Тема реєстрації баз персональних даних (далі — БПД) останнім часом непокоїть багатьох, адже за відсутність реєстрації загрожує відповідальність. Отже, заповнюємо заяву.
Питання 1
Що таке «база персональних даних»? Чи обов'язково підприємству здійснювати реєстрацію таких баз? Як це зробити, куди звертатися, які документи подавати?
Реєстрація баз персональних даних в Україні регулюється:
1) Законом України від 01.06.2010 р. №2297-VI «Про захист персональних даних» (далі — Закон №2297);
2) Законом України від 02.06.2011 р. №3454-VI «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» (далі — Закон №3454);
3) Положенням про Державний реєстр баз персональних даних і порядок його ведення, затвердженим постановою КМУ від 25.05.2011 р. №616 (далі — Положення №616);
4) Наказом Мін'юсту України від 08.07.2011 р. №1823/5 «Про затвердження зразка свідоцтва про державну реєстрацію бази персональних даних» (далі — Наказ №1823);
5) Наказом Мін'юсту України від 08.07.2011 р. №1824/5 «Про затвердження форм заяв про реєстрацію бази персональних даних і про внесення змін до відомостей Державного реєстру баз персональних даних та порядку їх подання» (далі — Наказ №1824).
Відповідно до ст. 2 Закону №2297, база персональних даних — це іменована сукупність впорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних. Прикладом таких баз можуть бути база персональних даних працівників підприємства, а також база даних покупців або постачальників — фізосіб.
Зверніть увагу, що йдеться про бази персональних даних саме фізосіб.
Своєю чергою, володілець бази персональних даних — це фізична або юридична особа, якій законом чи за згодою суб'єкта персональних даних надане право на обробку цих даних. Володілець таких баз даних затверджує мету обробки персональних даних у цій базі даних, встановлює склад даних у цій базі та процедуру їх обробки, якщо інше не встановлене законодавством.
Відповідно до ст. 9 Закону №2297, кожна база персональних даних підлягає державній реєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних (далі — Державний реєстр). Відбувається така реєстрація на підставі заяви за формою, затвердженою Наказом №1824, від володільця бази персональних даних. Подається така заява до уповноваженого державного органу з питань захисту персональних даних. На сьогодні є тільки центральний орган — Державна служба з питань захисту персональних даних (далі — ДСЗПД), який розташований за адресою: 02660, м. Київ, вул. Марини Раскової, буд. 151. Регіональні центри наразі не створено. Як зазначено на сайті ДСЗПД: «Заява подається у паперовій формі (бажано з наданням електронної копії) або у формі електронного документа на електронну пошту register@zpd.gov.ua відповідно до вимог законів України «Про електронні документи та електронний документообіг» та «Про електронний цифровий підпис». При цьому ДСЗПД обробляє заяви у формі електронного документа, підписані володільцями, що отримують послуги електронного цифрового підпису (ЕЦП) у акредитованих центрах сертифікації ключів, які надали у розпорядження ДСЗПД надійні засоби ЕЦП».
1 Телефон гарячої лінії: +38(044)517-89-66.
У разі подання заяв у паперовій формі заявник підписує кожну сторінку заяви і скріпляє її печаткою (за наявності). У жодному нормативному документі не зазначено, що є можливість подання такої заяви поштою. Проте немає і заборони або вимоги подати таку заяву особисто. Тож на практиці у 2011 р. чимало володільців баз персональних даних надсилали заяви листом з повідомленням про вручення та описом вкладених до листа документів.
В електронному вигляді заяву можна надіслати у такий спосіб.
1. Створити заяву в електронній формі на сайті Державного реєстру https://rbpd.informjust.ua/declarant/declaration/registerdb.aspx?decid=-1 і зберегти цей електронний документ у себе на комп'ютері.
2. Узяти або стягнути у вашого оператора електронної звітності програму, що дозволяє накладати електронні підписи та печатку на будь-який електронний документ (таке програмне забезпечення в Україні вже є).
3. Підписати з його допомогою заяву.
4. Надіслати через сайт ДСЗПД https://rbpd.informjust.ua/declarant/declaration/uploaddeclaration.aspx у такій послідовності:
— «Файл заяви:*» — непідписана заява в електронній формі
— «Файл цифрового підпису:*» — заява в електронній формі, підписана електронним підписом та засвідчена печаткою володільця бази даних. Якщо володілець — юрособа, то підпис має бути особи, уповноваженої здійснювати реєстрацію баз даних, тобто директора;
— «Файл публічного сертифікату:*» — файл сертифіката відкритого ключа керівника установи, наданий центром сертифікації ключів.
Докладну інформацію про те, як скласти і надіслати заяву в електронному вигляді, ви можете знайти на сайті ДСЗПД http://zpd.gov.ua/indexPovidomlenya.html.
На жаль, створити заяву в інший спосіб та надіслати за поштовою електронною адресою register@zpd.gov.ua, як пропонує ДСЗПД у себе на сайті, не вдається наразі нікому. Точніше, надіслати її можна. Але майже всі заяви, що надійшли таким чином, ДСЗПД часто не може відкрити у себе через своє ПЗ (у нього чіткі вимоги до файла електронного документа, і дотримати їх можна, лише створивши та надіславши заяву через сайт Державного реєстру). Надсилання заяви через сайт Державного реєстру має ще й ту перевагу, що відразу ж після надіслання на електронну пошту володільця бази даних, зазначену при складанні заяви, надходить повідомлення про успішне надіслання. I саме на заяви, надіслані через сайт, як показує практика, ДСЗПД реагує найоперативніше (не рахуючи тих заяв, які володільці баз даних подають у паперовій формі, але це на сьогодні взагалі найуспішніший варіант подання заяви).
Відповідно до ст. 9 Закону №2297, фахівці Державної служби з питань захисту персональних даних повинні:
1) повідомити заявника не пізніше наступного робочого дня з дня надходження заяви про її отримання;
2) прийняти рішення про реєстрацію (або відмову у реєстрації) бази персональних даних протягом 10 робочих днів з дня надходження заяви. Володільцю бази персональних даних видається свідоцтво встановленого Наказом №1823 зразка про реєстрацію бази персональних даних у Державному реєстрі.
На жаль, на практиці таких строків, принаймні у 2011 р., не дотримуються через величезну кількість заяв. Повідомлення володільців баз персональних даних про те, що їхню заяву отримано і взято в обробку, відбувається досить швидко — протягом двох тижнів. А от отримання свідоцтва доводиться чекати у кращому разі місяць.
Якщо володілець бази персональних даних ухиляється від реєстрації таких баз у Державному реєстрі, з 01.01.2012 р. у разі виявлення такого порушення відповідно до Закону №3454 на нього накладається штраф у розмірі:
1) на звичайних громадян від 300 до 500 н. м. д. г. (5100 - 8500 грн);
2) на посадових осіб юросіб, а також фізосіб — СПД від 500 до 1000 н. м. д. г. (8500 - 17000 грн).
Крім того, зверніть увагу, що Законом №3454 передбачено низку адміністративних штрафів і навіть кримінальну відповідальність за інші порушення законодавства щодо захисту баз персональних даних.
Питання 2
Підприємство має базу персональних даних працівників. Частину з них прийнято на роботу до 01.01.2011 р., частину — пізніше. На сьогодні підприємство проходить процедуру реєстрації бази персональних даних. Чи обов'язково для того, щоб вести таку базу, мати письмовий дозвіл від співробітників на внесення до неї їхніх персональних даних?
Відповідно до ст. 6 Закону №2297, обсяг персональних даних, які можуть бути включені до бази персональних даних, визначається двома способами — за умови згоди фізособи — суб'єкта персональних даних або відповідно до чинного законодавства. Причому п. 6 цієї статті обумовлено: «Не допускається обробка даних про фізичну особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини». Таким чином, хоча це наразі нічим і не обумовлено прямо, на наш погляд, законодавці залишили можливість для СГД вести картки своїх працівників чи базу персональних даних покупців або постачальників без їхньої прямої на те згоди — за умови, що ці дані збираються та використовуються виключно у зв'язку з вимогою чинного трудового, бухгалтерського та податкового законодавства. Проте доти, доки Державна служба захисту персональних даних (далі — ДСЗПД) не дала роз'яснень цієї норми, краще все ж таки отримати згоду працівника.
Для тих працедавців, які не мають проблем зі згодою з боку працівників на збирання, зберігання, обробку та використання їхніх персональних даних, зазначимо таке. На сьогодні ДСЗПД роз'яснює, що обов'язково потрібно мати документальну згоду тільки від працівників, прийнятих на роботу з 01.01.2011 р. Припускається, що ті, хто був прийнятий на роботу раніше, згодні на обробку їхніх персональних даних автоматично, вже за фактом укладення трудового договору. Проте, оскільки це прямо не застережено жодним нормативним документом і є радше бажанням ДСЗПД, ніж практикою, радимо отримати письмову згоду від усіх працівників.
Відповідно до ст. 1 Закону №2297, згода має бути задокументована, наприклад, у письмовій формі та містити в собі сформульовану мету обробки бази персональних даних, до якої вони потрапляють. Зверніть увагу, що зміна мети обробки бази персональних даних тягне за собою отримання нової згоди від фізособи, чиї дані використовуватимуться. Типова форма такого документа наразі не встановлена, тож він може бути довільної форми (див. зразок).
Зразок
Заява про згоду на обробку персональних даних (фрагмент)
Питання 3
Що робити бухгалтеру, в разі якщо працівник відмовляється надати згоду на використання його персональних даних?
Насамперед зазначимо, що інформація про фізосіб, які можуть бути ідентифіковані, вважається персональними даними, і тому, в разі якщо ці дані зберігаються та використовуються у впорядкованому вигляді (картотеці, комп'ютерній базі тощо), — ми маємо справу із базою персональних даних.
За загальним правилом, як зазначалося вище, використання персональних даних є можливим лише за згодою фізособи. Так, відповідно до п. 6 ст. 6 Закону №2297, не допускається обробка даних про фізособу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
Згідно зі ст. 11 Закону №2297, підставами виникнення права на використання персональних даних є згода суб'єкта персональних даних на обробку його персональних даних, а також дозвіл на обробку персональних даних, наданий володільцю бази персональних даних відповідно до закону виключно для здійснення його повноважень.
Згідно зі ст. 1, 2 Закону про бухоблік1, усі юридичні особи, створені відповідно до законодавства України, незалежно від їх організаційно-правових форм та форм власності, а також представництва іноземних суб'єктів господарської діяльності зобов'язані вести бухгалтерський облік (що є процесом виявлення, вимірювання, реєстрації, накопичення, узагальнення, зберігання та передачі інформації про діяльність підприємства зовнішнім та внутрішнім користувачам для прийняття рішень) та подавати фінансову звітність згідно із законодавством. Складання за результатами господарських операцій первинних документів, вимоги до них, порядок узагальнення інформації про них у регістрах синтетичного й аналітичного обліку — передбачені ст. 9 цього Закону. А згідно зі ст. 3 названого Закону податкова звітність, як і фінансова та статистична, грунтуються на даних бухгалтерського обліку.
1 Закон України від 16.07.99 р. №996-XIV «Про бухгалтерський облік та фінансову звітність в Україні».
Якщо звернутися до ПКУ, то згідно з пп. 14.1.180 податковий агент щодо ПДФО — юридична особа (її філія, відділення, інший відокремлений підрозділ), самозайнята особа, представництво нерезидента — юридичної особи — зобов'язані вести податковий облік (щодо ПДФО), подавати податкову звітність податковим органам та нести відповідальність.
Подання роботодавцями інформації у системі персоніфікованого обліку передбачено ст. 21 Закону від 09.07.2003 р. №1058-IV «Про загальнообов'язкове державне пенсійне страхування».
Отже, використання інформації про працівників для ведення обліку та звітності є передбаченою законодавством підставою для використання роботодавцем їхніх персональних даних і не потребує обов'язкової письмової згоди працівників.
Зазначимо також, що законодавство не передбачає спеціальної відповідальності за використання персональних даних без згоди працівника. Відповідальність, однак, буде передбачена (з 2012 р.) за неповідомлення або несвоєчасне повідомлення суб'єкта персональних даних про його права у зв'язку з включенням його персональних даних до бази персональних даних, про мету збору цих даних та осіб, яким ці дані передаються (див. вище).
Справді, відповідно до ст. 12 Закону №2297, суб'єкт персональних даних протягом десяти робочих днів з дня включення його персональних даних до бази персональних даних повідомляється про свої права, визначені цим Законом, мету збору даних та осіб, яким передаються його персональні дані, виключно у письмовій формі.
Тому, навіть у разі якщо працівник відмовляється надати згоду на використання його даних з метою бухгалтерського та податкового обліку, він усе одно має бути письмово повідомлений про його права та інші питання, передбачені Законом №2297.
Питання 4
На нещодавно створеному підприємстві наразі є один директор, який є і засновником. Чи потрібно цьому підприємству реєструвати бази персональних даних? Скільки має бути осіб, аби вважалося, що є база персональних даних?
Згідно зі ст. 2 Закону №2297:
1) база персональних даних — іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;
2) персональні дані — відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.
Закон не визначає мінімальну кількість фізичних осіб, відомості чи сукупність відомостей про яких становить БПД. Iз наведених значень термінів, на нашу думку, можна дійти висновку, що БПД починається з персональних даних про одну фізичну особу.
Відповідно до п. 6 Положення №616: «Заява подається щодо кожної бази даних, яка перебуває у володінні заявника, за формою та у порядку, що затверджуються Мін'юстом».
Державна служба України з питань захисту персональних даних на своєму сайті www.zpd.gov.ua на запитання «Що саме є базою персональних даних і які бази потрібно реєструвати?» роз'яснила: «Відповідно до статті 2 Закону України «Про захист персональних даних» від 1 червня 2010 року (далі — Закон) персональні дані це — відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.
Iснують персональні дані таких категорій: дані загального характеру (прізвище, ім'я та по батькові, дата та місце народження, громадянство, місце проживання, особисті відомості (вік, стать, сімейний стан тощо), склад сім'ї, освіта, професія, фінансова інформація, електронні ідентифікаційні дані, запис зображень (фото, відео) тощо) та вразливі (чутливі) персональні дані (расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також дані, що стосуються здоров'я чи статевого життя).
Відповідно до вищезазначеного Закону будь-яка сукупність упорядкованих персональних даних про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована, вважається базою персональних даних. Кожна база персональних даних підлягає державній реєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних. Виключень щодо реєстрації баз персональних даних Закон не містить.
Володілець самостійно приймає рішення про те, чи є та чи інша сукупність персональних даних фізичних осіб, яка знаходиться в його володінні, базою персональних даних.
Аналізуючи заяви про реєстрацію баз персональних даних, які надходять на реєстрацію до ДСЗПД, можна дійти висновку, що кожне підприємство (організація) є володільцем щонайменше двох баз персональних даних, а саме бази персональних даних працівників, яка ведеться з метою забезпечення вимог трудового законодавства, реалізації податкових відносин та відносин у сфері бухгалтерського обліку та аудиту, та бази персональних даних клієнтів або інших осіб, персональні дані яких обробляються володільцем в результаті господарської діяльності організації.
Крім того, слід зазначити, що різні типи звітів та форм, що містять в собі певну сукупність відомостей про фізичних осіб, вибраних з баз персональних даних володільця, та які, відповідно до закону, періодично подаються до органів державної влади — не розглядаються як окремі бази персональних даних».
Виходячи з наведеного, на нашу думку, у цьому випадку доцільно зареєструвати дві бази персональних даних:
1) працівників;
2) учасників1 (засновників, учасників та засновників тощо).
1 На думку редакції, окремо базу даних засновників потрібно реєструвати тільки в тому випадку, якщо вони не працюють на підприємстві керівником, заступником, не обіймають інші посади за штатним розписом. Хоча, звичайно, і тут треба чекати роз'яснення Держслужби з питань захисту персональних даних.
Питання 5
Як правильно заповнити Заяву для реєстрації БПД?
Форма заяви затверджена Наказом №1824, її можна стягнути зі сайта Державної служби захисту персональних даних http://zpd.gov.ua. На кожну БПД (щодо засновників, щодо працівників, щодо контрагентів, щодо програми, яка реєструє персональні дані) слід заповнити окрему заяву.
Заява заповнюється державною мовою розбірливими друкованими буквами. Форма заяви містить чотири розділи.
«Розділ I. Iнформація про володільця бази персональних даних». У цьому розділі зазначається те підприємство або ФОП, яке (яка) подає заяву, його (її) номер ЄДРПОУ (ГРФО) та юридична адреса.
«Розділ II. Iнформація про найменування і місцезнаходження бази персональних даних». Записуємо одну з БПД та її фактичне місцезнаходження, тобто фактичну адресу підприємства або ФОП.
«Розділ III. Мета обробки персональних даних». Тут записується мета обробки даних згідно зі ст. 6 і 7 Закону №2297, з посиланням на нормативно-правові акти, положення, засновницькі чи інші документи, що регулюють діяльність власника БПД. Так, якщо йдеться про БПД працівників, такими нормативними актами будуть КЗпП і трудовий договір, якщо БПД засновників — то статут підприємства тощо. У нижній табличці розділу III зазначаються правові підстави обробки БПД згідно зі ст. 11 Закону №2297. Такими підставами можуть бути:
1) згода суб'єкта ПД;
2) дозвіл на обробку ПД;
3) договір на обробку ПД, укладений володільцем БПД із розпорядником;
4) щодо працівників, трудові відносини з якими виникли до набрання чинності Закону №2297, — вільне волевиявлення сторін трудового (колективного) договору.
«Розділ IV. Iнформація про розпорядників бази персональних даних». Якщо розпорядник і володілець БПД — одна особа, переписуємо дані з першого розділу, якщо ні, зазначаємо дані про розпорядника БПД.
Відповідно до ст. 2 Закону №2297 володільцем є: «фізична або юридична особа, якій законом або за згодою суб'єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом», а розпорядник — це «фізична чи юридична особа, якій володільцем бази персональних даних або законом надано право обробляти ці дані» — доволі часто це буде одна і та сама особа.
У рядках «Надіслати свідоцтво про державну реєстрацію бази персональних даних поштою (рекомендованим листом з описом вкладення)» і «Підтверджую зобов'язання стосовно виконання вимог законодавства щодо захисту персональних даних» ставиться хрестик.
У паперовій формі заява подається з підписом та печаткою на кожній сторінці.
Після подання заяви про реєстрацію БПД здійснюватиметься перевірка. Який контролюючий орган це робитиме, наразі не відомо. Натомість відомо, що перевірятиметься наявність наказу про призначення особи, відповідальної за захист БПД, а також захист самої БПД.
Ганна БИКОВА, Марина КРИВЕНКО, «Дебет-Кредит»;
Олексій КРАВЧУК, к. ю. н., аудитор; Олександр ЛЕВІТАН, аудитор