II
Роз'яснення Державної служби захисту персональних даних
(витяг)
<... >
Підстави обробки персональних даних. Обробка персональних даних працівника
Згідно зі статтею 11 Закону [«Про захист персональних даних»] підставами виникнення права на використання персональних даних є:
1) згода суб'єкта персональних даних на обробку його персональних даних;
2) дозвіл на обробку персональних даних, наданий володільцю бази персональних даних відповідно до закону виключно для здійснення його повноважень.
Окремої уваги потребує питання щодо підстави обробки персональних даних працівника.
Відповідно до статті 24 Кодексу законів про працю України громадянин при укладенні трудового договору зобов'язаний подати паспорт або інший документ, що посвідчує особу, трудову книжку, а у випадках, передбачених законодавством,— також документ про освіту (спеціальність, кваліфікацію), про стан здоров'я та інші документи.
У зв'язку з цим персональні дані працівника, які містяться в паспорті або документі, що посвідчує особу, в трудовій книжці, документі про освіту (спеціальність, кваліфікацію), документі про стан здоров'я та інших документах, які він подав при укладенні трудового договору, обробляються володільцем бази персональних даних на підставі статті 24 Кодексу законів про працю України виключно для здійснення повноважень володільця бази персональних даних у сфері правовідносин, які виникли в нього з працівником на підставі трудового договору (контракту).*
* Те ж саме стверджує і Мін'юст (див. вище).— Ред.
<... >
Щодо повноважень Державної служби України
з питань захисту персональних даних
(далі — ДСЗПД) у сфері державного контролю
за додержанням вимог законодавства
про захист персональних даних
Відповідно до Положення про Державну службу України з питань захисту персональних даних, затвердженого Указом Президента України від 06.04.2011 р. № 390, ДСЗПД здійснює повноваження у сфері державного нагляду та контролю за додержанням вимог законодавства про захист персональних даних:
— розробляє та затверджує плани перевірок володільців та (або) розпорядників баз персональних даних щодо дотримання ними вимог законодавств у сфері захисту персональних даних;
— проводить у межах своїх повноважень виїзні та безвиїзні перевірки володільців та (або) розпорядників баз персональних даних;
— видає володільцям та (або) розпорядникам баз персональних даних обов'язкові до виконання приписи щодо усунення порушень законодавства про захист персональних даних та вимагає надання необхідної інформації та документів, що підтверджують усунення виявлених порушень;
— складає адміністративні протоколи про виявлені порушення законодавства у сфері захисту персональних даних;
— передає правоохоронним органам матеріали про виявлені порушення у сфері захисту персональних даних;
— здійснює контроль за дотримання правил передачі персональних даних іноземним суб'єктам відносин, пов'язаних з персональними даними.
31 січня 2012 року набирають чинності зміни до Кодексу України про адміністративні правопорушення та Кримінального кодексу України, якими введена адміністративна (за неповідомлення або несвоєчасне повідомлення суб'єкта персональних даних про його
права у зв'язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються, та ухилення від державної реєстрації бази персональних даних та невиконання законних вимог посадових осіб спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних) та кримінальна відповідальність (за порушення недоторканності приватного життя стосовно незаконного збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконної зміни такої інформації), але лише за наступних умов.
1) До ДСЗПД повинна бути надіслана скарга громадянина України (при цьому скарга має бути підкріплена документами, що підтверджують порушення у сфері захисту персональних даних).
2) На підставі скарги ДСЗПД буде проведено перевірку володільців та (або) розпорядників баз персональних даних щодо дотримання ними вимог законодавства у сфері захисту персональних даних, в результаті якої буде надано припис на усунення порушень.
3) В разі невиконання припису ДСЗПД складає адміністративний протокол, який потім передається до суду.
4) На підставі адміністративного протоколу проводиться судове засідання і приймається рішення про накладення адміністративного стягнення, передбаченого Кодексом України про адміністративні правопорушення, на підставі якого володільцем бази персональних даних сплачується штраф.
Довідково. Ухиленням від державної реєстрації бази персональних даних не вважатиметься факт подачі володільцем бази персональних даних заяви про реєстрацію бази персональних даних до ДСЗПД до 1 січня 2012 року.
Відповідно до наданих ДСЗПД повноважень у 2012 році здійснюватимуться перевірки володільців баз персональних даних. Такі перевірки можуть бути виїзними та безвиїзними, а також плановими і позаплановими. З Планом проведення перевірок володільців та (або) розпорядників баз персональних даних щодо дотримання ними вимог законодавства у сфері захисту персональних даних можна ознайомитись на веб-сайті ДСЗПД ( www.zpd.gov.ua). Позапланові перевірки будуть проводитися лише за скаргами громадян (при цьому скарга повинна бути підкріплена документами, що підтверджують порушення у сфері захисту персональних даних).
Також інформуємо, що ДСЗПД розроблено проект наказу Міністерства юстиції України «Про затвердження Положення про порядок здійснення Державною службою України з питань захисту персональних даних державного контролю за додержанням законодавства про захист персональних даних», який наразі проходить громадське обговорення, за результатами якого буде надісланий на погодження уповноваженому органу з питань регуляторної політики (Міністерство економічного розвитку і торгівлі України) у встановленому законодавством порядку. Лише після цього наказ буде поданий на підпис Міністру юстиції України. Зауважимо, що перевірки здійснюватимуться тільки після затвердження відповідного наказу.
Наголошуємо на тому, що згідно із Законом України «Про захист персональних даних» контроль за додержанням законодавства про захист персональних даних покладено на уповноважений державний орган з питань захисту персональних даних, яким згідно з Указом Президента України «Про затвердження Положення про Державну службу України з питань захисту персональних даних» № 390/2011 визначено Державну службу України з питань захисту персональних даних. На даний час законодавством не визначено жодного іншого органу державної влади та/або місцевого самоврядування, уповноважених на здійснення контролю за додержанням вимог законодавства про захист персональних даних.
Єдиним органом виконавчої влади, на який законом покладеного завдання щодо контролю за додержанням вимог законодавства про захист персональних даних, є Державна служба України з питань захисту персональних даних, а рішення про адміністративне стягнення прийматиме лише суд.
Увага: заяви про реєстрацію бази даних Державною службою України з питань захисту персональних даних будуть прийматися також після 1 січня 2012 року.
http://www.zpd.gov.ua/indexPovidomlenya3.html
Від редакції
Загалом, потрапити під штраф наразі украй складно.
Нагадаємо, до речі, що урядом прийнято рішення не застосовувати штрафи за неподання інформації про базу персональних даних; заразом обіцяно зробити Закон менш обтяжливим (див. «Бухгалтер» № 1-2'2012, с. 8).
А найприємніше — підготовлений законопроект про перенесення строку введення штрафів на 1 липня 2012 року вже прийнято Верховною Радою 73.07.2012 р.!
