Бази персональних даних: що рік 2014-й нам готує
Нещодавно законодавство сфери захисту персональних даних зазнало чергових змін, які доведеться вивчити у тому числі й підприємцям. Діяти вони почнуть нескоро — з 01.01.2014 р., тому часу для ознайомлення вистачить. Одне з головних нововведень полягає в тому, що тепер більшість контрольних повноважень у цій сфері перейдуть від Державної служби з питань захисту персональних даних до Уповноваженого ВР України з прав людини.
Детальніше про моменти, на які слід звернути увагу підприємцям, ми розповімо в цій статті.
Оксана ХМЕЛЕВСЬКА, консультант газети «Власне Діло»
Бази персональних даних у підприємця
Насамперед нагадаємо підприємцям про основні поняття Закону № 2297, який регулює питання, пов’язані з базами персональних даних (далі — БПД).
Отже, персональні дані (далі — ПД) — це відомості або сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Простіше кажучи, усі ті дані, які підприємець отримує від фізичних осіб, з якими має справу під час своєї діяльності.
Сукупність упорядкованих за певною ознакою ПД в електронній формі та/або у формі картотек і буде БПД. Картотеки — це саме впорядковані дані, тобто згруповані за певними критеріями, наприклад за алфавітом, тому не кожен набір ПД може бути БПД. Наведемо приклади.
Приклад 1. Підприємець укладає цивільно-правові договори з фізичними особами та формує їх у папки у хронологічному порядку. Такий спосіб упорядкувати інформацію не говорить про наявність БПД, оскільки її основою є не відомості про фізичну особу, а дата укладеного з ним договору.
Приклад 2. Цей самий підприємець формує папки в алфавітному порядку за прізвищами фізичних осіб, з якими укладено договори. У цьому випадку у нього дійсно є картотека, за якою легко здійснити пошук ПД фізичної особи. Цей факт вказує на наявність БПД.
Підприємець, який працює з фізичними особами, є власником БПД, а фізичні особи — суб’єктами ПД. Використання даних фізичних осіб у розумінні Закону № 2297 позначено терміном «обробка ПД».
Поняття, про які йшлося вище, залишаться і в новій редакції Закону № 2297, тобто з 1 січня 2014 року. Далі ми поговоримо вже про прийдешні зміни.
Реєстрація БПД сьогодні і після 01.01.2014 р.
На сьогодні БПД з даними про сторонніх фізичних осіб (як підприємців, так і звичайних громадян) потрібно зареєструвати. Для цього до спеціального органу — Державної служби з питань захисту персональних даних (далі — ДСЗПД) подається заява, а через певний час підприємець отримує свідоцтво про реєстрацію БПД.
Про реєстрацію БПД потрібно подбати тоді, коли у підприємця накопичуються та формуються в картотеку відомості про постачальників, пацієнтів, контрагентів тощо.
Не потрібно реєструвати:
— БПД за даними, які підприємці збирають для себе в особисті довідники тощо;
— БПД працівників (цей виняток з’явився в Законі № 2297 з 20.12.2012 р.);
— відомості лише про одного контрагента (не створюють БПД).
Тим же, хто до 20.12.2012 р. встиг зареєструвати БПД працівників, жодних дій зі скасування реєстрації вчиняти не потрібно, тим більше що процедуру анулювання реєстрації БПД Законом № 2297 не передбачено.
А ті, хто подали заяви про реєстрацію БПД працівників до 20.12.2012 р. і ще не отримали свідоцтво про реєстрацію БПД, можуть надіслати лист у довільній формі про відкликання заяви про її реєстрацію.
Тепер про важливе нововведення з 01.01.2014 р. З цієї дати буде скасовано реєстрацію БПД.
Водночас, якщо обробка отриманих ПД становитиме особливий ризик для прав і свобод фізичних осіб, то власнику БПД доведеться повідомляти про це Уповноваженого ВР України з прав людини (далі — Уповноважений). Таке повідомлення потрібно буде надіслати йому протягом 30 робочих днів з дня початку обробки ПД. Інформація, надана Уповноваженому, публікуватиметься на його сайті.
Види обробки ПД, яка потребує повідомлення, повинен буде затвердити Уповноважений. Якщо відомості, про які повідомляли, зміняться, то про це потрібно буде протягом 10 робочих днів також поінформувати Уповноваженого.
Власники ПД, які на 01.01.2014 р. вже здійснюють обробку ПД, що потребує повідомити Уповноваженого, повинні зробити це протягом 6 місяців з дня набуття чинності Законом № 383, тобто до 01.07.2014 р. (пункт 2 розділу ІІ «Прикінцеві та перехідні положення» Закону № 383).
Зверніть увагу: якщо підприємець не зареєструє наявні у нього БПД до 01.01.2014 р., це вважатиметься порушенням законодавства. Хоча в разі його виявлення після 01.01.2014 р. відповідальність йому не загрожує.
Згода на обробку ПД і повідомлення про це фізичних осіб
Сьогодні та після 01.01.2014 р. право обробляти ПД виникає у підприємця або після згоди фізичної особи, або в деяких інших випадках, серед яких можна виділити (стаття 11 Закону № 2297):
— дозвіл на обробку ПД, наданий власнику ПД відповідно до закону виключно для здійснення його повноважень (тобто можливість обробляти ПД через вимоги закону);
— укладання та вчинення правочину, стороною якого є фізична особа, або для вжиття заходів, що передують його укладенню.
Таким чином, не потрібно отримувати згоду суб’єкта ПД, наприклад, у разі якщо обробка відомостей про нього здійснюється на підставі вимог трудового законодавства. Це не потрібно буде робити і в разі укладення цивільно-правового договору з фізичною особою, оскільки укладення договору саме собою вже є підставою для обробки ПД фізичної особи.
Водночас здебільшого отримання згоди фізичної особи на обробку її ПД є обов’язковим. Оформляється така згода у формі заяви.
Конкретну форму згоди фізичної особи на обробку її ПД кожний суб’єкт господарювання розробляє самостійно. Наприклад, можна розробити трафаретні форми згоди для різних категорій фізичних осіб (клієнтів, контрагентів тощо).
Крім того, на сьогодні фізичні особи мають бути протягом 10 робочих днів повідомлені про внесення їх ПД до відповідної БПД.
Після 01.01.2014 р. контрагентів також доведеться повідомляти про власника ПД, склад і зміст зібраних даних, права такого суб’єкта, мету збору ПД та осіб, яким передаються ці дані. При цьому згідно з оновленою частиною 2 статті 12 Закону № 2297 повідомлення здійснюється:
1) якщо такі дані збираються у суб’єкта ПД — у момент збору ПД;
2) в інших випадках — протягом 30 робочих днів з дня збору ПД.
Новий контролер у сфері захисту ПД
Починаючи з 01.01.2014 р. питаннями захисту ПД, у тому числі з використанням підприємцями БПД, займатиметься Уповноважений.
Більшість його функцій і повноважень такі самі, як і в спеціального органу, що діє сьогодні, — ДСЗПД, вони визначені в оновленій статті 23 Закону № 2297. Зокрема, Уповноважений:
— проводитиме планові та позапланові перевірки дотримання законодавства із захисту ПД;
— складатиме протоколи про адміністративну відповідальність і подаватиме їх на розгляд до суду;
— розроблятиме нормативно-правові акти у сфері захисту ПД;
— отримуватиме доступ до будь-якої інформації (документів) власників ПД (наприклад, підприємців, які мають картотеки з даними фізичних осіб), необхідної для здійснення контролю за захистом ПД.
Відповідальність з 01.01.2014 р.
Вище вже зазначалося, що проводити перевірки у цій сфері та складати протоколи про адміністративні правопорушення тепер є компетенцією Уповноваженого та його представників (пункт 1 частини 1 статті 255 КУпАП). Наведемо нові підстави та розміри штрафних санкцій у таблиці.
Адмінвідповідальність за порушення у сфері захисту ПД
| Порушення | Розмір штрафу, що накладається на посадових осіб підприємств і підприємців (норма КУпАП) |
| Неповідомлення або несвоєчасне повідомлення Уповноваженого про обробку ПД або зміну відомостей, що підлягають повідомленню відповідно до закону, повідомлення неповних або недостовірних відомостей | — від 3400 до 6800 грн. (частина перша статті 18839 КУпАП); — за повторне протягом року порушення — від 8500 до 34000 грн. (частина третя статті 18839 КУпАП) |
| Невиконання законних вимог (розпоряджень) Уповноваженого або визначених ним посадових осіб секретаріату Уповноваженого із запобігання або усунення порушень законодавства із захисту ПД | — від 5100 до 17000 грн. (частина друга статті 18839 КУпАП); — за повторне протягом року порушення — від 8500 до 34000 грн. (частина третя статті 18839КУпАП) |
| Недотримання встановленого законодавством із захисту персональних даних порядку захисту ПД, що призвело до незаконного доступу до них або порушення прав суб’єкта ПД | — від 5100 до 17000 грн. (частина четверта статті 18839 КУпАП); — за повторне протягом року порушення — від 17000 до 34000 грн. (частина п’ята статті 18839 КУпАП) |
| Невиконання законних вимог Уповноваженого або представників Уповноваженого | — від 1700 до 3400 грн. (стаття 18840 КУпАП) |
Зауважимо, що з 01.01.2014 р. не передбачено штраф за неповідомлення суб’єкта ПД про обробку його даних. Що стосується недотримання встановленого порядку захисту ПД, то санкції загрожують лише в тому випадку, якщо це призвело до незаконного доступу або порушення прав суб’єкта ПД.
Висновки
У підприємця, який працює з фізичними особами, як правило, формуються БПД. Він вважається власником БПД, фізичні особи — суб’єктами ПД, а використання ПД у розумінні Закону № 2297 позначено терміном «обробка ПД».
На сьогодні БПД з даними про сторонніх фізичних осіб (як підприємців, так і звичайних громадянах) потрібно зареєструвати в ДСЗПД.
Не потрібно реєструвати:
— БПД за даними, які підприємці збирають для себе в особисті довідники тощо;
— БПД працівників (цей виняток з’явився в Законі № 2297 з 20.12.2012 р.);
— відомості лише про одного контрагента (не створюють БПД).
З 01.01.2014 р. буде скасовано реєстрацію БПД. Водночас, якщо обробка отриманих ПД становитиме особливий ризик для прав і свобод фізичних осіб, то власнику БПД доведеться повідомляти про це Уповноваженого, який перейматиметься цими питаннями замість ДСЗПД.
Сьогодні і після 01.01.2014 р. право обробляти ПД виникає у підприємця на підставі згоди фізичної особи, норм законодавства або в інших випадках, передбачених статтею 11 Закону № 2297. Водночас, як і раніше, доведеться повідомляти суб’єктів ПД, чиї дані оброблятимуться, про мету їх збору, склад, зміст тощо.
Також з 01.01.2014 р. зміняться розміри адмінштрафів за порушення у сфері обробки та захисту ПД.
Документи статті
КУпАП — Кодекс України про адміністративні правопорушення від 07.12.84 р. № 8073-X.
Закон № 2297 — Закон України «Про захист персональних даних» від 01.06.2010 р. № 2297-VI.
Закон № 383 — Закон України «Про внесення змін до деяких законодавчих актів України щодо удосконалення системи захисту персональних даних» від 03.07.2013 р. № 383-VII.
