З 01.01.2011 року набрав чинності Закон України від 01.06.2010 р. №2297-VI «Про захист персональних даних»1, проте до сьогодні не прийнято жодного підзаконного нормативного документа та Державною службою захисту персональних даних не надано жодних роз'яснень щодо застосування положень цього Закону.
А запитань стає більше й більше, особливо з наближенням часу застосування чималих штрафних санкцій за невиконання положень цього Закону. Окремі з них спробуємо з'ясувати для себе у цій статті.
Кого захищає Закон №2297?
Діяльність підприємств незалежно від форми власності та підпорядкування, фізосіб, які здійснюють господарську або незалежну професійну діяльність, певним чином пов'язана з використанням та обробкою даних, що надаються фізособами за трудовими, цивільно-правовими договорами чи іншим шляхом, наприклад, під час реєстрації на Iнтернет-форумах.
Закон №2297 покликаний захистити відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована під час обробки отриманих даних.
Отже, за Законом №2297 об'єктами захисту є персональні дані, які обробляються в базах персональних даних (далі — БПД).
Який обсяг персональних даних підпадає під захист? Якогось мінімального чи максимального обсягу персональних даних Закон №2297 не встановлює, говорить лише про можливість ідентифікувати фізособу. Відповідно до ч. 11 ст. 9 Закону України від 28.11.2002 р. №249-IV «Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, або фінансуванню тероризму» з метою ідентифікації резидентів суб'єкти первинного фінансового моніторингу встановлюють для фізособи прізвище, ім'я та по батькові, дату народження, серію і номер паспорта (або іншого документа, що посвідчує особу), дату видачі та орган, що його видав.
Під час ідентифікації з'ясовують місце проживання або місце перебування фізичної особи, IПН або серію та номер паспорта, в якому проставлено відмітку органів ДПС про відмову від одержання IПН.
Згідно зі ст. 9 Закону №2297 база персональних даних підлягає державній реєстрації2 шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних. У зв'язку з цим вже майже в кожного підприємства виникли запитання: що таке БПД, що таке обробка БПД і які БПД підлягають реєстрації?
1 З документом можна ознайомитися на нашому сайті www.dtkt.com.ua в «ДК» №49/2011 у розділі «Документи для роботи. — Додатки до друкованого «ДК».
2 Положення про державний реєстр баз персональних даних та порядок його ведення, затверджене постановою КМУ від 25.05.2011 р. №616.
Для цілей нашого розгляду варто звернути увагу на терміни, передбачені Законом. Як бачимо, поняття персональних даних — доволі широке. Йдеться майже про всі дані про фізособу, якщо така особа може бути ідентифікована (тобто коли збирається інформація про вищезазначене (ім'я, IПН, адресу тощо), та майже про всі можливі операції з такими даними. Власне кажучи, у разі якщо підприємство використовує в інформаційній (автоматизованій) системі та/або в картотеках будь-які дані про фізичну особу, щодо якої відомі її ім'я, IПН тощо, така дія вже може вважатися обробкою персональних даних.
Визначення понять
Персональні дані — відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;
база персональних даних — іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;
обробка персональних даних — будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов'язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу.
Водночас наголосимо на тому, що реєстрації підлягають не дії щодо обробки ПД, а самі бази ПД. Тобто, на нашу думку, — факт наявності таких даних в СГД.
Державна служба захисту персональних даних на своєму сайті надає роз'яснення окремих питань, у якому зазначено, що документація підприємств, установ та організацій в електронній формі та/або у формі картотек, що містить певним чином структуровані персональні дані найманих працівників, також вважається базою персональних даних або її частиною. А отже, підлягає реєстрації.
Яким чином захищаються дані?
Насамперед Закон №2297 визначає, що персональні дані, крім знеособлених персональних даних, за режимом доступу є інформацією з обмеженим доступом (ч. 2 ст. 5).
Тож слід не лише зареєструвати базу даних, а й установити режим доступу до неї, поклавши відповідні обов'язки на відповідальну особу підприємства.
По-друге, обсяг персональних даних, які можуть бути включені до бази персональних даних, визначається умовами згоди суб'єкта персональних даних або відповідно до закону (п. 3 ст. 6).
Тому під час прийняття на роботу треба отримати згоду від працівника на обробку його даних у господарських чи інших цілях підприємства.
Способів надання згоди може бути кілька.
Відповідно до статті 2 Закону згодою суб'єкта персональних даних є будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки.
Державна служба України з питань захисту персональних даних рекомендує вважати формами надання згоди суб'єкта персональних даних, зокрема, паперову, електронну або шляхом встановлення відповідної відмітки на окремому документі підприємства.
Водночас зазначимо, що згода суб'єкта персональних даних на обробку його персональних даних повторно не надається, якщо володілець продовжує обробляти персональні дані суб'єкта, відповідно до правовідносин на основі вільного волевиявлення фізичної особи, які виникли до набрання чинності Законом.
Загалом питання захисту персональних даних є найскладнішим, оскільки:
1. Закон передбачає лише загальні вимоги до обробки персональних даних.
2. Обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб'єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством. Не допускається обробка даних про фізичну особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
3. Цілі обробки персональних даних повинні відповідати цілям діяльності володільця бази персональних даних, що зафіксовані в його установчих документах та/або передбачені законодавством України, що регулює їх діяльність.
4. Типовий порядок обробки персональних даних у базах персональних даних затверджується уповноваженим державним органом з питань захисту персональних даних.
На сьогодні такий типовий порядок Державною службою захисту персональних даних ще не затверджено. Тож незрозуміло, чи має підприємство приймати та розробляти такий порядок самостійно.
Від кого захищаємо?
Відповідно до ст. 4 Закону суб'єктами відносин, пов'язаних із персональними даними, є:
1) суб'єкт персональних даних — фізична особа, стосовно якої відповідно до закону здійснюється обробка її персональних даних;
2) володілець бази персональних даних;
3) розпорядник бази персональних даних;
4) третя особа;
5) уповноважений державний орган з питань захисту персональних даних;
6) інші органи державної влади та органи місцевого самоврядування, до повноважень яких належить захист персональних даних.
Сам суб'єкт персональних даних має вільний доступ до своїх даних.
Володільцем бази даних є фізособа та юрособа, якій законом або за згодою суб'єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює їх склад та процедури їх обробки, якщо інше не визначено законом.
Звертаємо увагу на те, що про фізосіб-СПД не сказано жодного слова. Водночас Державна служба захисту персональних даних вважає, що фізособи-СПД так само підпадають під дію цього Закону та мають реєструвати наявні у них бази персональних даних.
Щодо розпорядника, то ним може бути фізична чи юридична особа, якій володільцем бази персональних даних або законом надано право обробляти ці дані.
Щодо третіх осіб, то, на думку Державної служби, це може бути також й фізособа (не підприємець), у тому числі самозайнята особа, яка отримує персональні дані від володільців чи розпорядників персональних даних для професійних та/або непобутових потреб.
Утім, зрозуміло, що оскільки персональні дані, крім знеособлених персональних даних, за режимом доступу є інформацією з обмеженим доступом (п. 2 ст. 5), то допускати до бази даних перелічених у ст. 4 Закону суб'єктів слід з урахуванням як Закону №2297, так і інших законів, якими органи державної влади наділені відповідними повноваженнями.
Які бази та як треба реєструвати?
Тут слід звернути увагу на таке.
Багато підприємств мають філії або інші відокремлені підрозділи, які також мають працівників та відповідні свої бази персональних даних.
Для юрособи зрозуміло — прийняв працівників, реєструєш базу даних. А як бути з відокремленими підрозділами? Загалом Державна служба захисту персональних даних зазначає, що якщо госпсуб'єкт має відокремлені структурні підрозділи, які не мають статусу юридичної особи та розташовані поза місцями знаходження таких юридичних осіб, то в заяві про реєстрацію бази персональних даних у розділі II необхідно зазначати адреси місцезнаходження бази персональних даних та кожного відокремленого структурного підрозділу за умови, що ці БПД мають однакове найменування та до їх ведення застосовуються вимоги одних і тих самих нормативно-правових актів, зокрема й локальних актів володільця.
У разі якщо бази персональних даних підприємства та його відокремленого структурного підрозділу мають різне найменування та/або їх ведення регулюється різними нормативно-правовими актами та/або структурний підрозділ є окремою юридичною особою, то такі БПД відокремлених структурних підрозділів мають реєструватись як окремі БПД конкретного відокремленого структурного підрозділу.
Тобто треба розрізняти структурні підрозділи, занесені до відомостей про юрособу в ЄДР, та такі, що не занесені. На нашу думку, якщо працівники приймаються на роботу юрособою та сплачують податки за місцем обліку юрособи, то база персональних даних буде одна.
Не забуваймо і про базу персональних даних контрагентів-фізосіб. Така база, за приписами Закону №2297, також має бути зареєстрована. Що стосується реєстрації, то порядок на сьогодні нескладний.
Реєстрація відбувається на підставі заяви за формою, затвердженою Наказом від 08.07.2011 р. №1824, від власника бази персональних даних. Заява подається до Державної служби з питань захисту персональних даних, яка розміщена за адресою: 02660, м. Київ, вул. Марини Раскової, буд. 15.
Як зазначено на сайті Державної служби, «заява подається у паперовій формі (бажано, з наданням електронної копії) або у формі електронного документа на електронну пошту register@zpd.gov.ua <...>. При цьому ДСЗПД обробляє заяви у формі електронного документа, підписані володільцями, що отримують послуги електронного цифрового підпису (ЕЦП) у акредитованих центрах сертифікації ключів, які надали у розпорядження ДСЗПД надійні засоби ЕЦП».
У разі подання заяв у паперовій формі заявник підписує кожну сторінку заяви та скріплює її печаткою (за наявності). У жодному нормативному документі не зазначено, що є можливість подання такої заяви поштою. Проте немає і заборони чи вимоги подати таку заяву особисто. Тож на практиці у 2011 р. чимало власників баз персональних даних надсилали заяви листом із повідомленням про вручення та з описом вкладених до листа документів.
Відповідно до ст. 9 Закону №2297 фахівці Державної служби з питань захисту персональних даних повинні:
1. Повідомити заявника не пізніше наступного робочого дня з дня надходження заяви про її отримання.
2. Прийняти рішення про реєстрацію (або відмову в реєстрації) бази персональних даних протягом десяти робочих днів з дня надходження заяви. Власникові бази персональних даних видається свідоцтво про реєстрацію бази персональних даних у Державному реєстрі.
На жаль, на практиці такі терміни, принаймні у 2011 р., не дотримуються через величезну кількість заявок. Повідомлення власників баз персональних даних про те, що їхню заяву отримано і взято до обробки, відбувається досить швидко — протягом двох тижнів. А от щоб отримати свідоцтво, доводиться чекати у кращому разі близько місяця.
Яка відповідальність?
Відповідно до Закону України від 02.06.2011 р. №3454-VI суб'єкти відносин у сфері персональних даних починаючи з 01.01.2012 року несуть таку відповідальність, зокрема, відповідно до ст. 188-39 КУпАП:
1) за неповідомлення або несвоєчасне повідомлення суб'єкта персональних даних про його права у зв'язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються, — накладення штрафу на громадян від 3400 грн до 5100 грн і на посадових осіб, громадян — суб'єктів підприємницької діяльності — від 5100 грн до 6800 грн;
2) за ухилення від державної реєстрації бази персональних даних — накладення штрафу на громадян від 5100 грн до 8500 грн і на посадових осіб, громадян — суб'єктів підприємницької діяльності — від 8500 грн до 17000 грн;
3) за недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них, — накладення штрафу від 5100 грн до 17000 грн.
Справи розглядатимуть суди, протоколи складатиме Держслужба захисту ПД.
Нагадаємо, що Кримінальний кодекс України передбачає кримінальну відповідальність за порушення недоторканності приватного життя, яке з урахуванням змін, передбачених Законом №3454, полягатиме в незаконному збиранні, зберіганні, використанні, знищенні, поширенні конфіденційної інформації про особу або незаконній зміні такої інформації, крім випадків, передбачених іншими статтями цього Кодексу. Відповідний злочин карається різними видами покарання — від штрафу до обмеження волі на строк до 3 років.
Наталія КАНАРЬОВА, «Дебет-Кредит»