Захист персональних даних в Україні:
відповіді на запитання та практичні поради
Володимир Лежнін, юрист, консалтингові послуги, м. Харків
Під час реалізації Закону № 2297 виникає величезна кількість запитань, відповіді на більшість з яких ви зможете знайти у цій статті.
ДОКУМЕНТИ СТАТТІ
Конституція — Конституція України від 28.06.2011 р. № 254к/96-ВР.
КЗпПУ — Кодекс законів про працю України від 10.12.71 р. № 322-VIII.
ККУ — Кримінальний кодекс України від 05.04.2001 р. № 2341-III.
ЦК — Цивільний кодекс України від 16.01.2003 р. № 435-IV.
КПКУ — Кримінальний процесуальний кодекс України від 28.12.1960 р. № 1000-V.
КУпАП — Кодекс України про адміністративні правопорушення від 07.12.84 р. № 8073-Х.
ПКУ — Податковий кодекс України від 02.12.2010 р. № 2755-VI.
Закон № 2297 — Закон України «Про захист персональних даних» від 01.06.2010 р. № 2297-VI.
Закон про обов'язковий примірник документів — Закон України «Про обов'язковий примірник документів» від 09.04.99 р. № 595-XIV.
Закон про інформацію — Закон України «Про інформацію» від 02.10.92 р. № 2657-XII.
Закон № 996 — Закон України «Про бухгалтерський облік та фінансову звітність в Україні» від 16.07.99 р. № 996-XIV.
Закон про електронний цифровий підпис — Закон України «Про електронний цифровий підпис» від 22.05.2003 р. № 852-IV.
Закон № 877 — Закон України «Про основні засади державного нагляду (контролю) у сфері господарської діяльності» від 05.04.2007 р. № 877-V.
Закон про державну підтримку засобів масової інформації та соціальний захист журналістів — Закон України «Про державну підтримку засобів масової інформації та соціальний захист журналістів» від 23.09.97 р. № 540/97-ВР.
Закон про професійних творчих працівників та творчі спілки — Закон України «Про професійних творчих працівників та творчі спілки» від 07.10.97 р. № 554/97-ВР.
Положення — Положення про Державну службу України з питань захисту персональних даних, затверджене Указом Президента України від 06.04.2011 р. № 390.
Роз’яснення — Роз’яснення Міністерства юстиції України «Деякі питання практичного застосування Закону України «Про захист персональних даних» від 21.12.2011 р.
Типовий порядок — Типовий порядок обробки персональних даних у базах персональних даних, затверджений наказом Міністерства юстиції України від 30.12.2011 р. № 3659/5.
Лист Мін'юсту — Лист Міністерства юстиції України від 08.11.2011 р. № 17304-0-33-11/61.
Який критерій віднесення відомостей до персональних даних?
Персональні дані — відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована (ст. 2 Закону № 2297).
Не всі відомості щодо фізичної особи є її персональними даними. Наприклад, збирання та зберігання лише імен клієнтів (без прізвищ), їх вік та стать не може бути персональними даними. Оскільки за цими відомостями не можна ідентифікувати конкретну фізичну особу. У випадках поширеності прізвища (Іванов, Петров...) навіть зазначення прізвища та ініціалів не є персональними даними. Однак, якщо прізвище рідкісне — це інша справа, оскільки лише за цим прізвищем можна визначити особу.
Тому перелік виконаних робіт із зазначенням псевдоніму не є персональними даними та не становить базу персональних даних (далі — БПД).
Як випливає із визначення, головним критерієм персональних даних є можливість ідентифікації (установлення тотожності) за цими відомостями конкретної фізичної особи.
Що означає упорядкованість персональних даних? Як це впливає на реєстрацію БПД?
Під базою персональних даних (далі — БПД) законодавець розуміє іменовану сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних (ст. 2 Закону № 2297).
Відповідно до Роз’яснень, БПД є упорядкованою сукупністю логічно пов’язаних даних про фізичних осіб що:
— зберігаються та обробляються відповідним програмним забезпеченням, є базою персональних даних в електронній формі;
— зберігаються та обробляються на паперових носіях інформації, є базою персональних даних у формі картотек.
У разі зберігання даних в електронній формі, очевидна їх упорядкованість. Оскільки функція пошуку надає легкий доступ до інформації за заданими критеріями. А упорядкувати — означає систематизувати, складати, підбирати в певному порядку (який-небудь матеріал); укладати.
Вимоги до обробки персональних даних у БПД в електронній формі:
— обробка персональних даних в інформаційній (автоматизованій) системі може здійснюватись у складі інформаційно-телекомунікаційної системи із застосуванням засобів мережного захисту від несанкціонованого доступу під час обробки персональних даних (п. 2.2. Типового порядку);
— працівники володільця БПД допускаються до обробки персональних даних лише після їх авторизації (п. 2.3 Типового порядку);
— доступ осіб, які не пройшли процедуру ідентифікації та/або автентифікації (процедура встановлення належності працівникові володільця або розпорядника БПД пред’явленого ним ідентифікатора), повинен блокуватись (п. 2.4 Типового порядку);
— в інформаційній (автоматизованій) системі, де обробляються персональні дані, може здійснюватись реєстрація, зокрема:
— результатів ідентифікації та/або автентифікації працівників володільця БПД;
— дій з обробки персональних даних;
— факту встановлення ознаки «Підтвердження надання згоди на обробку персональних даних у БПД» за допомогою управляючих елементів веб-ресурсів володільця або розпорядника БПД, інтерфейсів користувача програмного забезпечення;
— результатів перевірки цілісності засобів захисту персональних даних;
— відповідальна особа та/або структурний підрозділ може проводити аналіз реєстраційних даних;
— реєстраційні дані захищаються від модифікації та знищення;
— реєстраційні дані повинні зберігатися та надаватися за вмотивованою вимогою для аналізу суб’єктам відносин, пов’язаним із персональними даними (п. 2.5 Типового порядку);
— володілець БПД забезпечує антивірусний захист в інформаційній (автоматизованій) системі (п. 2.6 Типового порядку);
— володілець БПД забезпечує використання технічних засобів безперебійного живлення елементів інформаційної (автоматизованої) системи (п. 2.7 Типового порядку).
Що ж розуміти під картотекою? Картотекою персональних даних є будь-який структурований масив персональних даних, що є доступним з визначеними критеріями, незалежно від того, чи є такий масив централізованим, децентралізованим або розділеним на функціональних або географічних засадах. Такі дані мають бути структуровані за визначеними критеріями, що стосуються фізичних осіб, щоб забезпечити легкий доступ до відповідних персональних даних (Роз’яснення).
Таким чином, для визначення картотеки необхідно, щоб документи були згруповані за певними критеріями, що стосується фізичних осіб: прізвищам за алфавітом, датам народження, належністю до певної групи тощо.
Вимоги до обробки персональних даних у БПД у формі картотек:
— документи, що містять персональні дані, формуються у справи залежно від мети обробки персональних даних;
— справи з документами, що містять персональні дані, повинні мати внутрішні описи документів із зазначенням мети обробки і категорії персональних даних;
— картотеки зберігаються у приміщеннях (шафах, сейфах), захищених від несанкціонованого доступу (п. 3.1 Типового порядку);
— двері у приміщеннях (шафах, сейфах) повинні бути обладнані замком або контролем доступу (п. 3.2 Типового порядку).
Якщо ж масив даних у паперовій формі не структурований таким чином, то відсутня БПД. Як повідомляє прес-служба Мін'юсту, не є БПД та не підлягають державній реєстрації неупорядковані договори виконання робіт або надання послуг з фізичними особами.
Однак у деяких випадках необхідність упорядковувати персональні дані фізичних осіб продиктована нормами інших нормативно-правових актів та необхідністю їх захисту.
Відповідальність за організацію бухгалтерського обліку та забезпечення фіксування фактів здійснення всіх господарських операцій у первинних документах (договорах, актах тощо), збереження оброблених документів, регістрів і звітності протягом установленого терміну, але не менше трьох років, несе власник (власники) або керівник (ч. 3 ст. 8 Закону № 996).
А відповідно до ч. 2 ст. 10 Закону № 2297 використання персональних даних володільцем бази здійснюється у разі створення ним умов для захисту цих даних.
Таким чином, у юридичних осіб не може бути «неупорядкованих» договорів, що є первинними документами. Адже така особа регулярно подає звітність, розраховує розмір податку для сплати тощо. А тому таке твердження актуальне при застосуванні спрощеної системи оподаткування.
Якщо оброблюються персональні дані однієї фізичної особи, чи необхідно реєструвати БПД?
Відповідно до листа Мін'юсту, виходячи зі змісту поняття БПД, визначеного ст. 2 Закону № 2297, персональні дані однієї фізичної особи не є БПД. Але особа, яка володіє цими даними, зобов'язана вживати заходів щодо їх збереження.
Які є види персональних даних?
Існують персональні дані таких категорій:
дані загального характеру (прізвище, ім’я та по батькові, дата та місце народження, громадянство, місце проживання, особисті відомості (вік, стать, сімейний стан тощо), склад сім'ї, освіта, професія, фінансова інформація, електронні ідентифікаційні дані, запис зображень (фото, відео) тощо)
та вразливі (чутливі) персональні дані (расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також дані, що стосуються здоров'я чи статевого життя).
Що розуміти під згодою суб’єкта персональних даних? Чи може ця згода бути виражена в усній формі?
Відповідно до ст. 2 Закону № 2297: «згода суб'єкта персональних даних — будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки».
Як випливає із визначення, формою згоди є:
— письмове волевиявлення;
— будь-яке документоване волевиявлення.
Письмове волевиявлення є по суті письмовим правочином (дією особи, спрямованої на набуття, зміну чи припинення прав та обов’язків). Тому до письмового волевиявлення застосовуються вимоги ст. 207 ЦК України:
— правочин вважається таким, що вчинений у письмовій формі, якщо його зміст зафіксований в одному або кількох документах, у листах, телеграмах, якими обмінялися сторони;
— правочин вважається таким, що вчинений у письмовій формі, якщо воля сторін виражена за допомогою телетайпного, електронного або іншого технічного засобу зв'язку;
— правочин вважається таким, що вчинений у письмовій формі, якщо він підписаний його стороною;
— згода може бути підписана і електронним цифровим підписом у порядку, передбаченому Законом про електронний цифровий підпис;
— якщо фізична особа у зв'язку з хворобою або фізичною вадою не може підписатися власноручно, за її дорученням текст правочину у її присутності підписує інша особа. Підпис іншої особи на тексті правочину, щодо якого не вимагається нотаріального посвідчення, може бути засвідчений відповідною посадовою особою за місцем роботи, навчання, проживання або лікування особи, яка його вчиняє.
Що ж таке «документоване» волевиявлення?
Документована згода — це згода фізичної особи, що закріплена у документі.
Документ — матеріальна форма одержання, зберігання, використання і поширення інформації, зафіксованої на папері, магнітній, кіно-, фотоплівці, оптичному диску або іншому носієві (ст. 1 Закону про обов'язковий примірник документів).
Згідно зі ст. 1 Закону про інформацію, документ — матеріальний носій, що містить інформацію, основними функціями якого є її збереження та передавання у часі та просторі.
Таким чином, згода особи на обробку її персональних даних може бути надана шляхом її проголошення (зачитування тексту згоди) із записом на відео чи шляхом звукозапису. У подальшому такий запис можна зберігати на будь-яких носіях інформації — дисках, флеш-накопичувачах, жорстких дисках, кіноплівці тощо.
Такий спосіб згоди прийнятний не для всіх. Однак для деяких категорій організацій чи підрозділів просто необхідний. Так, кадрові служби будівельної компанії (або рекрутингові агентства) спілкуються з кандидатами в Україні, хоча територіально знаходяться у одному місці. Як збирати згоди? Спілкуючись із кандидатом за допомогою програми «Skype», попросіть зачитати текст згоди, збережіть цей файл і формальність щодо отримання згоди буде збережена. А повідомлення про включення його даних до БПД із роз’ясненням прав можна вислати електронною поштою одразу під час розмови. Цей спосіб також підходить для осіб з обмеженими можливостями, які не можуть самостійно підписати документ.
Увага, перед записом згоди необхідно запитати згоду особи на відео- чи звукозапис. Ця згода повинна бути чітко сформульована під час запису.
Таким чином, надання усної згоди допускається за умови її запису за допомогою відео- чи звукозаписуючих пристроїв із подальшим збереженням такого документа.
Що повинна містити згода суб’єкта персональних даних?
Згідно з вимогами Закону № 2297 згода суб’єкта персональних даних на обробку персональних даних повинна містити інформацію щодо:
— мети , яка визначається володільцем БПД залежно від виду його діяльності, при здійсненні якої виникає необхідність у обробці персональних даних у БПД, конкретних цілей обробки персональних даних, для досягнення яких володілець обробляє персональні дані у цій базі (ст. 2 Закону № 2297);
— обсягу персональних даних, а саме чіткого переліку персональних даних фізичної особи, які можуть оброблятися володільцем бази персональних даних у цій базі (ст. 6 Закону № 2297);
— порядку використання персональних даних , який передбачає дії володільця бази щодо обробки цих даних, у тому числі використання персональних даних працівниками володільця БПД, відповідно до їхніх професійних чи службових або трудових обов’язків, дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншим суб’єктам відносин, пов’язаних із персональними даними (ст. 10 Закону № 2297);
— порядку поширення персональних даних , який передбачає дії володільця БПД щодо передачі відомостей про фізичну особу з БПД (ст. 14 Закону № 2297);
— порядку доступу до персональних даних третіх осіб , який визначає дії володільця БПД у разі отримання запиту від третьої особи щодо доступу до персональних даних, у тому числі порядок доступу суб’єкта персональних даних до відомостей про себе (ст. 16 Закону № 2297).
Які особливості захисту персональних даних фізичними
особами-підприємцями та самозайнятими особами?
Відповідно до Роз’яснень, фізичні особи-підприємці та самозайняті особи самостійно визначають, чи володіють вони базами персональних даних у розумінні Закону № 2297.
Самозайнята особа — це платник податку, який є фізичною особою — підприємцем або провадить незалежну професійну діяльність за умови, що така особа не є працівником у межах такої підприємницької чи незалежної професійної діяльності.
Незалежна професійна діяльність — участь фізичної особи у науковій, літературній, артистичній, художній, освітній або викладацькій діяльності, діяльність лікарів, приватних нотаріусів, адвокатів, аудиторів, бухгалтерів, оцінщиків, інженерів чи архітекторів, особи, зайнятої релігійною (місіонерською) діяльністю, іншою подібною діяльністю за умови, що така особа не є працівником або фізичною особою — підприємцем та використовує найману працю не більш як чотирьох фізичних осіб (п.п. 14.1.226 п. 14.1 ст. 14 ПКУ).
Так, під час здійснення своєї професійної діяльності на адвокатів законодавством не покладено обов’язок ведення баз персональних даних клієнтів. Але якщо адвокати формують справи на своїх клієнтів, які вони постійно оновлюють та підтримують в актуальному стані, такі справи є базою персональних даних та підлягають державній реєстрації.
Нотаріуси можуть обробляти персональні дані своїх найманих працівників, клієнтів у базах персональних даних, однак, документи нотаріального діловодства та архів нотаріуса, визначені у ст. 14 Закону України «Про нотаріат» не є базою персональних даних у розумінні Закону України «Про захист персональних даних» та не підлягають державній реєстрації.
Крім того, у випадку, якщо фізичні особи — підприємці укладають договори виконання робіт або надання послуг з фізичними особами, такі договори також не є базою персональних даних та не підлягають державній реєстрації.
Чи необхідно юридичній особі створювати БПД найманих працівників?
Однозначну відповідь на це запитання дає Роз’яснення:
«Відповідно до ст. 24 КЗпП громадянин при укладенні трудового договору зобов’язаний подати паспорт або інший документ, що посвідчує особу, трудову книжку, а у випадках, передбачених законодавством, — також документ про освіту (спеціальність, кваліфікацію), про стан здоров’я та інші документи.
У зв’язку з цим персональні дані працівника, які містяться в паспорті або документі, що посвідчує особу, в трудовій книжці, документі про освіту (спеціальність, кваліфікацію), документі про стан здоров’я та інших документах, які він подав при укладенні трудового договору, обробляються володільцем бази персональних даних на підставі ст. 24 КЗпП виключно для здійснення повноважень володільця бази персональних даних у сфері правовідносин, які виникли в нього з працівником на підставі трудового договору (контракту).
Таким чином, інформація про найманих працівників є БПД, оскільки, особові справи, трудові книжки, копії паспортів, документів про освіту зберігаються та обробляються роботодавцем».
Якщо інформація про працівників не ведеться у юридичної особи,
чи необхідно реєструвати БПД?
Якщо відомості про працівників відсутні на підприємстві та не обробляються — то відсутня і БПД. Однак у такому разі працівники працюють без належного оформлення. Як уже зазначалося вище, при оформленні працівника в будь-якому разі є БПД.
Відсутність таких даних та відповідно зареєстрованої БПД свідчить про порушення трудового законодавства та тягне за собою кримінальну відповідальність.
Згідно з ч. 1 ст. 172 ККУ «Грубе порушення законодавства про працю», незаконне звільнення працівника з роботи з особистих мотивів, а також інше грубе порушення законодавства про працю — караються штрафом до 850 грн. або позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до трьох років, або виправними роботами на строк до двох років.
На кого не поширюється Закон № 2297?
Дія Закону № 2297 не поширюється на діяльність зі створення баз персональних даних та обробки персональних даних у цих базах (абз. 2 ст. 1 Закону № 2297):
фізичною особою — виключно для непрофесійних особистих чи побутових потреб ;
журналістом — у зв'язку з виконанням ним службових чи професійних обов'язків;
професійним творчим працівником — для здійснення творчої діяльності.
Під непрофесійними особистими та побутовими потребами розуміються потреби, що безпосередньо не пов'язані з підприємницькою діяльністю, діяльністю самозайнятої особи або виконанням обов'язків найманого працівника. Такі потреби обумовлені реалізацією конституційних прав людини — на життя, на вільний розвиток своєї особистості, на повагу до його гідності, на свободу та особисту недоторканність, таємниці кореспонденції, свободу пересування та вільний вибір місця проживання, свободу думки і слова, свободу світогляду та віросповідання, розпорядженню власністю, на охорону здоров’я, на свободу літературної, художньої, наукової і технічної творчості тощо.
Так, БПД для побутових потреб ми користуємося щодня — це телефонна книга із зазначенням осіб та номерів, перелік адрес знайомих, дати їх народження, перелік осіб, які надають послуги — лікарі, перукарі, сантехніки тощо. А тому безглуздим було б вимагати реєструвати такі БПД чи при знайомстві з дівчиною перед тим, як узяти у неї номер телефону, запропонувати підписати згоду на обробку її персональних даних...
Журналіст — творчий працівник, який професійно збирає, одержує, створює і займається підготовкою інформації для засобів масової інформації, виконує редакційно-посадові службові обов'язки в засобі масової інформації (в штаті або на позаштатних засадах) відповідно до професійних назв посад (роботи) журналіста, що зазначаються в державному класифікаторі професій України (ст. 1 Закону про державну підтримку засобів масової інформації та соціальний захист журналістів).
Причиною для виключення журналістів є необхідність забезпечення «свободи слова» як однієї із головних засад демократичного українського суспільства.
Професійним творчим працівником є особа, яка провадить творчу діяльність на професійній основі, результатом якої є створення або інтерпретація творів у сфері культури та мистецтва, публічно представляє такі твори на виставках, шляхом публікації, сценічного виконання, кіно-, теле-, відеопоказу тощо та/або є членом творчої спілки, та/або має державні нагороди за діяльність у сфері культури і мистецтва (ст. 1 Закону про професійних творчих працівників та творчі спілки).
Основними напрямами діяльності таких працівників, що обумовлють необхідність виключення їх із-під сфери дії Закону № 2297, є:
творча діяльність у галузі культури і мистецтва;
розвиток національної культури та мистецтва, розроблення і втілення в життя культурно-мистецьких заходів, організація творчих конкурсів, виставок, авторських вечорів, прем'єр, фестивалів тощо;
створення умов для творчої праці, підвищення професійного, наукового та загальнокультурного рівня членів творчої спілки, виховання творчої молоді, оволодіння нею досягненнями національної та загальнолюдської культури;
пошук талантів серед молоді та сприяння їх творчому розвитку;
видання газет, журналів, книг та іншої друкованої продукції, створення кіно- та відеофільмів, аудіовізуальної продукції з метою популяризації досягнень української та світової культури і мистецтва, творчого доробку членів спілок;
турбота про правовий, соціальний та професійний захист членів творчої спілки;
сприяння відродженню, розвитку та популяризації народної творчості, творчому використанню народних традицій у розвитку культури та мистецтва, збереженню та збагаченню історико-культурної спадщини та довкілля, проведенню масових культурно-просвітницьких заходів, а також утвердженню демократичних, загальнолюдських цінностей;
постійна співпраця з педагогічними та науково-педагогічними колективами навчальних закладів;
подання допомоги в навчально-виховній роботі педагогічним колективам у патріотичному, культурному та інтелектуальному розвитку дітей та молоді, у морально-етичному та естетичному вихованні;
сприяння обміну культурними цінностями, співробітництво між діячами культури і мистецтва різних країн, національними і міжнародними організаціями культури та мистецтв;
виховання поваги до історико-культурних цінностей, традицій українського та інших народів (ч. 3 ст. 3 Закону про професійних творчих працівників та творчі спілки).
Який момент виконання обов’язку реєстрації БПД?
Як визначено у Роз’ясненні, реєстрація БПД здійснюється за заявочним принципом шляхом повідомлення. Суть заявочного принципу полягає в тому, що основним є подання володільцем БПД заяви про реєстрацію БПД, а не отримання свідоцтва про державну реєстрацію БПД. Отже, ключовим та визначальним є факт унесення відповідного запису Державною службою України з питань захисту персональних даних до Державного реєстру БПД, а не отримання відповідного свідоцтва.
Таким чином, моментом виконання вимог Закону № 2297 щодо реєстрації БПД є факт відправлення заяви на реєстрацію Державній службі України з питань захисту персональних даних.
Хто може перевіряти дотримання законодавства
щодо захисту персональних даних?
Здійснення контролю за додержанням законодавства про захист персональних даних відповідно до ст. 22 Закону № 2297 покладено на Державну службу України з питань захисту персональних даних (далі — ДСЗПД); інші органи державної влади та органи місцевого самоврядування.
Так, відповідно до п.п. 14 п. 3 Положення, ДСЗПД здійснює контроль за додержанням законодавства про захист персональних даних шляхом проведення виїзних та безвиїзних перевірок володільців та (або) розпорядників баз персональних даних.
Також відповідно до п.п. 16 п. 3 Положення, ДСЗПД складає адміністративні протоколи про виявлення порушення законодавства у сфері захисту персональних даних.
Згідно зі ст. 19 Конституції, органи державної влади та органи місцевого самоврядування, їх посадові особи зобов'язані діяти лише на підставі, у межах повноважень та у спосіб, що передбачені Конституцією та законами України.
У законах, положеннях про інші контролюючі органи відсутні повноваження щодо проведення перевірок з питань захисту персональних даних. Тому інші органи (УБОП, УБЕП, ДПІ тощо) не мають права проводити перевірки дотримання законодавства у сфері захисту персональних даних.
Це стосується порушень визначених КУпАП. Однак ст. 182 ККУ «Порушення недоторканності приватного життя» визначає: «1. Незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації, крім випадків, передбачених іншими статтями цього Кодексу, — караються штрафом від п'ятисот (8500 грн.) до однієї тисячі (17 000 грн.) неоподатковуваних мінімумів доходів громадян або виправними роботами на строк до двох років, або арештом на строк до шести місяців, або обмеженням волі на строк до трьох років.
2. Ті самі дії, вчинені повторно, або якщо вони заподіяли істотну шкоду охоронюваним законом правам, свободам та інтересам особи, — караються арештом на строк від трьох до шести місяців або обмеженням волі на строк від трьох до п'яти років, або позбавленням волі на той самий строк.
Примітка. Істотною шкодою у цій статті, якщо вона полягає у заподіянні матеріальних збитків, вважається така шкода, яка в сто і більше разів перевищує неоподатковуваний мінімум доходів громадян».
Перевірку , що передує порушенню кримінальної справи за ст. 182 ККУ, здійснюють органи міліції чи прокуратури у порядку, визначеному КПКУ. Однак ця перевірка здійснюється щодо конкретного факту порушення, а не щодо всієї діяльності. Розслідування у кримінальній справі про злочин, передбачений ст. 182 ККУ, проводиться органами прокуратури (ст. 112 КПКУ).
Однак притягає до адміністративної та кримінальної відповідальності за порушення норм про захист персональних даних виключно суд.
Як проводиться перевірка ДСЗПД, якщо відсутнє
положення про перевірки?
Дійсно, на сьогодні ще не прийнято положення чи інший документ, що регламентує порядок проведення перевірок ДСЗПД. Однак ДСЗПД наділено широкими повноваженнями відповідно до Закону № 2297 та Положення.
ДСЗПД має наступні права, що стосуються перевірок:
— здійснює в межах своїх повноважень контроль за додержанням вимог законодавства про захист персональних даних із забезпеченням відповідно до закону доступу до інформації, пов'язаної з обробкою персональних даних у БПД (коментар дивіться нижче. — Прим. авт.), та до приміщень, де здійснюється їх обробка (п. 4 ч. 2 ст. 23 Закону № 2297);
— видає обов'язкові для виконання законні вимоги (приписи) про усунення порушень законодавства про захист персональних даних (п. 5 ч. 2 ст. 23 Закону № 2297);
— розглядає пропозиції, запити, звернення, вимоги та скарги фізичних і юридичних осіб (п. 6 ч. 2 ст. 23 Закону № 2297);
— здійснює державний нагляд та контроль за додержанням законодавства про захист персональних даних (п.п. 12 п. 4 Положення про ДСЗПД);
— розробляє та затверджує плани перевірок володільців та (або) розпорядників баз персональних даних щодо дотримання ними вимог законодавства у сфері захисту персональних даних (п.п. 13 п. 4 Положення про ДСЗПД);
— проводить у межах своїх повноважень виїзні та безвиїзні перевірки володільців та (або) розпорядників баз персональних даних (п.п. 14 п. 4 Положення про ДСЗПД);
— одержує інформацію, документи і матеріали від державних органів та органів місцевого самоврядування, підприємств, установ, організацій усіх форм власності та їх посадових осіб (п.п. 2 п. 6 Положення про ДСЗПД);
— користується відповідними інформаційними базами даних державних органів, державними, в тому числі урядовими, системами зв’язку і комунікацій, мережами спеціального зв’язку та іншими технічними засобами (п.п. 4 п. 5 Положення про ДСЗПД).
Законодавець не розкриває поняття «інформації, пов'язаної з обробкою персональних даних». На думку автора, під цим терміном слід розуміти не самі персональні дані, а задокументовані дозволи на обробку персональних даних, докази повідомлення суб’єкта, внутрішні документи щодо обробки та захисту персональних даних.
Відповідно до ч. 7 ст. 4 Закону № 877 у разі якщо норма закону чи іншого нормативно-правового акта, виданого відповідно до закону, припускає неоднозначне тлумачення прав і обов'язків суб'єкта господарювання або органу державного нагляду (контролю) та його посадових осіб, рішення приймається на користь суб'єкта господарювання. У ДСЗПД відсутнє право вимагати надання саме БПД. Отже, на підставі ч. 7 ст. 4 Закону № 877 ДСЗПД не має права вимагати надавати самі БПД, якщо інше не визначено у дозволі фізичної особи на обробку персональних даних.
Таким чином, уся перевірка може полягати у тому, що ДСЗПД надішле запит про надання інформації та документів, пов’язаних з обробкою персональних даних. Або посадова особа ДСЗПД завітає та запропонує надати таку інформацію та документи.
Якщо ДСЗПД виявить порушення, то винесе припис або складе протокол про адміністративне правопорушення. У подальшому протокол буде передано до загального місцевого суду для прийняття рішення про притягнення до адміністративної відповідальності.
План перевірок ДСЗПД публікується на офіційному сайті: http://zpd.gov.ua/indexDovidkaInfo.html. Періодично переглядаючи таку інформацію, ви маєте змогу завчасно підготуватися до планової перевірки.
Загальні умови перевірки ДСЗП визначено у Законі № 877:
— планові та позапланові заходи здійснюються в робочий час суб'єкта господарювання, установлений правилами внутрішнього трудового розпорядку (ч. 3 ст. 4 Закону № 877);
— ДСЗПД та суб'єкти господарювання мають право фіксувати процес здійснення планового або позапланового заходу чи кожну окрему дію засобами аудіо- та відеотехніки, не перешкоджаючи здійсненню такого заходу (ч. 8 ст. 4 Закону № 877);
— плановий чи позаплановий захід повинен здійснюватися у присутності керівника або його заступника, або уповноваженої особи суб'єкта господарювання (ч. 11 ст. 4 Закону № 877);
— перед початком здійснення державного нагляду (контролю) посадова особа ДСЗПД вносить запис до відповідного журналу про перевірки суб'єкта господарювання (за його наявності) (ч. 12 ст. 4 Закону № 877);
— перед початком здійснення перевірки посадові особи ДСЗПД зобов'язані пред'явити керівнику суб'єкта господарювання або уповноваженій ним особі посвідчення (направлення) та службове посвідчення і надати суб'єкту господарювання копію посвідчення (направлення). Посадова особа ДСЗПД без посвідчення (направлення) на здійснення заходу та службового посвідчення не має права здійснювати перевірку суб'єкта господарювання. Увага! Суб'єкт господарювання має право не допускати посадових осіб ДСЗПД до здійснення перевірки, якщо вони не пред'явили направлення та службового посвідчення (ч. 5 ст. 7 Закону № 877);
— за результатами здійснення планового або позапланового заходу посадова особа ДСЗПД, у разі виявлення порушень вимог законодавства, складає акт перевірки. В останній день перевірки два примірники акта підписуються посадовими особами ДСЗПД, які здійснювали захід, та суб'єктом господарювання або уповноваженою ним особою, якщо інше не передбачено законом. Якщо Ви не погоджуєтеся з актом, то підписуйте акт із зауваженнями (ч. 6 ст. 7 Закону № 877).
Щодо планових перевірок. ДСЗПД здійснює планові перевірки за умови письмового повідомлення суб'єкта господарювання про проведення планового заходу не пізніш як за десять днів до дня здійснення цього заходу.
Повідомлення повинно містити:
дату початку та дату закінчення здійснення планового заходу;
найменування юридичної особи або прізвище, ім'я та по батькові фізичної особи — підприємця, щодо діяльності яких здійснюється захід;
найменування органу державного нагляду (контролю).
Повідомлення надсилається рекомендованим листом чи телефонограмою за рахунок коштів ДСЗПД або вручається особисто керівнику чи уповноваженій особі суб'єкта господарювання під розписку.
Ви маєте право не допускати посадову особу ДСЗПД до здійснення планового заходу в разі неодержання повідомлення про здійснення планового заходу (ч. 4 ст. 5 Закону № 877).
Строк здійснення планового заходу не може перевищувати п'ятнадцяти робочих днів, а для суб'єктів малого підприємництва — п'яти робочих днів, якщо інше не передбачено законом. Продовження строку здійснення планового заходу не допускається (ч. 5 ст. 5 Закону № 877).
Щодо позапланової перевірки. Підставами для здійснення позапланових заходів є:
подання суб'єктом господарювання письмової заяви до ДСЗПД про здійснення заходу державного нагляду (контролю) за його бажанням;
виявлення та підтвердження недостовірності даних, заявлених у документах обов'язкової звітності, поданих суб'єктом господарювання;
перевірка виконання суб'єктом господарювання приписів, розпоряджень або інших розпорядчих документів щодо усунення порушень вимог законодавства, виданих за результатами проведення планових заходів ДСЗПД;
звернення фізичних та юридичних осіб про порушення суб'єктом господарювання вимог законодавства;
неподання у встановлений термін суб'єктом господарювання документів обов'язкової звітності без поважних причин, а також письмових пояснень про причини, які перешкоджали поданню таких документів;
настання аварії, смерті потерпілого внаслідок нещасного випадку або професійного захворювання, що було пов'язано з діяльністю суб'єкта господарювання.
Увага, під час проведення позапланової перевірки з'ясовуються лише ті питання, необхідність перевірки яких стала підставою для здійснення цього заходу, з обов'язковим зазначенням цих питань у посвідченні (направленні) на проведення перевірки (ч. 1 ст. 6 Закону № 877).
Проведення позапланових заходів з інших підстав, крім передбачених цією статтею, забороняється, якщо інше не передбачається законом або міжнародним договором України, згода на обов'язковість якого надана Верховною Радою України (ч. 2 ст. 6 Закону № 877).
Суб'єкт господарювання повинен ознайомитися з підставою проведення позапланового заходу з наданням йому копії відповідного документа. Тобто ви маєте право отримати копію скарги, запитів тощо (ч. 3 ст. 6 Закону № 877).
Строк здійснення позапланового заходу не може перевищувати десяти робочих днів, а щодо суб'єктів малого підприємництва — двох робочих днів. Продовження строку здійснення позапланового заходу не допускається (ч. 4 ст. 6 Закону № 877).
Посадові особи ДСЗПД під час здійснення перевірки зобов'язані:
— повно, об'єктивно та неупереджено здійснювати перевірку у межах повноважень, передбачених законом — тобто лише щодо обробки та захисту персональних даних;
— дотримуватися ділової етики у взаємовідносинах із суб'єктами господарювання;
— не втручатися і не перешкоджати здійсненню господарської діяльності під час здійснення перевірки, якщо це не загрожує життю та здоров'ю людей, не спричиняє небезпеки виникнення техногенних ситуацій і пожеж;
— забезпечувати нерозголошення комерційної таємниці суб'єкта господарювання, що стає доступною посадовим особам у ході здійснення перевірки;
— ознайомити керівника суб'єкта господарювання або його заступника, або уповноважену ним особу з результатами перевірки;
— надавати суб'єкту господарювання консультаційну допомогу щодо здійснення перевірки (ч. 2 ст. 8 Закону № 877).
Суб'єкт господарювання під час здійснення перевірки має право:
— перевіряти наявність у посадових осіб ДСЗПД службового посвідчення і одержувати копії посвідчення (направлення) на проведення планового або позапланового заходу;
— не допускати посадових осіб органу державного нагляду (контролю) до здійснення державного нагляду (контролю), якщо:
— він здійснюється з порушенням вимог щодо періодичності проведення заходів державного нагляду (контролю), передбачених законом;
— посадова особа органу державного нагляду (контролю) не надала копії документів, передбачених Законом № 877, або якщо надані документи не відповідають вимогам Закону № 877;
— бути присутнім під час здійснення заходів державного нагляду (контролю);
— вимагати нерозголошення інформації, що є комерційною таємницею суб'єкта господарювання;
— одержувати та знайомитися з актами перевірки;
— надавати в письмовій формі свої пояснення, зауваження або заперечення до акта перевірки;
— оскаржувати в установленому законом порядку неправомірні дії посадових осіб ДСЗПД (ст. 10 Закону № 877).
Що саме буде перевіряти ДСЗПД? Як ДСЗПД виявить порушення?
ДСЗПД перевіряє дотримання вимог захисту персональних даних:
1) неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних про його права у зв’язку із включенням його персональних даних до БПД, мету збору цих даних та осіб, яким ці дані передаються;
2) неповідомлення або несвоєчасне повідомлення ДСЗПД про зміну відомостей, що подаються для державної реєстрації бази персональних даних;
3) ухилення від державної реєстрації БПД;
4) недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних у БПД, що призвело до незаконного доступу до них;
5) невиконання законних вимог посадових осіб ДСЗПД щодо усунення порушень законодавства про захист персональних даних (Рекомендації).
Виявити ж порушення для ДСЗПД неважко. ДСЗПД витребує відомості про контрагентів — фізичних осіб у податковому органі, про працівників — в управлінні Пенсійного фонду чи служби зайнятості тощо. У подальшому у вас затребуються докази вчинення дій щодо реєстрації БПД, отримання згоди на обробку та повідомлення суб’єктів персональних даних. ДСЗПД веде реєстр БПД, а тому легко перевірити, чи зареєстрували ви БПД працівників та контрагентів—фізичних осіб, якщо такі є. Також у відповідальної особи витребується інформація щодо обробки та захисту персональних даних.
Якщо щодо вас надійшла скарга, перевіряючі перш за все перевірять факти, викладені у скарзі.
Якщо перевірка проводиться за фактом вчинення злочину, передбаченого ст. 182 ККУ, то засобами доказування будуть: показання свідка, показання потерпілого, показання підозрюваного, показання обвинуваченого, висновок експерта, речові докази, протоколи слідчих і судових дій, протоколи з відповідними додатками, складеними уповноваженими органами за результатами оперативно-розшукових заходів, та інші документи (ч. 2 ст. 65 КПКУ).
Якщо до державного реєстру БПД не заносяться персональні дані,
то навіщо взагалі потрібна така реєстрація?
Відповідно до пояснювальної записки до законопроекту, метою прийняття такого законопроекту (а отже, і реєстрації БПД) є сприяння соціальному, економічному і науково-технічному прогресу і забезпеченню балансу прав людини, суспільства та держави в цій сфері суспільних відносин, а також покращення нормативно-правового забезпечення захисту персональних даних в Україні відповідно до міжнародного права.
Реалії українського суспільства дозволяють виокремити наступні цілі такої реєстрації:
— облік БПД по всій Україні, що полегшує здійснення їх перевірок;
— доступність для кожного інформації про зареєстровані БПД, що дозволяє відшукати такі бази суб’єктам персональних даних;
— поповнення бюджету за рахунок стягнення штрафів за порушення норм про захист персональних даних;
— додатковий важіль впливу на господарюючі суб’єкти.
Як фізична особа дізнається, що її персональні дані обробляються?
Джерела інформації для фізичної особи, де можна дізнатися про обробку своїх персональних даних:
— згода про обробку персональних даних. У фізичної особи береться згода на обробку її персональних даних. Згода містить інформацію, зокрема, про БПД та обсяг персональних даних (п. 1 ч. 1 ст. 11 Закону № 2297);
— письмове повідомлення. Суб'єкт персональних даних протягом десяти робочих днів з дня включення його персональних даних до БПД повідомляється про свої права, мету збору даних та осіб, яким передаються його персональні дані, виключно в письмовій формі (ч. 2 ст. 12 Закону № 2297). Таке повідомлення вручається особі під підпис або цінним рекомендованим листом з описом вкладеного та повідомленням про вручення — інакше неможливо буде довести повідомлення фізичної особи. Відповідь на таке повідомлення законодавством не передбачено;
— відповідь на запит суб’єкта персональних даних. Суб’єкт персональних даних може звернутися до володільця БПД із запитом, чи зберігаються його персональні дані у відповідній базі персональних даних, та проханням отримувати зміст його персональних даних, які зберігаються. Відповідь надається протягом 30 днів (пп. 3, 4 ч. 2 ст. 8 Закону № 2297). Суб'єкт персональних даних має право на одержання будь-яких відомостей про себе у будь-якого суб'єкта відносин, пов'язаних з персональними даними, без зазначення мети запиту, крім випадків, установлених законом (ч. 6 ст. 16 Закону № 2297). Доступ суб'єкта персональних даних до даних про себе здійснюється безоплатно (ч. 1 ст. 19 Закону № 2297);
— державний реєстр БПД. Ви можете зайти до державного реєстру БПД у мережі Інтернет (https://rbpd.informjust.ua/default.aspx) та дізнатися про БПД контрагентів, роботодавця тощо.
Чи може фізична особа заборонити обробку своїх персональних даних?
Не допускається обробка даних про фізичну особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини (ч. 6 ст. 6 Закону № 2297).
Суб’єкт персональних даних має право пред'являти вмотивовану вимогу із запереченням проти обробки своїх персональних даних органами державної влади, органами місцевого самоврядування при здійсненні їхніх повноважень, передбачених законом (п. 5 ч. 2 ст. 8 Закону № 2297).
Таким чином, за загальним правилом фізична особа може заборонити обробку своїх персональних даних. Про винятки йтиметься далі.
У яких випадках можуть бути обмежені права фізичної особи
на захист її персональних даних?
Обмеження прав суб’єктів персональних даних здійснюється лише в інтересах:
1) національної безпеки, економічного добробуту та прав людини;
2) захисту прав і свобод фізичних осіб, персональні дані яких обробляються, чи прав інших суб'єктів відносин, пов'язаних із персональними даними, а також з метою боротьби зі злочинністю;
3) забезпечення суб'єктів відносин, пов'язаних із персональними даними, зведеною знеособленою інформацією щодо персональних даних відповідно до законодавства (ст. 25 Закону № 2297).
Обмеження прав з метою боротьби зі злочинністю означає, що правоохоронні органи можуть обробляти персональні дані без згоди та повідомлення суб’єктів. А навіть у разі запиту суб’єктів персональних даних, останні отримають відповідь про неможливість надання таких відомостей з посиланням на мету «боротьбу зі злочинністю».
Нечіткість формулювання та порядку обмеження прав фізичних осіб з одного боку дає підстави для зловживань. Однак, з іншого боку, порядок «обмеження прав» має бути конкретно визначений для кожного органу державної влади чи місцевого самоврядування, що випливає із ст. 19 Конституції. Тому, коли такі права обмежуються, слід вимагати чіткого зазначення — на підставі якого нормативно-правового акта здійснюється таке обмеження.
Приклад із життя
Ситуація: функціонує станція технічного огляду, на якій працюють 2 працівники. Тобто вже є одна БПД «Робітники». Але як перевіряючі будуть перевіряти, є така БПД чи ні? Їм необхідно отримати таку БПД на комп’ютері? Однак тоді будуть розкриті персональні дані працівників...
Також за допомогою програми «Microsoft Excel» обліковуються виконані роботи (зазначено ім’я, дата, опис машини та пошкодження, замість прізвища псевдонім). Чи необхідно реєструвати такий перелік робіт?
Як уже описувалося вище, якщо за трудовими договорами працюють працівники, то вже є БПД цих робітників. ДСЗПД може дізнатися про це, отримавши інформацію у пенсійного фонду, податкової інспекції, центру зайнятості або від самого керівника. Якщо ж працівники виконують роботи за цивільно-правовим договором та ці договори не упорядковані за персональними даними цих осіб — то відсутня необхідність реєструвати БПД. Показувати дані самих працівників немає необхідності, оскільки це не відноситься до предмета перевірки ДСЗПД.
Облік виконаних робіт за допомогою комп’ютерної програми можна розглядати БПД, якщо можна ідентифікувати фізичних осіб. У наведеному прикладі, якщо не зазначено прізвища ім’я та по батькові клієнта, а також державний номер автомобіля, то ідентифікувати клієнтів неможливо. Тому такий перелік не є БПД.
Таким чином, Закон № 2297 не є досконалим і в подальшому в нього будуть вноситися зміни і доповнення. При реалізації норм цього Закону на практиці необхідно використовувати такі «недоліки» на свою користь та обов’язково враховувати положення інших нормативно-правових актів. У подальшому офіційні роз’яснення та судова практика надасть відповіді на запитання, що неоднозначно врегульовані Законом № 2297. На сьогодні ж вам слід не допускати тих порушень, за які передбачена адміністративна та кримінальна відповідальність, та використовувати норми закону з максимальною корисністю для вас.
