Теми статей
Обрати теми

Обробка персональних даних з урахуванням останніх змін: покроковий алгоритм

Редакція ВД
Стаття

Обробка персональних даних з урахуванням останніх змін: покроковий алгоритм

 

З 20.12.2012 р. набув чинності Закон № 5491, що вніс численні зміни до Закону про захист персональних даних.

Стисло основні новації в роботі з персональними даними (далі – ПД) було проаналізовано нами у «ВД», 2013, № 3, с. 41. Сьогодні ми детальніше поговоримо про те, що таке ПД та як їх обробляти, хто зобов’язаний реєструвати бази персональних даних (далі – БПД) та які саме, яким чином відбувається реєстрація. При цьому ми виходитимемо з вимог чинного законодавства з урахуванням останніх нововведень, унесених Законом № 5491.

 

ПД і БПД: визначаємося з поняттями

Визначення терміна «персональні дані», наведене у статті 2 Закону про захист ПД, не зазнало змін. Під ПД, як і раніше, розуміються «відомості або сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована». Конституційний Суд України (КСУ) під ПД розуміє національність, освіту, сімейний стан, релігійні переконання, стан здоров’я, матеріальний стан, адресу, дату та місце народження, місце проживання/знаходження фізичної особи, дані про особисті майнові і немайнові відносини з іншими особами тощо (див. рішення КСУ від 20.01.2012 р. № 2-рп/2012). Отже, персональними можна вважати лише ті дані, які надають додаткову інформацію про фізичну особу, крім відомостей, що дозволяють ідентифікувати таку фізичну особу (наприклад, освіта, розмір зарплати, прописка, медичний діагноз тощо).

Первинними джерелами відомостей про фізичну особу є видані на її ім’я документи; підписані нею документи; відомості, що надаються особою про себе (частина 4 статті 6 Закону про захист ПД).

ПД можуть складати БПД, визначення яких у статті 2 Закону про захист ПД також не змінилися та, як і раніше, це є поіменована сукупність впорядкованих ПД в електронній формі та/або у формі картотек ПД.

Слід зазначити, що зовсім не всі ПД є БПД. Говорити про наявність БПД можна лише в тому випадку, якщо ми маємо справу з даними про фізичних осіб, структурованими за певними критеріями з метою забезпечення легкого доступу до ПД. Зокрема, БПД у вигляді картотеки – це будь-який структурований масив ПД, доступний за певними критеріями, незалежно від того, є такий масив централізованим, децентралізованим або розподіленим за функціональними або географічними принципами.

Наприклад, цивільно-правові договори з фізичними особами – підприємцями, відсортовані в хронологічному порядку, не можна вважати БПД, оскільки систематизація здійснюється за датою укладення договорів, а не виходячи з відомостей, що стосуються фізичних осіб. А ось структуризація тих же цивільно-правових договорів із фізичними особами – підприємцями, наприклад, за прізвищами підприємців в алфавітному порядку з метою швидкого доступу до ПД цих підприємців (наприклад, до інформації про їх місцезнаходження, про реквізити їх рахунків, про контакт­ні телефони тощо) уже дозволяє робити висновок про наявність БПД.

І ще один момент: ПД однієї фізичної особи не є БПД. Такого висновку дійшов Мін’юст у листі від 08.11.2011 р. № 17304-0-33-11/61 на підставі самого визначення терміна «база персональних даних», що говорить про сукупність впорядкованих ПД, тобто про наявність відомостей про двох і більше фізичних осіб. Так, наприклад, інформація про одного орендодавця – фізичну особу не є БПД.

Однак відсутність БПД не звільняє володільця ПД від обов’язку з обробки, зберігання та захисту цих ПД відповідно до Закону про захист ПД (нагадаємо, що останніми змінами законодавець дещо змінив сферу дії цього Закону, у тому числі поширив його на всі дії з обробки ПД, а не лише в БПД).

 

Суб’єкти відносин, пов’язаних із ПД

Згідно зі статтею 4 Закону про захист ПД суб’єктами відносин, пов’язаних з ПД, є:

1) суб’єкти ПД – фізичні особи, ПД яких обробляються (це можуть бути найняті робітники, фізичні особи – підприємці, фізичні особи – засновники, фізичні особи – клієнти тощо);

2) володільці ПД – фізичні або юридичні особи, яким законом або за згодою суб’єкта ПД надано право на обробку цих даних, які затверджують ціль обробки ПД, установлюють склад цих даних і процедури їх обробки, якщо інше не визначено законом. Зокрема, володільцями ПД є підприємства та підприємці, які обробляють ПД своїх найманих працівників, клієнтів, контрагентів тощо;

3) розпорядники ПД – фізичні або юридичні особи, яким володільцем ПД або законом надано право обробляти ці дані від імені володільця;

4) треті особи – будь-які особи, за винятком суб’єктів ПД, володільців або розпорядників ПД та уповноваженого держоргану з питань захисту ПД, яким власником або розпорядником ПД здійснюється передача ПД відповідно до закону;

5) уповноважений державний орган з питань захисту ПД – таким органом є Державна служба України з питань захисту персональних даних (далі – ДСЗПД).

 

Обробка ПД: крок за кроком

Згідно зі статтею 2 Закону про захист ПД обробка ПД – це будь-яка дія, сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптація, зміна, відновлення, використання та розпов­сюдження (реалізація, передача), знеособлення, знищення ПД, у тому числі з використанням інформаційних (автоматизованих) систем.

Виходячи з аналізу цього визначення та всього тексту Закону про захист ПД, можна говорити про необхідність проведення суб’єктами господарювання – володільцями або розпорядниками ПД таких дій.

Крок 1. Отримання згоди суб’єкта ПД (фізичної особи) на використання інформації про нього в діяльності підприємства (підприємця).

Відповідно до частини 6 статті 6 Закону про захист ПД не допускається обробка даних про фізичну особу без її згоди, крім випадків, визначених законом. Тобто, крім отримання власне згоди фізичної особи, право на обробку ПД може виникати у володільця (або розпорядника ПД) у деяких інших випадках, серед яких можна виділити (стаття 11 Закону про захист ПД):

дозвіл на обробку ПД, наданий власнику ПД відповідно до закону виключно для здійснення його повноважень (тобто, просто кажучи, можливість обробляти ПД через вимоги закону);

укладення та вчинення правочину, стороною якого є суб’єкт ПД або який укладено на користь суб’єкта ПД чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта ПД.

Отже, не потрібно отримувати згоду суб’єкта ПД, наприклад, у разі якщо обробка відомостей про нього здійснюється на підставі вимог трудового законодавства. Однак слід зазначити: представники ДСЗПД часто у своїх консультаціях зазначають, що таку згоду від працівника отримати все ж таки потрібно. І краще, напевно, з цим не сперечатися (з чого й виходитимемо далі).

Не потрібно отримувати згоду на обробку ПД і в разі укладення цивільно-правового договору з фізичною особою, оскільки укладення договору саме собою вже є підставою для обробки ПД фізичної особи.

Водночас здебільшого в решті випадків отримання згоди фізичної особи на обробку її ПД є обов’язковим. Оформляється така згода у формі заяви. Виходячи з вимог Закону про захист ПД, згода фізичної особи на обробку її ПД має містити таку інформацію, як:

ціль обробки ПД, яка має бути сформульована в положеннях, установчих та інших документах, що регулюють діяльність володільця ПД (частина 1 статті 6 Закону про захист ПД). Найбільш типовими цілями обробки ПД є ведення кадрової документації, підготовка податкової та іншої звітності, забезпечення реалізації трудових відносин, ведення господарської діяльності тощо. Ціль обробки ПД визначається кожним володільцем ПД самостійно залежно від специфіки його виду діяльності;

обсяг ПД – чіткий перелік ПД фізичної особи, що обробляються в БПД;

порядок використання ПД, що передбачає дії володільця з обробки ПД, їх захисту (у тому числі використання ПД працівниками володільця ПД), а також дії з надання часткового або повного права обробки ПД іншим суб’єктам відносин, пов’язаних з ПД;

порядок розповсюдження ПД, що передбачає дії володільця ПД з передачі відомостей про фізичну особу з БПД;

порядок доступу до ПД третіх осіб, що визначає дії володільця ПД у разі отримання запитів від третіх осіб щодо доступу до ПД фізичної особи.

Конкретну форму згоди фізичної особи на обробку її ПД кожний суб’єкт господарювання розроб­ляє самостійно. Наприклад, можна розробити трафаретні форми згоди для різних категорій фізичних осіб (працівників, клієнтів, контрагентів тощо).

Крок 2. Збирання ПД і пові­дом­лення суб’єкта ПД про ціль їх обробки.

Збирання ПД є складовою частиною процесу їх обробки, що передбачає дії з підбору або впорядкування відомостей про фізичну особу (стаття 12 Закону про захист ПД).

Вимоги щодо повідомлення фізичної особи про початок обробки її ПД, що містяться в статті 12 Закону про захист ПД, дещо змінено. Зокрема, тепер повідомлення про володільця ПД, склад і вміст зібраних ПД, права суб’єкта ПД, визначені статтею 8 Закону про захист ПД, ціль збору ПД та осіб, яким передаються її ПД, має бути направлено фізичній особі у момент отримання згоди фізичної особи на обробку її ПД, а в інших випадках – протягом 10 робочих днів з дня збирання ПД.

Наприклад, якщо враховувати вимоги ДСЗПД та отримувати згоду працівників на обробку їх ПД, то повідомлення таких працівників про включення їх даних до БПД має відбуватися в момент отримання такої згоди, тобто вже під час отримання ПД від працівників.

Зауважимо також, що зі статті 12 Закону про захист ПД зникла вимога щодо обов’язкової письмової форми повідомлення. Водночас, на нашу думку, краще продовжувати надсилати фізичним особам повідомлення саме у письмовій формі, що допоможе довести факт здійснення повідомлення в разі виникнення спірних ситуацій.

Крім того, виключено положення про нездійснення повідомлення в разі, якщо ПД збираються із загальнодоступних джерел. Це означає, що власник ПД зобов’я­заний повідомити фізичну особу про початок обробки її ПД, у тому числі в разі отримання даних з друкованих ЗМІ, інтернет-порталів, засобів телерадіомовлення та інших джерел інформації, до яких фізичні і юридичні особи мають вільний, не обмежений доступ.

Крок 3. Розробка Положення про захист персональних даних.

Для регламентації заходів у сфері захисту ПД кожне підприємство зобов’язане розробити та затвердити внутрішній документ, яким може бути, наприклад, Положення про порядок обробки та захисту персональних даних. Зауважимо, що на фізичних осіб – підприємців ця вимога не поширюється, отже виконувати її необов’язково. Як роз’яснюють фахівці ДСЗПД, залежно від специфіки підприємства та категорії даних, що обробляються, підприємство може розробляти або одне Положення відразу для всіх БПД, або декілька положень для кожного виду БПД (наприклад, Положення про порядок обробки і захисту персональних даних працівників, Положення про порядок обробки і захисту персональних даних контрагентів).

Текст Положення може складатися переважно з цитат Закону про захист ПД, а як орієнтир можна використовувати Типовий порядок обробки персональних даних у базах персональних даних, затверджений наказом Мін’юсту від 30.12.2011 р. № 3659/5.

Наведемо примірний перелік розділів Положення:

I. Загальні положення.

II. Склад і цілі обробки персональних даних.

III. Способи обробки персональних даних (у автоматизованій системі та/або у формі картотек). Бази персональних даних, власником яких є підприємство.

IV. Організація роботи із захисту персональних даних: отримання згоди та повідомлення суб’єкта персональних даних про його права та дії з його даними; обов’язки та права осіб, відповідальних за забезпечення захисту персональних даних; порядок зберігання та знищення персональних даних.

V. Порядок доступу до персональних даних третіх осіб і суб’єктів персональних даних. Передача персональних даних.

VI. Права суб’єктів персональних даних.

VII. Державна реєстрація баз персональних даних.

У додатках до Положення доцільно затвердити зразки (трафаретні форми) згоди на обробку ПД, повідомлення про цілі обробки ПД і права суб’єкта ПД, а також зобов’язання про нерозголошення ПД для відповідальних осіб.

Положення про порядок обробки і захист персональних даних затверджується наказом керівника підприємства.

Крок 4. Видання наказу про призначення відповідальних осіб.

Згідно з частиною 5 статті 24 Закону про захист ПД на підприємствах усіх форм власності визначається структурний підрозділ або відповідальна особа, яка організовує роботу, пов’язану із захистом ПД під час їх обробки, відповідно до закону.

Таким чином, керівник підприємства своїм наказом повинен призначити осіб (або структурний підрозділ), відповідальних за організацію роботи із захисту ПД і держреєстрацію БПД. У наказі необхідно зазначити П. І. Б. відповідальних осіб, посади, перелічити їх повноваження та функції, що виконуються в ме­жах наданих повноважень.

Що стосується фізичних осіб – підприємців, то вони відповідальних осіб не призначають, а забезпечують захист ПД, якими вони володіють, особисто.

Крок 5. Реєстрація баз персональних даних.

Згідно зі статтею 9 Закону про захист ПД БПД підлягає держреєстрації шляхом унесення відповідного запису до Держреєстру баз персональних даних. Положення про Держреєстр баз персональних даних і порядок його ведення затверджено постановою КМУ від 25.05.2011 р. № 616.

Реєстрації підлягають усі БПД в електронному вигляді та/або в картотеках, незалежно від обсягу та форми застосування ПД, виду діяльності володільця ПД. Виняток становлять (з урахуванням нововведень Закону № 5491):

БПД, ведення яких пов’я­зане із забезпеченням і реалізацією трудових відносин;

– БПД членів громадських, релігійних організацій, профспілок, політичних партій.

Таким чином, з 20.12.2012 р. (дати набуття чинності Законом № 5491) ті суб’єкти господарювання, які ще не подали заяву про реєстрацію БПД «Працівники», можуть таку заяву не подавати. Тим же, хто встиг зареєструвати БПД «Працівники» до зазначеної дати, жодних дій із скасування реєстрації робити не потрібно, тим більше що процедури анулювання реєстрації БПД Законом про захист ПД не передбачено. При цьому в разі виникнення змін у відомостях, необхідних для реєстрації БПД «Працівники», таким суб’єктам доведеться повідомити про зміни ДСЗПД в установленому порядку (див. далі).

Що стосується суб’єктів, які подали заяви про реєстрацію БПД «Працівники» до 20.12.2012 р. і ще не отримали Свідоцтво про держреєстрацію БПД, то їм представники ДСЗПД рекомендують надіслати лист у довільній формі про відкликання заяви про реєстрацію бази даних «Працівники».

Примірний зразок прохання виглядає так (усі пункти є обов’язковими для заповнення):

 


 

Від: володілець персональних даних (заявник)

                                   (поштова адреса)

________№ _______

Кому: Державна служба України з питань

захисту персональних даних

вул. Марини Раскової, 15, м. Київ, 02660

У зв’язку з набуттям чинності 20.12.2012 р. Законом України від 20.11.2012 р. № 5491-VI «Про внесення змін до Закону України «Про захист персональних даних» просимо Вас не реєструвати базу(и) персональних даних. Для пошуку заяви надаю такий перелік інформації:

1. Найменування володільця персональних даних, наприклад – ТОВ «Мрія» або Пилипенко Микола Сергійович.

2. Код ЄДРПОУ/Реєстраційний номер облікової картки платника податків – володільця персональних даних.

3. Вихідна дата та номер поданої заяви про реєстрацію бази персональних даних.

4. Найменування бази персональних даних, зазначеної у заяві, наприклад – База персональних даних «Працівники».

5. Адреса електронної пошти/Контактний телефон.

Підпис (печатка)


 

При цьому незалежно від того, зареєстрована БПД «Працівники» чи ні, усі роботодавці зобов’язані вжити заходів щодо захисту ПД своїх працівників, передбачених чинним законодавством.

Реєстрація БПД (наприклад, БПД «Контрагенти»/«Клієнти») здійснюється шляхом подання заяви за формою, затвердженою наказом Мін’юсту від 08.07.2011 р. № 1824/5. Перелік відомостей, які повинні міститися в заяві, визначено частиною 3 статті 9 Закону про захист ПД.

Заява заповнюється українською мовою та подається в паперовій або в електронній формі. У разі подання заяви в паперовій формі заявник (власник БПД) підписує кожну сторінку заяви і скріплює її печаткою (за наявності). Разом із заявою на папері бажано подавати також її електронну копію.

У електронній формі заяву можна подати лише за дотримання вимог законів № 852 і № 851.

Адреса ДСЗПД для подання заяв: 02660, м. Київ, вул. Марини Раскової, 15, каб. 1205; e-mail: register@zpd.gov.ua .

Існує також можливість подання заяви про реєстрацію БПД через офіційний сайт ДСЗПД https://rbpd.informjust.ua. Інструкцію щодо складання та подання заяви в електронній формі через веб-сайт Держреєстру БПД можна знайти за адресою http://zpd.gov.ua/dszpd/uk/publish/article/32536.

На кожну БПД необхідно подавати окрему заяву про реєстрацію.

ДСЗПД повинна прийняти рішення про реєстрацію БПД протягом 30 робочих днів з дня надходження заяви (раніше цей строк мав здебільшого декларативний характер і становив 10 робочих днів). Після цього володільцю ПД буде видано Свідоцтво про держреєстрацію БПД (за формою наказу Мін’юсту від 08.07.2011 р. № 1823/5).

Зверніть увагу: реєстрації підлягає сам факт наявності БПД. Відомості про фізичних осіб, унесені до БПД, до ДСЗПД не передаються та не реєструються. Відповідно в разі зміни відомостей про фізичних осіб, що складають зміст БПД, жодних дій з реєстрації змін робити не потрібно. Реєструвати слід лише зміни у відомостях, які надавалися під час реєстрації відповідної БПД, – назві та місцезнаходженні БПД, цілі використання, інформації про розпорядників БПД тощо. Подати заяву про внесення змін до Держреєстру БПД потрібно протягом 10 робочих днів з дня настання змін (частина 6 статті 9 Закону про захист ПД).

ДСЗПД протягом 10 робочих днів з дня надходження повідом­лення про зміну відомостей, необхідних для реєстрації відповідної БПД, має прийняти рішення про зазначену зміну та повідомити про це володільцю ПД.


Документи консультації

Закон про захист ПД Закон України «Про захист персональних даних» від 01.06.2010 р. № 2297-VI.

Закон № 5491 – Закон України «Про внесення змін до Закону України «Про захист персональних даних» від 20.11.2012 р. № 5491-VI.

Закон № 852 – Закон України «Про електронний цифровий підпис» від 22.05.2003 р. № 852-IV.

Закон № 851 – Закон України «Про електронні документи та електронний документообіг» від 22.05.2003 р. № 851-IV.

 

Матеріал підготувала Олена Бєляєва,
консультант газети «Власне Діло»

App
Завантажуйте наш мобільний додаток Factor

© Factor.Media, 1995 -
Всі права захищені

Використання матеріалів без узгодження з редакцією заборонено

Ознайомитись з договором-офертою

Приєднуйтесь
Адреса
м. Харків, 61002, вул. Сумська, 106а
Ми приймаємо
ic-privat ic-visa ic-visa

Ми використовуємо cookie-файли, щоб зробити сайт максимально зручним для вас та аналізувати використання наших продуктів та послуг, щоб збільшити якість рекламних та маркетингових активностей. Дізнатися більше про те, як ми використовуємо ці файли можна тут.

Дякуємо, що читаєте нас Увійдіть і читайте далі