Наближається дата, з якою пов`язано не лише святковий настрій, а й чимало бухгалтерського клопоту. І одна з проблем, яка не полишає думки бухгалтерів у ці вже передноворічні дні, — як виконати вимоги, що стосуються реєстрації баз персональних даних. Зважаючи на актуальність цього питання ми вирішили знову до нього повернутися (див. також «Податки та бухгалтерський облік», 2011, № 90, с. 45).
Олена УВАРОВА, юрист Видавничого будинку «Фактор»
Чи є у вас бази персональних даних?
Це питання, з якого необхідно почати. Річ у тім, що інформаційна кампанія, розгорнута Державною службою з питань захисту персональних даних в останні тижні та спрямована на ознайомлення суб`єктів господарювання із законодавчими вимогами в частині захисту персональних даних, призвела до загальної «персоналізації» країни. Усі масово заходилися в буквальному розумінні вишукувати в себе персональні дані та розмірковувати над тим, яку ще базу та за якою назвою зареєструвати. Розмір штрафів за нереєстрацію, як то кажуть, стимулює.
Але тут, на наш погляд, необхідно провести розмежування між персональними даними, які так чи інакше неминуче використовуються в діяльності будь-якого суб`єкта господарювання (інформація про працівників, про посадових осіб контрагентів, які підписують договори, про фізосіб-клієнтів тощо), та базою персональних даних, тобто про іменовану сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних. Чи багато на підприємствах картотек зі спеціально впорядкованими відомостями про фізичних осіб?
Утім, слід ураховувати підхід Державної служби з питань захисту персональних даних до цього питання. На її думку, «кожне підприємство (організація) є власником, як мінімум, двох баз персональних даних, а саме бази персональних даних працівників, яка ведеться з метою забезпечення вимог трудового законодавства, реалізації податкових відносин та відносин у сфері бухгалтерського обліку й аудиту, та бази персональних даних клієнтів чи інших осіб, персональні дані яких обробляються в цілях господарської діяльності». Водночас, «різні типи звітів і форм, що містять у собі певну сукупність відомостей про фізосіб, які відібрано із баз персональних даних власника та періодично передаються до органів держвлади, — не розглядаються як окремі бази персональних даних». До переліку з бази персональних даних «Працівники» та бази «Клієнти» найбільш заповзяті платники податків додають також такі бази даних, як «Засновники» та «Контрагенти».
Ми б усе ж виходили з того, що Закон України «Про захист персональних даних» від 01.06.2010 р. № 2297-VI (далі — Закон про захист персональних даних)* не поширюється на будь-яку інформацію, що опиняється в суб`єкта господарювання в ході його діяльності та за допомогою якої можна ідентифікувати фізособу. Отримання таких відомостей, як прізвище, ім`я, по батькові та паспортні дані й посада (вид діяльності), найчастіше продиктоване спеціальними вимогами законодавства. Крім свого безпосереднього призначення (ідентифікації особи, з якою суб`єкт господарювання вступає у правовідносини), ця інформація не використовується, не впорядковується та не систематизується, а тому під визначення «база персональних даних» підпадати не повинна.
* Текст Закону про захист персональних даних і пов’язані з ним документи див. на сайті газети «Податки та бухгалтерський облік» (www.nibu.factor.ua, розділ «Довідкова», «Нормативна база», «Персональні дані»).
А от щодо кадрової документації є сенс побажанням Держслужби не опиратися та відповідну базу даних зареєструвати. Що стосується інших відомостей, які є в суб`єкта господарювання, то слід оцінити їх на предмет відповідності критеріям бази персональних даних.
Звернемо увагу, до персональних даних належать тільки відомості про фізичних осіб (у тому числі про фізосіб-підприємців). Отже, якщо суб`єкт господарювання систематизує, скажімо, відомості про контрагентів — юридичних осіб, то подібна картотека базою персональних даних не вважатиметься. Не поширюється Закон про захист персональних даних і на ті відомості, які фізособа збирає у своїх особистих непрофесійних цілях (телефонний довідник, анкети знайомих тощо).
Захист персональних даних: вимоги до суб`єкта господарювання
Які законодавчі вимоги висуваються законодавством до суб`єктів господарювання?
Аналіз тексту Закону про захист персональних даних та роз`яснень Державної служби свідчить про те, що якнайповнішим буде такий алгоритм дій:
1. Отримати згоду фізичних осіб, персональними відомостями яких володіє суб`єкт господарювання (як юридична особа, так і фізособа-підприємець), на використання інформації про них у своїй діяльності.
У цій частині необхідно зробити певні застереження.
По-перше, Закон про захист персональних даних передбачає як окрему підставу для використання персональних даних дозвіл на обробку персональних даних, наданий власнику бази персональних даних згідно із законом виключно для здійснення своїх повноважень. Тому, скажімо, роботодавець цілком міг би послатися на це положення Закону для обґрунтування відсутності необхідності отримання згоди працівників на використання їх персональних даних, тим більше що реалізовувати вимоги трудового законодавства без таких даних у принципі неможливо. І якщо, наприклад, працівник відмовить роботодавцю, то, по суті, така відмова має ставати окремою підставою для розірвання трудового договору, оскільки роботодавець просто опиняється в безвихідній ситуації. На наш погляд, розумніше не стільки запитувати згоду працівників на використання їх персональних даних у необхідному для роботи обсязі, скільки ознайомити їх із законодавчими гарантіями, що надаються їм у частині захисту персональних даних. З урахуванням викладеного пропонуємо використовувати таку примірну форму заяви, що підписується працівниками:
ЗГОДА Я, ___________________________________________________________________________________________ , (П. I. Б.) (народився «______» _______________ 19___
року, паспорт серії _____ №____________________) підтверджую, що
ознайомлений з вимогами Закону України «Про захист персональних даних» від
01.06.2010 р. № 2297-VI та інших нормативних актів про захист персональних
даних і надаю
згоду (повна назва суб’єкта господарювання) на обробку відомостей про мене у картотеках та/або за допомогою інформаційно-телекомунікаційної системи бази персональних даних працівників суб’єкта господарювання з метою ведення кадрової документації, підготовки відповідно до вимог законодавства податкової та статистичної звітності, іншої інформації, а також внутрішніх документів підприємства з питань реалізації визначених законодавством і колективним договором прав та обов’язків у сфері трудових правовідносин і соціального захисту. Зобов’язуюсь при зміні моїх персональних даних надавати у термін до 10 робочих днів відповідальній особі уточнену інформацію щодо відомостей про мене, необхідних для реалізації вимог чинного законодавства. «____» ____________ 20___ року ____________ (____________________)
|
По-друге, тим суб`єктам господарювання, які захочуть зареєструвати не лише базу персональних даних щодо своїх працівників, а й, керуючись побажаннями Держслужби з питань захисту персональних даних, базу даних «Клієнти» (чи «Контрагенти») або будь-яку іншу базу даних, від фізосіб, відомості про яких буде включено до такої бази даних, необхідно також отримати письмову згоду на використання та обробку їх персональних даних. За основу можна взяти наведений вище зразок, змінивши в ньому мету використання персональних даних (наприклад, обмежитися лаконічним: «з метою ведення господарської діяльності, виконання вимог чинного законодавства»).
2. Скласти положення про захист персональних даних на підприємстві (на фізосіб-підприємців чи інших самозайнятих осіб ця вимога не поширюється).
Текст такого положення переважно може складатися з цитат Закону про захист персональних даних, окремі положення можна запозичити з роз`яснень Держслужби з питань захисту персональних даних. Як орієнтир слід узяти проект Типового порядку обробки персональних даних в базах персональних даних (http://www.zpd.gov.ua/indexDovidkaInfo.html). Наприклад, до нього можна включити такі розділи:
I. Загальні положення.
II. Персональні дані, принципи та цілі їх обробки. Перелік баз персональних даних, власником яких є суб`єкт господарювання.
III. Організація обробки персональних даних. Мета використання.
IV. Порядок використання персональних даних: отримання згоди від суб`єкта персональних даних, інформування його про права, гарантовані законодавством із захисту персональних даних.
V. Порядок доступу до персональних даних (указати, зокрема, структурний підрозділ або відповідальну особу, яка організує роботу, пов`язану із захистом персональних даних при їх обробці).
VI. Права суб`єкта персональних даних.
VII. Державна реєстрація бази персональних даних.
3. Видати наказ, яким затвердити положення про захист персональних даних, призначити відповідальну особу або вказати структурний підрозділ, на який покладаються функції з організації роботи, пов`язаної із захистом персональних даних, забезпеченням державної реєстрації баз персональних даних, що використовуються в роботі суб`єкта господарювання. Проте оскільки такі функції не було обумовлено при укладенні трудового договору з працівниками, які обіймають на підприємстві відповідні посади, і по суті йдеться про доповнення їх трудових обов`язків, у цьому випадку мають діяти вимоги щодо порядку істотної зміни умов праці: або працівник повинен дати згоду на таку зміну в письмовій формі, або про майбутні зміни його необхідно повідомити в письмовій формі за два місяці до початку їх дії.
4. Зареєструвати бази персональних даних, заздалегідь визначившись щодо питання про те, які саме бази даних використовуються суб`єктом господарювання. Як ми встановили, як мінімум, базу даних «Працівники» зареєструвати доведеться (виняток становитимуть ті суб`єкти господарювання, насамперед фізичні особи — підприємці, в яких найманих працівників немає). Зупинимося докладніше на порядку реєстрації.
Порядок реєстрації бази персональних даних
Заяву про реєстрацію бази персональних даних можна подати або в паперовій, або в електронній формі. Причому відразу зауважимо, що власне персональні дані до заяви не включаються. Може виникнути запитання, з якою метою тоді взагалі запроваджено вимогу про реєстрацію, якщо із заяви нічого, крім власне наявності певних персональних даних у суб`єкта господарювання, Держслужба не дізнається. Сама Держслужба фактично вказує на те, що необхідність реєстрації бази персональних даних змушує суб`єктів господарювання задуматися про гарантії захисту таких даних від неправомірного використання та формує відповідальне ставлення до законодавства про захист персональних даних.
Вимоги до складання заяви обмежуються необхідністю зазначення назви бази персональних даних, мети їх обробки та місцезнаходження бази (докладніше див. «Податки та бухгалтерський облік», 2011, № 90, с. 45; Інструкцію зі створення та подання заяви в електронному вигляді див. далі). Причому і назва, і мета обробки вказуються на розсуд суб`єкта господарювання.
Інструкція зі створення та подання заяви в електронному вигляді
1. Створення заяви
o Виберіть пункт меню сайта «Створити заяву» та підпункт меню з відповідною назвою заяви («Про реєстрацію БПД» або «Про надання витягу з реєстру»), яку необхідно створити.
o Заповніть відомостями всі поля форми заяви.
o Внесіть контрольні символи із зображення, що знаходиться нижче всіх полів форми заяви, та натисніть кнопку «Сформувати заяву».
o Якщо вказані на формі заяви відомості є коректними та контрольні символи із зображення вказані правильно, відкриється сторінка «Збереження файлу заяви» з повідомленням про успішне формування файлу заяви.
o На сторінці «Збереження файлу заяви» натисніть елемент «Зберегти файл заяви» (файл заяви відкривати не потрібно!) та збережіть файл заяви на локальному диску комп’ютера.
2. Підпис файлу заяви електронним цифровим підписом
o Підпишіть збережений на локальному диску комп’ютера файл заяви електронним цифровим підписом та збережіть підписаний файл заяви на локальному диску комп’ютера.
3. Подача заяви Реєстратору
o Виберіть пункт меню сайта «Подати заяву», і на сторінці, що відкриється, натисніть на елемент «Подати заяву в електронному вигляді».
o Відкриється нова сторінка, до 3-х полів якої, за допомогою кнопок «Обзор», необхідно вибрати на локальному диску та завантажити такі файли:
o файл заяви (максимальний розмір файлу — 512 кБ, тип файлу «ДокументXML»);
o підписаний ЕЦП файл заяви (максимальний розмір файлу — 512 кБ, тип файлу «Підписаний файл»);
o файл публічного сертифіката (максимальний розмір файлу — 100кБ, тип файлу «Сертифікат безпеки»).
o Внесіть контрольні символи із зображення, що знаходиться нижче полів вибору файлів, та натисніть кнопку «Подати заяву».
o Якщо вказані на сторінці файли є коректними та контрольні символи із зображення вказані правильно, заява у електронному вигляді буде передана Реєстратору та зареєстрована у базі даних заяв.
o Після реєстрації заяви відображається повідомлення про успішне подання заяви в електронному вигляді, в якому зазначено реєстраційний номер заяви. На адресу електронної пошти заявника, вказану в заяві, надходить повідомлення про успішне подання заяви, яке містить реєстраційний номер заяви. Зареєстрована заява відображається на головній сторінці сайта в результатах пошуку зареєстрованих заяв.
Найбільші труднощі в суб`єктів господарювання виникають при заповненні поля «Мета обробки персональних даних», тому наведемо формулювання, що рекомендуються Держслужбою: забезпечення реалізації трудових відносин, адміністративно-правових, податкових відносин та відносин у сфері бухгалтерського обліку й аудиту, відносин у сфері управління людськими ресурсами, відносин у сфері економічних, фінансових послуг, відносин у сфері реклами, відносин у сфері телекомунікаційних послуг, відносин у сфері громадської, політичної та релігійної діяльності, відносин у сфері культури, дозвілля, спортивної та соціальної діяльності, відносин у сфері освіти, відносин у сфері охорони здоров`я, відносин у сфері безпеки, відносин у сфері транспорту, відносин у сфері науки, історичних досліджень та статистики тощо.
Контроль та відповідальність
Проблема в тому, що Закон України «Про основні засади державного нагляду (контролю) у сфері господарської діяльності» від 05.04.2007 р. № 877-V на здійснення заходів щодо контролю у сфері захисту персональних даних навряд чи можна поширити, оскільки ця сфера відносин не є видом господарської діяльності.
На сьогодні законодавче регулювання порядку проведення перевірок у сфері захисту персональних даних обмежується однією статтею Закону про захист персональних даних (згідно зі ст. 22 контроль за дотриманням законодавства про захист персональних даних у межах повноважень, передбачених законом, здійснює уповноважений державний орган з питань захисту персональних даних) та декількома приписами в Положенні про Державну службу України з питань захисту персональних даних, затвердженому Указом Президента України від 06.04.2011 р. № 390/2011. Так, зокрема, Положенням передбачено, що Держслужба здійснює держнагляд та контроль за дотриманням законодавства про захист персональних даних, розробляє та затверджує плани перевірок власників баз персональних даних, проводить у межах своїх повноважень виїзні та невиїзні перевірки, видає обов`язкові для виконання приписи щодо усунення порушень законодавства про захист персональних даних, складає адмінпротоколи про виявлені порушення законодавства.
Слід звернути увагу на те, що і Закон, і Положення вказують на необхідність установлення наглядових повноважень на рівні закону. Поки що порядку проведення перевірок немає не лише в законі, а й у підзаконних нормативних актах. Утім, це не зашкодило Держслужбі затвердити план проведення перевірок на IV квартал 2011 року. Щоправда, до нього ввійшло тільки 9 суб`єктів господарювання, що, мабуть, пояснюється відсутністю наразі територіальних органів Держслужби. У цілому, слід зауважити, що на сьогодні правомірність проведення перевірок Державною службою з питань захисту персональних даних в умовах відсутності порядку їх здійснення викликає запитання.
Що стосується відповідальності, то самому підприємству нічого не загрожує. А от його посадовим особам є чого побоюватися. Розміри штрафів доволі великі. За неповідомлення або несвоєчасне повідомлення суб`єкта персональних даних (у тому числі працівника) про його права у зв`язку з включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються, може бути накладено штраф на посадових осіб, фізосіб-підприємців — від 300 до 400 неоподатковуваних мінімумів доходів громадян (тобто від 5100 до 6800 грн.), на фізосіб-роботодавців, які не мають статусу підприємця, — від 200 до 300 нмдг (від 3400 до 5100 грн.). За неповідомлення або несвоєчасне повідомлення Держслужби про зміну відомостей, що подаються для державної реєстрації бази персональних даних, на посадових осіб підприємства або на фізособу-підприємця може бути накладено штраф від 200 до 400 нмдг (від 3400 до 6800 грн.), на фізосіб-роботодавців, які не мають статусу підприємця, — від 100 до 200 нмдг (від 1700 до 3400 грн.). За ухилення від державної реєстрації бази персональних даних передбачено штраф на громадян, які не мають статусу підприємця, від 300 до 500 нмдг (від 5100 до 8500 грн.), на посадових осіб, фізосіб-підприємців — від 500 до 1000 нмдг (від 8500 до 17000 грн.).
На складання адмінпротоколів уповноважено посадових осіб Державної служби з питань захисту персональних даних. Розглядають справи та накладають штрафи суди.
Кримінальна відповідальність наставатиме за незаконний збір, зберігання, використання, знищення, поширення конфіденційної інформації про працівника або незаконну зміну такої інформації у вигляді штрафу від 500 до 1000 нмдг (від 8500 до 17000 грн.) або виправних робіт на строк до двох років, або у вигляді арешту на строк до шести місяців, або обмеження свободи на строк до трьох років.
Нагадаємо: норми про відповідальність запрацюють з 1 січня 2012 року, а тому потрібно поспішити зареєструвати ті бази персональних даних, які використовує підприємство у своїй діяльності.