Внутрішні документи щодо використання та захисту ПД на підприємстві
Чимало суб’єктів господарювання помилково вважають: усе, що від них вимагається, — зареєструвати базу персональних даних. Проте передбачені законодавством заходи поширюються не лише на ті відомості, що складають базу персональних даних. У суб’єкта господарювання може не бути бази персональних даних, але відомості про фізосіб у своїй діяльності він неминуче використовує, а отже, — захищати їх він зобов’язаний. Як це зробити, розповімо в цій статті.
Олена УВАРОВА, юрист Видавничого будинку «Фактор»
Склад документів із захисту персональних даних
Які внутрішні документи щодо захисту ПД мають бути на підприємстві? Чи потрібно призначати відповідальну особу за ведення БПД?*
* З примірними формами документів, запропонованими працівниками Держслужби із захисту персональних даних, можна ознайомитися за адресою http://zpd.gov.ua/dszpd/uk/publish/article/38799
Аналіз тексту Закону № 2297 , роз’яснень Державної служби з питань захисту персональних даних та Мін’юсту свідчить про те, що для суб’єкта господарювання найповнішим буде такий алгоритм дій:
1. Отримати згоду фізичних осіб , персональними відомостями яких володіє суб’єкт господарювання (як юридична особа, так і фізособа-підприємець), на використання інформації про них у своїй діяльності.
У цій частині необхідно зробити деякі застереження.
По-перше, Закон № 2297 передбачає як окрему підставу для використання персональних даних дозвіл на обробку персональних даних, наданий володільцю бази персональних даних згідно із законом виключно для здійснення своїх повноважень. Тому, скажімо, роботодавець цілком може послатися на це положення Закону № 2297 для обґрунтування відсутності необхідності отримання згоди працівників на використання їх персональних даних, тим більше, що реалізовувати вимоги трудового законодавства без таких даних у принципі неможливо.
Ті роботодавці, які все ж вирішили звернутися до працівників з проханням надати відповідну згоду, але отримали відмову, по суті, самі заганяють себе в безвихідь: з одного боку, така відмова не може стати підставою для розірвання трудового договору, з іншого — роботодавець опиняється в безвихідній ситуації, оскільки все одно змушений використовувати персональні дані працівника, уже отримавши від нього відмову в наданні згоди на таке використання.
На наш погляд, більш виваженим є не стільки просити згоду працівників на використання їх персональних даних у необхідному для роботи обсязі, скільки ознайомити їх із законодавчими гарантіями, що надаються їм у частині захисту персональних даних.
Утім, роботодавці, які все ж захочуть перестрахуватися (з урахуванням того, що представники Держслужби кожного разу по-різному відповідають на запитання про необхідність отримання такої згоди), можуть використовувати примірну форму заяви, що підписується працівниками (див. додаток 4). Вона ж може бути орієнтиром при розробленні форми згоди на використання персональних даних в інших БПД (наприклад, БПД «Клієнти»).
По-друге, тим суб’єктам господарювання, які захочуть зареєструвати не лише базу персональних даних щодо своїх працівників, а й, керуючись побажаннями Держслужби із захисту персональних даних, базу даних «Клієнти» (чи «Контрагенти») або будь-яку іншу базу даних, від фізосіб, відомості про яких буде включено до такої бази даних, необхідно також отримати письмову згоду на використання та оброблення їх персональних даних (виняток Держслужба робить тільки для тих персональних даних, які було отримано до 01.01.2011 р.). Як уже зазначалося, згода не обов’язково повинна надаватися у формі окремої заяви. Це може бути пункт в анкеті або в електронній реєстраційній формі, у договорі тощо. Наприклад, Правила надання та отримання телекомунікаційних послуг, затверджені постановою Кабміну від 11.04.2012 р. № 295, передбачають, що оператор, провайдер у порядку, установленому законодавством, створює та використовує бази даних, які необхідні для надання послуг та містять відомості, надані абонентом під час укладення договору, та забезпечує захист і нерозголошення інформації з обмеженим доступом. Персональні дані абонентів можуть оброблятися з метою надання послуг, забезпечення виконання зобов’язань за договором. Призначені для оприлюднення телефонні довідники, у тому числі їх електронні версії та бази даних інформаційно-довідкових служб, можуть містити інформацію про прізвище, ім’я, по батькові, найменування, адресу та номери телефону абонента, якщо споживач дав згоду на оприлюднення такої інформації (пп. 43, 44 Правил).
2. Скласти положення про захист персональних даних на підприємстві (на фізосіб-підприємців чи інших самозайнятих осіб ця вимога не поширюється).
Як орієнтир можна узяти Типовий порядок обробки персональних даних у базах персональних даних (http://www.zpd.gov.ua/indexDovidkaInfo.html). Розроблений нами приклад Положення про захист персональних даних наведено в додатку 2.
3. Видати наказ, яким призначити відповідальну особу або вказати структурний підрозділ, на який покладаються функції з організації роботи, пов’язаної із захистом персональних даних, забезпеченням державної реєстрації баз персональних даних, що використовуються в роботі суб’єкта господарювання. Оскільки такі функції не було обумовлено при укладенні трудового договору з працівниками, які обіймають на підприємстві відповідні посади, і по суті йдеться про доповнення їх трудових обов’язків, у цьому випадку повинні діяти вимоги до порядку істотної зміни умов праці: або працівник повинен дати згоду на таку зміну в письмовій формі, або про майбутні зміни його необхідно повідомити в письмовій формі за два місяці до початку їх дії (приклад наказу див. у додатку 3).
4. Зареєструвати бази персональних даних, попередньо визначившись у питанні про те, які саме бази даних використовуються суб’єктом господарювання.
Згоду на реєстрацію БПД «Працівники» у працівників отримувати необов’язково
Чи потрібно повідомляти працівників про реєстрацію БПД «Працівники»? Чи слід просити їхньої згоди на реєстрацію? Що робити, якщо працівник заявляє про свою незгоду на використання його персональних даних?
Через актуальність наведеного запитання зупинимося на ньому докладніше, хоча побіжно про свою позицію з цієї проблеми ми вже згадували.
Державна служба з питань захисту персональних даних із самого початку, як відомо, наполягала на необхідності отримання згоди від фізосіб на використання їх персональних даних. Єдиний виняток — персональні дані, отримані до 01.01.2011 р. (дата набуття чинності Законом № 2297).
Цю вимогу Держслужба первісно поширювала й на працівників також, не роблячи будь-яких застережень (відповідне роз’яснення і зараз розміщене на сайті Держслужби). Проте, мабуть, розуміючи абсурдність ситуації, представники Держслужби в своїх інтерв’ю все частіше стали визнавати, що необхідності отримання згоди від працівників на обробку та використання їх персональних даних немає, якщо таке використання здійснюється виключно в межах, передбачених законодавчими вимогами (наприклад, таку позицію було висловлено К. Мельником, заступником начальника управління юридичного забезпечення Держслужби з питань захисту персональних даних, аналогічних висновків доходила Т. Степаненко, провідний спеціаліст управління юридичного забезпечення Державної служби України з питань захисту персональних даних). І в більш пізній своїй консультації Держслужба визнала, що «персональні дані працівника, які містяться в паспорті або документі, що засвідчує особу, у трудовій книжці, документі про освіту (спеціальність, кваліфікацію), документі про стан здоров’я та в інших документах, які працівник подав при укладенні трудового договору, обробляються володільцем бази персональних даних на підставі ст. 24 Кодексу законів про працю України виключно для здійснення повноважень володільця бази персональних даних у сфері правовідносин, що виникли в нього з працівником на підставі трудового договору (контракту)» (див. http://zpd.gov.ua/dszpd/uk/publish/article/36511).
Підсумуємо: необхідність в отриманні згоди працівника на використання його персональних даних виникає лише у випадку, якщо такі дані використовуються в обсязі, що перевищує той мінімум, який необхідний для виконання роботодавцем покладених на нього законодавством вимог (ст. 11 Закону № 2297).
Припинення відносин із фізособою не спричинює необхідності знищити дані про неї
Фізособа звільнилася за власним бажанням. Чи повинне підприємство зважаючи на вимоги Закону № 2297 знищити всі дані про неї?
Питання виникло, напевно, у зв’язку зі ст. 15 Закону № 2297. Вона, зокрема, передбачає, що персональні дані в базах персональних даних підлягають знищенню у випадку:
1) закінчення строку зберігання даних, визначеного згодою суб’єкта персональних даних на обробку цих даних або законом;
2) припинення правовідносин між суб’єктом персональних даних та володільцем чи розпорядником бази, якщо інше не передбачено законом;
3) набранням законної сили рішенням суду щодо вилучення даних про фізичну особу з бази персональних даних.
Проте не слід забувати про вимоги до строків та порядку зберігання документів в архівних та податкових цілях (про що див. газету «Податки та бухгалтерський облік», 2012, № 43). Ці вимоги є більш спеціальними при визначенні можливості знищення тих чи інших документів, і тому саме їм необхідно віддати пріоритет.
Яким числом датувати згоду фізособи?
Яким числом необхідно датувати отримання згоди фізособи на використання персональних даних: до подання заяви про реєстрацію БПД чи після?
Оскільки Закон № 2297 називає згоду суб’єкта персональних даних на використання відомостей про нього однією з умов правомірності такого використання, із цього випливає, що отримання згоди має передувати самому початку використання таких даних. Отже, найбільш оптимальний варіант оформлення відносин — отримати підписану фізичною особою заяву про її згоду на використання персональних даних одночасно з оформленням правових відносин із нею (зокрема, на момент укладення договору).
Як ми розуміємо, найбільш проблемним у цьому відношенні є 2011 рік. Варіант оформлення подібної заяви заднім числом не розглядатимемо, хоча, слід визнати, він у такій ситуації виглядає найбільш безболісним.
Але припустимо, що підприємство збере відповідні заяви у своїх працівників тільки зараз, у середині 2012 року. Чим це може загрожувати? На наш погляд, нічим. Річ у тім, що санкції за порушення вимог законодавства про захист персональних даних запрацюють тільки з 01.07.2012 р. (про це також див. «Податки та бухгалтерський облік», 2011, № 97, с. 26). Серед них — штраф за неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних (у тому числі працівника) про його права у зв’язку з уключенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються, що може бути накладено на посадових осіб підприємства чи на фізосіб-підприємців у розмірі від 300 до 400 неоподатковуваних мінімумів доходів громадян (тобто від 5100 до 6800 грн.), на фізосіб-роботодавців, які не мають статусу підприємця, — від 200 до 300 нмдг (від 3400 до 5100 грн.). Оскільки починаючи з 01.01.2011 р. і до 01.07.2012 р. використання бази персональних даних без відповідного повідомлення суб’єкта таких даних уже було порушенням вимог, але за нього не було передбачено відповідальність, якщо суб’єкт господарювання встигне усунути це порушення до 01.07.2012 р., тобто на момент набуття чинності норм, що встановлюють штрафи за такі порушення, підстав для застосування штрафів не буде.
Захист персональних даних: чи вносити зміни до статуту?
Чи потрібно вносити зміни до статуту у зв’язку з реєстрацією БПД, зокрема для включення до нього мети використання ПД?
Багатьох суб’єктів господарювання збентежила норма, закріплена в ч. 1 ст. 6 Закону № 2297. Відповідно до неї мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих та інших документах, що регулюють діяльність володільця бази персональних даних, і повинна відповідати законодавству про захист персональних даних. У разі зміни визначеної мети обробки персональних даних суб’єктом персональних даних має бути надано згоду на обробку його даних відповідно до зміненої мети.
Проте наведена норма Закону № 2297 зовсім не передбачає обов’язкове внесення змін до установчих документів володільця бази персональних даних. Закріплюючи подібну вимогу, законодавець хотів лише указати на те, що мета обробки персональних даних має так чи інакше бути пов’язаною з діяльністю володільця персональних даних. Якщо такий зв’язок простежується, установчі документи зміни не потребують.
Крім того, суб’єкту господарювання в будь-якому разі доведеться затвердити внутрішнє положення про порядок обробки та захисту персональних даних, в якому в тому числі буде вказана мета їх використання. Тим самим буде виконано наведену вище вимогу ч. 1 ст. 6 Закону № 2297.