Бази персональних даних: що робити підприємцям, щоб не потрапити під штраф
Цікаво, що останнім часом люди все більше прагнуть поділитися інформацією про себе з оточуючими, наприклад, за допомогою різних соцмереж.
Проте норми міжнародного законодавства вимагають абсолютно іншого — конфіденційності. І у зв'язку з тим, що Україна намагається інтегруватися у світову спільноту, своє законодавство вона активно «підпасовує» під європейське.
Наприклад, з 1 січня 2011 року набув чинності Закон України «Про захист баз даних», який зобов'язав усіх суб'єктів, що акумулюють у себе дані про фізосіб, не розголошувати їх і повідомляти про них у спеціальний держорган — Державну службу України з питань захисту персональних даних (далі — ДСЗПД).
Підприємці також входять до числа суб'єктів, зобов'язаних «оберігати» персональні дані, а отже, їм доведеться виконувати низку вимог, про які йтиметься в цій статті. Тим паче що з 1 січня 2012 року за невиконання вимог щодо захисту баз персональних даних загрожують досить значні штрафні санкції.
Оксана ПІРОЖЕНКО, консультант газети «Власне Діло»
Документи статті
КЗпП — Кодекс законів про працю України від 10.12.71 р.
КУпАП — Кодекс України про адміністративні правопорушення від 07.12.84 р. № 8073-Х.
ККУ — Кримінальний кодекс України від 05.04.2001 р. № 2341-III.
Закон № 2297 — Закон України «Про захист персональних даних» від 01.06.2010 р. № 2297-VI.
Положення № 616 — Положення про Державний реєстр баз персональних даних та порядок його ведення, затверджене постановою Кабінету Міністрів України від 25.05.2011 р. № 616.
Наказ № 1824 — наказ Міністерства юстиції України «Про затвердження форм заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних і порядку їх надання» від 08.07.2011 р. № 1824/5.
Про що йтиметься
Перш за все у загальних рисах проінформуємо наших читачів. Так, з 1 січня 2011 року набув чинності Закон № 2297, який наказує суб'єктам господарювання, у тому числі підприємцям, «оберігати» дані, отримані від фізосіб, та інформувати спеціальний держорган про обробку таких відомостей.
Крім того, особи, чиї дані потрапили до «чужих рук» після 01.01.2011 р. (неважливо, установлено це законодавством чи ні), мають бути повідомлені про цей факт і його мету.
Оскільки, як це часто буває, підзаконні акти у сфері захисту даних з'явилися лише влітку (процедура інформування стартувала з 1 липня 2011 року), та й загроза покарання за невиконання вимог над підприємцями не висіла, то ніхто й не поспішав дотримуватися Закону № 2297.
Тепер же ситуація докорінно змінилася. Так, КУпАП та ККУ з 01.01.2012 р. за порушення норм Закону № 2297 передбачено адміністративну і навіть кримінальну відповідальність, ще й у чималих розмірах, а тому підприємці повинні чітко виконувати норми «захисту баз даних».
Далі поговоримо про все по черзі.
Що таке бази персональних даних?
У статті 2 Закону № 2297 наведено визначення ключових понять, від яких слід відштовхуватися. Так, персональні дані розшифровуються як відомості або сукупність відомостей про фізичну особу, яку ідентифіковано або може бути конкретно ідентифіковано.
Простіше кажучи, це всі ті відомості, які підприємець отримує від фізичних осіб, з якими має справу під час своєї діяльності, у тому числі й ті, які він зобов'язаний отримати за законодавством у вигляді документів або їх копій (джерел даних).
Сукупність упорядкованих за певною ознакою персональних даних в електронній формі та/або у формі картотек і буде базою персональних даних.
У розумінні Закону № 2297 підприємець, який працює з фізособами, є власником бази персональних даних, а фізособи — її суб'єктами.
Використання даних фізосіб у розумінні Закону № 2297 позначено терміном «обробка персональних даних»: будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов'язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу.
Також Законом № 2297 передбачено, що власник бази персональних даних може доручити обробку персональних даних розпоряднику бази персональних даних відповідно до договору у письмовій формі.
Наведемо приклади отримання персональних даних.
| Приклад 1. Під час укладення і реєстрації трудового договору (прийняття на роботу) фізособа надає роботодавцю та до центру зайнятості паспорт, трудову книжку, якщо у працівника вона заповнена на попередніх місцях роботи (крім працевлаштування за сумісництвом), довідку ДПІ про присвоєння ІПН (за наявності). Копії паспорта і довідки залишаються у роботодавця. Також згідно зі статтею 24 КЗпП роботодавцю було надано документ про освіту (спеціальність, кваліфікацію), про стан здоров'я, автобіографію тощо. |
|
|
| Приклад 2. Під час укладення ЦП-договору, у тому числі для необкладення підрядника — підприємця на єдиному податку ПДФО та ЄСВ, підприємець-замовник отримав від нього копії паспортних даних, довідки ДПІ про присвоєння ІПН, Свідоцтва єдиноподатника та витягу з держреєстру. |
До бази персональних даних можна також віднести будь-який упорядкований список, де б зазначалися дані з кваліфікаційних чи інших документів працівників, номерів телефонів, список постачальників (фізосіб), клієнтів тощо. Виходить, що під бази даних, які «захищаються», потрапляють будь-які відомості про працівників: про вік, дату й місце народження, місце проживання, ІПН, соціальний статус, пільги (одинокі матері, чорнобильці тощо).
Згідно з Міжнародною конвенцією про захист осіб у зв'язку з автоматизованою обробкою персональних даних термін «персональні дані» означає будь-яку інформацію, що стосується конкретно певної особи або особи, яку може бути конкретно визначено довідка 1.
На практиці будь-які відомості про конкретну фізичну особу можна повною мірою вважати персональними даними.
Додамо, що за рекомендаціями ДСЗПД до них належить і звітність, що обробляється роботодавцем. Але, очевидно, реєструвати такі бази повинні будуть органи, до яких вона подається.
Як створюються бази даних у підприємця
Як правило, усі відомості про працівників систематизуються в кадровій документації, але, як відомо, підприємці-роботодавці не зобов'язані її вести.
Оскільки тепер обов'язковою стала реєстрація баз даних, підприємцям усе ж доведеться завести довільний кадровий документооборот (систематизувати бази даних).
На наш погляд, підприємці можуть обмежитися описом документів (відомостей), отриманих від працівника або сторонньої фізособи, та заповненням на кожного особистої картки (за зразок можна взяти затверджену кадрову форму № П-2 довідка 2).
Крім того, рекомендується розробити (оформити):
— організаційні документи, наприклад, наказ (розпорядження) про створення бази персональних даних, наказ (розпорядження) про призначення відповідальної особи, угоду про нерозголошення конфіденційної інформації тощо;
— внутрішній документ (положення), яким регламентуються цілі створення бази персональних даних та основні правила щодо її створення.
Так, типові цілі обробки персональних даних наведено в проекті Типового порядку обробки персональних даних у базах персональних даних, серед яких, зокрема, визначено такі, як забезпечення реалізації:
— трудових відносин;
— адміністративно-правових (у тому числі відносин у сфері державного управління), податкових відносин та відносин у сфері бухгалтерського обліку.
Повідомляємо і отримуємо згоду на обробку
Зверніть увагу, що обробка персональних даних, тобто їх використання, проводиться лише з відома працівників відповідно до сформульованої мети їх обробки (стаття 2 Закону № 2297).
У проекті Типового порядку обробки персональних даних у базах персональних даних зазначено, що формами надання згоди суб'єкта персональних даних є:
— документ на паперовому носії з реквізитами, що дає можливість ідентифікувати цей документ і фізичну особу, наприклад, заява. Добровільне волевиявлення суб'єкта персональних даних засвідчується його підписом;
— електронний документ, уключаючи обов'язкові реквізити документа, що надають можливість ідентифікувати цей документ та фізичну особу. Добровільне волевиявлення фізичної особи про надання дозволу на обробку її персональних даних засвідчується електронним підписом суб'єкта персональних даних;
— відмітка на електронній сторінці документа або в електронному файлі, що обробляється в інформаційній системі на підставі документованих програмно-технічних рішень.
У той же час таку письмову згоду на обробку персональних даних потрібно отримати від кожного працівника (фізособи), зарахованого у штат після 01.01.2011 р. Тобто щодо працівників, зарахованих у штат до 01.01.2011 р. (до набуття чинності Законом № 2297), обробка інформації (персональних даних) може й далі здійснюватися без повторного отримання згоди від них (відповідь на сайті ДСЗПД за адресою http://zpd.gov.ua/indexDovidkaInfo.html).
Проте така згода буде потрібна, якщо зміниться, наприклад, мета використання даних або почнуть збиратися нові дані (наприклад, почнуть відстежувати інтернет-трафік працівника, його телефонні переговори тощо).
ФОП Петренку П. П.
продавця Сидоренка С. С.
заява .
Згідно із Законом України «Про захист персональних даних» даю згоду на обробку моїх персональних даних з первинних джерел (у тому числі паспортні дані, відомості з виданих на моє ім'я документів (про освіту, сімейний стан, склад сім'ї тощо), відомостей, які надаю про себе) з метою забезпечення реалізації трудових, адміністративно-правових та податкових відносин.
| 17.11.2011 р. | Сидоренко С. С. |
Відповідно до статті 12 Закону № 2297 суб'єкт персональних даних протягом 10 робочих днів з дня включення його персональних даних до бази персональних даних повідомляється про його права, мету збору даних та осіб, яким передаються його персональні дані, виключно в письмовій формі.
ФОП Петренко П. П.
Повідомлення продавцю Сидоренку С. С. згідно із Законом України
«Про захист персональних даних»
Ваші персональні дані, згоду на обробку яких надано в заяві від 17 листопада 2011 року, включені до бази персональних даних ФОП Петренка П. П., що містить особисту картку і відомості у програмі «ПП».
Обробка персональних даних здійснюється для реалізації трудових та податкових відносин.
Відповідно до статті 8 Закону України «Про захист персональних даних» у Вас є право:
1) знати про місцезнаходження бази персональних даних, її призначення та найменування, місцезнаходження володільця чи розпорядника цієї бази;
2) отримувати інформацію про умови надання доступу до персональних даних, зокрема третім особам;
3) на доступ до своїх персональних даних;
4) отримувати не пізніш як за 30 календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи зберігаються Ваші персональні дані у відповідній базі персональних даних, а також отримувати зміст Ваших персональних даних, які зберігаються;
5) пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником цієї бази, якщо ці дані обробляються незаконно чи є недостовірними;
6) на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
7) звертатися з питань захисту своїх прав щодо персональних даних до органів державної влади, органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних;
8) застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних.
| ФОП Петренко П. П. | |
| Сидоренко С. С. ознайомлений | 25 листопада 2011 р. |
Реєстрація баз персональних даних
Тепер поговоримо про обов'язкову процедуру, недотримання якої може загрожувати підприємцям штрафними санкціями. Так, згідно зі статтею 9 Закону № 2297 бази персональних даних підлягають державній реєстрації шляхом унесення ДСЗПД відповідного запису до Державного реєстру баз персональних даних (Положення № 616).
Причому передавати (реєструвати) самі дані (всі відомості) не потрібно. Фактично передаються тільки загальні дані про базу (картотеку), зокрема інформація про мету збору інформації, передбачувану кількість осіб, які надали (або можуть надати в майбутньому) таку інформацію, яким чином персональна інформація зберігатиметься, чи може вона передаватися третім особам тощо. Тобто реєструється не вміст бази (не самі персональні дані), а інформація про цю базу.
Державній реєстрації підлягають усі бази персональних даних в електронному вигляді та в картотеках, в яких обробляються персональні дані, незалежно від обсягу і форми їх використання, виду діяльності (про працівників, контрагентів-фізосіб тощо). При цьому по кожній базі даних, що є у власності заявника, подається окрема заява.
Зареєструвати базу персональних даних можна як особисто, так і через представника (до заяви в паперовій формі просять додавати електронну копію) за адресою: 02660, м. Київ, вул. М. Раскової, 15, каб. 1205, тел. (044) 517-81-68. Також можна надіслати рекомендований лист з описом вкладнення або електронний документ з електронним цифровим підписом (ЕЦП) на електронну пошту ДСЗПД e-mail: register@zpd.gov.ua. Проте зробити це можуть лише ті підприємці, які є клієнтами акредитованих центрів сертифікації ключів (їх список наведено на сайті ДСЗПД http://zpd.gov.ua/indexServices.html).
Альтернативним варіантом є реєстрація баз даних через Інтернет на офіційному сайті ДСЗПД https://rbpd.informjust.ua з ЕЦП.
Заява на реєстрацію бази подається українською мовою, за формою, затвердженою наказом № 1824, і повинна, зокрема, містити інформацію про:
— власника бази персональних даних, для фізосіб: П. І. Б., ІПН, адреса місця проживання;
— найменування та місцезнаходження бази персональних даних;
— мету обробки персональних даних у базі персональних даних, сформульовану відповідно до вимог статей 6 та 7 Закону № 2297 (слід зазначати всі цілі, з якими використовується база персональних даних).
При заповненні заяв вибрана ознака зазначається символом «х». Дати в заявах заповнюються арабськими цифрами у форматі — день, місяць, рік.
Не пізніше наступного робочого дня після прийняття заяви ДСЗПД повідомляє дату і реєстраційний номер запису про заяву в реєстрі, а також дату, коли можна звернутися за свідоцтвом про реєстрацію. Рішення про реєстрацію або відмову приймається впродовж 10 робочих днів. Відмовити в реєстрації ДСЗПД може, якщо відомості в заяві неповні або недостовірні.
Відповідальність за порушення у сфері захисту даних
Зазначимо, що ДСЗПД наділена правом проводити планові та позапланові перевірки підприємств, організацій, фізичних осіб — підприємців і за їх результатами давати розпорядження щодо усунення порушень, а також накладати штрафні санкції на порушників.
З 1 січня 2012 року, як уже згадувалося, до порушників Закону № 2297 застосовуватимуться санкції як адміністративного, так і кримінального характеру. Наведемо їх у таблиці.
| Норма | Склад порушення | Санкція |
| Стаття 18839 КУпАП | Неповідомлення або несвоєчасне повідомлення суб'єкта персональних даних про його права у зв'язку з включенням його персональних даних до бази персональних даних, про мету збору цих даних і осіб, яким ці дані передаються | Штраф на громадян у розмірі 3400 — 5100 грн.; |
| Неповідомлення або несвоєчасне повідомлення спеціально уповноваженого центрального органу з питань захисту персональних даних про зміну відомостей, що подаються для державної реєстрації бази персональних даних | Штраф на громадян у розмірі 1700 — 3400 грн.; | |
| Повторне протягом року здійснення аналогічного порушення особою, що вже притягалася до адміністративної відповідальності | Штраф на громадян у розмірі 5100 — 8500 грн.; | |
| Ухилення від державної реєстрації бази персональних даних | Штраф на громадян у розмірі 5100 — 8500 грн.; | |
| Недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них | Штраф у розмірі 5100 — 17000 грн. | |
| Стаття 18840 КУпАП | Невиконання законних вимог посадових осіб спеціально уповноваженого центрального органу з питань захисту персональних даних щодо усунення порушень законодавства про захист персональних даних | Штраф на посадових осіб, громадян і суб'єктів підприємницької діяльності у розмірі 1700 — 3400 грн. |
| Стаття 182 ККУ | Незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації, крім випадків, передбачених іншими статтями ККУ | Штраф 8500 — 17000 грн., або виправні роботи на строк до 2 років, або арешт на строк до 6 місяців, або обмеження волі на строк до 3 років |
| Ті самі дії, вчинені повторно, або якщо вони заподіяли істотну шкоду охоронюваним законом правам, свободам | Арешт на строк від 3 до 6 місяців або обмеження волі на строк від 3 до 5 років, або позбавлення волі на той самий строк |
Довідкова інформація (довідка)
1 На сьогодні розроблено проект Типового порядку обробки персональних даних у базах персональних даних, яким конкретизовано персональні дані. До них, зокрема, належать:
— об'єктивні відомості про фізичну особу (біометричні дані, стан банківського рахунку тощо);
— суб'єктивні відомості про фізичну особу (автобіографія, характеристика, матеріали атестації, опис особистих якостей фізичної особи, досьє тощо);
— відомості, що містяться в первинних та інших джерелах про фізичну особу, тощо.
2 Типову форму первинного обліку № П-2 «Особова картка працівника» затверджено спільним наказом Державного комітету статистики України та Міністерства оборони України від 25.12.2009 р. № 495/656.
