо інше не визначено законом.
Згідно з п. 3 ст. 24 Закону № 2297 забезпечення захисту персональних даних покладається на володільця цієї бази. При цьому в органах державної влади та органах місцевого самоврядування, організаціях, установах та на підприємствах усіх форм власності визначається структурний підрозділ або відповідальна особа, яка організовує роботу, пов'язану із захистом персональних даних при їх обробці, відповідно до закону**.
** Фізичні особи — підприємці, у тому числі лікарі, які мають відповідну ліцензію, адвокати, нотаріуси особисто забезпечують захист баз персональних даних, якими вони володіють, згідно з вимогами закону (п. 6 ст. 24 Закону № 2297).
Із цього доходимо висновку, що від імені підприємства заявником може виступати або особа, яка на законних підставах має право представляти інтереси підприємства (відповідно до установчих документів або виданої довіреності), або спеціально уповноважена на ці дії особа (наприклад, працівник, призначений наказом керівника підприємства відповідальним за реєстрацію БПД).
Підприємство (ТОВ), засноване на приватній власності, реєструє БПД. Кого слід зазначати в розділі про розпорядника БПД та скільки сторінок заяви в такому разі потрібно подавати?
Розпорядник бази персональних даних — фізична або юридична особа, якій володільцем бази персональних даних або законом надано право обробляти ці дані.
Розпорядником БПД, володільцем якої є орган державної влади чи орган місцевого самоврядування, крім цих органів, може бути лише підприємство державної чи комунальної форми власності, що належить до сфери управління цього органу.
Отже, БПД, якою володіє підприємство приватної форми власності, може не мати розпорядника (володілець не передавав іншій фізичній або юридичній особі право на обробку БПД). У такому разі заявник заповнює 3 сторінки заяви, при цьому поля розділу IV «Інформація про розпорядників бази персональних даних» на с. 3 заяви не заповнюються (у них краще проставити прокреслення). У рекомендаціях ДСЗПД щодо заповнення заяви про реєстрацію БПД, розміщених на сайті www.zpd.gov.ua, зазначено, що додаткові сторінки 4 і 5 заповнюються тільки за наявності в цьому необхідності (наприклад, якщо місцезнаходжень БПД та/або розпорядників БПД більше за одне). Якщо БПД знаходиться в одному місці (за фактичною адресою юридичної особи) і при цьому розпорядника у БПД немає (або є лише один), то заява складається із трьох сторінок.
На яку поштову адресу потрібно надсилати заяву про реєстрацію БПД у паперовому вигляді? Кого вказувати адресатом (одержувачем)?
Заповнені друкованими літерами українською мовою, пронумеровані, підписані на кожній сторінці з проставлянням за наявності печатки заяви надсилаються на адресу:
02660 м. Київ, вул. Марини Раскової, 15 (можна вказати каб. 1205, де працює начальник управління реєстрації БПД).
Адресат: Державна служба України з питань захисту персональних даних (можна в дужках пояснити «заява про реєстрацію баз персональних даних»).
В електронному вигляді заяву можна подати або через веб-сайт ДСЗПД https://rbpd.informjust.ua, або за допомогою електронної пошти на адресу register@zpd.gov.ua, але зробити це можна лише за наявності сертифікованого ключа електронного цифрового підпису (ЕЦП). ДСЗПД повідомляє, що більшість поданих в електронному вигляді заяв не може бути оброблено через недотримання встановленої процедури, а саме в разі подання заяви, на якій немає ЕЦП, а також без сертифіката відкритого ЕЦП.
Обробка БПД
Чи обов'язково отримувати згоду від працівників на обробку їх даних? Якщо так, то якою датою має бути оформлено таку згоду?
Спочатку зауважимо, що підстави для виникнення права на обробку персональних даних наведено в ст. 11 Закону № 2297:
— згода суб'єкта персональних даних на обробку його персональних даних. Суб'єкт персональних даних має право при наданні згоди внести застереження щодо обмеження права на обробку своїх персональних даних;
— дозвіл на обробку персональних даних, наданий володільцю бази персональних даних відповідно до закону виключно для здійснення його повноважень.
Це дає підстави стверджувати, що стосовно відомостей про працівників у суб'єкта господарювання є дозвіл на обробку їх персональних даних, наданий йому законом (зокрема, КЗпП). Отже, якщо роботодавець обробляє дані працівників виключно для забезпечення реалізації трудових відносин, на що чинним законодавством у нього є повноваження, то відпадає необхідність окремо отримувати у працівників згоду на обробку таких даних.
Водночас ДСЗПД вважає, що володільцю БПД «Працівники» потрібно отримати відповідну згоду від працівників, щоправда, лише від тих, яких було прийнято на роботу після 1 січня 2011 року, тобто після початку дії Закону № 2297.
Важливим моментом тут є те, що штраф передбачено не за відсутність згоди фізичної особи на обробку її даних, а за неповідомлення або несвоєчасне повідомлення суб'єкта персональних даних про його права у зв'язку з уключенням його персональних даних до БПД, мету збирання цих даних та осіб, яким ці дані передаються (штраф на посадових осіб, фізичних осіб — підприємців — від 300 до 400 нмдг (тобто від 5100 до 6800 грн.), на фізичних осіб — роботодавців, які не мають статусу підприємця, — від 200 до 300 нмдг (від 3400 до 5100 грн.). Згідно з ч. 2 ст. 12 Закону № 2297 суб'єкт персональних даних протягом 10 робочих днів від дня включення його персональних даних до БПД повідомляється про свої права, визначені цим Законом, мету збирання даних та осіб, яким передаються його персональні дані, виключно в письмовій формі .
Із цього робимо висновок, що незалежно від того, що саме є правом для обробки персональних даних (згода фізичної особи або пряма норма закону) фізичну особу має бути повідомлено про включення її даних до БПД протягом 10 робочих днів з цього моменту.
У зв'язку з цим володільцю БПД потрібно скласти окремі форми повідомлень фізичних осіб під кожну БПД. Причому мета обробки БПД у повідомленні має збігатися з такими, зазначеними в заяві про реєстрацію відповідної БПД (див. приклад на с. 51). Таке повідомлення, може бути або особисто вручено фізичній особі, або надіслано поштою. Для цієї мети володілець БПД може вести Журнал обліку повідомлень фізичних осіб про включення їх даних до БПД.
Рис. 1. Зразок Повідомлення працівника про включення його даних до БПД
Як ви розумієте, щоб виконати вимоги Закону № 2297, повідомити працівника про включення його даних до БПД потрібно протягом 10 робочих днів з моменту прийняття його на роботу.
Ризикнемо припустити: якщо володілець БПД до 1 січня 2012 року повідомить усіх фізичних осіб, відомості про яких унесено до тієї чи іншої БПД, володільцем якої він є, то його не буде оштрафовано. Ґрунтуємося на тому, що Закон № 3454, яким передбачено штрафи за порушення законодавства у сфері захисту персональних даних, набирає чинності з 1 січня 2012 року, і якщо на цей момент усі вимоги буде дотримано, то й підстав для штрафів не буде. Передумови для такого розвитку подій бачимо і в деяких роз'ясненнях ДСЗПД, розміщених на її офіційному сайті www.zpd.gov.ua, де вказується таке: якщо володілець відправить ДСЗПД заяву про реєстрацію БПД до 01.01.12 р., то це не вважатиметься ухиленням від держреєстрації БПД. До того ж ДСЗПД підтверджує, що ці заяви прийматимуться і після 1 січня 2012 року.
Та все-таки бажано отримати згоду фізичної особи (якщо це необхідно) і повідомити її про включення даних до БПД своєчасно. Ще раз зауважимо, що повідомляти потрібно лише тих фізичних осіб (у тому числі працівників), персональні дані про яких опинилися у володінні суб'єкта господарювання після 1 січня 2011 року.
Визначення БПД
Приватний підприємець займається поставкою питної води населенню. Доставка води здійснюється за дзвінком клієнта з проведенням розрахунків готівкою за місцем доставки води. Чи вважається БПД відомості, які містять лише ім'я покупця (не завжди з прізвищем), номер контактного телефону та адресу доставки?
Навряд чи відомості, які має у своєму розпорядженні цей суб'єкт господарювання, можна вважати персональними даними.
Персональні дані — відомості або сукупність відомостей про фізичну особу, яку ідентифіковано або може бути конкретно ідентифіковано.
Для того щоб вважати відомості персональними даними, потрібно вирішити, чи можна за ними ідентифікувати фізичну особу. Очевидно: якщо суб'єкт господарювання має лише відомості про місце доставки води, контактний телефон та ім'я (без прізвища), то ці дані не дають можливості ідентифікувати цю фізичну особу. Якщо стосовно якогось із клієнтів буде хоча б повністю П. І. Б. та контактний телефон, то тут уже є натяк на те, що це персональні дані. Зауважимо, що сама ДСЗПД у роз'ясненні на своєму офіційному сайті www.zpd.gov.ua не може визначити, що є мінімальною сукупністю відомостей про фізичну особу, які дозволяють ідентифікувати таку фізичну особу.
Отже, чітких критеріїв, дотримання яких дає підстави стверджувати, що фізичну особу може бути ідентифіковано, у законодавстві немає. Згідно з ч. 3 ст. 6 Закону № 2297 склад і зміст персональних даних мають бути відповідними та не надмірним для певної мети їх обробки. Обсяг персональних даних, які може бути включено до БПД, визначається умовами згоди суб'єкта персональних даних або відповідно до закону. Первинними джерелами відомостей про фізичну особу є: видані на її ім'я документи; підписані нею документи; відомості, які особа надає про себе (п. 4 ст. 6 Закону № 2297). Усе це свідчить про широке поняття «персональні дані», під яке за бажання можна підвести дуже багато ситуацій. Беззастережно ідентифікувати особу можна за паспортними даними або реквізитами іншого документа, що засвідчує особу (пенсійне посвідчення, посвідчення водія, свідоцтво про народження, закордонний паспорт тощо). У тих випадках, коли суб'єкт господарювання не має у своєму розпорядженні відомостей, які дозволяють визначити, що наявний у них номер телефону Іванова Івана Івановича — це номер саме того Іванова Івана Івановича, який народився тоді-то і там-то, зареєстрований за місцем проживання там-то і там-то, то тут можна стверджувати, що відомості, наявні в розпорядженні підприємця про фізичну особу, не входять до поняття «персональні дані».
Приклад заповнення заяви про реєстрацію БПД
Покажемо на прикладі, як повідомити працівників суб'єкта господарювання (суб'єктів персональних даних) про їх права у зв'язку з уключенням їх персональних даних до БПД, мету збирання цих даних та осіб, яким ці дані передаються (рис. 1 на с. 51). Також покажемо, як заповнити заяву про реєстрацію БПД (рис. 2 на с. 51 — 52).
Рис. 2
Сподіваємося, що ми докладно (наскільки це дозволяє «сире» законодавство про захист персональних даних) відповіли на запитання наших читачів, що найчастіше надходили. Звичайно, дуже багато моментів викликає подив, особливо коли йдеться про узгодження з фізичними особами права на обробку їх даних, що надаються обов'язково, багато які проблеми залишаються дискусійними. Поживемо — побачимо, як розвиватимуться події навколо БПД. А поки що можемо повідомити, що з'явився законопроект, яким планується перенести дату початку дії Закону № 3454, який установлює штрафні санкції за порушення у сфері захисту БПД, з 1 січня 2012 року на 1 липня 2012 року. Сподіваємося, що цей законопроект буде ухвалено. Та й не факт, що розміри штрафів залишаться на колишньому, такому високому рівні, як це сьогодні передбачено Законом № 3454. Принаймні в інтернет-джерелах відзначається те, що Прем'єр-міністр України поставив завдання розібратися з надмірними розмірами штрафів, установленими за порушення законодавства в цій сфері.
Документи і скорочення статті
КЗпП — Кодекс законів про працю України від 10.12.71 р.
КУпАП — Кодекс України про адміністративні правопорушення від 07.12.84 р. № 8073-Х.
ГКУ — Господарський кодекс України 16.01.03 р. № 436-IV.
ЦКУ — Цивільний кодекс України від 16.01.03 р. № 435-IV.
Закон № 2297 — Закон України «Про захист персональних даних» від 01.06.10 р. № 2297-VI.
Закон № 3454 — Закон України «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» від 02.06.11 р. № 3454-VI.
Закон про госптовариства — Закон України «Про господарські товариства» від 19.09.91 р. № 1576-ХII.
Наказ № 1824/5 — наказ Міністерства юстиції України «Про затвердження форм заяв про реєстрацію бази персональних даних і про внесення змін до відомостей Державного реєстру баз персональних даних та порядку їх надання» від 08.07.11 р. № 1824/5.
ДСЗПД — Державна служба із захисту персональних даних.
БПД — база персональних даних.
Нмдг — неоподатковуваний мінімум доходів громадян.
