База персональних даних — на захисті інтересів громадян

КЗпП — Кодекс законів про працю України від 10.12.71 р.

КУпАП — Кодекс України про адміністративні правопорушення від 07.12.84 р. № 8073-Х.

ККУ — Кримінальний кодекс України від 05.04.2001 р. № 2341-III.

Указ № 1085 — Указ Президента України «Про оптимізацію системи центральних органів виконавчої влади» від 09.12.2010 р. № 1085/2010.

Указ № 390 — Указ Президента України «Про Положення про Державну службу України з питань захисту персональних даних» від 06.04.2011 р. № 390/2011.

Закон № 2297 — Закон України «Про захист персональних даних» від 01.06.2010 р. № 2297-VI.

Закон № 3454 — Закон України «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» від 02.06.2011 р. № 3454-VI.

Положення № 616 — Положення про Державний реєстр баз персональних даних та порядок його ведення, затверджене постановою Кабінету Міністрів України від 25.05.2011 р. № 616.

Наказ № 1824 — наказ Міністерства юстиції України «Про затвердження форм заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних і порядку їх подання» від 08.07.2011 р. № 1824/5.

Наказ № 1823 — наказ Міністерства юстиції України «Про затвердження зразка свідоцтва про державну реєстрацію бази персональних даних» від 08.07.2011 р. № 1823/5.

Під час прийняття працівника на роботу роботодавець вправі вимагати від нього певні документи, які необхідні для його кадрового оформлення. Як зазначено у ст. 24 КЗпП, при укладенні трудового договору особа зобов'язана подати паспорт або інший документ, що посвідчує особу, трудову книжку, а у випадках, передбачених законодавством, — також документ про освіту (спеціальність, кваліфікацію), про стан здоров'я та інші документи.

Серед інших документів, які додаються до особової справи працівника, зокрема, можна відзначити автобіографії, рекомендації та характеристики з попередніх місць роботи. Крім того, досить часто при зарахуванні працівника до підприємства, організації (установи) роботодавець пропонує заповнити анкету, в якій можуть міститися дані, що стосуються особисто працівника та мають закритий, приватний характер. Такі відомості, як правило, прираховують до приватної інформації про працівника.

Донедавна така інформація накопичувалася у відділі кадрів того чи іншого підприємства, організації та установи й не містила заборону на її розповсюдження, крім етичних міркувань самих роботодавців. Однак у минулому році було прийнято Закон № 2297, з набуттям чинності яким з 1 січня 2011 року інформація про персональні дані працівників стала захищеною з боку роботодавця.

Відтак, як вказано у ст. 2 Закону № 2297, персональні дані — це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Отже, відтепер дані про працівника (наприклад, статус одинокої матері, політична належність, досвід роботи тощо) стають захищеною інформацією, яка не розповсюджується без згоди на це працівника.

На сьогодні розроблено проект Типового порядку обробки персональних даних у базах персональних даних, яким конкретизовано персональні дані. Так, до них, зокрема, належать:

— об’єктивні відомості про фізичну особу (біометричні дані, стан банківського рахунка тощо);

— суб’єктивні відомості про фізичну особу (автобіографія, характеристика, матеріали атестації, опис особистих якостей фізичної особи, досьє тощо);

— відомості, що містяться в первинних та інших джерелах про фізичну особу тощо.

До речі, як вказано у ст. 5 Закону № 2297, персональні дані фізичної особи, яка претендує зайняти чи займає виборну посаду (у представницьких органах) або посаду державного службовця першої категорії, не належать до інформації з обмеженим доступом, за винятком інформації, яка визначена такою відповідно до закону.

Акумулюється така кадрова інформація у базі персональних даних, яка являє собою іменовану сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних.

Насправді бази персональних даних уже існують на підприємствах, в організаціях (установах) у вигляді зведених даних щодо працівників (наприклад, особових справ). Накопичення інформації в особових справах працівників, як правило, відбувається на підставі даних, що містяться в особових картках. Типова форма первинного обліку № П-2 «Особова картка працівника» затверджена спільним наказом Державного комітету статистики України та Міністерства оборони України від 25.12.2009 р. № 495/656 . У системі державної служби особові справи ведуться за формою первинного обліку № П-2ДС, затвердженою наказом Міністерства статистики України від 26.12.95 р. № 343.

Також рекомендується розглядати кадрову документацію та статистичну, податкову й іншу звітність в електронній формі та/або у формі картотек, яка складається роботодавцем та містить персональні дані працівників, як базу персональних даних чи її складову частину.

Відтепер законодавець, переймаючи досвід країн Європейського Союзу, вимагає ще й реєстрацію такої інформації, згрупованої у базі персональних даних. При чому у ст. 4 Закону № 2297 наголошено, що такі бази даних створюються всіма підприємствами, організаціями та установами незалежно від форми власності, а також органами державної влади та місцевого самоврядування.

Для реєстрації баз персональних даних та координації діяльності з їх утворення Указом № 1085 було створено Державну службу України з питань захисту персональних даних (офіційний сайт: www.zpd.gov.ua), що є центральним органом виконавчої влади, діяльність якої спрямовується і координується Кабінетом Міністрів України через Міністра юстиції України. Положення про діяльність вказаної служби затверджено Указом № 390.

У ст. 9 Закону № 2297 вказано, що база персональних даних підлягає державній реєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних (далі — ДРБПД).

ДРБПД — це єдина державна інформаційна система збору, накопичення та обробки відомостей про зареєстровані бази персональних даних. Кабінетом Міністрів України затверджено Положення № 616, на підставі якого здійснюється ведення ДРБПД.

У таблиці на с. 19 наведемо корисність від реєстрації бази персональних даних для різних учасників цього процесу.

Звертаємо увагу, що реєстрація баз персональних даних розпочалася з 1 липня 2011 року. При цьому, як вказано на офіційному сайті Державної служби України з питань захисту персональних даних (www.zpd.gov.ua), державній реєстрації підлягають усі бази персональних даних в електронному вигляді та/або в картотеках, в яких обробляються персональні дані, незалежно від обсягу та форми їх застосування, виду діяльності.

Однак процедурі реєстрації передує досить кропітка робота, пов'язана з обробкою персональних даних та дотриманням певних правил у «дореєстраційний період».

Формування мети створення бази персональних даних. Початковим етапом розробки бази персональних даних є певні дії щодо її створення або обробки персональних даних. Як вказано у ст. 2 Закону № 2297, обробка персональних даних — будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов'язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу.

Не менш важливим на етапі розробки бази персональним даних є формулювання мети щодо її створення та подальшого використання. Так, типові цілі обробки персональних даних наведені у проекті Типового порядку обробки персональних даних у базах персональних даних, серед яких, зокрема, визначено такі, як забезпечення реалізації:

— трудових відносин;

— адміністративно-правових (у тому числі, відносин у сфері державного управління), податкових відносин та відносин у сфері бухгалтерського обліку.

Відповідно до ст. 6 Закону № 2297 мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця (роботодавця) бази персональних даних, та відповідати законодавству про захист персональних даних. Фахівці кадрових служб рекомендують розробити внутрішній документ (положення), яким регламентуються цілі створення бази персональних даних та основні правила щодо її створення.

Отримання згоди працівників. Обробка персональних даних провадиться за згодою працівників, інформація про яких накопичується у відповідних базах. При цьому згода суб'єкта персональних даних — будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки (ст. 2 Закону № 2297).

У проекті Типового порядку обробки персональних даних у базах персональних даних вказано, що формами надання згоди суб’єкта персональних даних є:

— документ на паперовому носії з реквізитами, що дає змогу ідентифікувати цей документ та фізичну особу. Наприклад, це може бути заява, в якій зазначається: «Даю згоду на обробку моїх персональних даних з метою забезпечення реалізації трудових відносин (можуть бути вказані й інші цілі обробки бази персональних даних, однак вони повинні відповідати меті створення такої бази)». Добровільне волевиявлення суб’єкта персональних даних засвідчується його підписом;

— електронний документ, включаючи обов’язкові реквізити документа, що дають змогу ідентифікувати цей документ та фізичну особу. Добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних засвідчується електронним підписом суб’єкта персональних даних;

— відмітка на електронній сторінці документа чи в електронному файлі, що обробляється в інформаційній системі на основі документованих програмно-технічних рішень.

Однак за інформацією, розміщеною на офіційному сайті Державної служби України з питань захисту персональних даних, згода працівників на обробку їх персональних даних не потрібна , якщо вони прийняті до 1 січня 2011 року.

Звертаємо увагу, що відповідно до ст. 12 Закону № 2297 суб'єкт персональних даних протягом 10 робочих днів з дня включення його персональних даних до бази персональних даних повідомляється про його права, мету збору даних та осіб, яким передаються його персональні дані, виключно в письмовій формі.

Для реєстрації бази персональних даних уповноваженому державному органу з питань захисту персональних даних подається заява. Форму заяви про реєстрацію бази персональних даних затверджено наказом № 1824.

Як вказано у п. 7 Положення № 616, заява, зокрема, повинна містити інформацію про:

— володільця бази персональних даних:

— найменування і місцезнаходження бази персональних даних;

— мету обробки персональних даних у базі персональних даних з посиланням на нормативно-правові акти, положення, установчі чи інші документи, які регулюють діяльність володільця бази персональних даних, у тому числі про їх категорії та правові підстави такої обробки;

— розпорядників баз персональних даних.

Заяви заповнюються та подаються в паперовій або електронній формі. У разі подання заяв у паперовій формі заявник підписує кожну сторінку заяви та скріплює її печаткою (за наявності). В електронній формі заяви подаються відповідно до вимог законів України «Про електронний цифровий підпис» від 22.05.2003 р. № 852-IV та «Про електронні документи та електронний документообіг» від 22.05.2003 р. № 851-IV.

Заяви у формі електронного документа надсилаються на електронну пошту register@zpd.gov.ua. Заяви в електронному вигляді також можна створювати та подавати за допомогою сайта Державної служби України з питань захисту персональних даних, де переходячи на посилання https://rbpd.informjust.ua можна заповнити вже наведену форму заяви.

У п. 10 Положення № 616 зазначено, що Державна служба України з питань захисту персональних даних повідомляє заявника не пізніше наступного робочого дня з дня надходження заяви про її отримання. Протягом 10 робочих днів з дня надходження відповідної заяви нею приймається рішення про реєстрацію бази персональних даних шляхом видання її володільцю свідоцтва про державну реєстрацію бази персональних даних чи повідомлення про відмову в реєстрації, про що вносить запис до ДРБПД. Зразок свідоцтва про державну реєстрацію бази персональних даних затверджено наказом № 1823.

Запис у ДРБПД про базу персональних даних містить:

— інформацію, передбачену у заяві;

— реєстраційний номер запису в ДРБПД;

— дату та час здійснення запису (змін до нього) в ДРБПД;

— прізвище, ім'я та по батькові реєстратора, який здійснив запис (зміни до нього);

— відомості про видане свідоцтво про державну реєстрацію;

— відомості про внесення змін.

До речі, про кожну зміну вищезазначених відомостей, не пізніш як протягом 10 робочих днів з дня настання такої зміни, володілець бази персональних даних зобов'язаний повідомляти уповноважений державний орган з питань захисту персональних даних шляхом подання заяви про внесення змін до відомостей ДРБПД, форму якої затверджено наказом № 1824. Правила подання такої заяви аналогічні особливостям подання заяви про реєстрацію бази персональних даних. Прикладами таких змін можуть бути: зміна інформації про власника бази персональних даних, мети її створення, зміни самих персональних даних.

Державна служба України з питань захисту персональних даних протягом 10 робочих днів з дня надходження повідомлення про зміну відомостей, необхідних для реєстрації відповідної бази, повинна прийняти рішення про зазначену зміни та повідомити про це володільця бази персональних даних (ст. 9 Закону № 2297).

При цьому, як зазначено у ст. 6 Закону № 2297, у разі зміни визначеної мети обробки персональних даних працівником має бути надано згоду на обробку його даних відповідно до зміненої мети.

З метою посилення відповідальності за нестворення баз персональних даних або їх незаконне розповсюдження прийнято Закон № 3454, яким вносяться зміни до КУпАП та ККУ.

Так, згідно з доповненими ст. 188³⁹ і 188⁴⁰ КУпАП передбачено відповідальність за:

— неповідомлення або несвоєчасне повідомлення суб'єкта персональних даних про його права у зв'язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються;

— неповідомлення або несвоєчасне повідомлення спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних про зміну відомостей, що подаються для державної реєстрації бази персональних даних;

— недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них;

— невиконання законних вимог посадових осіб спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних щодо усунення порушень законодавства про захист персональних даних.

Звертаємо увагу, що ухилення від державної реєстрації бази персональних даних тягне за собою накладення штрафу на громадян від 300 до 500 неоподатковуваних мінімумів доходів громадян (від 5100 до 8500 грн.) і на посадових осіб, громадян — суб'єктів підприємницької діяльності — від 500 до 1000 неоподатковуваних мінімумів доходів громадян (від 8500 до 17000 грн.).

Закон № 3454 набере чинності 1 січня 2012 року. До цієї дати відповідальності за нестворення бази персональних даних не передбачено. Отже, до 1 січня 2012 року всі підприємства, організації та установи повинні подбати про створення та реєстрацію вказаної бази.

Крім того, ст. 182 ККУ передбачено кримінальну відповідальність за незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконну зміну такої інформації.

Отже, підіб’ємо підсумки, що ж необхідно зробити працівникам кадрових служб при формуванні бази персональних даних:

— розробити внутрішнє положення організації, установи щодо регламентації створення й використання бази персональних даних. Цю вимогу законодавством не передбачено, але ми все ж таки рекомендуємо створити такий локальний акт;

— створити бази персональних даних на підставі кадрової документації. При цьому враховувати дані щодо всіх працівників, а отримати згоду в письмовій формі від тих, що були прийняті на роботу після 1 січня 2011 року. Як уже було вказано вище, така інформація міститься на офіційному сайті Державної служби України з питань захисту персональних даних, однак більшість фахівців рекомендує отримати згоду від усіх працівників;

— зареєструвати створену базу даних шляхом подання заяви про її реєстрацію до Державної служби України з питань захисту персональних даних.