— Хто нам відповість одразу
чи вважати це за базу?..
Бази персональних даних: продовжуємо обговорювати…
ФОП виписує рахунки іншим фізичним особам, у яких зазначає П. І. Б. та ІПН. Крім того, ФОП подає звіти за ф. № 1 ДФ до ДПІ щодо постачальників, де зазначає їхні ІПН. Чи є така інформація базою персональних даних і чи слід її реєструвати відповідно до Закону «Про захист персональних даних»?
Статтею 2 Закону від 01.06.2010 р. № 2297-VI «Про захист персональних даних» (далі — Закон № 2297) встановлено, що базою персональних даних є іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних.
Виходячи із зазначеного визначення можна встановити такі ознаки бази персональних даних:
1) дані повинні бути персональними.
Приміром, у контексті Закону № 2297 персональними даними вважаються відомості про фізичну особу, за допомогою яких така особа може бути ідентифікована. Більш інформативним у цьому випадку є положення Директиви Європейського парламенту та Ради Європейського Союзу від 24 жовтня 1995 року № 95/46 «Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних» (далі — Директива), стаття 2 якої роз’яснює, що за допомогою таких даних фізична особа може бути встановлена прямо або непрямо, зокрема за допомогою ідентифікаційного коду або одного чи більше факторів, властивих фізичним, фізіологічним, ментальним, економічним, культурним або соціальним аспектам його особи. Разом із тим згідно з Рекомендаціями CM/Rec (2010) 13 Комітету Міністрів РЄ про захист осіб у зв’язку із застосуванням автоматизованої обробки персональних даних і в контексті використання таких даних особа не вважається такою, що «підлягає ідентифікації», якщо ідентифікація вимагає необґрунтованих часу та зусиль;
2) такі дані повинні бути впорядкованими в електронній формі або у формі картотек.
Цей критерій, можна сказати, є наріжним, за допомогою якого можна встановити, чи є визначена група зібраних відомостей базою даних.
Однак чинне законодавство не надає тлумачення зазначеного терміна. Академічний тлумачний словник української мови визначає, що упорядкований — це такий, який характеризується певною послідовністю, черговістю чогось, у якому виражається якась закономірність, який має належний порядок, лад, добре організований, настроєний.
Пункт 15 Преамбули Директиви встановлює, що обробка персональних даних підпадає під дію Директиви лише в тих випадках, коли обробка є автоматизованою або коли оброблені дані розміщуються чи призначені для розміщення в картотеках, структурованих за визначеними критеріями, що стосуються фізичних осіб, таким чином, щоб забезпечити легкий доступ до відповідних персональних даних.
Крім того, у Директиві йдеться про те, що держави повинні розробляти критерії визначення складових частин структурованої сукупності персональних даних, а справи або сукупності справ, як і їх титульні листи, які не розроблені відповідно до визначених критеріїв, за жодних умов не входять до сфери дії цієї Директиви.
Корисним у цьому випадку є роз’яснення Міністерства юстиції України, розміщене на сайті Міністерства (http://www.minjust.gov.ua/0/38266).
Наприклад, Мін’юст, використовуючи положення, сформульовані в Директиві, роз’яснив, що база персональних даних є впорядкованою сукупністю логічно пов’язаних даних про фізичних осіб, які зберігаються і обробляються відповідним програмним забезпеченням, є базою персональних даних в електронній формі; які зберігаються і обробляються на паперових носіях інформації, є базою персональних даних у формі картотек.
При цьому, за роз’ясненням Мінюсту, картотекою персональних даних є будь-який структурований масив персональних даних, що є доступним за визначеними критеріями, незалежно від того, чи є такий масив централізованим, децентралізованим або розділеним за функціональними або географічними принципами (відповідає п. «с» ст. 2 Директиви). Такі дані повинні бути структуровані за визначеними критеріями, що стосуються фізичних осіб, щоб забезпечити легкий доступ до відповідних персональних даних (п. 15 і 27 Преамбули Директиви);
3) сукупність персональної інформації має бути іменованою.
Таким чином, базою персональних даних є відомості про фізичну особу, за допомогою яких така фізична особа може бути прямо або опосередковано ідентифікована, які зібрані в іменовану сукупність у певній послідовності, у певній закономірності (за критеріями), задля полегшення доступу до відповідних даних.
Державна служба України з питань захисту персональних даних на своєму сайті акцентує увагу на тому, що власник бази даних самостійно приймає рішення щодо того, чи є та чи інша сукупність персональних даних фізичних осіб, яка перебуває в його володінні, базою персональних даних*. На це ж вказує у своєму роз’ясненні Мін’юст.
* Однак на сьогодні не зрозуміло, чи є власник персональних даних кінцевою інстанцією і чи не буде він відповідати за те, що неправильно визначив, [не] володіє базами персональних даних у розумінні Закону № 2297.
Крім того, на сайті Служби розміщено роз’яснення, відповідно до якого різні типи звітів і форм, які містять певну сукупність відомостей про фізичних осіб, що витягнуті з баз персональних даних власника і відповідно до закону періодично подаються до органів державної влади, не розглядаються як окремі бази персональних даних.
При заповненні рахунків і звітів СПД використовує персональні дані, якими він уже володіє і які йому передані суб’єктами персональних даних для зазначених цілей, тому сама по собі сукупність звітів і рахунків, навіть якщо вони впорядковані (підшиті, відсортовані за певними ознаками), не є базою персональних даних.
Підсумуємо: якщо СПД якимось чином упорядковує ІПН, П. І. Б. інших ФОПів, групує їх за якимись ознаками з метою забезпечення легкого доступу до відповідних даних, то така сукупність відповідає визначенню бази даних, наведеному в Законі № 2297, а отже, є базою персональних даних і, відповідно, підлягає державній реєстрації.
У разі якщо СПД не впорядковує такі персональні дані, то, на нашу думку, вони не будуть розглядатися як бази персональних даних. Крім того, слід врахувати принцип самостійності у прийнятті рішення щодо наявності баз і даних власника персональних даних. Обережний підприємець, ймовірно, видасть розпорядження, яким суворо заборонить собі впорядковувати персональні дані. Такий документ точно не завадить.
Чи треба роботодавцеві отримувати згоду у працівників на обробку їхніх персональних даних, якщо він проводить обробку даних на підставі закону? У яких випадках роботодавець збирає відомості про працівника без його згоди? Чи слід реєструвати базу персональних даних роботодавцям по працівниках? Чи треба повідомляти працівників про те, що їхні персональні дані включені до бази персональних даних, і про те, що їхні дані передані третім особам, якщо роботодавець подає звіти щодо працівників до ДПІ за формою № 1ДФ?
Стаття 11 Закону № 2297 встановлює такі підстави використання персональних даних суб’єкта персональних даних:
1) згода суб’єкта персональних даних на обробку його персональних даних;
2) дозвіл на обробку персональних даних, наданий власнику бази персональних даних відповідно до закону виключно для здійснення його повноважень.
При цьому під використанням Закон № 2297 розуміє будь-які дії власника бази щодо обробки цих даних, дії щодо їх захисту, а також дії з надання часткового або повного права обробки персональних даних іншим суб’єктам відносин, пов’язаних із персональними даними, що здійснюються за згодою суб’єкта персональних даних чи відповідно до закону.
У сфері трудових відносин чинне законодавство України зобов’язує особу, яка наймається на роботу, при укладанні трудового договору подавати паспорт або інший документ, що посвідчує особу, трудову книжку, а у випадках, передбачених законодавством,— також документ про освіту (спеціальність, кваліфікацію), про стан здоров’я та інші документи (див. ст. 24 КЗпП у «Бухгалтері» № 7’2008 на с. 3т–4т). До інших документів можна віднести, наприклад, документ військового обліку (приписне свідоцтво, або військовий квиток, чи довідку, яка видається замість військового квитка), подання якого передбачено ст. 2113 КпАП України, ч. 4 ст. 34 Закону «Про військовий обов’язок і військову службу». Усі перелічені вище документи містять персональні дані про фізичну особу.
Водночас слід зазначити, що роботодавець обробляє, тобто збирає, використовує, зберігає такі дані, не за власним бажанням. Цього від нього вимагає Закон. Як відомо, однією із правомірних підстав для використання персональних даних є дозвіл на обробку персональних даних, наданий власнику БПД відповідно до закону виключно для здійснення його повноважень. Тому від працівників отримувати згоду на обробку їхніх персональних даних, зібраних на підставі КЗпП, не потрібно.
Такої думки дотримується Держслужба з питань захисту персональних даних, а також Мін’юст у своєму роз’ясненні (http://www.minjust.gov.ua/0/38266).
Обробка роботодавцем інших персональних даних працівника (наприклад, П. І. Б. дружини, дітей, дати їх народження, місце проживання), на нашу думку, у багатьох випадках теж може здійснюватися без отримання згоди працівника. У цій ситуації роботодавець повинен посилатися на норми інших актів законодавства, які зобов’язують його на здійснення такої обробки (наприклад, норми Сімейного кодексу — при утриманні та виплаті аліментів). Однак в інших випадках, коли обов’язок щодо обробки даних не може бути легітимовано законом, роботодавець повинен отримати згоду працівника.
Тепер — щодо реєстрації БПД по працівниках. Враховуючи те що кожен роботодавець зобов’язаний вести особові картки працівників (див. п. 1.6 Інструкції зі статистики кількості працівників, затвердженої наказом Державного комітету статистики України від 28.09.2005 р. № 286, у «Бухгалтері» № 7’2011 на с. 20т), такі картки відповідають визначенню бази даних, наведеному в Законі № 2297, і всім ознакам бази даних, а саме: є відомостями про фізичну особу, за допомогою яких така фізична особа може бути прямо або опосередковано ідентифікована; зібрані в іменовану сукупність у якійсь послідовності, у певній закономірності (за критеріями), щоб забезпечити легкий доступ до відповідних персональних даних. Тому сукупність відомостей щодо працівників є базою персональних даних, а отже, підлягає державній реєстрації — незалежно від того, чи існувала потреба в отриманні згоди працівника.
Також слід зазначити, що у разі включення роботодавцем персональних даних працівників до бази персональних даних роботодавець зобов’язаний повідомити працівника протягом 10 днів про таке включення, а також про його права як суб’єкта персональних даних, мету збору даних і осіб, яким передаються його персональні дані, виключно в письмовій формі (ст. 12 Закону № 2297) — знову ж незалежно від того, чи існувала необхідність в отриманні згоди працівника.
Крім того, за буквального тлумачення норм Закону № 2297 роботодавець зобов’язаний отримати згоду від працівника на розповсюдження його персональних даних, тобто передачу таких даних третім особам, у тому числі органам податкової інспекції, органам Пенсійного фонду, фондів соціального страхування. Власник БПД зобов’язаний повідомляти суб’єкта персональних даних про таку передачу протягом 10 днів з моменту передачі (ст. 21 Закону № 2297).
Звісно, для роботодавців таке зобов’язання є важким тягарем. Не виключаємо, що найближчим часом Мін’юст або Державна служба з питань захисту персональних даних відреагують на такі моменти і ситуація дещо спроститься. Тим більше що Директива 95/46 «Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних» вимагає повідомлення тільки у випадку, коли персональні дані працівника вперше розкриваються третій стороні. До того ж згідно з Директивою з метою уникнення непотрібних адміністративних формальностей держава може звільнити власників від зобов’язання повідомляти суб’єктам даних або спростити процедуру повідомлення у випадках, коли обробка персональних даних навряд чи може завдати шкоди правам і свободам суб’єктів даних, і за умови, що вона проводиться в загальних межах обробки, установлених національним законодавством.
Іванна Погребняк , юрист ЮФ «ILF»,
Алла Погребняк
