Бази персональних даних у запитаннях і відповідях: продовжуємо обговорювати

Запитання

Відповідь (роз’яснення)

1

2

ЗАГАЛЬНІ ПИТАННЯ

В яких випадках підприємець повинен чи не повинен реєструвати БПД?

Реєстрація БПД пов’язана лише з персональними даними, які має підприємець про сторонніх фізичних осіб (як підприємців, так і звичайних громадян): працівників (кадрова документація), постачальників, пацієнтів тощо.

Зверніть увагу: навіть якщо підприємець не має найманих працівників, але він укладає договори з постачальниками — фізичними особами,
то йому потрібно зареєструвати БПД контрагентів.

Якщо у підприємця зазначені вище дані не накопичуються та не зберігаються, то подавати заяву та реєструвати БПД йому не потрібно. Не вважаються БПД відомості тільки про одного контрагента (лист Мін’юсту від 08.11.2011 р. № 17304-0-33-11/61).

Також не потрібно реєструвати БПД за даними, які підприємці збирають для себе в особисті довідники тощо.

Додамо, що в роз’ясненні Мін’юсту щодо застосування Закону № 2297 від 21.12.2011 р. (http://www.minjust.gov.ua/0/38266) зазначено, що підприємці самостійно визначають, чи володіють вони БПД у розумінні Закону № 2297.

При цьому, якщо керуватися цим роз’ясненням, то БПД вважається сукупність відомостей, які зберігаються та обробляються:
— відповідним програмним забезпеченням — БПД в електронній формі;
— на паперових носіях інформації — БПД у формі картотек.

Картотеки є саме впорядкованими даними, тобто коли їх згруповано за певними критеріями, наприклад за алфавітом.

Більшість підприємців не заводить впорядковані картотеки ні щодо працівників, ні щодо інших фізичних осіб.

Проте поки що не можна однозначно стверджувати, що реєструвати БПД їм не потрібно

Чи потрібно підприємцю реєструвати БПД на себе?

Ні. Підприємець реєструє та описує в заяві лише види відомостей
про сторонніх фізичних осіб.

Свої реквізити підприємець наводить в заяві, однак лише для того, щоб було зрозуміло, хто є власником БПД фізичних осіб (працівників тощо)

Чи вважаються БПД відомості про постачальників, покупців, підрядників (виконавців), які зазначені у ЦП-договорах?

На думку Мін’юсту (роз’яснення щодо застосування Закону № 2297 від 21.12.2011 р. (http://www.minjust.gov.ua/0/38266)), якщо підприємці укладають договори виконання робіт (підряду) або надання послуг з фізичними особами, то такі договори не є БПД і не підлягають реєстрації.

На наш погляд, коректнішим було б формулювання про те, що дані фізичних осіб у таких договорах не формують БПД. Однак підприємці можуть скористатися цим роз’ясненням і не реєструвати БПД щодо підрядників або виконавців за ЦП-договорами.

Оскільки щодо даних про постачальників і покупців за договорами купівлі-продажі Мін’юст свою думку не висловив, то БПД «Контрагенти» бажано зареєструвати

Підприємець працює з постачальниками — юридичними особами, чи потрібно реєструвати щодо них БПД?

БПД реєструються лише щодо відомостей, отриманих про фізичних осіб.

Якщо в договорах, укладених з юридичними особами, є дані про їх представників (директора, бухгалтера, довірених осіб тощо), то, ураховуючи положення Закону № 2297, вони повинні були дати згоду на передачу їх даних третім особам. Тому підприємцям не потрібно реєструвати щодо них БПД.

Утім, якщо підприємці, які працюють з великою кількістю юридичних осіб, не впевнені в тому, що таку згоду було надано, ми б рекомендували їм зареєструвати БПД представників юридичних осіб

Чи потрібно підприємцю зареєструвати БПД, якщо він придбаває товар на ринку (договір не укладає)?

Ні. Якщо під час купівлі товарів жодні дані (про продавців) не передаються підприємцю, то реєструвати БПД не потрібно

Хто такі розпорядники БПД,
чи є вони у підприємців?

Розпорядником БПД згідно зі статтею 2 Закону № 2297 може бути фізична або юридична особа, якій власником БПД або законом надано право обробляти ці дані.

Прикладом таких розпорядників є філії юридичних осіб. Вони розпоряджаються БПД працівників, а власником таких БПД виступає юридична особа.

У фізичних осіб — підприємців не буває аналогічних структурних підрозділів і з документообігом вони справляються самостійно, тому розпорядників БПД вони не мають

ВИДИ БПД

Для реєстрації БПД потрібно вести картотеки в алфавітному порядку чи можна просто складати документацію стосовно працівників, договорів тощо
до сейфа?

Вести картотеки, заповнювати всі обов’язкові форми кадрової документації тощо трудове законодавство підприємців не зобов’язало, аналогічних вимог немає і в Законі № 2297.

Проте вище ми говорили, що БПД — це впорядковані дані або в електронному вигляді, або у формі картотек. Однак на сьогодні представники ДСЗПД не наполягають на формуванні картотек підприємцями

Які назви повинні мати БПД?

Підприємці мають право присвоювати назву БПД на власний розсуд. Водночас ДСЗПД рекомендує зазначати в заяві, як правило, такі назви:
— база даних «Працівники»;
— база даних «Контрагенти»;
— база даних «Клієнти»

Чи обов’язково створювати окремі бази даних щодо різних груп працівників або контрагентів?

Не обов’язково, це можна робити на розсуд підприємця. Наприклад, якщо він має БПД орендарів, то він може зазначити в заяві її назву
як «Контрагенти», так і «Орендарі»

ЗГОДА ТА ПОВІДОМЛЕННЯ ПРАЦІВНИКІВ НА ОБРОБКУ БПД

Чи обов’язково отримувати згоду на обробку даних у фізичних осіб, які не є працівниками підприємця?

Дійсно, таку згоду потрібно отримувати від будь-яких фізичних осіб, у тому числі контрагентів, клієнтів тощо

Формами надання згоди суб’єкта персональних даних
(фізичної особи) є:
— документ на паперовому носії з реквізитами, що дозволяють ідентифікувати цей документ і фізичну особу. Добровільне волевиявлення суб’єкта персональних даних посвідчується його підписом;
— електронний документ, уключаючи обов’язкові реквізити документа, що дозволяють ідентифікувати цей документ і фізичну особу. Добровільне волевиявлення фізичної особи про надання дозволу на обробку його персональних даних посвідчується електронним підписом суб’єкта персональних даних;
— відмітка на електронній сторінці документа або в електронному файлі, що обробляється в інформаційній системі на підставі задокументованих програмно-технічних рішень.

Якщо такими особами не надано згоду на обробку їх персональних даних, то підприємець не зможе з ними співробітничати, адже такими діями вони не дозволяють використовувати їх персональні дані. Крім того, контрагенти — фізичні особи мають бути повідомлені про внесення їх персональних даних до відповідної БПД ^{довідка 1}.

Аналогічної думки дотримується й Мін’юст у своєму роз’ясненні щодо застосування Закону № 2297 від 21.12.2011 р. (http://www.minjust.gov.ua/0/38266)

Чи обов’язково повідомляти всіх фізичних осіб про ціль збору даних та їх права у зв’язку з обробкою цих даних?

Так. Усі фізичні особи, як працівники, так і контрагенти, протягом 10 робочих днів з дня включення їх даних до БПД після отримання їх згоди (прийняття на роботу, укладення договору тощо) повинні бути повідомлені про це у письмовій формі

Чи вважатиметься отриманням згоди на обробку персональних даних і повідомленням фізичної особи спеціальна форма, розміщена на сайті інтернет-магазину?

Так. За усними роз’ясненнями ДСЗПД, інтернет-магазинам рекомендовано на сайті (мається на увазі на сайті самого інтернет-магазину) розробити певний вигляд повідомлення (наприклад, віконце), в якому буде зазначено всю інформацію, необхідну для отримання згоди на обробку даних від фізичних осіб — клієнтів. Фізична особа, наприклад, натискуючи «ОК» дає свою згоду на обробку її персональних даних. У такому форматі необхідно скласти і повідомлення про внесення персональних даних фізичної особи до відповідної БПД

ПОРЯДОК РЕЄСТРАЦІЇ, ПОДАННЯ, ЗАПОВНЕННЯ ЗАЯВИ

В які строки потрібно подати заяву про реєстрацію БПД?

Законодавством не передбачено конкретні строки для подання заяви і реєстрації БПД. Однак, ураховуючи те, що з 01.01.2012 р. ^{довідка 2} набудуть чинності зміни до КУпАП і ККУ, якими передбачено великі штрафні санкції, зробити це краще до зазначеної дати.

Водночас якщо підприємець зробить це після 01.01.2012 р., то йому також вдасться уникнути штрафів, про що йтиметься далі

Якщо підприємець має декілька БПД, скільки заяв він повинен подати?

Щодо кожної БПД, якою володіє заявник, має подаватися окрема заява про реєстрацію

В якому порядку підприємець отримує свідоцтво про реєстрацію БПД після подання заяви?

ДСЗПД повідомляє заявника не пізніше наступного робочого дня з дня надходження заяви про її отримання. У повідомленні зазначаються дата та реєстраційний номер запису про заяву в Реєстрі, а також дата звернення за отриманням свідоцтва або повідомлення про відмову в реєстрації.

Відмовити в реєстрації БПД можуть, якщо заява про реєстрацію не відповідає вимогам частини 3 статті 9 Закону № 2297 або в разі, якщо надані відомості є неповними або недостовірними.

Протягом 10 робочих днів з дня надходження відповідної заяви приймається рішення про реєстрацію БПД шляхом видачі її власнику свідоцтва про державну реєстрацію БПД або повідомлення про відмову в реєстрації

Які цілі обробки БПД може бути наведено в заяві (розділ III)?

Цілями обробки персональних даних, що вказуються в заяві, зокрема,
є забезпечення реалізації:
— трудових відносин;
— адміністративно-правових (у тому числі відносин у сфері державного управління), податкових відносин та відносин у сфері бухгалтерського обліку;
— відносин у сфері управління людськими ресурсами, зокрема кадровим потенціалом;
— відносин у сфері економічних, фінансових послуг і страхування;
— відносин у сфері реклами та збору персональних даних у комерційних цілях;
— відносин у сфері телекомунікаційних послуг;
— відносин у сфері громадської, політичної та релігійної діяльності, культури, дозвілля, спортивної та соціальної діяльності;
— відносин у сфері освіти;
— відносин у сфері охорони здоров’я;
— відносин у сфері безпеки, включаючи питання приватних розслідувань, побудови системи приватної безпеки та приватної охорони;
— відносин у сфері транспорту;
— відносин у сфері науки, історичних досліджень і статистики тощо

УНЕСЕННЯ ЗМІН

Якщо відбулися зміни в даних, зазначених у реєстраційній заяві, чи потрібно вносити зміни,
як і коли?

Так. Згідно з частиною 4 статті 9 Закону № 2297 власник бази персональних даних зобов’язаний повідомляти ДСЗПД про кожну зміну відомостей, необхідних для реєстрації бази персональних даних, не пізніше ніж протягом 10 робочих днів із дня настання такої зміни.

Бланк заяви про внесення змін затверджено наказом № 1824, як і основна заява. Його заповнення практично не відрізняється від первісної заяви, однак для виправлення даних потрібно ставити додаткові позначки «х» в полях «Вилучити» і «Додати».

Для видалення БПД з Реєстру власник такої бази направляє до ДСЗПД заяву про внесення змін до відомостей Реєстру і позначає «Вилучити» всі поля відомостей, які були внесені

ЗАСТОСУВАННЯ ШТРАФНИХ САНКЦІЙ ПІСЛЯ 01.01.2012 р.

Чи застосовуватимуться до підприємця штрафні санкції, якщо підприємець не встигне подати заяву про реєстрацію БПД до 01.01.2012 р. ^{довідка 2}?

Навіть, якщо підприємці не встигли подати заяву до 01.01.2012 р.,
то їм не слід перейматися.

По-перше, досі немає механізму здійснення перевірок, порядок їх проведення існує лише у вигляді проекту, територіальних органів у ДСЗПД теж немає і, отже, найближчим часом перевірок не очікується.

По-друге, існує стаття 38 КУпАП, яка обмежує строки застосування адмінштрафів. Припустимо, заяву буде подано до ДСЗПД 25.01.2012 р. Тоді до 25.01.2012 р. фізична особа — підприємець формально вважається таким, що вчиняє триваюче порушення — ухилення від реєстрації БПД. З моменту подання заяви про реєстрацію порушення вважається таким, що припинилося. Оскільки накладати штрафи за його вчинення уповноважено суди (на підставі складених протоколів ДСЗПД), то згідно зі статтею 38 КУпАП строк давності за таким порушенням становить три місяці.

Це означає таке: щоб устигнути накласти штраф, до 26.04.2012 р. не лише має бути проведено перевірку, складено та направлено до суду протокол про адмінправопорушення, а й суд має встигнути розглянути справу та винести постанову про накладення штрафу.

Такий варіант розвитку подій сьогодні виглядає малоймовірним

ЗГОДА

на збір та обробку персональних даних

Я, _____________________________________________________________________________________________

(П. I. Б.)

(народився «_________» _______________ 19_______ року, паспорт серії ________ №____________________,

підтверджую, що ознайомлений з вимогами Закону України «Про захист персональних даних» від 01.06.2010 р. № 2297-VI та інших нормативних актів про захист персональних даних і надаю згоду

________________________________________________________________________________________________

(повна назва суб’єкта господарювання)

на обробку відомостей про мене у картотеках та/або за допомогою інформаційно-телекомунікаційної системи бази персональних даних працівників суб’єкта господарювання з метою ведення кадрової документації, підготовки відповідно до вимог законодавства податкової та статистичної звітності, іншої інформації, а також внутрішніх документів підприємця з питань реалізації визначених законодавством прав та обов’язків у сфері трудових правовідносин і соціального захисту.

Зобов’язуюсь при зміні моїх персональних даних надавати у термін до 10 робочих днів уточнену інформацію щодо відомостей про мене, необхідних для реалізації вимог чинного законодавства.

«____» ____________ 20___ року ____________ (____________________)

Я, ________________________________________ , посвідчую, що отримав повідомлення про включення інформації
про мене до бази персональних даних з метою ведення кадрової документації, підготовки відповідно до вимог законодавства податкової та статистичної звітності, іншої інформації, а також внутрішніх документів підприємця з питань реалізації визначених законодавством прав та обов’язків у сфері трудових правовідносин і соціального захисту, а також відомості про мої права, визначені Законом України «Про захист персональних даних», і про осіб, яким мої дані надаються, для виконання зазначеної мети.

«___» _________ 20___ року

__________________________
                     (підпис)

Повідомляю, що надані Вами відомості включені до бази персональних даних

________________________________________________________________________________________________

(назва суб’єкта господарювання)

з метою ведення кадрової документації, підготовки відповідно до вимог законодавства податкової та статистичної звітності, іншої інформації з питань персоналу, а також внутрішніх документів підприємця з питань реалізації визначених законодавством прав та обов’язків у сфері трудових правовідносин і соціального захисту. Відповідно до ст. 8 Закону України «Про захист персональних даних» суб’єкт персональних даних має право:

1) знати про місцезнаходження бази даних, яка містить його персональні дані, її призначення та найменування, місцезнаходження її володільця чи розпорядника;

2) отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані, що містяться у базі персональних даних;

3) на доступ до своїх персональних даних, що містяться у відповідній базі персональних даних;

4) отримувати не пізніш як за 30 календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи зберігаються його персональні дані у відповідній базі персональних даних, а також отримувати зміст його персональних даних, що зберігаються;

5) пред’являти вмотивовану вимогу із запереченням проти обробки своїх персональних даних органами державної влади, органами місцевого самоврядування при здійсненні їхніх повноважень, передбачених законом;

6) пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником цієї бази, якщо ці дані обробляються незаконно чи є недостовірними;

7) на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;

8) звертатися з питань захисту своїх прав щодо персональних даних до органів державної влади, органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних;

9) застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних.

Обробка персональних даних фізичних осіб загального характеру (прізвище, ім'я та по батькові, дата

та місце народження, громадянство, місце проживання, ідентифікаційні номери, реєстраційні дані тощо)

здійснюється для забезпечення реалізації адміністративно-правових, податкових відносин відповідно

до Цивільного кодексу України від 16.01.2003 р. № 435-IV, Податкового кодексу України від 02.12.2010 р.

№ 2755-VI та інших нормативно-правових актів.

Правові підстави обробки персональних даних (відповідно до статті 11 Закону України

«Про захист персональних даних»):

1) згода суб'єкта персональних даних на обробку його персональних даних

2) дозвіл на обробку персональних даних, наданий володільцю бази персональних даних відповідно

до Цивільного кодексу України від 16.01.2003 р. № 435-IV, Податкового кодексу України

від 02.12.2010 р. № 2755-VI та інших нормативно-правових актів.