Заява про реєстрацію бази персональних даних: як правильно заповнити?
Розгорнута уповноваженими держструктурами кампанія з організації захисту персональних даних у розпалі. І кожний новий етап її проведення викликає все нові і нові запитання у наших читачів, більша частина з яких пов'язана з найактуальнішою на сьогодні проблемою — поданням заяви про реєстрацію бази персональних даних.
Олена УВАРОВА, юрист Видавничого будинку «Фактор»
Сьогодні практично кожний суб'єкт господарювання стоїть перед дилемою: «Реєструвати чи не реєструвати?», а перед тими, хто вже відповів для себе ствердно на це запитання, постає низка організаційних проблем. Викликані вони не стільки складністю процедури реєстрації баз персональних даних, скільки дещо нездоровим ажіотажем, що виник довкола неї та відсунув на другий план у свідомості багатьох керівників підприємств та бухгалтерів навіть питання оподаткування. І виною тому не їх надмірна педантичність та обережність, а радше непередбачуваність намірів державних органів, що підкріплюється до того ж недостатньою чіткістю законодавчих приписів та відсутністю чітко прописаної процедури, що змушує нас знову і знову повертатися до теми реєстрації баз персональних даних. Ось ті матеріали, які вже було опубліковано на сторінках нашого видання:
1. « Персональні дані: запитання роботодавця» (див. «Податки та бухгалтерський облік», 2011, № 90, с. 45), де розкривалися основні процедурні нюанси подання відповідних реєстраційних заяв до Державної служби з питань захисту персональних даних.
2. « Персональні дані: алгоритм дій» (див. «Податки та бухгалтерський облік», 2011, № 97, с. 26), де ми постаралися дати орієнтир щодо того, як суб'єкту господарювання визначитися, чи є в нього взагалі бази персональних даних, і якщо є, то які необхідно вчинити для виконання вимог Закону про захист персональних даних.
3. « Використання персональних даних працівника: якою датою оформити згоду?» (див. «Податки та бухгалтерський облік», 2011, № 99, с. 43). Це питання було розглянуто як щодо працівників, які тільки приймаються на роботу, так і тих, які були прийняті після 01.01.2011 р. або вже працювали на підприємстві до цієї дати.
Сьогодні окремий матеріал ми вирішили присвятити відповідям на запитання наших читачів, які в них виникають при заповненні та поданні заяви про реєстрацію бази персональних даних.
Які існують способи подання заяви про реєстрацію бази персональних даних?
Для реєстрації бази персональних даних необхідно подати заяву встановленого зразка до Державної служби з питань захисту персональних даних (далі — Держслужба). Форму заяви про реєстрацію бази персональних даних затверджено наказом Мін'юсту від 08.07.2011 р. № 1824/5 (див. на сайті www.nibu.factor.ua у розділі «Довідкова» → «Нормативна база» → «Персональні дані»).
Подати заяву можна одним із таких способів:
1. Заповнити заяву на сайті Державного реєстру баз персональних даних (https://rbpd.informjust.ua/), для цього необхідно:
— вибрати розділ «Створити заяву» (підрозділ «Про реєстрацію БПД»);
— заповнити відповідними відомостями всі поля форми заяви, позначені зірочкою (*), решта полів заповнюється лише у випадку, якщо заявник бажає вказати додаткові відомості;
— як зазначає сама Держслужба, для коректного введення даних не слід використовувати фрагменти тексту, які скопійовано з інших файлів. Вводити текст необхідно послідовно в поля веб-форми за допомогою клавіатури, використовуючи для розмежування слів між собою клавішу «Space» або знаки «,», «.» та інші;
— унести контрольні символи із зображення, яке розміщене нижче всіх полів форми заяви, та натиснути кнопку «Сформувати заяву». Якщо зазначені у формі заяви відомості є коректними та контрольні символи із зображення внесено правильно, відкриється сторінка «Збереження файлу заяви» з повідомленням про успішне формування файлу заяви;
— на сторінці «Збереження файлу заяви» натиснути елемент «Зберегти файл заяви» (при цьому сам файл заяви не відкривайте) та зберегти файл заяви на локальному диску комп'ютера;
— підписати збережений на локальному диску комп'ютера файл заяви електронним цифровим підписом керівника підприємства та зберегти підписаний файл заяви на локальному диску комп'ютера;
— вибрати пункт меню сайта «Подати заяву» та на сторінці, що відкрилася, натиснути на елемент «Подати заяву в електронному вигляді». Відкриється нова сторінка, на якій за допомогою кнопки «Обзор» необхідно вказати шлях на локальному диску та завантажити такі файли по черзі: збережений файл заяви (максимальний розмір файлу — 512 кБ, тип файлу «Документ XML»); підписаний ЕЦП керівника підприємства файл заяви (максимальний розмір файлу — 512 кБ, тип файлу «Підписаний файл»); файл сертифіката відкритого ключа керівника підприємства, наданий центром сертифікації ключів (максимальний розмір файлу — 100кБ, тип файлу «Сертифікат безпеки»);
— внести контрольні символи із зображення, яке розміщене нижче полів вибору файлів, та натиснути кнопку «Подати заяву». Якщо зазначені на сторінці файли є коректними та контрольні символи внесено правильно, заява в електронному вигляді буде зареєстрована в базі даних заяв та передана Реєстратору для розгляду.
Складена на сайті заява має бути підписана за допомогою електронного цифрового підпису (ЕЦП), отриманого в одному з таких акредитованих центрів сертифікації ключів: ТОВ «Український сертифікаційний центр», ТОВ «Інтер Метл», ТОВ «Арт-Майстер» (Центр сертифікації ключів «Masterkey»), ПАТ «Комунікаційний фондовий центр», ЗАТ «Науково-дослідний інститут прикладних інформаційних технологій», ЗАТ «Інфраструктура відкритих ключів», ВАТ «Національний депозитарій України», Центр сертифікації ключів «УСС-Цезаріс» ДП «Українські спеціальні системи», Комунальне підприємство «Головний інформаційно-комунікаційний та науково-виробничий центр», Державне підприємство «Головний інформаційно-обчислювальний центр Державної адміністрації залізничного транспорту України».
2. Заповнити заяву в електронній формі (скачати форму заяви у зручному для заповнення форматі можна на сайті Держслужби, http://www.zpd.gov.ua/indexServices.html). Вимоги до підписання заяви аналогічні наведеним вище правилам підпису заяви, заповненої на сайті Державного реєстру баз персональних даних. Після заповнення файл заяви (тип файлу «Документ XML»), підписаний ЕЦП керівника підприємства файл заяви (тип файлу «Підписаний файл»), файл сертифіката відкритого ключа керівника підприємства, наданий центром сертифікації ключів (тип файлу «Сертифікат безпеки»), слід відправити за адресою електронної пошти register@zpd.gov.ua.
3. Заповнити електронну форму заяви та роздрукувати її або заповнити заяву вручну, після чого заявник (це може бути керівник чи інша уповноважена ним особа) повинен підписати кожну сторінку заяви та скріпити її печаткою(за наявності). Складена в такий спосіб заява надсилається рекомендованим листом або подається особисто. Заявник при цьому має бути готовий надати працівникам Держслужби документ, що підтверджує його повноваження.
Попередимо: деякі із заявників уже зіткнулися з категоричними відмовами працівників Держслужби, які не бажають перенабирати зазначений у заявах текст, приймати заяви в паперовій формі без додавання до них електронної копії. Безумовно, такі відмови ні на чому не засновані. Але, можливо, у цій ситуації доцільніше піти на поступки та вкласти в конверт диск із заявою в електронній формі (ЕЦП у цьому випадку не потрібна) або прихопити із собою флешку при поданні заяви особисто.
На кожну базу персональних даних складається та подається окрема заява про реєстрацію.
Як правильно заповнити реквізити заяви?
Спершу зробимо важливе застереження: заповнення заяви про реєстрацію бази персональних даних не слід ототожнювати із заповненням податкової декларації або податкової накладної, де будь-який відступ від установлених у законодавстві правил або рекомендацій податківців загрожує невизнанням документа. Заява про реєстрацію бази персональних даних має винятково інформаційний характер (щоб із зазначеними в ній відомостями про власника бази, її найменуванням та метою використання в подальшому можна було ознайомитися в загальнодоступному Державному реєстрі баз персональних даних https://rbpd.informjust.ua, задавши найменування власника бази або її реєстраційний номер). Тому й до заповнення цієї заяви висуваються куди менш суворі вимоги, ніж до податкової звітності чи первинних документів. Проте й до них слід поставитися уважно. Розглянемо основні з реквізитів.
Затверджений наказом Мін'юсту від 08.07.2011 р. № 1824/5 Порядок подання заяв про реєстрацію бази персональних даних установлює такі вимоги:
— заяви заповнюються українською мовою розбірливими, друкованими літерами та не повинні містити помарок, закреслень і виправлень;
— при заповненні вибрана заявником ознака позначається символом «х»;
— дати заповнюються арабськими цифрами у форматі — день, місяць, рік;
— сторінки заяв нумеруються, на кожній сторінці зазначаються її номер та загальна кількість сторінок.
Тепер «пройдемося» по реквізитах заяви, що викликали найбільші труднощі у суб'єктів господарювання.
Заповнюючи розділ «Інформація про володільця бази персональних даних», слід звернути увагу на необхідність зазначення повного найменування юридичної особи відповідно до установчих документів. У друкованій формі заяви при зазначенні коду ЄДРПОУ клітинки заповнюються починаючи з першої ліворуч. Клітинки, що залишилися вільними, прокреслюються.
Реквізит «Реєстраційний номер облікової картки платника податків» передбачено на той випадок, якщо власником бази є фізична особа, тому при поданні заяви юридичною особою він не заповнюється.
У реквізиті «Місцезнаходження (для юридичної особи)/ місце проживання (для фізичної особи)» вказується місце державної реєстрації, а не фактичного місцезнаходження/місця проживання. Фактичне місцезнаходження бази персональних даних, яке вказується окремо, може як збігатися з місцезнаходженням власника бази, так і відрізнятися від нього (наприклад, якщо фактично картотека або електронна база персональних даних знаходяться у структурному підрозділі юрособи).
При зазначенні найменування бази персональних даних підприємство вільне у виборі будь-якого найменування, яке в цілому відображатиме характер тих персональних відомостей, які включено до такої бази. Запропоновані Держслужбою варіанти: «Працівники», «Клієнти», «Контрагенти» тощо. Ще раз підкреслимо — наведені варіанти не є обов'язковими для використання. Підприємство може вказати будь-яке зручне для використання в його діяльності найменування бази персональних даних.
Реквізит «Мета обробки персональних даних» підприємство також заповнює на власний розсуд. Формулювання, що рекомендуються Держслужбою: забезпечення реалізації трудових відносин, адміністративно-правових, податкових відносин та відносин у сфері бухгалтерського обліку й аудиту, відносин у сфері управління людськими ресурсами, відносин у сфері економічних, фінансових послуг, відносин у сфері реклами, відносин у сфері телекомунікаційних послуг, відносин у сфері громадської, політичної та релігійної діяльності, відносин у сфері культури, дозвілля, спортивної та соціальної діяльності, відносин у сфері освіти, відносин у сфері охорони здоров'я, відносин у сфері безпеки, відносин у сфері транспорту, відносин у сфері науки, історичних досліджень і статистики тощо. У цьому ж розділі заяви необхідно послатися на нормативно-правові акти (наприклад, Кодекс законів про працю, Податковий кодекс України, Господарський кодекс України та інші акти законодавства), а також установчі чи інші внутрішні документи, відповідно до яких здійснюється використання бази персональних даних (можна додатково послатися на затверджене на підприємстві Положення про захист персональних даних). Тут же вказується категорія персональних даних, що використовуються (див. наведену як приклад заяву).
Що стосується реквізиту «Правові підстави обробки персональних даних», то Державна служба з питань захисту персональних даних вказує на необхідність зазначення в ньому однієї або одночасно декількох з таких підстав:
1) згода фізичної особи на використання її персональних даних;
2) дозвіл на використання персональних даних, наданий власнику бази нормативно-правовими актами (вказати, якими саме) для виконання покладених на нього повноважень у межах своєї компетенції;
3) використання персональних даних у межах правовідносин, що виникли до набуття чинності Законом про захист персональних даних на підставі вільного волевиявлення фізичної особи.
На наш погляд, якщо йдеться про базу персональних даних «Працівники», то як правову підставу використання персональних даних працівників буде достатньо вказати такі нормативно-правові акти, як Кодекс законів про працю, Податковий кодекс України, Закон про ЄСВ та інші акти законодавства, що покладають на роботодавця обов'язки, виконання яких неможливе без використання персональних даних. Якщо роботодавець не виходить при обробці персональних даних працівників за межі наданої йому компетенції, то отримувати окремий дозвіл від працівників не обов'язково. Утім, чимало роботодавців, ураховуючи наполегливі побажання самої Держслужби, беруть зі своїх працівників підписані ними заяви про згоду на використання їх даних у роботі підприємства. Якщо підприємство заручилося подібною заявою, то як правові підстави обробки персональних даних одночасно можна вказати і згоду фізичної особи на використання її персональних даних, і дозвіл на використання персональних даних, наданий власнику бази нормативно-правовими актами.
Більшій частині суб'єктів господарювання заповнювати реквізит «Відомості про розпорядників бази персональних даних» не доведеться, оскільки використання персональних даних здійснюється ними, як правило, самостійно, без передачі відомостей для обробки на договірних підставах третім особам. Передача даних органам державної влади (податковій службі, органам Пенсійного фонду України тощо) або місцевого самоврядування в межах вимог законодавства не вважається наданням відомостей розпоряднику бази даних, а тому спеціальної вказівки в заяві не потребує.
Запитання викликає такий реквізит, як «Відомості про заявника». Логічно було б вказувати в ньому інформацію безпосередньо про ту особу, яка заяву підписує та подає (якщо заява подається в електронній формі, то інформацію про директора, якщо в паперовій — то про ту особу, на яку покладено обов'язок подати заяву до Держслужби). Однак сама Держслужба в наведеному нею прикладі заповнення заяви в цьому реквізиті дублює інформацію про юридичну особу — власника бази персональних даних. Причому, звернемо увагу, що в цьому реквізиті є відмінності між формою заяви, розміщеною на сайті Державного реєстру баз персональних даних (у ній потрібно вказати документ, яким особу уповноважено на подання заяви про реєстрацію), та паперовою формою заяви, в якій аналогічної вимоги немає.
Усього в затвердженій формі заяви п'ять сторінок. Але четверта і п'ята заповнюються тільки у випадку, якщо, наприклад, база даних передавалася декільком розпорядникам або складається з декількох частин з різним місцезнаходженням. Суб'єктам господарювання, які з такою ситуацією не стикаються, достатньо заповнити перші три сторінки заяви.
Якщо ж, наприклад, у підприємства є відокремлений підрозділ, назва бази персональних даних якого збігається з назвою бази персональних даних головного підприємства (скажімо, база персональних даних «Працівники» або «Абоненти» тощо), то Держслужба визнає, що необхідності в окремій реєстрації немає, однак у розділі ІІ на четвертій сторінці заяви на реєстрацію необхідно продублювати назву бази персональних даних та вказати місцезнаходження такого відокремленого підрозділу. Якщо ж у відокремленому підрозділі ведеться своя унікальна база персональних даних, що за назвою не збігається з базою персональних даних головного підприємства, то тоді на неї складається окрема заява про реєстрацію. Як власник бази вказується головне підприємство, але як місцезнаходження — адреса, за якою розташовано відокремлений підрозділ.
Ми зупинилися на порядку заповнення найбільш істотних реквізитів, неуважне ставлення до яких може спричинити відмову в реєстрації бази персональних даних. Інші реквізити, як, наприклад, вихідний номер та дата, розміщені вгорі затвердженої форми, на нашу думку, вплинути на прийняття рішення про реєстрацію бази персональних даних не повинні.
Приклад заповнення див. на с. 38.
Що робити, якщо після подання заяви про реєстрацію бази персональних даних виявлено, що в зазначених у ній відомостях або в оформленні допущено помилку?
Усі можливі помилки умовно можна розподілити на дві категорії: ті, що можуть спричинити відмову в реєстрації заяви (наприклад, незазначення обов'язкової для заповнення інформації або якщо відсилається електронна форма заяви без додання сертифіката безпеки), і ті, що до відмови в реєстрації бази персональних даних не призведуть, але в результаті в Державному реєстрі баз персональних даних буде зазначено недостовірну інформацію.
Такої спеціальної процедури, як виправлення помилок у заяві про реєстрацію бази персональних даних, ані Закон, ані підзаконні нормативно-правові акти, ані навіть Держслужба у своїх неофіційних роз'ясненнях не пропонують. Тому суб'єктам господарювання доведеться приймати для себе рішення самостійно про найбільш надійний варіант поведінки в цій ситуації.
Отже, якщо виявлено помилку, що, як можна припустити, найімовірніше призведе до відмови в реєстрації бази персональних даних, варіантів подальших дій два:
1. Направити повторну заяву про реєстрацію бази персональних даних (до неї можна додати пояснювальну записку, складену в довільній формі, в якій пояснити причину направлення такої повторної заяви). Якщо все складеться, як передбачає суб'єкт господарювання, то в реєстрації за первісною заявою йому має бути відмовлено, а за повторною — базу буде зареєстровано. Жодного задвоєння інформації не утвориться. Усі вимоги Закону буде виконано.
2. Дочекатися рішення Держслужби за результатами розгляду первісної заяви і, якщо буде отримано відмову, направити нову заяву, виправивши зазначені Держслужбою недоліки. На нашу думку, загрози притягнення до відповідальності за ухилення від державної реєстрації бази персональних даних у цьому випадку не буде.
Інша ситуація, якщо заяву оформлено правильно, але в ній, як з'ясувалося вже після її подання, було зазначено помилкові відомості (наприклад, щодо власника бази або щодо її місцезнаходження). Цю ситуацію законодавством також не врегульовано. Ми, зі свого боку, можемо запропонувати два можливі варіанти дій:
1. Якщо база персональних даних ще не зареєстрована, направити «навздогін» правильно заповнену заяву, обов'язково вказавши в пояснювальній записці до неї підстави повторного подання заяви з проханням вважати раніше подану заяву відкликаною.
2. Дочекатися рішення за первісно поданою заявою (не виключено, що в ній усе-таки буде виявлено недоліки та в реєстрації буде відмовлено). Якщо за нею базу персональних даних буде зареєстровано, то, на наш погляд, найправильнішим буде направлення заяви про внесення змін до відомостей Державного реєстру баз персональних даних (форму відповідної заяви затверджено тим самим наказом Мін'юсту від 08.07.2011 р. № 1824/5).
Як дізнатися, чи зареєстровано базу персональних даних згідно з поданою підприємством заявою?
Слід зауважити, що Державній службі з питань захисту персональних даних Законом надано строк у 10 робочих днів із дня надходження заяви на реєстрацію бази персональних даних, про що власнику видається свідоцтво затвердженого зразка. Проте, ураховуючи наплив заяв, Держслужба сама визнає, що фізично вкластися в установлені строки не може. Відстежувати «долю» поданої заяви можна таким чином:
— після реєстрації заяви, якщо вона складалася на сайті Державного реєстру баз персональних даних, прямо на сайті відображається відповідне повідомлення з реєстраційним номером заяви та кодом доступу для подальшого пошуку заяви та отримання інформації про стан її обробки; якщо заява надсилалася електронною або звичайною поштою із зазначенням електронної адреси заявника, то на таку електронну адресу також має бути надіслано реєстраційний номер та код доступу до інформації про заяву;
— за реєстраційним номером можна отримати інформацію про один із таких станів обробки заяви:
а) «Зареєстровано» (заяву зареєстровано в Реєстрі);
б) «Відмовлено» (прийнято рішення про відмову в реєстрації бази персональних даних; при цьому на поштову адресу підприємства надсилається лист із зазначенням причин відмови в реєстрації; виходячи з тексту Закону про захист персональних даних, можна зробити висновок, що єдиною підставою для відмови в реєстрації бази може бути незазначення в заяві необхідної інформації або її надання неуповноваженим суб'єктом; на нашу думку, до посадових осіб суб'єкта господарювання в разі відмови в реєстрації бази персональних даних адміністративні штрафи як за нереєстрацію або ухилення від реєстрації баз персональних даних застосовуватися не повинні, за умови, що зазначені Держслужбою недоліки в заяві буде усунено і заяву знову направлено з метою реєстрації бази даних);
в) «Прийнято рішення про реєстрацію» (видається Свідоцтво про реєстрацію бази персональних даних, яке, якщо в заяві про реєстрацію було зроблено відповідну відмітку, надсилається на поштову адресу суб'єкта господарювання — власника бази, якщо відмітку проставлено не було, то за Свідоцтвом уповноваженому працівнику суб'єкта господарювання доведеться прийти до Держслужби особисто).
Додаткова контактна інформація Державної служби з питань захисту персональних даних (начальник управління реєстрації баз персональних даних Кривда Світлана Геннадіївна): тел: (044) 517-81-68, e.mail: register@zpd.gov.ua, поштова адреса: 02660, м. Київ, вул. М. Раскової, 15, каб.1205.
