Реєстрація БПД

Реєстрація БПД

Якщо суб’єкт господарювання визначився з тим, які бази персональних даних ним використовуються, він може приступити до наступного етапу — до їх реєстрації. Зупинимося на тих запитаннях, які можуть виникнути під час його проходження, докладніше.

Ніна КОСТЕНКО, економіст-аналітик Видавничого будинку «Фактор»

Для реєстрації бази персональних даних необхідно подати заяву встановленого зразка до Державної служби з питань захисту персональних даних. Форму заяви про реєстрацію бази персональних даних затверджено наказом Мін’юсту від 08.07.2011 р. № 1824/5 (див. на сайті www.nibu.factor.ua у розділі «Довідкова» / «Нормативна база» / «Персональні дані»*).

* Якщо парламентом буде схвалено запропонований Кабміном законопроект (на що сподіваються практично всі суб’єкти господарювання), найімовірніше, зміниться форма заяви про реєстрацію БПД, оскільки вказаним законопроектом передбачено необхідність уключення до неї інформації про склад персональних даних, які обробляються, третіх осіб, яким передаються персональні дані, транскордонну передачу персональних даних.

Насамперед зауважимо, що заповнення заяви про реєстрацію бази персональних даних не слід ототожнювати із заповненням податкової декларації або податкової накладної, де будь-яке відхилення від установлених у законодавстві правил або рекомендацій податківців загрожує невизнанням документа. Заява про реєстрацію бази персональних даних має виключно інформаційний характер (щоб із зазначеними в ній відомостями про володільця бази, її найменування та мету використання в подальшому можна було ознайомитися в загальнодоступному Державному реєстрі баз персональних даних https://rbpd.informjust.ua, задавши найменування володільця бази або її реєстраційний номер). Тому й до заповнення цієї заяви висуваються менш суворі вимоги, ніж до податкової звітності та первинних документів. Проте й до них слід поставитися уважно.

Затверджений наказом Мін’юсту від 08.07.2011 р. № 1824/5 Порядок подання заяв про реєстрацію бази персональних даних установлює такі вимоги:

— заяви заповнюються українською мовою розбірливими, друкованими літерами і не повинні містити помарок, закреслень та виправлень;

— при заповненні вибрана заявником ознака позначається символом «х»;

— дати заповнюються арабськими цифрами у форматі — день, місяць, рік;

— сторінки заяв нумеруються, на кожній сторінці зазначається її номер та загальна кількість сторінок.

Подати заяву можна одним із таких способів:

1. Заповнити заяву на сайті Державного реєстру баз персональних даних (https://rbpd.informjust.ua/), для цього необхідно:

— вибрати розділ «Створити заяву» (підрозділ «Про реєстрацію БПД»);

— заповнити відповідними відомостями всі поля форми заяви, позначені зірочкою (*), інші поля заповнюються лише в тому випадку, якщо заявник бажає вказати додаткові відомості;

— як зазначає сама Держслужба, для коректного введення даних не слід використовувати фрагменти тексту, які скопійовано з інших файлів. Вводити текст необхідно послідовно в поля веб-форми за допомогою клавіатури, використовуючи для розмежування слів між собою клавішу «Space» («Enter») або знаки «,», «.» та інші;

— внести контрольні символи із зображення, що розміщене нижче всіх полів форми заяви, та натиснути кнопку «Сформувати заяву». Якщо вказані у формі заяви відомості є коректними та контрольні символи із зображення внесено правильно, відкриється сторінка «Збереження файлу заяви» з повідомленням про успішне формування файлу заяви;

— на сторінці «Збереження файлу заяви» натиснути елемент «Зберегти файл заяви» (при цьому сам файл заяви не відкривайте) та зберегти файл заяви на локальному диску комп’ютера;

— підписати збережений на локальному диску комп’ютера файл заяви електронним цифровим підписом керівника підприємства та зберегти підписаний файл заяви на локальному диску комп’ютера;

— вибрати пункт меню сайта «Подати заяву» і на сторінці, що відкрилася, натиснути на елемент «Подати заяву в електронному вигляді». Відкриється нова сторінка, де за допомогою кнопки «Обзор» необхідно вказати шлях на локальному диску та завантажити такі файли по черзі: збережений файл заяви (максимальний розмір файлу — 512 кБ, тип файлу «Документ XML»); підписаний ЕЦП керівника підприємства файл заяви (максимальний розмір файлу — 512 кБ, тип файлу «Підписаний файл»); файл сертифіката відкритого ключа керівника підприємства, наданий центром сертифікації ключів (максимальний розмір файлу — 100 кБ, тип файлу «Сертифікат безпеки»);

— внести контрольні символи із зображення, що знаходиться нижче полів вибору файлів, та натиснути кнопку «Подати заяву». Якщо вказані на сторінці файли є коректними і контрольні символи внесено правильно, заяву в електронному вигляді буде зареєстровано в базі даних заяв та передано Реєстратору для розгляду.

Складену на сайті заяву має бути підписано за допомогою електронного цифрового підпису (ЕЦП), отриманого в одному з акредитованих центрів сертифікації ключів.

2. Заповнити заяву в електронній формі (скачати форму заяви в зручному для заповнення форматі можна на сайті Держслужби, http://www.zpd.gov.ua/indexServices.html). Вимоги до підписання заяви аналогічні наведеним вище правилам підпису заяви, заповненої на сайті Державного реєстру баз персональних даних. Після заповнення файл заяви (тип файлу «Документ XML»), підписаний ЕЦП керівника підприємства файл заяви (тип файлу «Підписаний файл»), файл сертифіката відкритого ключа керівника підприємства, наданий центром сертифікації ключів (тип файлу «Сертифікат безпеки») слід направити на адресу електронної пошти register@zpd.gov.ua.

3. Заповнити електронну форму заяви та роздрукувати її або заповнити заяву вручну, після чого заявник (це може бути керівник чи інша уповноважена ним особа) повинен підписати кожну сторінку заяви та скріпити її печаткою (за наявності). Складена в такий спосіб заява надсилається рекомендованим листом або подається особисто. Заявник при цьому має бути готовий надати співробітникам Держслужби документ, що підтверджує його повноваження.

Попередимо: деякі із заявників уже зіткнулися з категоричними відмовами працівників Держслужби, які не бажають перенабирати зазначений у заявах текст, приймати заяви в паперовій формі без додавання до них електронної копії. Безумовно, такі відмови ні на чому не засновані. Проте, можливо, у цій ситуації доцільніше піти на поступки та вкласти в конверт диск із заявою в електронній формі (ЕЦП у цьому випадку не потрібна) або прихопити із собою флешку при поданні заяви особисто.

Приклад заповнення заяви див. у газеті «Податки та бухгалтерський облік», 2011, № 101, а також на сайті Держслужби із захисту персональних даних, де окремо наведено приклад заповнення заяви для юросіб та окремо — для фізосіб-підприємців (http://zpd.gov.ua/dszpd/uk/publish/category/32518).

Заповнюючи розділ «Інформація про володільця бази персональних даних», слід звернути увагу на необхідність зазначення повного найменування юридичної особи відповідно до установчих документів. У друкованій формі заяви при зазначенні коду ЄДРПОУ клітинки заповнюються починаючи з першої зліва. Клітинки, що залишилися порожніми, прокреслюються.

Реквізит «Реєстраційній номер облікової картки платника податків» передбачено на випадок, якщо володільцем бази є фізична особа, тому при поданні заяви юридичною особою він не заповнюється.

У реквізиті «Місцезнаходження (для юридичної особи)/місце проживання (для фізичної особи)» указується місце державної реєстрації, а не фактичного місцезнаходження/місця проживання. Фактичне місцезнаходження бази персональних даних, яке вказується окремо, може як збігатися з місцезнаходженням володільця бази, так і відрізнятися від нього (наприклад, якщо фактично картотека або електронна база персональних даних знаходиться у структурному підрозділі юрособи).

При зазначенні найменування бази персональних даних підприємство, як ми вже вказували, вільне у виборі будь-якого найменування, що в цілому відображатиме характер тих персональних відомостей, які включено до такої бази. Запропоновані Держслужбою варіанти: «Працівники», «Клієнти», «Контрагенти» тощо. Ще раз підкреслимо — наведені варіанти не є обов’язковими для використання. Підприємство може вказати будь-яке зручне для використання в його діяльності найменування бази персональних даних.

Реквізит «Мета обробки персональних даних» підприємство також заповнює на власний розсуд. Формулювання, що рекомендуються Держслужбою, наведемо далі.

Що стосується реквізиту «Правові підстави обробки персональних даних», то Державна служба з питань захисту персональних даних вказує на необхідність зазначення в ньому однієї чи одночасно декількох із таких підстав:

1) згода фізичної особи на використання її персональних даних;

2) дозвіл на використання персональних даних, наданий володільцю бази нормативно-правовими актами (вказати, якими саме) для виконання покладених на нього повноважень у межах своєї компетенції;

3) використання персональних даних у межах правовідносин, що виникли до набуття чинності Законом № 2297 на підставі вільного волевиявлення фізичної особи.

На наш погляд, якщо йдеться про бази персональних даних «Працівники», то як правову підставу використання персональних даних працівників буде достатньо вказати такі нормативно-правові акти, як Кодекс законів про працю, Податковий кодекс України, Закон про ЄСВ та інші акти законодавства, якими на роботодавця покладаються обов’язки, виконання котрих неможливе без використання персональних даних. Якщо роботодавець не виходить при обробленні персональних даних працівників за межі наданої йому компетенції, то отримувати окремий дозвіл від працівників не обов’язково. Утім, чимало роботодавців, ураховуючи наполегливі побажання самої Держслужби, збирають зі своїх працівників підписані ними заяви про згоду на використання їх даних у роботі підприємства. Якщо підприємство заручилося подібною заявою, то як правові підстави обробки персональних даних одночасно можна вказати і згоду фізичної особи на використання її персональних даних, і дозвіл на використання персональних даних, наданий володільцю бази нормативно-правовими актами.

Більшій частині суб’єктів господарювання заповнювати реквізит «Відомості про розпорядників бази персональних даних» не доведеться, оскільки використання персональних даних здійснюється ними, як правило, самостійно, без передачі відомостей для обробки на договірних засадах третім особам. Передача даних органам державної влади (податковій службі, органам Пенсійного фонду України тощо) або місцевого самоврядування в межах вимог законодавства не вважається наданням відомостей розпоряднику бази даних, а тому спеціальної вказівки в заяві не потребує.

Запитання викликає такий реквізит, як «Відомості про заявника». Логічно було б вказувати в ньому інформацію безпосередньо про ту особу, яка заяву підписує та подає (якщо заява подається в електронній формі, то інформацію про директора, якщо в паперовій — то про ту особу, на яку покладено обов’язок фізично подати заяву до Держслужби). Проте сама Держслужба в наведеному нею прикладі заповнення заяви в цьому реквізиті дублює інформацію про юридичну особу — володільця бази персональних даних. Причому звернемо увагу, що в цьому реквізиті є відмінності між формою заяви, розміщеною на сайті Державного реєстру баз персональних даних (у ній потрібно вказати документ, яким особу уповноважено на подання заяви про реєстрацію), та паперовою формою заяви, яка аналогічної вимоги не містить.

Усього в затвердженій формі заяви п’ять сторінок. Але четверта та п’ята заповнюються тільки у випадку, якщо, наприклад, база даних передавалася декільком розпорядникам або складається з декількох частин з різним місцезнаходженням. Як правило, суб’єкти господарювання з такою ситуацією не стикаються, а тому їм достатньо заповнити перші три сторінки заяви. Якщо, наприклад, у підприємства є відокремлений підрозділ, назва бази персональних даних якого збігається з назвою бази персональних даних головного підприємства (скажімо, база персональних даних «Працівники» чи «Абоненти» тощо), то Держслужба визнає, що необхідності в окремій реєстрації немає, проте в розділі ІІ на четвертій сторінці заяви на реєстрацію необхідно продублювати назву бази персональних даних та вказати місцезнаходження такого відокремленого підрозділу. Якщо ж у відокремленому підрозділі ведеться своя унікальна база персональних даних, назва якої не збігається з базою персональних даних головного підприємства, то тоді на неї складається окрема заява про реєстрацію. Як володілець бази вказується головне підприємство, а як місцезнаходження — адреса, за якою розташований відокремлений підрозділ.

Ні, реєстрація здійснюється безоплатно (див. лист Мін’юсту від 05.01.2012 р. № 18633-0-33-11/6.1). Перелік адміністративних послуг, які безоплатно надаються Державною службою України з питань захисту персональних даних, затверджено наказом Держслужби від 30.12.2011 р. № 103. До нього, зокрема, входить і послуга з реєстрації баз персональних даних, а також змін до них.

Деякі суб’єкти господарювання звертаються до фірм, що надають послуги з підготовки заяви для реєстрації та передачі її на реєстрацію до Держслужби. За інформацією, розміщеною в мережі Інтернет, такі послуги коштують близько 450 грн. за одну зареєстровану БПД (хоча можна зустріти і пропозиції надати подібну послугу за більшу суму). Більше того, саме такі фірми активно нагнітають ажіотаж довкола теми про БПД, закликаючи зареєструвати якомога більшу кількість баз персональних даних. Утім, сама Держслужба із захисту персональних даних, підкреслюючи, що реєстрація здійснюється безоплатно, закликає володільців баз персональних даних подавати заяву про реєстрацію самостійно, без звернення до фірм-посередників, указуючи на те, що, як свідчить практика, у заявах, складених такими фірмами, часто містяться недостовірні відомості, що призводить до відмови в реєстрації бази персональних даних (http://zpd.gov.ua/dszpd/uk/publish/article/41283).

Трапляються й випадки, коли суб’єкт господарювання, який не звертався до послуг жодних фірм та самостійно подав заяву про реєстрацію бази персональних даних, отримує рахунок на оплату послуг з реєстрації. Виставляння таких рахунків, без сумніву, правових підстав не має. Про їх отримання доцільно повідомити правоохоронні органи.

Ні, так учинити не можна. На кожну базу персональних даних складається та подається окрема заява про реєстрацію.

Закон № 2297 передбачає дві можливі підстави виникнення права на використання персональних даних (ч. 1 ст. 11):

1) згода суб’єкта персональних даних на обробку його персональних даних. Суб’єкт персональних даних має право при наданні згоди внести застереження щодо обмеження права на обробку своїх персональних даних;

2) дозвіл на обробку персональних даних, наданий володільцю бази персональних даних відповідно до закону виключно для здійснення своїх повноважень.

Оскільки збирання про своїх клієнтів таких відомостей, як прізвище, ім’я, по батькові, контактні дані, дата народження тощо, до повноважень суб’єктів господарювання, наданих їм чинним законодавством, не належить, на подібні дії необхідно отримати згоду клієнта, текст якої також інформуватиме клієнта про те, з якою метою збираються дані про нього та як вони використовуватимуться (ч. 5 ст. 6, ч. 1 ст. 10 Закону № 2297).

Найбільш простий та зручний спосіб одержати згоду клієнта на використання наданих ним даних про себе — уключити відповідний пункт до самої анкети. У ній же може міститися інформація про права клієнта, надані йому як суб’єкту персональних даних (ст. 8 Закону № 2297), із проханням підтвердити, що клієнта повідомлено про його права.

Що стосується відомостей, що вже на цей момент отримані та використовуються, то представники Держслужби та Мін’юсту вказують на необхідність зайнятися збором згод (у письмовій формі) від кожного із суб’єктів персональних даних. Щоправда, розуміючи всю складність подібного завдання, вони погоджуються з тим, що його реалізація потребуватиме досить великої кількості часу.

Головне, щоб велася відповідна робота. У цьому випадку дії володільця бази персональних даних не вважатимуться такими, що порушують права суб’єктів персональних даних. Як тимчасовий компромісний варіант суб’єкт господарювання може обмежитися повідомленням, розміщеним в торговельних точках або пунктах обслуговування (повідомлення може бути розміщене також на сайті суб’єкта господарювання за його наявності), в якому містилася б інформація про те, з якою метою та як саме використовуються надані клієнтами дані про них, склад цих даних, а також права суб’єктів персональних даних, у тому числі право в разі незгоди на використання таких даних заявити про таку незгоду будь-яким зручним для клієнта способом.

Ні, самі персональні дані до заяви не включаються, а тому Держслужба ними не володіє. Її інформують лише про те, яка саме база персональних даних є в суб’єкта господарювання, з якою метою її створено, які правові підстави для її використання.

Цей реквізит, як показує практика, викликає найбільші складнощі у суб’єктів господарювання при заповненні заяви про реєстрацію бази персональних даних.

Наведемо формулювання, що рекомендуються Держслужбою:

«Забезпечення реалізації трудових відносин, адміністративно-правових, податкових відносин та відносин у сфері бухгалтерського обліку й аудиту, відносин у сфері управління людськими ресурсами, відносин у сфері економічних, фінансових послуг, відносин у сфері реклами, відносин у сфері телекомунікаційних послуг, відносин у сфері громадської, політичної та релігійної діяльності, відносин у сфері культури, дозвілля, спортивної та соціальної діяльності, відносин у сфері освіти, відносин у сфері охорони здоров’я, відносин у сфері безпеки, відносин у сфері транспорту, відносин у сфері науки, історичних досліджень та статистики тощо».

Запропоноване формулювання є орієнтовним. Суб’єкт господарювання, використовуючи його як приклад, може виробити формулювання, що відповідає його специфіці діяльності. Наприклад:

«Обробка персональних даних здійснюється з метою забезпечення реалізації трудових відносин, податкових відносин та відносин у сфері бухгалтерського обліку відповідно до вимог Кодексу законів про працю України, Податкового кодексу України, законів України «Про збір та облік єдиного внеску на загальнообов’язкове державне соціальне страхування», «Про зайнятість населення», «Про відпустки», «Про оплату праці» тощо.

Здійснюється обробка персональних даних фізичних осіб такого складу: 1) ідентифікаційні дані: прізвище, ім’я та по батькові; індивідуальний податковий номер; 2) особисті відомості: вік, стать, сімейний стан, склад сім’ї; 3) відомості щодо освіти, професії, спеціальності, кваліфікації; 4) дані щодо наявності або відсутності пільг, встановлених законодавством про працю та податковим законодавством; 5) дані щодо встановлення інвалідності та стану здоров’я».

У цій ситуації може бути зареєстрована одна база персональних даних «Працівники» . Однак, як уже зазначалося, рішення про те, які саме бази персональних даних використовуються суб’єктом господарювання, приймаються ним самостійно. Тому не буде помилкою й реєстрація двох баз персональних даних, які, наприклад, можуть мати такі назви: база персональних даних «Працівники, які мають інвалідність», якщо відомості про них систематизуються окремо, та база персональних даних «Працівники».

Ні, перелічені особи не вважаються розпорядниками баз персональних даних. Таким розпорядником може бути лише самостійний суб’єкт господарювання. Особи, які перебувають у трудових відносинах з володільцем бази персональних даних та використовують їх у межах своїх трудових обов’язків, розпорядниками не є.

Усі можливі помилки умовно можна розділити на дві категорії: ті, що можуть спричинити відмову в реєстрації заяви (наприклад, незазначення обов’язкової для заповнення інформації або, якщо направляється електронна форма заяви, недодання сертифіката безпеки), і ті, які до відмови в реєстрації бази персональних даних не призведуть, але в результаті в Державному реєстрі баз персональних даних буде вказана недостовірна інформація.

Такої спеціальної процедури, як виправлення помилок у заяві про реєстрацію бази персональних даних, ані Закон № 2297, ані підзаконні нормативно-правові акти, ані навіть Держслужба у своїх неофіційних роз’ясненнях не пропонують. Тому суб’єктам господарювання доведеться приймати для себе рішення самостійно про найбільш надійний варіант поведінки в цій ситуації.

Отже, якщо виявлено помилку, яка, як можна припустити, найімовірніше призведе до відмови в реєстрації бази персональних даних, варіантів подальших дій два:

1. Направити повторну заяву про реєстрацію бази персональних даних (до неї можна додати пояснювальну записку, складену в довільній формі, в якій пояснити причину направлення такої повторної заяви). Якщо все складеться, як припускає суб’єкт господарювання, то в реєстрації за первинною заявою йому має бути відмовлено, а за повторною базу буде зареєстровано. Жодного задвоєння інформації не утвориться. Усі вимоги Закону № 2297 буде виконано.

2. Дочекатися рішення Держслужби за результатами розгляду первинної заяви (зауважимо, що на сьогодні, за зізнанням самих представників Держслужби, обробляються заяви, отримані в середині грудня) та, якщо буде отримано відмову, направити нову заяву, виправивши вказані Держслужбою недоліки. На нашу думку, загрози притягнення до відповідальності за ухилення від державної реєстрації бази персональних даних у цьому випадку не буде, оскільки суб’єкт господарювання вживає залежних від нього заходів для здійснення реєстрації бази персональних даних, інформацію про те, що ним така база використовується, не приховує.

Інша ситуація у випадку, якщо заяву оформлено правильно, але в ній, як з’ясувалося вже після її подання, були вказані помилкові відомості (наприклад, щодо володільця бази або щодо її місцезнаходження). Цю ситуацію законодавством також не врегульовано. Ми зі свого боку можемо запропонувати два можливі варіанти дій:

1. Якщо базу персональних даних ще не зареєстровано, направити «навздогін» правильно заповнену заяву, обов’язково вказавши в пояснювальній записці до неї підстави повторного подання заяви з проханням вважати раніше подану заяву відкликаною.

2. Дочекатися рішення за раніше поданою заявою (не виключено, що в ній усе-таки буде виявлено недоліки та в реєстрації буде відмовлено). Якщо за нею базу персональних даних буде зареєстровано, то, на наш погляд, найбільш правильним буде направлення заяви про внесення змін до відомостей Державного реєстру баз персональних даних (форму відповідної заяви затверджено тим же наказом Мін’юсту від 08.07.2011 р. № 1824/5).

Слід зауважити, що Державній службі з питань захисту персональних даних Законом № 2297 надано строк у 10 робочих днів із дня надходження заяви на реєстрацію бази персональних даних, про що володільцю видається свідоцтво затвердженого зразка (законопроектом Кабміну, який зараз знаходиться на розгляді парламенту, пропонується цей строк продовжити до 30 робочих днів). Проте, ураховуючи наплив заяв, Держслужба сама визнає, що фізично вкластися в установлені строки не може (згідно зі Звітом про виконання річного плану роботи Державної служби України з питань захисту персональних даних за І квартал 2012 року протягом кварталу зареєстровано 6427 баз персональних даних, при тому, що заяв про реєстрацію БПД протягом кварталу прийнято 859765). Тим, хто подавав заяву про реєстрацію у другій половині грудня і пізніше, можна поки що не переживати з приводу того, чому досі (після закінчення ось уже більше шести місяців) не отримано свідоцтво про реєстрацію БПД. Пояснення просте: до заяви ще просто не дійшла черга.

Відстежувати «долю» поданої заяви можна таким чином:

— після реєстрації заяви, якщо вона складалася на сайті Державного реєстру баз персональних даних, прямо на сайті відображається відповідне повідомлення з реєстраційним номером заяви та кодом доступу для подальшого пошуку заяви та отримання інформації про стан її обробки; якщо заява направлялась електронною чи звичайною поштою із зазначенням електронної адреси заявника, то на таку електронну адресу також має бути надіслано реєстраційний номер та код доступу до інформації про заяву;

— за реєстраційним номером можна отримати інформацію про один із таких станів обробки заяви:

а) «Зареєстровано» (заява зареєстрована в Реєстрі);

б) «Відмовлено» (прийнято рішення про відмову в реєстрації бази персональних даних; при цьому на поштову адресу підприємства направляється лист із зазначенням причин відмови в реєстрації; виходячи з тексту Закону № 2297, можна зробити висновок, що єдиною підставою для відмови в реєстрації бази може бути незазначення в заяві необхідної інформації або її надання неуповноваженим суб’єктом; на нашу думку, до посадових осіб суб’єкта господарювання в разі відмови в реєстрації бази персональних даних адміністративні штрафи як за нереєстрацію або ухилення від реєстрації баз персональних даних застосовуватися не повинні, за умови, що вказані Держслужбою недоліки в заяві буде усунено та заяву знову направлено з метою реєстрації бази даних; факт подання заяви про реєстрацію бази персональних даних вказує на відсутність такого правопорушення, як ухилення від держреєстрації БПД // див. роз’яснення Держслужби від 29.05.2012 р. http://zpd.gov.ua/dszpd/uk/publish/article/41283);

в) «Прийнято рішення про реєстрацію» (видається Свідоцтво про реєстрацію бази персональних даних, яке, якщо в заяві про реєстрацію була зроблена відповідна відмітка, направляється на поштову адресу суб’єкта господарювання — володільця бази, якщо відмітку проставлено не було — то за Свідоцтвом уповноваженому працівнику суб’єкта господарювання доведеться з’явитися до Держслужби особисто).

Додаткова контактна інформація Державної служби з питань захисту персональних даних (начальник управління реєстрації баз персональних даних Кривда Світлана Геннадіївна): тел: (044)517-81-68, e-mail: register@zpd.gov.ua, поштова адреса: 02660, м. Київ, вул. М. Раскової, 15, каб.1205.

Як уже зазначалося, у тому, що Свідоцтво про реєстрацію БПД (або відмову в реєстрації) досі не отримане, незважаючи на те, що передбачені Законом № 2297 строки давно минули, немає нічого дивного. Так, за словами першого заступника голови Держслужби з питань захисту персональних даних Олексюк Л. В. та заступника голови Козака В. Ф., станом на 1 червня 2012 року обробляються заяви, що надійшли до служби до 7 грудня 2011 року (http://zpd.gov.ua/dszpd/uk/index). Як зазначають працівники Держслужби, повторно подавати заяви необхідності немає, оскільки оброблено їх буде тільки після всіх раніше поданих (усього на сьогодні налічується близько двох мільйонів заяв).

Що стосується зміни відомостей про базу персональних даних, щодо якої подано заяву про реєстрацію, але за нею ще не прийнято рішення, то це питання законодавчо не врегульоване, унаслідок чого слід скористатися рекомендаціями самої Державної служби з питань захисту персональних даних.

Так, згідно з ч. 6 ст. 9 Закону № 2297 володілець бази персональних даних зобов’язаний повідомляти державний орган з питань захисту персональних даних про кожну зміну відомостей, необхідних для реєстрації відповідної бази, не пізніше ніж протягом десяти робочих днів із дня настання такої зміни. Повідомляти необхідно про зміни виключно тих відомостей, які було подано володільцем при реєстрації бази персональних даних (зміна мети обробки, зміна місця знаходження бази, зміна адреси чи інших відомостей володільця БПД тощо).

Володілець БПД, щоб повідомити Державну службу з питань захисту персональних даних про зміни, що відбулися, повинен заповнити заяву відповідного зразка (форму затверджено наказом Мін’юсту від 08.07.2011 р. № 1824/5). Проте для заповнення заяви про внесення змін до відомостей, що містяться в Державному реєстрі баз персональних даних, необхідно знати та вказати реєстраційний номер бази персональних даних і дату її реєстрації, що неможливо зробити, якщо суб’єктом господарювання на момент унесення змін ще не отримано Свідоцтво про реєстрацію БПД. У зв’язку з цим Держслужба з питань захисту персональних даних пропонує направляти їй повідомлення в довільній формі із зазначенням змін, що відбулися. Держслужба наводить такий приклад подібного листа (http://zpd.gov.ua/dszpd/uk/publish/article/36638):

«Товариством з обмеженою відповідальністю «_______» (вказати назву суб’єкта господарювання) _________________ (вказати дату подання заявки про реєстрацію бази персональних даних) була подана заява про реєстрацію бази персональних даних (вказати назву бази персональних даних: «Працівники» / «Клієнти» тощо). Відповідно до ч. 6 ст. 9 Закону України «Про захист персональних даних» повідомляємо про зміну таких відомостей: (вказати, які саме зміни відбулися, наприклад: змінено місце знаходження бази персональних даних «Працівники», нова адреса місцезнаходження — м. Київ, вул. Грушевського, 43А, оф. 99). Станом на __________ (вказати дату направлення повідомлення про зміни, що відбулися) з незалежних від ТОВ «_______» (вказати назву суб’єкта господарювання) причин Свідоцтво про державну реєстрацію баз персональних даних не отримано. Після отримання свідоцтва ТОВ «_______» (вказати назву суб’єкта господарювання) у визначеному законом порядку буде заповнено та надіслано до Державної служби України з питань захисту персональних даних заяву про внесення змін до відомостей Державного реєстру баз персональних даних».

Ні, подібну вказівку робити не потрібно, оскільки:

по-перше, персональні відомості про фізичних осіб органам державної влади передаються не на договірній основі (як це відбувається при передачі розпоряднику), а внаслідок виконання суб’єктом господарювання покладених на нього законодавством обов’язків;

по-друге, органам держвлади передається не база персональних даних, а лише окремі відомості.

Прикладом розпорядника може бути колекторська фірма, якій передаються відомості про боржників.

Тим суб’єктам господарювання, які подали заяви про реєстрацію бази даних понад 10 робочих днів тому, але інформацію про те, що БПД зареєстрована, так і не отримали, як ми вже підкреслювали, хвилюватися не варто. Річ у тім, що Держслужба з питань захисту персональних даних не справляється з напливом заяв про реєстрацію, що сама визнає. Тому наразі одного факту подання заяви вистачає, щоб вважалося, що суб’єкт господарювання не ухиляється від реєстрації бази персональних даних, і до його посадових осіб не можуть застосувати адмінштраф.

У розділі І заяви про реєстрацію БПД, де вказується місцезнаходження самого володільця бази персональних даних (суб’єкта господарювання), а також на сторінці 3 заяви, де вказуються відомості про заявника, необхідно надати інформацію про адресу, за якою суб’єкт господарювання пройшов державну реєстрацію (саме цю адресу вказано в Єдиному державному реєстрі юридичних осіб та фізичних осіб — підприємців як адресу місцезнаходження суб’єкта господарювання).

У розділі ІІ, де міститься інформація про базу персональних даних та її місцезнаходження, необхідно вказати адресу, за якою фактично розташована база персональних даних (картотека чи носій електронної інформації).

Ні, такого обов’язку в суб’єкта господарювання немає. Інформувати про зміни, що відбулися, слід виключно щодо тієї інформації, яка фігурує в самій заяві. Відомості про особу, відповідальну на підприємстві за захист персональних даних, до заяви про реєстрацію БПД не включаються, а тому і про її зміну інформувати Держслужбу не слід.

Ні, про такі зміни Державну службу з питань захисту персональних даних повідомляти не потрібно. Держслужба отримує лише відомості про наявність певної БПД у суб’єкта господарювання, але вона не знає конкретного змісту такої БПД. Наприклад, якщо йдеться про базу персональних даних «Працівники», то Держслужба не знатиме, інформацію про яку кількість працівників до такої бази включено, а тому й про прийняття нового працівника на роботу чи про звільнення старого, так само, як і про декретні відпустки працівників, повідомляти Держслужбу необхідності немає.

Усе залежить від того, із чим пов’язана відмова в реєстрації бази персональних даних та як оцінює поточну ситуацію сам суб’єкт господарювання:

1. Якщо в реєстрації БПД було відмовлено у зв’язку з недоліками, допущеними при заповненні заяви про реєстрацію, і суб’єкт господарювання, як і раніше, виходить з того, що відповідна база персональних даних ним використовується, слід заново подати заяву про реєстрацію БПД, уже уважніше заповнивши всі її реквізити.

2. Якщо за час, поки заява про реєстрацію розглядалася Держслужбою з питань захисту персональних даних, суб’єкт господарювання, зваживши всі «за» та «проти», дійшов висновку, що використовувані ним відомості про фізосіб базою персональних даних вважатися не повинні, необхідність у повторному поданні заяви відпадає сама собою.

3. Якщо суб’єкт господарювання, як і раніше, упевнений у необхідності реєстрації БПД і при цьому вважає відмову в реєстрації неправомірною, він може її оскаржити в судовому порядку.

Якщо назва бази персональних даних філії, а також склад відомостей у ній, правові підстави обробки відомостей збігаються з відомостями про базу персональних даних головного підприємства, то окремої реєстрації така база персональних даних не потребує (інформація про неї включається до заяви про реєстрацію БПД головного підприємства, для чого виділено окрему сторінку в заяві). Якщо ж у філії ведеться база персональних даних, аналога якої в головного підприємства немає, її необхідно зареєструвати окремо.

Якщо філію створено вже після того, як головне підприємство зареєструвало свою базу персональних даних, то до Держслужби досить подати заяву про зміну відомостей щодо зареєстрованої бази персональних даних, уключивши до неї інформацію про БПД, що ведеться в філії.

Будь-яких спеціальних вимог до порядку припинення підприємницької діяльності, пов’язаних з наявністю зареєстрованих баз персональних даних, чинне законодавство не висуває. Тому процедура ліквідації проходить у загальному порядку. Пред’являти тим чи іншим органам підтвердження, що БПД знята з реєстрації або персональні дані, що використовувалися в діяльності підприємства, знищено, підприємство не зобов’язане.