* Закон України «Про захист персональних даних» від 01.06.2010 р. № 2297-VI.
Як сьогодні?
З 01.01.2014 р. законодавство у сфері захисту ПД (маємо на увазі «біблію» в цьому питанні — Закон № 2297) можна сміливо назвати стабільним, а поодинокі правки, що вносяться до нього, — косметичними**. Зараз функції головного контролера в цій сфері покладено на плечі Уповноваженого ВРУ з прав людини (далі — Уповноважений). Обов’язок повідомляти його про обробку ПД згідно зі ст. 9 Закону № 2297 виникає тільки у виключних випадках, що являють собою «особливий ризик для прав і свобод суб’єктів персональних даних». Зокрема, такими випадками згідно з п. 1.1 Порядку № 1/02-14*** може вважатися обробка ПД про:
** До речі, з останніми змінами, унесеними до цього Закону, ви могли ознайомитися у статті «Закон про e-commerce: що врахувати, де змінити, до чого готуватися?» у журналі «Бухгалтер 911», 2015, № 43.
— расове, етнічне і національне походження;
— політичні, релігійні або світоглядні переконання;
— членство в політичних партіях та/або організаціях, профспілках, релігійних організаціях або у громадських організаціях світоглядної спрямованості;
— стан здоров’я;
— статеве життя;
— біометричні дані;
— генетичні дані;
— притягнення до адміністративної або кримінальної відповідальності;
— застосування до особи заходів у межах досудового розслідування;
— застосування до особи заходів, передбачених Законом України «Про оперативно-розшукову діяльність» від 18.02.92 р. № 2135-XII;
— вчинення щодо особи тих чи інших видів насильства;
— місцезнаходження та/або шляхи пересування особи.
Механізм повідомлення при цьому не передбачає видачі Уповноваженим будь-якого підтвердження (яким раніше слугували свідоцтва). Інформацію про повідомлення про обробку «особливих» ПД він просто оприлюднить на своєму офіційному сайті.
Про інші випадки здійснення обробки ПД повідомляти нікого не потрібно! Хоча забезпечувати захист ПД від несанкціонованого доступу до такої інформації — обов’язок усіх суб’єктів.
Відкритим, щоправда, залишається питання про отримання від фізособи згоди на обробку її ПД. Вважаємо, тут краще дотримуватися обережного варіанта, тобто заручатися згодою — адже ст. 11 Закону № 2297 серед підстав для обробки ПД першою називає саме отримання такої згоди від суб’єкта ПД.
Сумніви в цій частині продиктовані ч. 6 ст. 6 Закону, відповідно до якої не допускається обробка даних про фізичну особу, які є конфіденційною інформацією, без її згоди**** (вказівку щодо конфіденційної інформації додали 19.04.2014 р.). На підставі цього може виникнути враження (помилкове, на нашу думку), що в разі, якщо інфа такою не є, то й отримувати згоду від фізособи не потрібно.
**** Виняток — випадки, визначені законом, і тільки в інтересах національної безпеки, економічного добробуту та прав людини.
Але раніше ситуація виглядала аж надто проблематично…
Короткий екскурс в історію
У минулому (до 2014 року) Закон № 2297 вимагав реєстрації в Держслужбі із захисту ПД баз ПД. Така реєстрація передбачала отримання від Держслужби свідоцтва*****.
***** На кожну базу ПД було передбачено подання окремої заяви та відповідно отримання окремого свідоцтва.
Наприкінці 2012 року запрацювали зміни до Закону № 2297, які дозволяли не реєструвати бази ПД «Співробітники» / «Працівники». Для багатьох суб’єктів такого роду база була єдиною, з якою доводилося мати справу.
З 01.01.2014 р. замість реєстрації баз ПД прийшов обов’язок повідомляти Уповноваженого. Водночас стосується він, як ви могли побачити, значно меншої кількості суб’єктів. Але на руках у багатьох залишилися старі свідоцтва…
Свідоцтво отримали, але воно не згодилося
Вчиняти будь-які активні дії, пов’язані з отриманими свідоцтвами, які за фактом виявилися нікому не потрібними, чинне законодавство не вимагає. Тобто можете просто його знищити. Нематеріальним активом таке свідоцтво не є (як і будь-яким іншим видом активів) — як мінімум, тому, що чекати отримання економічних вигод від його використання в майбутньому, як ви розумієте, не доводиться.
Покарати за його відсутність вас також не можуть: наявності такого документа ані Закон № 2297, ані будь-який інший нормативний акт не вимагають.
Зайвий доказ непотрібності свідчень — те, що наказ Мін’юсту, яким була затверджена їх форма, давно не діє. Водночас документом, що «сигналізує» про прощання зі свідоцтвами******, не передбачено жодних спеціальних вказівок щодо знищення (чи, навпаки, подальшого зберігання) свідоцтв. Та й сам механізм їх отримання давно віджив своє.
Складати акт на списання такого свідоцтва — також, на нашу думку, марна трата часу.
Будьте уважні: відсутність необхідності реєструвати бази ПД (чи повідомляти Уповноваженого) ще не означає, що захищати такі дані не треба. Навпаки, до цього обов’язку необхідно поставитися вкрай серйозно.
Захист ПД: вирішуємо кадрові питання
Власники або розпорядники ПД, які здійснюють їх обробку, що підлягає повідомленню (див. на початку статті), зобов’язані створити (визначити) структурний підрозділ або відповідальну особу, яка організовує роботу, пов’язану із захистом ПД при їх обробці. Про це потрібно повідомити Уповноваженого (відповідно до ч. 2 ст. 24 Закону № 2297).
Утім, «простих смертних», як ви розумієте, це не стосується. Але захищати ПД згідно зі ст. 24 Закону № 2297 потрібно й їм, що підтверджує і сам Уповноважений (див. п. 4 листа від 03.03.2014 р. № 2/9-227067.14-1/НД- 129).
Організація роботи, пов’язаної із захистом ПД при їх обробці, тих власників/розпорядників, які не зобов’язані повідомляти про таку обробку, покладається безпосередньо на осіб, які здійснюють обробку ПД. У разі потреби ці функції можуть делегувати окремим структурним підрозділам або посадовим особам (згідно з п. 3.22 Типового порядку № 1/02-14*******).
«Звичайний» власник (розпорядник) веде облік працівників, які мають доступ до ПД. Він сам визначає рівень доступу вказаних працівників до таких даних. Кожен з цих працівників згідно з п. 3.5 Типового порядку № 1/02-14 користується доступом тільки до тих ПД (чи їх частини) суб’єктів, які потрібні йому у зв’язку з виконанням своїх професійних, службових або трудових обов’язків.
Працівники, які мають доступ до ПД, в обов’язковому порядку дають письмове зобов’язання не розголошувати ПД, які їм були довірені або які стали їм відомі у зв’язку з виконанням професійних/службових/трудових обов’язків.
При цьому датою надання права доступу до ПД вважають дату надання зобов’язання відповідним працівником. А ось датою позбавлення права доступу до ПД — дату звільнення працівника або його переведення на посаду, виконання обов’язків за якою не пов’язане з обробкою ПД (пп. 3.8 і 3.9 Типового порядку № 1/02-14).
Тому при звільненні працівника, відповідального за захист ПД, необхідно звернути увагу на такі аспекти. При «прощанні» з таким працівником (як і при переведенні його на іншу посаду, що не передбачає роботу з ПД) необхідно вжити заходів щодо запобігання доступу такої особи до ПД. Документи та інші носії, що містять такі дані, на виконання вимог п. 3.10 Типового порядку № 1/02-14 передають іншому працівнику.
Таким чином, з дати звільнення працівник втрачає право доступу до ПД. Водночас вимоги ч. 3 ст. 10 Закону № 2297 зобов’язують таких екс-працівників «тримати язика за зубами» (у частині ПД) і після припинення діяльності, пов’язаної з ПД. Про всяк випадок можете «на прощання» йому це нагадати. У решті ж порядок звільнення таких працівників не відрізняється від загальноприйнятого.
