База персональних даних: коли та як зареєструвати?

База персональних даних:
 коли та як зареєструвати?

Роман Кабальський, консультант газети

Сьогодні багато хто з бухгалтерів переживає почуття дежавю: багатометрові черги, запитання з усіх боків про заповнення того чи іншого реквізиту, загроза штрафів за неподання… Таке вже було, до того ж не дуже давно. Востаннє — із запровадженням обов'язку подавати декларацію з ПДФО. Але тоді законодавець, на щастя, швидко схаменувся і обов'язок скасував. І ось нова халепа — реєстрація баз персональних даних.

ДОКУМЕНТИ СТАТТІ

Закон № 2297 — Закон України «Про захист персональних даних» від 01.06.2010 р. № 2297-VI.

База персональних даних:
чи є вона у вас?

З 1 січня 2011 року діє Закон України «Про захист персональних даних» від 01.06.2010 р. № 2297-VI. Керуючись положеннями цього Закону, з 01.07.2011 р. Державна служба України з питань захисту персональних даних вже мала розпочати реєстрацію баз персональних даних у Держреєстрі баз персональних даних. Але власне форма заяви на реєстрацію набрала чинності тільки 05.08.2011 р.

Однак основна проблема, з якою зіткнулися суб'єкти господарювання: чи використовують вони персональні дані у своїй діяльності та чи поширюється на них обов'язок щодо реєстрації баз персональних даних (далі — БПД)?

Звернемося до тексту Закону № 2297.

Згідно зі ст. 2 цього Закону персональні дані — це відомості або сукупність відомостей про фізичну особу, яку ідентифіковано або може бути конкретно ідентифіковано, база персональних даних — іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних. Джерелами відомостей про фізичну особу є: видані на її ім'я документи; підписані нею документи; відомості, які особа надає про себе (ч. 4 ст. 6 Закону № 2297).

Висновок перший: Закон № 2297 стосується лише даних, що дозволяють ідентифікувати фізичну особу, а тому на інформацію про юридичних осіб, що використовується суб'єктом господарювання, точно не поширюється.

Крім того, необхідно звернути увагу, що зі сфери дії Закону № 2297 виключено фізичних осіб, які володіють персональними даними про інших людей (П. І. Б., телефон, адреса проживання тощо) та використовують їх виключно для побутових та некомерційних цілей.

Висновок другий: використання пересічними фізичними особами у своїй повсякденній діяльності впорядкованих за тим чи іншим критерієм даних про інших людей не покладає обов'язку щодо реєстрації баз персональних даних на таких осіб.

Сама Державна служба України з питань захисту персональних даних (далі — ДСЗПД) рекомендує розглядати кадрову документацію, статистичну, податкову та іншу звітність в електронній формі та/або у формі картотек, що обробляється роботодавцем і містить персональні дані працівників, як базу персональних даних або складову частину бази персональних даних. На її думку, «кожне підприємство (організація) є володільцем як мінімум двох баз персональних даних, а саме бази персональних даних працівників, що ведеться з метою забезпечення вимог трудового законодавства, реалізації податкових відносин та відносин у сфері бухгалтерського обліку й аудиту, і бази персональних даних клієнтів чи інших осіб, персональні дані яких обробляються для цілей господарської діяльності». Водночас «різні типи звітів та форм, що містять у собі певну сукупність відомостей про фізичних осіб, які відібрані з баз персональних даних володільця та періодично передаються до органів держвлади, не розглядаються як окремі бази персональних даних». Крім того, при такому підході виникає запитання про наявність на підприємстві не лише бази персональних даних «Працівники» та бази «Клієнти», а і, наприклад, такої БПД, як «Засновники» або, наприклад, «Контрагенти».

Умовним орієнтиром для суб'єктів господарювання може стати те, що сама ДСЗПД зареєструвала дві бази персональних даних:

1) база персональних даних представників юридичних осіб, які вступають у правові відносини з ДСЗПД (тобто, на думку ДСЗПД, розрізнена інформація про посадових осіб юридичної особи, яка фігурує в договорі, — це теж база персональних даних);

2) база персональних даних фізичних осіб, які вступають у правові відносини з ДСЗПД у своєму особистому статусі.

Висновок третій: ДСЗПД виходитиме з необхідності реєстрації суб'єктами господарювання (як юридичними особами, так і фізичними особами — підприємцями), в яких є наймані працівники, БПД «Працівники» (або з іншою, зручною для володільця бази назвою, наприклад БПД «Кадри»); оскільки суб'єкт господарювання укладає у своїй діяльності договори, стороною в яких або у своєму самостійному статусі, або як представник юридичної особи виступають також фізичні особи, має бути зареєстровано БПД «Контрагенти». З останнім висновком не згоден Мін’юст, який у роз’ясненні від 21.12.2011 р. вказав, що самі по собі договори надання послуг чи виконання ровіт БПД
не є.

Безумовно, ситуація абсурдна: Закон № 2297 виписано таким чином, що сьогодні кожен суб'єкт підприємницької та непідприємницької діяльності, який наймає працівників або укладає з фізичними особами договори цивільно-правового чи господарського характеру, постає перед необхідністю реєстрації як мінімум однієї бази даних («Працівники»). При цьому та інформація, яку такі суб'єкти отримують від фізичних осіб, часто необхідна їм унаслідок певних покладених на них законодавчих вимог: складання податкової та статистичної звітності, сплати податків тощо — і зовсім не збирається із власної ініціативи.

Більше того, сама ДСЗПД на сьогодні виявилася не готовою до реалізації своїх же настійних рекомендацій, адресованих до всіх суб'єктів відразу. Станом на кінець грудня було зареєстровано близько 2000 баз персональних даних. Десятки тисяч заяв про реєстрацію баз персональних даних уже подано, але черга до їх розгляду, як зізнаються самі працівники ДСЗПД, дійде ще нескоро, хоча відповідно до Закону № 2297 свідоцтво про реєстрацію бази персональних даних має бути видано протягом 10 робочих днів з дня отримання заяви про реєстрацію.

Але ж позицію ДСЗПД підтримали інші центральні органи виконавчої влади, зокрема МОЗ видало Методрекомендації від 01.12.2011 р. № 11-02-09/10-299, в яких радило установам, що перебувають у сфері його управління, вжити заходів щодо реєстрації баз даних «Пацієнти», «Працівники», «Контрагенти». Мін'юст у листі від 08.11.2011 р. № 17304-0-33-11/61 також підтвердив, що в кожної фізичної особи — підприємця, в якого є наймані працівники, виникає обов'язок реєстрації БПД.

Аргументи на користь
«нереєстрації БПД»

Ті, хто готовий ризикнути, скориставшись недостатньою чіткістю законодавчих приписів, та не реєструвати бази персональних даних, можуть звернутися до таких аргументів:

1) Закон № 2297 не поширюється на будь-яку інформацію, яку отримує суб'єкт господарювання під час своєї діяльності та за допомогою якої можна ідентифікувати фізичну особу. Отримання таких відомостей, як прізвище, ім'я, по батькові та паспортні дані, посада, найчастіше продиктоване спеціальними вимогами законодавства. Крім свого безпосереднього призначення (ідентифікації особи, з якою суб'єкт господарювання вступає у правовідносини), ця інформація ніяк не використовується, не впорядковується та не систематизується, а тому під визначення бази персональних даних підпадати не повинна;

2) ідея міжнародних стандартів (для втілення якої було прийнято Закон № 2297) — установити вимоги стосовно дій, спеціально спрямованих на створення та використання деяких баз даних про фізичних осіб (телефонний довідник, довідник адрес, перелік адрес електронної пошти тощо). Із наведеного в Законі № 2297 поняття бази персональних даних як «іменованої сукупності впорядкованих персональних даних в електронній формі або у формі картотеки» випливає, що одного лише факту наявності в підприємства даних, які дозволяють ідентифікувати фізичну особу, замало, щоб вважати, що підприємство володіє базою персональних даних, оскільки це має бути: а) іменована, б) упорядкована сукупність даних, в) в електронній формі або у формі картотеки;

3) базою персональних даних сукупність відомостей про фізичних осіб повинна вважатися лише в тому випадку, коли обробка таких відомостей є автоматизованою або коли оброблені дані розміщуються чи призначені для розміщення в картотеках, структурованих за певними критеріями, що стосуються фізичних осіб, так, щоб забезпечити легкий доступ до відповідних персональних даних.

Сміливості може додати й те, що на сьогодні в ДСЗПД немає територіальних органів, а порядок проведення перевірок існує лише у проекті. Отже, є всі шанси перечекати і черги, і паніку: може, ситуація на той час зміниться. Тим паче що в парламенті зареєстровано вже два законопроекти, якими переносяться терміни набуття чинності норм про відповідальність.

Висновок четвертий: неоднозначність законодавчих формулювань суб'єкти господарювання можуть використовувати для обґрунтування відсутності в них обов'язку щодо реєстрації баз персональних даних. Однак при цьому їм слід підготувати аргументи на випадок спору з контролюючими органами.

Порядок реєстрації БПД

Тепер інформація для тих суб'єктів господарювання, які вирішили не ризикувати та підкоритися вимогам ДСЗПД, зареєструвавши відповідні бази даних. Отже, Пам'ятку суб'єкту господарювання, який реєструє БПД, наведено нижче.

Для реєстрації бази персональних даних необхідно подати заяву встановленого зразка до ДСЗПД. Форму заяви про реєстрацію бази персональних даних затверджено наказом Мін'юсту від 08.07.2011 р. № 1824/5 .

Подати заяву можна одним із таких способів :

1. Заповнити заяву на сайті Державного реєстру баз персональних даних (https://rbpd.informjust.ua/), для чого необхідно:

— вибрати розділ «Створити заяву» (підрозділ «Про реєстрацію БПД»);

— заповнити відповідними відомостями всі поля форми заяви, позначені зірочкою (*), решта полів заповнюється лише в тому випадку, якщо заявник хоче навести додаткові відомості;

— як відзначає сама Держслужба, для коректного введення даних не слід використовувати фрагменти тексту, скопійовані з інших файлів. Уводити текст необхідно послідовно до полів веб-форми за допомогою клавіатури, використовуючи для розмежування слів між собою клавішу «Space» («Enter») або знаки «,», «.» та інші;

— унести контрольні символи із зображення, що знаходиться нижче за всі поля форми заяви, і натиснути на кнопку «Сформувати заяву». Якщо зазначені у формі заяви відомості є коректними і контрольні символи із зображення унесено правильно, відкриється сторінка «Збереження файлу заяви» з повідомленням про успішне формування файлу заяви;

— на сторінці «Збереження файлу заяви» натиснути на елемент «Зберегти файл заяви» (при цьому сам файл заяви не відкривайте) і зберегти файл заяви на локальному диску комп'ютера;

— підписати збережений на локальному диску комп'ютера файл заяви електронним цифровим підписом керівника підприємства та зберегти підписаний файл заяви на локальному диску комп'ютера;

— вибрати пункт меню сайта «Подати заяву» і на сторінці, що відкрилася, натиснути на елемент «Подати заяву в електронному вигляді». Відкриється нова сторінка, в якій за допомогою кнопки «Огляд» необхідно вказати шлях на локальному диску і завантажити по черзі такі файли: збережений файл заяви (максимальний розмір файлу — 512 кБайт, тип файлу «Документ XML»); підписаний ЕЦП керівника підприємства файл заяви (максимальний розмір файлу — 512 кБайт, тип файлу «Підписаний файл»); файл сертифіката відкритого ключа керівника підприємства, наданий центром сертифікації ключів (максимальний розмір файлу — 100кБайт, тип файлу «Сертифікат безпеки»);

— унести контрольні символи із зображення, що знаходиться нижче за поле вибору файлів, і натиснути на кнопку «Подати заяву». Якщо зазначені на сторінці файли є коректними і контрольні символи внесено правильно, заяву в електронному вигляді буде зареєстровано в базі даних заяв та передано реєстратору для розгляду.

Складену на сайті заяву має бути підписано за допомогою електронного цифрового підпису (ЕЦП), отриманого в одному з таких акредитованих центрів сертифікації ключів: ТОВ «Український сертифікаційний центр», ТОВ «Інтер Метл», ТОВ «Арт-Мастер» (Центр сертифікації ключів «Masterkey»), ПАТ «Комунікаційний фондовий центр», ЗАТ «Науково-дослідний інститут прикладних інформаційних технологій», ЗАТ «Інфраструктура відкритих ключів», ВАТ «Національний депозитарій України», Центр сертифікації ключів «УСС-Цезаріс» ДП «Українські спеціальні системи», Комунальне підприємство «Головний інформаційно-комунікаційний та науково-виробничий центр», Державне підприємство «Головний інформаційно-обчислювальний центр Державної адміністрації залізничного транспорту України».

2. Заповнити заяву в електронній формі (скачати форму заяви у зручному для заповнення форматі можна на сайті Держслужби http://www.zpd.gov.ua/indexServices.html). Вимоги до підписання заяви аналогічні наведеним вище правилам підпису заяви, заповненої на сайті Державного реєстру баз персональних даних. Після заповнення файл заяви (тип файлу «Документ XML»), підписаний ЕЦП керівника підприємства файл заяви (тип файлу «Підписаний файл»), файл сертифіката відкритого ключа керівника підприємства, наданий центром сертифікації ключів (тип файлу «Сертифікат безпеки») слід надіслати на адресу електронної пошти register@zpd.gov.ua.

3. Заповнити електронну форму заяви та роздрукувати її або заповнити заяву вручну, після чого заявник (це може бути керівник або інша уповноважена ним особа) має підписати кожну сторінку заяви і скріпити її печаткою (за наявності). Складена в такий спосіб заява надсилається рекомендованим листом або подається особисто. Заявник при цьому має бути готовий надати працівникам Держслужби документ, що підтверджує його повноваження.

Попередимо: деякі із заявників уже зіткнулися з категоричними відмовами працівників Держслужби, які не бажають перенабирати наведений у заявах текст, приймати заяви в паперовій формі без додавання до них електронної копії. Безумовно, такі відмови не мають під собою підґрунтя. Але, можливо, у цій ситуації доцільніше піти назустріч і вкласти у конверт диск із заявою в електронній формі (ЕЦП у цьому випадку не потрібний) або прихопити із собою флешку при поданні заяви особисто.

Спочатку зробимо важливе застереження: заповнення заяви про реєстрацію бази персональних даних не слід ототожнювати із заповненням податкової декларації або податкової накладної, де будь-який відступ від установлених у законодавстві правил або рекомендацій податківців загрожує невизнанням документа. Заява про реєстрацію бази персональних даних має виключно інформаційний характер (щоб із зазначеними в ній відомостями про володільця бази, її найменування та мету використання в подальшому можна було ознайомитися в загальнодоступному Державному реєстрі баз персональних даних, задавши найменування володільця бази або її реєстраційний номер). Тому й до заповнення цієї заяви висуваються менш суворі вимоги, ніж до податкової звітності та первинних документів. Але і до них слід поставитися уважно. Розглянемо основні з них.

Затверджений наказом Мін'юсту від 08.07.2011 р. № 1824/5 Порядок подання заяв про реєстрацію бази персональних даних установлює такі вимоги:

— заява заповнюється українською мовою розбірливими, друкованими літерами та не повинна містити підчищень, закреслень та виправлень;

— при заповненні вибрана заявником ознака позначається символом «х»;

— дати заповнюються арабськими цифрами у форматі «день, місяць, рік»;

— сторінки заяв нумеруються, на кожній сторінці вказуються її номер та загальна кількість сторінок.

Заява про реєстрацію БПД:
заповнюємо реквізити

Тепер розглянемо реквізити заяви, що спричинили найбільші труднощі в суб'єктів господарювання.

Заповнюючи розділ «Інформація про володільця бази персональних даних», слід звернути увагу на необхідність зазначення повного найменування юридичної особи відповідно до установчих документів. У друкованій формі заяви при наведенні коду ЄДРПОУ клітинки заповнюються починаючи з першої ліворуч. Клітинки, що залишилися вільними, прокреслюються.

Реквізит «Реєстраційний номер облікової картки платника податків» передбачено на той випадок, якщо володільцем бази виступає фізична особа, тому при поданні заяви юридичною особою він не заповнюється.

У реквізиті «Місцезнаходження (для юридичної особи)/місце проживання (для фізичної особи)» вказується місце державної реєстрації, а не фактичне місцезнаходження/місце проживання. Фактичне місцезнаходження бази персональних даних, що вказується окремо, може як збігатися з місцезнаходженням володільця бази, так і відрізнятися від нього (наприклад, якщо фактично картотека чи електронна база персональних даних знаходиться у структурному підрозділі юридичної особи).

При зазначенні найменування бази персональних даних підприємство вільне у виборі будь-якого найменування, яке в цілому відображатиме характер персональних відомостей, уключених до такої бази. Пропоновані Держслужбою варіанти — «Працівники», «Клієнти», «Контрагенти» тощо. Ще раз підкреслимо — наведені варіанти не є обов'язковими для використання. Підприємство може зазначити будь-яке зручне для використання в його діяльності найменування бази персональних даних.

Реквізит «Мета обробки персональних даних» підприємство також заповнює на власний розсуд. Формулювання, що рекомендуються Держслужбою: забезпечення реалізації трудових відносин, адміністративно-правових, податкових відносин та відносин у сфері бухгалтерського обліку та аудиту, відносин у сфері управління людськими ресурсами, відносин у сфері економічних, фінансових послуг, відносин у сфері реклами, відносин у сфері телекомунікаційних послуг, відносин у сфері громадської, політичної та релігійної діяльності, відносин у сфері культури, дозвілля, спортивної та соціальної діяльності, відносин у сфері освіти, відносин у сфері охорони здоров'я, відносин у сфері безпеки, відносин у сфері транспорту, відносин у сфері науки, історичних досліджень і статистики тощо. Саме в цьому розділі заяви необхідно послатися на нормативно-правові акти (наприклад, Кодекс законів про працю України, Податковий кодекс України, Господарський кодекс України та інші акти законодавства), а також установчі або інші внутрішні документи, відповідно до яких здійснюється використання бази персональних даних (можна додатково послатися на затверджене на підприємстві Положення про захист персональних даних). Тут же вказується категорія персональних даних, що використовуються (див. наведену як приклад заяву).

Що стосується реквізиту «Правові підстави обробки персональних даних», то Державна служба з питань захисту персональних даних вказує на необхідність зазначення в ньому однієї або одночасно декількох із таких підстав:

1) згода фізичної особи на використання її персональних даних;

2) дозвіл на використання персональних даних, наданий володільцю бази нормативно-правовими актами (зазначити, якими саме) для виконання покладених на нього повноважень у межах своєї компетенції;

3) використання персональних даних у межах правовідносин, що виникли до набуття чинності Законом про захист персональних даних, на підставі вільного волевиявлення фізичної особи.

Більшій частині суб'єктів господарювання не потрібно заповнювати реквізит «Відомості про розпорядників бази персональних даних», оскільки використання персональних даних здійснюється ними, як правило, самостійно, без передачі відомостей для обробки на договірних засадах третім особам. Передача даних органам державної влади (податкової службі, органам Пенсійного фонду України тощо) або місцевого самоврядування в межах вимог законодавства не вважається наданням відомостей розпоряднику бази даних, а тому спеціального зазначення в заяві не потребує.

Запитання викликає такий реквізит, як «Відомості про заявника». Логічно було б наводити в ньому інформацію безпосередньо про ту особу, яка підписує та подає заяву (якщо заява подається в електронній формі, то інформацію про директора, якщо в паперовій — то про особу, на яку покладено обов'язок фізично подати заяву до Держслужби). Однак сама Держслужба в наведеному нею прикладі заповнення заяви в цьому реквізиті дублює інформацію про юридичну особу — володільця бази персональних даних. Причому звернемо увагу: у цьому реквізиті є відмінності між формою заяви, розміщеною на сайті Державного реєстру баз персональних даних (у ній потрібно зазначити документ, яким особу уповноважено на подання заяви про реєстрацію), та паперовою формою заяви, в якій аналогічної вимоги немає.

Усього в затвердженій формі заяви п'ять сторінок. Але четверта і п'ята заповнюються лише в тому випадку, якщо, наприклад, база даних передавалася декільком розпорядникам або складається з декількох частин із різним місцезнаходженням. Як правило, суб'єкти господарювання з такою ситуацією не стикаються, а тому їм достатньо заповнити перші три сторінки заяви. Якщо, наприклад, у підприємства є відокремлений підрозділ, назва бази персональних даних якого збігається з назвою бази персональних даних головного підприємства (скажімо, база персональних даних «Працівники» чи «Абоненти» тощо), то ДСЗПД визнає, що необхідності в окремій реєстрації немає, однак у розділі ІІ на четвертій сторінці заяви на реєстрацію необхідно продублювати назву бази персональних даних і вказати місцезнаходження такого відокремленого підрозділу. Якщо ж у відокремленому підрозділі ведеться своя унікальна база персональних даних, що за назвою не збігається з базою персональних даних головного підприємства, то на неї складається окрема заява про реєстрацію. Як володілець бази вказується головне підприємство, але як місцезнаходження — адреса, за якою розташовано відокремлений підрозділ.

Приклади заповнення заяв про реєстрацію є на сайті Служби (зайти до розділу «Рекомендації щодо подання та заповнення заяв про реєстрацію БПД»).

Заяву про реєстрацію БПД подано.
Що далі?

Слід зауважити, що Законом № 2297 ДСЗПД надано строк у 10 робочих днів від дня надходження заяви на реєстрацію бази персональних даних, про що володільцю видається свідоцтво затвердженого зразка. Однак ураховуючи лавину заяв, Держслужба сама визнає, що фізично встигнути в установлені строки не можна. Відстежувати «долю» поданої заяви можна таким чином:

— після реєстрації заяви, якщо вона складалася на сайті Державного реєстру баз персональних даних, безпосередньо на сайті відображається відповідне повідомлення з реєстраційним номером заяви та кодом доступу для подальшого пошуку заяви та отримання інформації про стан їх обробки; якщо заява надсилалася за допомогою електронної або звичайної пошти із зазначенням електронної адреси заявника, то на таку електронну адресу також має бути надіслано реєстраційний номер та код доступу до інформації про заяву;

— за реєстраційним номером можна отримати інформацію про один із таких станів обробки заяви:

а) «Зареєстровано» (заяву зареєстровано в Реєстрі);

б) «Відмовлено» (прийнято рішення про відмову в реєстрації бази персональних даних; при цьому на поштову адресу підприємства надсилається лист із зазначенням причин відмови в реєстрації; виходячи з тексту Закону про захист персональних даних можна зробити висновок, що єдиною підставою для відмови в реєстрації бази може бути незазначення в заяві необхідної інформації або її надання неуповноваженим суб'єктом; на нашу думку, до посадових осіб суб'єкта господарювання в разі відмови в реєстрації бази персональних даних адміністративні штрафи як за нереєстрацію або ухилення від реєстрації баз персональних даних застосовуватися не повинні, за умови, що зазначені Держслужбою недоліки в заяві буде усунено і заяву знову надіслано з метою реєстрації бази даних);

в) «Прийнято рішення про реєстрацію» (видається Свідоцтво про реєстрацію бази персональних даних, котре, якщо в заяві про реєстрацію було зроблено відповідну позначку, надсилається на поштову адресу суб'єкта господарювання — володільця бази; якщо позначку проставлено не було — то за Свідоцтвом уповноваженому працівнику суб'єкта господарювання доведеться з'явитися до Держслужби особисто).

Додаткова контактна інформація Державної служби з питань захисту персональних даних (начальник управління реєстрації баз персональних даних Кривда Світлана Геннадіївна): тел: (044) 517-81-68, e-mail: register@zpd.gov.ua, поштова адреса: 02660 м. Київ, вул. М. Раскової, 15, каб.1205.

Але мусимо попередити — однієї лише реєстрації БПД буде недостатньо. Доведеться виконати ще комплекс дій. Зупинимося на оптимальному алгоритмі дій для суб'єкта господарювання з урахуванням усіх побажань ДСЗПД.

Згода фізичних осіб на використання
їх персональних даних

Отже, суб'єктові господарювання доведеться зайнятися отриманням згоди від працівників (і виходить, директорів контрагентів, персональні дані яких фігурують у договорах, а також фізичних осіб — підприємців та фізичних осіб, які не мають підприємницького статусу, з якими укладалися договори) на використання їх персональних даних.

Утім, отримання згоди від усіх фізичних осіб, з якими суб'єкт господарювання вступає у ті чи інші правові відносини, — інколи завдання невирішуване. У зв'язку з цим суб'єкту господарювання не зашкодить озброїтися таким аргументом. Стаття 11 Закону № 2297 називає підстави виникнення права на використання персональних даних:

1) згода суб'єкта персональних даних (працівника чи іншої фізичної особи) на обробку її персональних даних. Суб'єкт персональних даних¹ має право при наданні згоди внести застереження щодо обмеження права на обробку своїх персональних даних;

2) дозвіл на обробку персональних даних, наданий володільцю бази персональних даних відповідно до закону виключно для здійснення своїх повноважень.

¹ А це ті фізичні особи, дані щодо яких підлягають обробці.

Суб'єкт господарювання цілком може скористатися другою з наведених підстав і наполягати на відсутності необхідності отримання окремої згоди працівників та інших фізичних осіб на використання даних, що ними надаються для цілей, передбачених законодавством. Роботодавець при цьому, наприклад, може посилатися на те, що є багато законодавчих положень, які зобов'язують роботодавців володіти певними персональними даними найманих працівників. Це, зокрема, ст. 24 КЗпП, пп. 2 — 4 постанови Кабміну «Про трудові книжки працівників» від 27.04.93 р. № 301, пп. 1.3 і 1.4 Інструкції про порядок ведення трудових книжок працівників, затвердженої наказом Мінпраці, Мін'юсту, Мінсоцзахисту від 29.07.93 р. № 58, наказ Держкомстату і Міноборони «Про затвердження типової форми первинного обліку № П-2 «Особова картка працівника» від 25.12.2009 р. № 495/656, наказ Мінстату «Про затвердження форми первинного обліку № П-2ДС та Інструкції щодо її заповнення» від 26.12.95 р. № 343, акти законодавства, якими встановлено обмеження, гарантії, компенсації, пільги у сфері трудових та соціальних правовідносин.

Водночас мусимо зауважити, що відмова працівника дати згоду на використання його персональних даних не може стати підставою для розірвання трудового договору. Працівник не зобов'язаний давати таку згоду. І під жодну з підстав для розірвання трудового договору така ситуація не підпадає. Інша справа, що в тих випадках, коли персональні дані отримано для використання в обсязі, що вимагається законодавством, згода працівника взагалі не потрібна. Отже, використання персональних даних є правомірним. Якщо про всяк випадок хочете перестрахуватися, складіть акт, який нехай підпишуть двоє працівників підприємства, про те, що працівника ознайомлено зі своїми правами відповідно до Закону № 2297, а також із тим, що персональні дані використовуватимуться виключно в обсязі, необхідному для виконання підприємством законодавчих обов'язків.

Безумовно, безпечніше, якщо є можливість, таку згоду отримати. Справа в тому, що ДСЗПД визнає відсутність необхідності отримувати дозвіл тільки в тих фізичних осіб, які надали дані про себе до 01.01.2011 р. На її думку, такою згодою інших фізичних осіб заручитися необхідно.

Текст згоди працівника на обробку даних про нього може бути, наприклад, таким, як показано на рис. 1 на с. 41. До того ж доцільніше скласти її українською мовою.

Рис. 1

Внутрішнє положення про захист персональних даних

Це наступний крок, який має бути зроблено суб'єктом господарювання.

Зразок такого положення, який можна взяти за основу, наведено на рис. 2.

ЗАТВЕРДЖЕНО

Положення

про обробку і захист персональних даних у базі персональних даних,
володільцем баз яких є ___________ «__________________»

1. ЗАГАЛЬНІ ПОНЯТТЯ ТА СФЕРА ЗАСТОСУВАННЯ

1.1. Визначення термінів:

база персональних даних — іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;

відповідальна особа — визначена особа, яка організовує роботу, пов'язану із захистом персональних даних при їх обробці, відповідно до закону;

володілець бази персональних даних — фізична або юридична особа, якій законом або за згодою суб'єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом;

Державний реєстр баз персональних даних — єдина державна інформаційна система збору, накопичення та обробки відомостей про зареєстровані бази персональних даних;

загальнодоступні джерела персональних даних — довідники, адресні книги, реєстри, списки, каталоги, інші систематизовані збірники відкритої інформації, які містять персональні дані, розміщені та опубліковані з відома суб’єкта персональних даних.

Не вважаються загальнодоступними джерелами персональних даних соціальні мережі та інтернет-ресурси, в яких суб’єкти персональних даних залишають свої персональні дані (окрім випадків, коли суб’єктом персональних даних прямо зазначено, що персональні дані розміщені з метою їх вільного поширення та використання);

згода суб'єкта персональних даних — будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки;

знеособлення персональних даних — вилучення відомостей, які дають змогу ідентифікувати особу;

обробка персональних даних — будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов'язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу;

персональні дані — відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;

розпорядник бази персональних даних — фізична чи юридична особа, якій володілець бази персональних даних або законом надано право обробляти ці дані.

Не є розпорядником бази персональних даних особа, якій володільцем та/або розпорядником бази персональних даних доручено здійснювати роботи технічного характеру з базою персональних даних без доступу до змісту персональних даних;

суб'єкт персональних даних — фізична особа, стосовно якої відповідно до закону здійснюється обробка її персональних даних;

третя особа — будь-яка особа, за винятком суб'єкта персональних даних, володільця чи розпорядника бази персональних даних та уповноваженого державного органу з питань захисту персональних даних, якій володільцем чи розпорядником бази персональних даних здійснюється передача персональних даних відповідно до закону;

особливі категорії даних — персональні дані про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров'я чи статевого життя.

1.2. Дане Положення обов’язкове для застосування відповідальною особою та працівниками Організації, які безпосередньо здійснюють обробку та/або мають доступ до персональних даних у зв’язку з виконанням своїх службових обов’язків.

2. ПЕРЕЛІК БАЗ ПЕРСОНАЛЬНИХ ДАНИХ, ВОЛОДІЛЬЦЕМ ЯКИХ Є «____________________»

2.1. Організація є володільцем наступної бази персональних даних: база даних «Працівники» у вигляді картотеки особових карток, особових справ, відомостей, внесених до інформаційних баз програми ______________.

3. МЕТА ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ

3.1. Метою обробки персональних даних у документації з персоналу Організації є забезпечення реалізації трудових відносин, адміністративно-правових, податкових відносин та відносин у сфері бухгалтерського обліку, відносин у сфері управління людськими ресурсами, зокрема кадровим потенціалом відповідно до Кодексу законів про працю України, Податкового кодексу України, Закону України «Про бухгалтерський облік та фінансову звітність в Україні», Закону України «Про зайнятість населення», Закону України «Про відпустки» та інших актів законодавства, діючого в Організації колективного договору, а також установчих документів організації.

4. ПОРЯДОК ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ:
 ОТРИМАННЯ ЗГОДИ, ПОВІДОМЛЕННЯ
ПРО ПРАВА ТА ДІЇ З ПЕРСОНАЛЬНИМИ ДАНИМИ
 СУБ’ЄКТА ПЕРСОНАЛЬНИХ ДАНИХ

4.1. Згода суб'єкта персональних даних має бути документованим, зокрема письмовим, добровільним волевиявленням фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки.

4.2. Згода суб’єкта персональних даних має бути надана шляхом підписання суб’єктом персональних даних затвердженого наказом _____________чи виконуючого обов`язки ____________тексту згоди-повідомлення.

4.3. Згода-повідомлення складається у двох примірниках, один з яких після підписання суб’єктом персональних даних залишається у нього, а інший зберігається Організацією протягом всього часу обробки персональних даних вказаного суб’єкта персональних даних, але не менш ніж 5 років.

4.4. Обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров'я чи статевого життя (особливі категорії даних), забороняється.

5. МІСЦЕЗНАХОДЖЕННЯ БАЗИ ПЕРСОНАЛЬНИХ ДАНИХ

5.1. Вказана у розділі 2 цього Положення база персональних даних знаходиться за адресою: ___________.

6. УМОВИ РОЗКРИТТЯ ІНФОРМАЦІЇ ПРО ПЕРСОНАЛЬНІ ДАНІ ТРЕТІМ ОСОБАМ

6.1. Порядок доступу до персональних даних третіх осіб визначається умовами згоди суб'єкта персональних даних, наданої володільцю бази персональних даних на обробку цих даних, або відповідно до вимог закону.

6.2. Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов'язання щодо забезпечення виконання вимог Закону України «Про захист персональних даних» або неспроможна їх забезпечити.

6.3. Суб'єкт відносин, пов'язаних з персональними даними, подає запит щодо доступу (далі — запит) до персональних даних володільцю бази персональних даних.

6.4. У запиті зазначаються:

прізвище, ім'я та по батькові, місце проживання (місце перебування) і реквізити документа, що посвідчує фізичну особу, яка подає запит (для фізичної особи — заявника);

найменування, місцезнаходження юридичної особи, яка подає запит, посада, прізвище, ім'я та по батькові особи, яка засвідчує запит; підтвердження того, що зміст запиту відповідає повноваженням юридичної особи (для юридичної особи — заявника);

прізвище, ім'я та по батькові, а також інші відомості, що дають змогу ідентифікувати фізичну особу, стосовно якої робиться запит;

відомості про базу персональних даних, стосовно якої подається запит, чи відомості про володільця чи розпорядника цієї бази;

перелік персональних даних, що запитуються;

мета запиту.

6.5. Строк вивчення запиту на предмет його задоволення не може перевищувати десяти робочих днів з дня його надходження.

Протягом цього строку володілець бази персональних даних доводить до відома особи, яка подає запит, що запит буде задоволено або відповідні персональні дані не підлягають наданню, із зазначенням підстави, визначеної у відповідному нормативно-правовому акті.

Запит задовольняється протягом тридцяти календарних днів з дня його надходження, якщо інше не передбачено законом.

6.6. Усі працівники Організації зобов'язані додержуватися вимог конфіденційності щодо персональних даних.

6.7. Відстрочення доступу до персональних даних третіх осіб допускається у разі, якщо необхідні дані не можуть бути надані протягом тридцяти календарних днів з дня надходження запиту. При цьому загальний строк вирішення питань, порушених у запиті, не може перевищувати сорока п'яти календарних днів.

6.8. Повідомлення про відстрочення доводиться до відома третьої особи, яка подала запит, у письмовій формі з роз'ясненням порядку оскарження такого рішення.

6.9. У повідомленні про відстрочення зазначаються:

прізвище, ім'я та по батькові посадової особи;

дата відправлення повідомлення;

причина відстрочення;

строк, протягом якого буде задоволено запит.

6.10. Відмова у доступі до персональних даних допускається, якщо доступ до них заборонено згідно із законом.

6.11. У повідомленні про відмову зазначаються:

прізвище, ім'я, по батькові посадової особи, яка відмовляє у доступі;

дата відправлення повідомлення;

причина відмови.

6.12. Рішення про відстрочення або відмову у доступі до персональних даних може бути оскаржено до уповноваженого державного органу з питань захисту персональних даних, інших органів державної влади та органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних, або до суду.

7. ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ: СПОСОБИ ЗАХИСТУ,
ВІДПОВІДАЛЬНА ОСОБА, ПРАЦІВНИКИ,
ЯКІ БЕЗПОСЕРЕДНЬО ЗДІЙСНЮЮТЬ ОБРОБКУ
ТА/АБО МАЮТЬ ДОСТУП ДО ПЕРСОНАЛЬНИХ ДАНИХ У ЗВ’ЯЗКУ
З ВИКОНАННЯМ СВОЇХ СЛУЖБОВИХ ОБОВ’ЯЗКІВ,
 СТРОК ЗБЕРІГАННЯ ПЕРСОНАЛЬНИХ ДАНИХ

7.1. Організація обладнана системними і програмно-технічними засобами та засобами зв'язку, які запобігають втратам, крадіжкам, несанкціонованому знищенню, викривленню, підробленню, копіюванню інформації і відповідають вимогам міжнародних та національних стандартів.

7.2. Норми технічного захисту інформації відповідають законодавству, актам України.

7.3. Функціонування системних, програмно-технічних засобів та засобів зв'язку забезпечує дублювання роботи всіх систем та елементів для забезпечення збереження інформації та забезпечення неможливості її знищення з будь-яких обставин засобами, передбаченими Організацією.

7.4. Програмний продукт, що використовується Організацією в процесі обробки персональних даних для досягнення мети їх обробки, має вбудовані механізми захисту інформації від несанкціонованого доступу для забезпечення ідентифікації та автентифікації користувачів, цілісності електронних документів, реєстрації дій користувачів, управління доступом користувачів до інформації та окремих функцій, що надаються продуктом, та/або має змогу використовувати зазначені механізми захисту системного програмного забезпечення, а також можливість інтегруватися в комплексну систему захисту інформації автоматизованої системи, у якій цей продукт використовується.

7.5. Відповідальна особа організовує роботу, пов'язану із захистом персональних даних при їх обробці, відповідно до закону.

Відповідальна особа призначається наказом _____________ чи виконуючого обов`язки _________________.

Обов’язки відповідальної особи щодо організації роботи, пов'язаної із захистом персональних даних при їх обробці, зазначаються у посадовій інструкції.

7.6. Відповідальна особа зобов’язана:

знати законодавство України в сфері захисту персональних даних;

розробити процедури доступу до персональних даних працівників відповідно до їхніх професійних чи службових або трудових обов'язків;

забезпечити виконання працівниками Організації вимог законодавства України в сфері захисту персональних даних та внутрішніх локальних правових актів й документів, що регулюють діяльність Організації щодо обробки і захисту персональних даних у базах персональних даних;

повідомляти керівництво Організації про факти порушень працівниками вимог законодавства України в сфері захисту персональних даних та внутрішніх локальних правових актів й документів, що регулюють діяльність Організації щодо обробки і захисту персональних даних у базах персональних даних у строк не пізніше одного робочого дня з моменту виявлення таких порушень;

забезпечити зберігання документів, що підтверджують надання суб’єктом персональних даних згоди на обробку своїх персональних даних та повідомлення вказаного суб’єкта про його права.

7.7. З метою виконання своїх обов’язків відповідальна особа має право:

отримувати від працівників Організації необхідні документи, у тому числі накази й інші розпорядчі документи, видані _____________ чи виконуючого обов`язки ______________, пов’язані із обробкою персональних даних;

робити копії з отриманих документів, у тому числі копії файлів, будь-яких записів, що зберігаються в локальних обчислювальних мережах і автономних комп'ютерних системах;

доступу до всіх приміщень, документів, засобів телекомунікації Організації;

брати участь в обговоренні виконуваних ним обов’язків організації роботи, пов'язаної із захистом персональних даних при їх обробці;

вносити на розгляд ______________ чи виконуючого обов`язки _______________ пропозиції щодо покращення діяльності Організації та вдосконалення методів роботи, подавати зауваження щодо діяльності Організації та пропозиції усунення виявлених недоліків у процесі обробки персональних даних;

здійснювати взаємодію з іншими працівниками Організації при виконанні своїх обов’язків з організації роботи, пов'язаної із захистом персональних даних при їх обробці;

одержувати від працівників Організації незалежно від обійманих ними посад (за виключенням __________, ___________ чи виконуючого обов`язки ______________, членів та Голови ___________, керівника _____________) пояснення з питань здійснення обробки персональних даних;

підписувати та візувати документи в межах своєї компетенції.

7.8. Працівники, які безпосередньо здійснюють обробку та/або мають доступ до персональних даних у зв’язку з виконанням своїх службових (трудових) обов’язків, зобов’язані дотримуватись вимог законодавства України в сфері захисту персональних даних та внутрішніх локальних правових актів й документів, що регулюють діяльність Організації щодо обробки і захисту персональних даних у базах персональних даних.

7.9. Працівники, що мають доступ до персональних даних, у тому числі здійснюють їх обробку, зобов’язані не допускати розголошення/розкриття у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв'язку з виконанням професійних чи службових або трудових обов'язків. Таке зобов'язання чинне після припинення ними діяльності, пов'язаної з персональними даними, крім випадків, установлених законом.

7.10. Особи, що мають доступ до персональних даних, у тому числі здійснюють їх обробку, у разі порушення ними вимог Закону України «Про захист персональних даних» несуть відповідальність згідно із законодавством України.

7.11. Персональні дані не повинні зберігатися довше, ніж це необхідно для мети, для якої такі дані зберігаються, але у будь-якому разі не довше строку зберігання даних, визначеного згодою суб'єкта персональних даних на обробку цих даних та/або законодавством про працю.

7.12. Строк зберігання персональних даних, що містяться у документації з персоналу Організації, визначається відповідно до чинного законодавства України.

8. ПРАВА СУБ’ЄКТА ПЕРСОНАЛЬНИХ ДАНИХ

8.1. Суб'єкт персональних даних має право:

знати про місцезнаходження бази персональних даних, яка містить його персональні дані, її призначення та найменування, місцезнаходження та/або місце проживання (перебування) володільця чи розпорядника цієї бази або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;

отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані, що містяться у відповідній базі персональних даних;

на доступ до своїх персональних даних, що містяться у відповідній базі персональних даних;

отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи зберігаються його персональні дані у відповідній базі персональних даних, а також отримувати зміст його персональних даних, які зберігаються;

пред'являти вмотивовану вимогу із запереченням проти обробки своїх персональних даних органами державної влади, органами місцевого самоврядування при здійсненні їхніх повноважень, передбачених законом;

пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким власником та розпорядником цієї бази, якщо ці дані обробляються незаконно чи є недостовірними;

на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;

звертатися з питань захисту своїх прав щодо персональних даних до органів державної влади, органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних;

застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних.

9. ПОРЯДОК РОБОТИ З ЗАПИТАМИ СУБ’ЄКТА ПЕРСОНАЛЬНИХ ДАНИХ

9.1. Суб'єкт персональних даних має право на одержання будь-яких відомостей про себе у будь-якого суб'єкта відносин, пов'язаних з персональними даними, без зазначення мети запиту, крім випадків, установлених законом.

9.2. Доступ суб'єкта персональних даних до даних про себе здійснюється безоплатно.

9.3. Суб’єкт персональних даних подає запит щодо доступу (далі — запит) до персональних даних володільцю бази персональних даних.

У запиті зазначаються:

прізвище, ім'я та по батькові, місце проживання (місце перебування) і реквізити документа, що посвідчує особу суб’єкта персональних даних;

інші відомості, що дають змогу ідентифікувати особу суб’єкта персональних даних;

відомості про базу персональних даних, стосовно якої подається запит, чи відомості про володільця чи розпорядника цієї бази;

перелік персональних даних, що запитуються.

9.4. Строк вивчення запиту на предмет його задоволення не може перевищувати десяти робочих днів з дня його надходження.

Протягом цього строку володілець бази персональних даних доводить до відома суб’єкта персональних даних, що запит буде задоволено або відповідні персональні дані не підлягають наданню, із зазначенням підстави, визначеної у відповідному нормативно-правовому акті.

Запит задовольняється протягом тридцяти календарних днів з дня його надходження, якщо інше не передбачено законом.

9.5. Запитувана інформація надається суб’єкту персональних даних у письмовій формі (лист).

10. ДЕРЖАВНА РЕЄСТРАЦІЯ БАЗИ ПЕРСОНАЛЬНИХ ДАНИХ

10.1. Державна реєстрація баз персональних даних здійснюється відповідно до статті 9 Закону України «Про захист персональних даних».

Рис. 2

Наказ про покладання обов'язків щодо забезпечення захисту персональних даних

Таким наказом відповідні обов'язки може бути покладено на керівника кадрової служби або на іншу особу (за її згодою). Примірний текст наказу може бути таким, як показано на рис. 3 на с. 47.

Рис. 3

Відповідальність за порушення вимог щодо захисту БПД

За порушення вимог законодавства про захист персональних даних може наставати адміністративна або навіть кримінальна відповідальність. Відповідні норми набрали чинності 01.01.2012 р. (згідно із Законом України «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» від 02.06.2011 р. № 3454-VI), але існує велика ймовірність, що парламент зупинить їх дію на півроку.

Так, адміністративна відповідальність наставатиме за:

— неповідомлення або несвоєчасне повідомлення суб'єкта персональних даних (у тому числі працівника) про його права у зв'язку з уключенням його персональних даних до бази персональних даних, мету збирання цих даних та осіб, яким ці дані передаються, у вигляді штрафу: на посадових осіб, фізичних осіб — підприємців — від 300 до 400 неоподатковуваних мінімумів доходів громадян (тобто від 5100 до 6800 грн.), на фізичних осіб — роботодавців, які не мають статусу підприємця, — від 200 до 300 нмдг (від 3400 до 5100 грн.);

— неповідомлення або несвоєчасне повідомлення ДСЗПД про зміну відомостей, що подаються для державної реєстрації бази персональних даних, у вигляді штрафу: на посадових осіб, фізичних осіб — підприємців — від 200 до 400 нмдг (від 3400 до 6800 грн.), на фізичних осіб — роботодавців, які не мають статусу підприємця, — від 100 до 200 нмдг (від 1700 до 3400 грн.);

— за ухилення від державної реєстрації бази персональних даних у вигляді штрафу: на громадян, які не мають статусу підприємця, — від 300 до 500 нмдг (від 5100 до 8500 грн.), на посадових осіб, фізичних осіб — підприємців — від 500 до 1000 нмдг (від 8500 до 17000 грн.).

Кримінальна відповідальність наставатиме за незаконні збирання, зберігання, використання, знищення, розповсюдження конфіденційної інформації про працівника або незаконну зміну такої інформації у вигляді штрафу від 500 до 1000 нмдг (від 8500 до 17000 грн.) або виправних робіт на строк до двох років, або у вигляді арешту на строк до шести місяців, або обмеження волі на строк до трьох років.