ЧИ ТАКИЙ СТРАШНИЙ ВОВК, ЯК ЙОГО МАЛЮЮТЬ?
(АБО ПРО ПЕРЕВІРКИ З ПИТАНЬ ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ)
Прийняття 02.06.11 р. Закону № 3454, яким установлено неймовірні штрафи за порушення законодавства про захист персональних даних, не на жарт налякало громадськість. Адже ніхто чітко не пояснив, як правильно застосовувати Закон № 2297, а за найменше порушення загрожують штрафом у декілька тисяч гривень. Ще більше побоювань виникло, коли Міністерство юстиції України своїм наказом від 22.06.12 р. № 947/5 затвердило Порядок здійснення Державною службою України з питань захисту персональних даних державного контролю за дотриманням законодавства про захист персональних даних. Майже рік діє зазначений Порядок і проходять перевірки, але чи такий страшний вовк, як його малюють? Про практику проведення перевірок дотримання законодавства про захист персональних даних і про типові помилки у застосуванні Закону № 2297 читайте в нашій статті.
Юлія Шипілова, консультант
Про те, як проходять перевірки, яких типових помилок припускаються власники баз персональних даних, до якої відповідальності притягуються винні в порушенні законодавства про захист персональних даних, розповідає ДСЗПД на своєму сайті (див. http://zpd.gov.ua/dszpd/uk/publish/article/52224).
Так, відповідно до ч. 1 ст. 22, ч. 2 ст. 23 Закону № 2297, а також відповідно до пп. 12 — 18 п. 4 Положення № 390/2011, ДСЗПД здійснює в межах своїх повноважень контроль за дотриманням законодавства про захист персональних даних.
Хто ж саме в ДСЗПД здійснює перевірки? Відповідно до Положення про відділ контролю за дотриманням вимог законодавства про захист персональних даних Державної служби України з питань захисту персональних даних, затвердженого Головою ДСЗПД 30.11.12 р., у ДСЗПД функція контролю покладена на відділ контролю за дотриманням вимог законодавства про захист персональних даних (далі — відділ контролю). Відділ контролю в межах своїх повноважень здійснює виїзні та безвиїзні перевірки власників та (або) розпорядників баз персональних даних.
При здійсненні заходів державного нагляду та контролю ДСЗПД перевіряла дотримання вимог законодавства про захист персональних даних, а саме: Закону № 2297, а також Типового порядку № 3659/5. За результатами проведених перевірок було виявлено низку типових порушень законодавства про захист персональних даних, про які ми далі й поговоримо.
ПІДСТАВИ ДЛЯ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ
Найбільша кількість проблем у суб’єктів, які здійснюють обробку персональних даних, виникає з визначенням правових підстав виникнення права на таку обробку. Нагадуємо, що відповідно до ч. 1 ст. 11 Закону № 2297 підставами для обробки персональних даних є:
| 1 | згода суб’єкта персональних даних на обробку його персональних даних |
| 2 | дозвіл на обробку персональних даних, наданий власнику персональних даних відповідно до закону виключно для здійснення його повноважень |
| 3 | укладення та виконання угоди, стороною якої є суб’єкт персональних даних або яка укладена на користь суб’єкта персональних даних або для здійснення заходів, що передують укладенню оборудки на вимогу суб’єкта персональних даних |
| 4 | захист життєво важливих інтересів суб’єкта персональних даних |
| 5 | необхідність захисту законних інтересів власників персональних даних, третіх осіб, крім випадків, коли суб’єкт персональних даних вимагає припинити обробку його персональних даних та потреби захисту персональних даних перевищують такий інтерес |
Згідно з ч. 5 ст. 6 Закону № 2297 обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб’єкта персональних даних або у випадках, передбачених законами України, у порядку, установленому законодавством.
Серед перевірених суб’єктів господарювання було виявлено, що ними порушувалися вимоги законодавства в частині обробки персональних даних без згоди суб’єкта персональних даних. Адже перш ніж починати обробку персональних даних, власник бази персональних даних повинен визначити, на якій підставі він може здійснювати таку обробку.
Водночас під час перевірок ДСЗПД було виявлено, що деякі власники та розпорядники персональних даних не розуміють, на якій із правових підстав, передбачених ст. 11 Закону № 2297, вони використовують персональні дані. Перш ніж отримувати в суб’єкта згоду на обробку персональних даних, власнику та розпоряднику персональних даних необхідно визначити, чи немає інших правових підстав для обробки персональних даних, зокрема дозволу на обробку персональних даних, наданого на підставі норм чинного законодавства України. Наприклад, обробка персональних даних працівників підприємства (установи, організації) з метою забезпечення реалізації трудових відносин не вимагає згоди, проте якщо підприємством (установою, організацією) збираються персональні дані, не передбачені трудовим законодавством, необхідно отримати згоду працівників на обробку таких даних.
Наприклад, щодо персональних даних споживачів житлово-комунальних послуг. Оскільки відповідно до Закону № 1875 надання житлово-комунальних послуг здійснюється виключно на договірних засадах, тобто в будь-якому разі між виконавцем/виробником житлово-комунальних послуг і споживачем має бути укладено договір про надання певного виду житлово-комунальних послуг, а отже, отримувати згоду суб’єкта персональних даних на їх обробку не потрібно, оскільки можна використовувати таку підставу для обробки персональних даних, як укладення та виконання угоди, стороною якої є суб’єкт персональних даних або яка укладена на користь суб’єкта персональних даних або для здійснення заходів, що передують укладенню угоди на вимогу суб’єкта персональних даних.
ЗМІНА ВІДОМОСТЕЙ, НЕОБХІДНИХ ДЛЯ РЕЄСТРАЦІЇ БАЗИ ПЕРСОНАЛЬНИХ ДАНИХ
Частиною 6 ст. 9 Закону № 2297 визначено, що власник персональних даних зобов’язаний повідомляти ДСЗПД про кожну зміну відомостей, необхідних для реєстрації відповідної бази персональних даних. Причому зробити це він повинен не пізніше ніж протягом 10 робочих днів із дня настання такої зміни. І тут проблеми починаються, по-перше, з нерозумінням того, що саме є зміною відомостей, необхідних для реєстрації відповідної бази персональних даних. З’ясувати це питання досить легко, варто тільки звернутися до заяв про реєстрацію баз персональних даних, які ви подавали до ДСЗПД для реєстрації баз персональних даних. Пригадали? Зрозуміло, що це відомості про власника або розпорядника баз персональних даних (його найменування або прізвище, ім’я, по батькові, місцезнаходження тощо), інформація про мету обробки персональних даних, про місцезнаходження бази персональних даних, про підстави для обробки персональних даних, про склад персональних даних. І тут потрібно дещо пояснити. По-перше, відомості про склад персональних даних — це не конкретні персональні дані конкретних фізичних осіб, а тільки відомості про категорії інформації, що збирається, наприклад, інформація про прізвище, ім’я, по батькові, інформація про місце народження, інформація про сімейний стан, інформація про освіту, інформація про місце проживання особи тощо. Тобто не потрібно завалювати ДСЗПД листами з вимогою внести зміни про склад персональних даних щоразу, коли у вас у базі персональних даних змінюється інформація про ту чи іншу особу, або з’являється інформація про особу, якої раніше не було в базі персональних даних. Бити на сполох слід тоді, коли ви вирішили, що, крім відомостей про прізвище, ім’я, по батькові, про місце народження та місце проживання, вам також знадобилася інформація про освіту. Саме про те, що віднині ви оброблятимете інформацію про створення фізичних осіб у конкретній базі даних, вам і слід повідомляти ДСЗПД. По-друге, не слід забувати повідомити ДСЗПД про те, що змінилася ваша юридична адреса, або ваш офіс переїхав і віднині база персональних даних перебуває за іншою адресою. Так, ДСЗПД було виявлено такі порушення: не була інформована ДСЗПД про зміну місцезнаходження бази персональних даних, а також про зміну відомостей про розпорядників бази персональних даних.
ОБРОБКА ПЕРСОНАЛЬНИХ ДАНИХ ОСОБАМИ, ЯКІ НЕ МАЮТЬ НА ЦЕ НЕОБХІДНИХ ПОВНОВАЖЕНЬ
Частина 3 ст. 10 Закону № 2297 установлює, що використання персональних даних працівниками суб’єктів відносин, пов’язаних з персональними даними, має здійснюватися тільки тими особами, до чиїх професійних, службових або трудових обов’язків належить обробка персональних даних. На практиці це означає, що на підприємстві (в установі, організації) обробку персональних даних можуть здійснювати тільки ті особи, у яких посадовою інструкцією або іншими внутрішніми документами визначено обов’язок здійснення обробки персональних даних. Ті особи, для яких жодними внутрішніми документами не передбачено здійснення обробки персональних даних, не повинні мати доступу до цих даних. Більше того, особи, які здійснюють обробку персональних даних, повинні написати зобов’язання про нерозголошення персональних даних фізичних осіб, які стали відомі їм у зв’язку з виконанням ними своїх службових або посадових обов’язків. Що ж робити? — запитаєте ви. По-перше, упорядкувати посадові інструкції та інші внутрішні документи, якими визначаються обов’язки працівника щодо обробки персональних даних. По-друге, взяти за правило регулярно переглядати ці посадові інструкції або інші документи при зміні в організації праці, наприклад, коли у вас змінюється штатна структура, або перерозподіляються обов’язки між різними категоріями працівників. Більше того, зверніть увагу, що працівників, які здійснюють обробку персональних даних, слід ознайомити під підпис із документом (наприклад, посадовою інструкцією), яким на нього покладається обов’язок щодо обробки персональних даних. У цьому випадку керівник підприємства, установи, організації знімає із себе відповідальність за порушення законодавства у сфері захисту персональних даних, які сталися з вини працівника, і відповідати в цьому випадку доведеться самому працівнику. Якщо ж працівник не ознайомлений із таким документом, відповідальність за порушення законодавства про захист персональних даних буде покладено на керівника підприємства, установи, організації.
НЕПРАВИЛЬНЕ ОФОРМЛЕННЯ ВІДНОСИН МІЖ ВЛАСНИКАМИ ТА РОЗПОРЯДНИКАМИ ПЕРСОНАЛЬНИХ ДАНИХ
Не менше виявлено порушень норм, визначених ч. 4 і 5 ст. 4 Закону № 2297, що стосуються обробки персональних даних розпорядниками персональних даних. Нагадаємо, що відповідно до ч. 4 ст. 4 Закону № 2297 власник персональних даних може доручити обробку персональних даних розпоряднику персональних даних відповідно до договору, укладеного в письмовій формі . Згідно з ч. 5 ст. 4 Закону № 2297 розпорядник персональних даних може обробляти персональні дані тільки з метою та в обсязі, визначених у договорі.
У багатьох випадках обробка персональних даних здійснюється розпорядниками без укладення договору між власником і розпорядником персональних даних, що є безумовним порушенням Закону № 2297, адже фактично в цьому випадку розпорядник узагалі не має права на обробку персональних даних власника персональних даних. Адже таке право виникає з моменту укладення письмового договору між власником і розпорядником персональних даних.
Іншим виявленим порушенням було те, що розпорядники персональних даних здійснювали обробку персональних даних в обсязі, що перевищує обсяг, наданий розпоряднику власником персональних даних, або з метою, що не відповідала меті обробки персональних даних власника персональних даних.
НЕПОВІДОМЛЕННЯ СУБ’ЄКТА ПЕРСОНАЛЬНИХ ДАНИХ ПРО ОБРОБКУ ЙОГО ДАНИХ
Частиною 2 ст. 12 Закону № 2297 визначається, що в момент збору персональних даних або протягом 10 робочих днів із дня збору персональних даних суб’єкт персональних даних має бути повідомлений про:
— власника персональних даних;
— склад зібраних персональних даних;
— зміст зібраних персональних даних;
— права суб’єкта персональних даних, визначені Законом № 2297;
— ціль збору персональних даних;
— осіб, яким передаються його персональні дані.
Як показала практика проведених перевірок, мали місце неповідомлення або несвоєчасне повідомлення суб’єктів персональних даних про обробку їх даних. У деяких суб’єктів перевірок таке повідомлення не містило необхідну інформацію, зазначену вище.
ДОСТУП ДО ПЕРСОНАЛЬНИХ ДАНИХ ТРЕТІХ ОСІБ
Частиною 4 ст. 16 Закону № 2297 установлюється, що при передачі персональних даних третім особам у запитах третіх осіб мають зазначатися:
| 1 | прізвище, ім’я та по батькові, місце проживання (місце перебування) і реквізити документа, що засвідчує фізичну особу, яка подає запит (для фізичної особи — заявника) |
| 2 | найменування, місцезнаходження юридичної особи, яка подає запит, посада, прізвище, ім’я та по батькові особи, яка засвідчує запит; підтвердження того, що зміст запиту відповідає повноваженням юридичної особи (для юридичної особи — заявника) |
| 3 | прізвище, ім’я та по батькові, а також інші відомості, що дають можливість ідентифікувати фізичну особу, щодо якої робиться запит |
| 4 | відомості про базу персональних даних, за якою подається запит, або відомості про власника або розпорядника персональних даних |
| 5 | перелік запрошуваних персональних даних |
| 6 | мета і правові підстави для запиту |
Під час перевірок було встановлено, що деякі власники та розпорядники баз персональних даних здійснювали передачу персональних даних третім особам з порушенням ч. 4 ст. 16 Закону № 2297, а саме: без зазначення всієї необхідної інформації, що повинна міститися в запитах на доступ до персональних даних третіх осіб.
ПОРУШЕННЯ ТИПОВОГО ПОРЯДКУ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ
Крім порушень Закону № 2297, було виявлено і порушення Типового порядку № 3659/5. Так, у більшості суб’єктів перевірок було виявлено порушення вимог п. 1.8 Типового порядку, а саме:
| 1 | зазначена у свідоцтві про державну реєстрацію бази персональних даних (або в заяві про реєстрацію бази персональних даних, якщо таку заяву подано, а свідоцтво ще не отримано) та у внутрішніх документах мета обробки персональних даних відрізняється від мети, з якою власник (розпорядник) бази персональних даних здійснює обробку персональних даних |
| 2 | склад персональних даних у базі персональних даних значно відрізняється від складу персональних даних у базі персональних даних, зазначеного у свідоцтві про державну реєстрацію бази персональних даних (заяві про реєстрацію бази персональних даних) та у внутрішніх документах власника (розпорядника) |
| 3 | у внутрішніх документах, що встановлюють порядок обробки персональних даних, не визначено або тільки частково визначено порядок унесення, зміни, відновлення, використання, розповсюдження, знеособлення, знищення персональних даних у базах персональних даних |
| 4 | власниками (розпорядниками) персональних даних (юридичними особами) не визначені особи або структурний підрозділ, відповідальні за обробку та захист персональних даних |
| 5 | у внутрішніх документах, що встановлюють порядок обробки персональних даних, не визначено або визначено частково порядок захисту персональних даних, у тому числі від незаконної обробки та незаконного доступу до них |
| 6 | внутрішніми документами власників (розпорядників) персональних даних не визначено або частково визначено завдання, передбачені п. 1.9 Типового порядку № 3659/5, а саме: забезпечення ознайомлення працівників з вимогами законодавства про захист персональних даних; забезпечення організації обробки персональних даних відповідно до їх професійних, службових або трудових обов’язків; організація роботи з обробки запитів щодо доступу до персональних даних суб’єктів відносин, пов’язаних з обробкою персональних даних; забезпечення доступу суб’єктів персональних даних до власних персональних даних; інформування керівника про заходи, які необхідно прийняти для приведення складу персональних даних і процедур їх обробки у відповідність до закону; інформування керівника про порушення встановлених процедур з обробки персональних даних |
| 7 | не визначена процедура реєстрації результатів ідентифікації та аутентифікації працівників, дій з обробки персональних даних, результатів перевірки цілісності засобів захисту персональних даних |
| 8 | не забезпечено належний захист приміщень, у яких перебувають персональні дані, як в електронній формі, так і у формі картотек, наприклад, дверей у приміщеннях і шафах, сейфах не були обладнані замками |
Як показала практика проведених перевірок, внутрішні документи суб’єктів перевірок, що визначають порядок обробки персональних даних, часто просто дублюють Типовий порядок обробки, незважаючи на специфіку діяльності суб’єкта перевірки, і не в повному обсязі розкривають порядок обробки і захисту персональних даних. Такі документи вимагають перегляду та приведення у відповідність до законодавства про захист персональних даних.
ПРАКТИКА ПРИТЯГНЕННЯ ДО АДМІНІСТРАТИВНОЇ ВІДПОВІДАЛЬНОСТІ
За 6 місяців здійснення контрольних заходів за результатами проведених перевірок було складено 30 розпоряджень про усунення порушення вимог законодавства у сфері захисту персональних даних, виявлених під час перевірки. Суб’єктами перевірки вимоги розпоряджень виконано в повному обсязі.
Також за результатами проведених перевірок у 2013 році було складено два протоколи про адміністративні правопорушення, передбачені частинами 1 (неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних про його права у зв’язку зі включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються) і 2 (неповідомлення або несвоєчасне повідомлення спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних про зміну відомостей, які подаються для державної реєстрації бази персональних даних) ст. 18839 Кодексу України про адміністративні правопорушення від 07.12.84 р. № 8073-Х, а матеріали справ передано до суду.
НЕДОВГО МУЗИКА ГРАЛА…
Пройшло лише трохи більше трьох років з моменту ухвалення Закону № 2297, а його вже вкотре кардинально змінюють. Але останній законопроект № 2836, прийнятий ВРУ 14.05.13 р., не просто змінює Закон № 2297, а фактично знищує всю систему захисту персональних даних, яку намагалися створити протягом трьох останніх років. Що ж такого особливого передбачається цим законопроектом?
По-перше, ліквідація ДСЗПД і передача її функцій Уповноваженому ВРУ з прав людини (далі — Омбудсмен). Тут зазначимо, що законопроектом № 2836 на Омбудсмена покладаються не властиві йому повноваження у сфері виконавчої влади, чим фактично створюються передумови для його включення до системи відповідних центральних органів виконавчої влади, відповідальних за формування та реалізацію державної політики у сфері персональних даних, що не узгоджується з природою інституту Омбудсменів, головне функціональне призначення якого полягає у здійсненні контролю за діяльністю саме органів виконавчої влади, що, звісна річ, унеможливлює покладання на нього функцій органів виконавчої влади, зокрема, контрольної.
Зважаючи на те, що функція контролю за додержанням законодавства про захист персональних даних все одно буде лише невеличким доповненням до основних функцій Омбудсмена, спрямовувати свою діяльність на виконання цієї функції Омбудсмен навряд чи буде, скоріш за все з перевірками будуть приходити лише у випадку, коли до Омбудсмена надійде скарга на конкретного володільця або розпорядника персональних даних. З іншого боку, на початку цього року Омбудсменом було затверджене Положення про регіональні представництва Уповноваженого ВРУ з прав людини, і на його основі вже діють регіональні представництва в АРК, у Львівській та Дніпропетровській областях. Можливо, Омбудсмен розширить мережу своїх регіональних представництв, життя покаже.
По-друге, скасування необхідності реєстрації баз персональних даних та знищення діючого Державного реєстру баз персональних даних. Натомість володілець персональних даних має повідомляти Омбудсмена про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, упродовж 30 робочих днів з дня початку такої обробки. Тобто відтепер не буде прив’язки до так званих уразливих чи невразливих категорій персональних даних, а буде прив’язка до видів обробки персональних даних. Види обробки персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, та категорії суб’єктів, на яких поширюється вимога щодо повідомлення, визначить Омбудсмен. Скоріш за все, документ, яким визначатимуться види обробки персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, та категорії суб’єктів, на яких поширюватиметься вимога щодо повідомлення, буде затверджений на початку січня 2014 року, як тільки функції із захисту персональних даних перейдуть від ДСЗПД до Омбудсмена.
Окрім цього, Омбудсмен повинен визначити форму повідомлення про обробку персональних даних та порядок подання повідомлення про обробку персональних даних.
Повідомляти Омбудсмена потрібно буде про кожну зміну відомостей, що підлягатимуть повідомленню, упродовж 10 робочих днів з дня настання такої зміни.
Інформація, що повідомлятиметься, буде розміщуватись на офіційному веб-сайті Омбудсмена у визначеному ним порядку.
По-третє, змінено відповідальність за порушення вимог Закону № 2297. Зокрема, відсутня відповідальність за неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних про його права у зв’язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються. Звичайно, що оскільки взагалі втрачається поняття «база персональних даних», то і повідомлення суб’єкта персональних даних про включення його даних до бази персональних даних втрачає свій сенс.
Найтяжчим правопорушенням у сфері захисту персональних даних, як і раніше, залишиться недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних, що призвело до незаконного доступу до них та/або порушення прав суб’єкта персональних даних. І тут варто зауважити, що законопроектом № 2836 передбачається, що Омбудсменом буде затверджений новий типовий порядок обробки персональних даних. Чи буде він суттєво відрізнятися від порядку, що діє наразі, покаже час. Але свої внутрішні документи з обробки персональних даних доведеться перероблювати, це факт.
Притягати до адміністративної відповідальності та накладати адміністративне стягнення зможуть працівники секретаріату Омбудсмена в порядку, визначеному Омбудсменом.
Законопроектом № 2836 передбачено ще багато інших нововведень у сфері захисту персональних даних, проте порівняно з тим, які ми щойно розглянули, вони є менш суттєвими і кардинально не змінюють порядку обробки персональних даних.
Наразі законопроект знаходиться на підписі у Президента України, але зважаючи на кількість народних депутатів, які проголосували за його прийняття (348 осіб), сумнівів у тому, що Голова Держави його підпише, немає. У разі підписання законопроекту Президентом України він набуде чинності з 01.01.14 р. Так що чинна наразі редакція Закону № 2297 буде діяти ще майже півроку, а тому не поспішайте щось змінювати у своїй діяльності, адже до 01.01.14 р. ДСЗПД продовжує виконувати свої функції (в тому числі і контрольні), зокрема:
— реєструє бази персональних даних;
— здійснює повноваження щодо контролю за додержанням вимог законодавства про захист персональних даних шляхом проведення виїзних та безвиїзних перевірок володільців (розпорядників) персональних даних;
— розглядає звернення та скарги фізичних та юридичних осіб.
Та й слід пам’ятати, що до набуття законопроектом чинності його ще можуть змінити або й узагалі скасувати.
ВИКОРИСТАНІ НОРМАТИВНІ ДОКУМЕНТИ ТА СКОРОЧЕННЯ
Закон № 3454 — Закон України «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» від 02.06.2011 р. № 3454-VI.
Закон № 2297 — Закон України «Про захист персональних даних» від 01.06.2010 р. № 2297-VI.
Закон № 1875 — Закон України «Про житлово-комунальні послуги» від 24.06.2004 р. № 1875-IV.
Положення № 390/2011 — Положення про Державну службу України з питань захисту персональних даних, затверджене Указом Президента України від 06.04.2011 р. № 390/2011.
Типовий порядок № 3659/5 — Типовий порядок обробки персональних даних у базах персональних даних, затверджений наказом Мін’юсту від 30.12.2011 р. № 3659/5.
ДСЗПД — Державна служба України з питань захисту персональних даних.
ВРУ — Верховна Рада України.
