Теми статей

Обрати теми

Податок на прибуток ПДВ РРО ЄСВ ФОП Звільнення Штрафи ПДФО Відпустка Єдиний податок Лікарняні Всі теми

Захист персональних даних. «Что было вчера — позабыть мне пора»

Бухгалтерський тиждень Квітень, 2014/№ 17

Стаття

Приєднуйтесь до Telegram спільноти та дізнавайтесь найважливіші новини першими!

«Что было вчера — позабыть мне пора»

Ми вже інформували вас, що з цього року питання у сфері захисту персональних даних підвідомчі Уповноваженому Верховної Ради України з прав людини. Тепер бази персональних даних не потрібно реєструвати. Однак для деяких особливих випадків запроваджено вимогу про повідомлення Уповноваженого. Про те, як тепер захищати персональні дані та захищатися самим, і поговоримо сьогодні.

Жанна СЕМЕНЧЕНКО, податковий експерт, bn@id.factor.ua

Чим тепер керуємося

Як і раніше, основним документом у цій сфері є Закон про ПД. Однак у зв’язку з тим, що з 1 січня 2014 року питання персональних даних (ПД) підвідомчі Уповноваженому ВРУ з прав людини (далі — Уповноважений), мін’юстівська нормативка втратила чинність. На зміну їй прийшли документи від Уповноваженого. Ним розроблено наказ № 1/02, яким затверджені:

• Типовий порядок обробки персональних даних (далі — Типовий порядок);

• Порядок здійснення Уповноваженим контролю за дотриманням законодавства про захист персональних даних (далі — Порядок контролю);

• Порядок повідомлення Уповноваженого щодо визначення обробки персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, про структурний підрозділ або відповідальну особу, яка організовує роботу, пов’язану із захистом персональних даних при їх обробці, а також оприлюднення зазначеної інформації (далі — Порядок повідомлення).

Крім того, до цих документів існують роз’яснення. І самі документи, і роз’яснення до них ви можете знайти на офіційному сайті Уповноваженого http://www.ombudsman.gov.ua у розділі «Захист персональних даних».

Реєстрації — ні, повідомленню — так

Повсюдна реєстрація баз персональних даних (БПД) канула в Лету. Тепер здебільшого про наявність у вас БПД нікого повідомляти не потрібно.

Зверніть увагу! Скасування реєстрації БПД зовсім не означає, що тепер можна ні про що не турбуватися. Як і раніше, володілець або розпорядник ПД зобов’язаний забезпечити захист ПД від незаконного використання та/або розповсюдження. За порушення він несе відповідальність, хоча санкції сьогодні трохи пом’якшені.

Повідомляти Уповноваженого потрібно тільки про обробку тих ПД, що становлять особливий ризик для прав і свобод суб’єктів ПД. Назвемо їх особливими ПД.

Важливо! До особливих ПД належать відомості про:

• расове, етнічне та національне походження;

• політичні, релігійні або світоглядні переконання;

• членство у політичних партіях та/або організаціях, профспілках, релігійних організаціях або у громадських організаціях світоглядної спрямованості;

• стан здоров’я;

• статеве життя;

• біометричні, генетичні дані;

• притягнення до адміністративної або кримінальної відповідальності;

• застосування заходів у межах досудового розслідування та передбачених Законом України «Про оперативно-розшукову діяльність»;

• здійснення щодо особи насильства;

• місцезнаходження та/або шлях пересування особи.

Про обробку інших (не особливих) ПД повідомляти Уповноваженого не потрібно.

Якщо ви володієте особливими ПД, то, крім загальновстановлених вимог до їх захисту (про що див. у наступному підрозділі статті), вам доведеться виконати низку додаткових дій:

• подати Уповноваженому заяву про обробку особливих ПД за формою додатка 1 до наказу № 1/02 протягом 30 робочих днів від дня збирання ПД;

• повідомити Уповноваженого про створення структурного підрозділу або призначення відповідальної особи, яка організовує роботу, пов’язану із захистом ПД при їх обробці. Заява подається за формою додатка 4 до наказу № 1/02 протягом 30 днів із моменту створення такого підрозділу (призначення відповідального).

Увага! Уповноважений не видає свідоцтво чи будь-який інший документ, що підтверджує отримання від вас заяви. Інформація про це розміщується на його офіційному сайті (http://www.ombudsman.gov.ua/) в розділах «Повідомлення про здійснення обробки персональних даних, що становить особливий ризик для прав і свобод суб’єктів персональних даних» або «Заяви, не прийняті до розгляду»*.

* Дані про неприйняті заяви зберігаються протягом 6 місяців. Якщо у вас виникли запитання, ви можете зателефонувати на гарячу лінію Уповноваженого за телефонами: (044) 253-11-35, 253-53-94, 253-81-94.

Важливо! Існує перелік випадків, коли навіть за наявності особливих ПД повідомляти Уповноваженого не потрібно. Серед них — обробка особливих ПД для реалізації прав та виконання обов’язків володільця ПД у сфері трудових правовідносин відповідно до закону. Отже, роботодавець не доповідає Уповноваженому про обробку ПД своїх працівників, навіть якщо вони є особливими.

Загальні вимоги до захисту ПД

Вище ми розглянули вимоги до особливих ПД. Далі про те, що потрібно робити всім володільцям/розпорядникам ПД, які обробляють як особливі, так і звичайні ПД:

1. Розробити внутрішній документ щодо захисту ПД. Сьогодні відповідно до п. 2.1 Типового порядку володілець (розпорядник) обов’язково має визначити базові питання обробки ПД (категорії суб’єктів ПД; склад, мету, підстави та порядок обробки ПД тощо). Така вимога існувала й до 01.01.14 р. Узявши з норм Типового порядку загальні формулювання, ви зможете скласти свій документ з урахуванням специфіки вашої діяльності.

2. Вжити технічних та організаційних заходів щодо захисту ПД. В організаційному плані в першу чергу необхідно взяти письмові зобов’язання у працівників, які мають доступ до ПД, про їх нерозголошення (п. 3.7 Типового порядку). Попередньо потрібно скласти список посад працівників, які мають такий доступ. У технічному плані володілець має подумати, як він може перешкоджати несанкціонованому доступу інших осіб до ПД. Наприклад, забезпечити зберігання ПД у закритому приміщенні та/або сейфі, встановити персональні паролі доступу до електронних баз тощо.

3. Обробляти ПД на законних підставах. Підстави для обробки перелічені у ст. 11 Закону про ПД:

1) згода суб’єкта ПД;

2) дозвіл на обробку ПД, наданий володільцю ПД відповідно до закону виключно для здійснення його повноважень;

3) укладення та виконання правового правочину, стороною якого є суб’єкт ПД або який укладено на користь суб’єкта ПД чи для здійснення заходів, що передують укладенню правового правочину на вимогу суб’єкта ПД;

4) захист життєво важливих інтересів суб’єкта ПД;

5) необхідність виконання обов’язків володільця ПД, передбачених законом;

6) необхідність захисту законних інтересів володільця ПД або третьої особи, якій передаються ПД, крім випадків, коли потреба захисту основоположних прав і свобод суб’єкта ПД у зв’язку з обробкою його даних перевищує такі інтереси.

Важливо! Із переліку підстав видно, що далеко не в усіх випадках від фізичної особи потрібно отримувати згоду. Наприклад, обробляти дані про працівника можна без його згоди. Не потрібно запитувати згоду й у фізичної особи (покупця, замовника, підрядника тощо), якщо ці дані потрібні для укладення і виконання правового правочину. Для укладення правочину фізична особа добровільно дає свої дані, що й підтверджує її згоду.

Відомості мають бути адекватними для встановленої мети їх обробки. Наприклад, при укладенні договору оренди з фізичною особою її контрагенту (орендарю) не потрібні відомості про сімейний стан, стан здоров’я тощо такого орендодавця. Обробку зайвих відомостей про фізичну особу може бути визнано непропорційною, а це — порушення.

На замітку. Якщо у суб’єкта господарювання є просто папка укладених договорів із фізичними особами (клієнтами, замовниками, покупцями тощо), то це ще не означає, що він є володільцем ПД. Для такого визнання відомості мають бути впорядковані в електронному вигляді або картотеці таким чином, щоб за певним критерієм (алфавітом, ідентифікаційним номером, номером паспорта тощо) можна було знайти відомості про конкретну фізичну особу. Такий висновок випливає з визначень картотеки та бази персональних даних, наведених у Законі про ПД. Отже, питання отримання згоди в таких випадках узагалі не виникає, оскільки немає факту обробки ПД.

Якщо іншої законної підстави, окрім як отримати згоду від фізичної особи, немає, отримуємо згоду. Примірну її форму наведено в п. 12 Роз’яснень до Типового порядку (див. рисунок).

Примірна форма згоди фізичної особи на обробку ПД

Увага! Володілець під час перевірки має надати переконливі докази того, що фізична особа дала згоду на обробку її даних. При цьому згоду може бути оформлено або у вигляді окремого документа (див. рисунок вище), або в одній із таких форм:

• відповідне позначення в електронному вигляді;

• одна з умов договору;

• будь-яка інша форма, що дасть змогу зробити висновок про надання згоди (заява, анкета тощо).

4. Повідомляти фізичних осіб про обробку їх даних. У цьому питанні у нас дві новини — гарна й погана.

Погана, а точніше, не зовсім зрозуміла, полягає в тому, що відповідно до Закону про ПД у всіх випадках потрібно повідомляти фізичних осіб про обробку їх даних. Причому володілець зобов’язаний зберігати інформацію (документи), що підтверджують надання заявнику зазначеної вище інформації протягом усього періоду обробки ПД. Форму повідомлення не встановлено. Є лише строки:

• у момент збирання ПД, якщо вони збираються у суб’єкта ПД;

• в інших випадках протягом 30 робочих днів від дня збирання ПД.

Невелику надію на те, що мати документ, який підтверджує повідомлення фізичної особи про обробку її даних, усе-таки потрібно не в усіх випадках, дає п. 2.9 Типового порядку. Тут зазначено, що це необхідно робити, окрім випадків, передбачених законодавством України. Щоправда, не уточнюється, про які саме випадки йдеться. Нам здається логічним таке: якщо було надано згоду на обробку, вважається, що фізичну особу повідомлено про це. При обробці ПД на інших законних підставах, тобто без згоди, повідомити фізичну особу, на наш погляд, необхідно. Форми повідомлення немає, тому тут може бути або окремий документ довільної форми, або відмітка про повідомлення в договорі, заяві, анкеті тощо.

А тепер приємна новина. З 01.01.14 р. власне факт неповідомлення суб’єкта ПД про обробку його даних не є підставою для накладення штрафу. Раніше це вважалося порушенням із накладенням штрафу від 5100 до 6800 грн. Тепер покарати володільця за неповідомлення суб’єкта ПД можуть на підставі ч. 4 ст. 188³⁹ КУпАП (порушення порядку захисту ПД), тільки якщо це призвело до незаконного доступу до ПД або порушення прав фізичної особи — суб’єкта ПД (див. табл.).

Що загрожує за поганий захист ПД

Функції контролю в цій сфері передано Уповноваженому. Його представники здійснюють перевірки, складають протоколи та передають їх на розгляд до суду. Рішення про накладення адмінсанкцій приймає суд.

Сучасні порушення і штрафи, а тут є зміни з 01.01.14 р., наведено в таблиці нижче.

Адмінвідповідальність за порушення у сфері захисту ПД

Порушення	Розмір штрафу
Неповідомлення або несвоєчасне повідомлення Уповноваженого про обробку ПД чи зміну відомостей, що підлягають повідомленню відповідно до закону, повідомлення неповних або недостовірних відомостей	• від 3400 до 6800 грн. (ч. 1 ст. 188³⁹ КУпАП); • за повторне протягом року порушення — від 8500 до 34000 грн. (ч. 3 ст. 188³⁹ КУпАП)
Невиконання законних вимог (приписів) Уповноваженого або визначених ним посадових осіб секретаріату Уповноваженого щодо запобігання чи усунення порушень законодавства по захисту ПД	• від 5100 до 17000 грн. (ч. 2 ст. 188³⁹ КУпАП); • за повторне протягом року порушення — від 8500 до 34000 грн. (ч. 3 ст. 188³⁹ КУпАП)
Недотримання встановленого законодавством щодо захисту ПД порядку захисту ПД, що призвело до незаконного доступу до них або порушення прав суб’єкта ПД	• від 5100 до 17000 грн. (ч. 4 ст. 188³⁹ КУпАП); • за повторне протягом року порушення — від 17000 до 34000 грн. (частина п’ята ст. 188³⁹ КУпАП)
Невиконання законних вимог Уповноваженого або його представників	• від 1700 до 3400 грн. (ст. 188⁴⁰ КУпАП)

Як відомо, «строк позовної давності» для накладення адмінсанкцій залежить від того, разове це порушення або триваюче*. Як роз'яснювала ДСЗПД у листі від 17.07.13 р. № 10/1892-13, разовим порушенням може бути неповідомлення або несвоєчасне повідомлення суб’єкта ПД про оброблювані дані відповідно до Закону про ПД, разове розповсюдження ПД без належних для цього правових підстав. Триваючим порушенням визнається, наприклад, розміщення (розповсюдження) володільцем ПД списку боржників з оплати за комунальні послуги, що містить ПД, факт якого було зафіксовано при проведенні перевірки.

* За разове порушення санкції можна накласти не пізніше ніж через три місяці від дня його вчинення (оскільки в цьому випадку рішення виносить суд), а за триваюче — не пізніше ніж через три місяці від дня його виявлення (ч. 2 ст. 38 КУпАП).

Що стосується порушень, які до 01.01.14 р. були штрафонебезпеченими, а тепер — ні, то санкції за них не повинні накладатися на підставі дії ст. 8 КУпАП. Згідно з нею закони, що пом’якшують або скасовують відповідальність за адміністративні правопорушення, мають зворотну силу, тобто поширюються й на правопорушення, вчинені до видання цих законів.

Висновки

З 1 січня 2014 року питання у сфері захисту ПД підвідомчі Уповноваженому.
Реєстрацію БПД скасовано. Із зареєстрованими до 01.01.14 р. БПД нічого додатково робити не потрібно.
Уповноваженого слід повідомляти лише при обробці особливих ПД. На особливі дані про працівників ця вимога не поширюється.
У багатьох випадках обробляти ПД можна без письмової згоди фізичних осіб.
З 01.01.14 р. пом’якшено відповідальність у сфері захисту ПД.

Документи статті

Закон про ПД — Закон України «Про захист персональних даних» від 01.06.10 р. № 2297-VI.

Наказ № 1/02 — наказ Уповноваженого ВРУ «Про затвердження документів у сфері захисту персональних даних» від 08.01.14 р. № 1/02-14.

Теги Захист персональних даних

PRO-доступ до усіх закритих матеріалів сайту Отримати доступ

Наступна публікація