Тема реєстрації, обробки та зберігання баз персональних даних (далі — БПД) непокоїть багатьох, адже за порушення законодавства у цій галузі з 01.07.2012 р. загрожує чимала фінансова відповідальність. Розглянемо основні моменти, з якими стикаються власники БПД.
Що таке «база персональних даних»? Чи обов'язково підприємству реєструвати такі бази? Як це зробити, куди звертатися, які документи подавати?
Реєстрація баз персональних даних в Україні регулюється:
1) Законом України від 01.06.2010 р. №2297-VI «Про захист персональних даних» (далі — Закон №2297);
2) Законом України від 02.06.2011 р. №3454-VI «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» (далі — Закон №3454);
3) Положенням про Державний реєстр баз персональних даних та порядок його ведення, затвердженим постановою КМУ від 25.05.2011 р. №616 (далі — Положення №616);
4) Наказом Мін’юсту України від 08.07.2011 р. №1823/5 «Про затвердження зразка свідоцтва про державну реєстрацію бази персональних даних» (далі — Наказ №1823);
5) Наказом Мін’юсту України від 08.07.2011 р. №1824/5 «Про затвердження форм заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних і порядку їх подання» (далі — Наказ №1824);
6) Наказом Мінюсту України від 19.12.2011 р. №3548/5 «Про затвердження Порядку особистого прийому громадян у Державній службі з питань захисту персональних даних»;
7) Наказом Мін’юсту України від 30.12.2011 р. №3659/5 «Про затвердження Типового порядку обробки персональних даних у базах персональних даних».
Відповідно до ст. 2 Закону №2297, база персональних даних — це іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних. Прикладом таких баз можуть бути БПД працівників підприємства, а також база даних покупців або постачальників-фізосіб. Йдеться про бази персональних даних саме фізосіб.
Своєю чергою, володілець бази персональних даних — це фізична або юридична особа, якій законом або за згодою суб'єкта персональних даних дано право на обробку цих даних. Володілець таких баз даних затверджує мету обробки персональних даних у цій базі, встановлює склад даних у цій базі та процедуру їх обробки, якщо інше не встановлено законодавством.
Відповідно до ст. 9 Закону №2297, кожна база персональних даних підлягає державній реєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних (далі — Державний реєстр). Відбувається така реєстрація на підставі заяви за формою, затвердженою Наказом №1824, від володільця БПД (див. Зразок). Заява про реєстрацію БПД повинна містити інформацію про володільця та розпорядників БПД, інформацію, що описує саму БПД (мета збору й обробки персональних даних) та її місцезнаходження, а також підтвердження зобов'язань з боку володільця БПД про виконання вимог законодавства щодо захисту персональних даних1.
1 Про кожну зміну відомостей, внесених до Державного реєстру, не пізніше ніж протягом 10 робочих днів з дня виникнення таких змін, володілець БПД зобов'язаний повідомити ДСЗПД шляхом подання заяви про внесення змін до відомостей Державного реєстру, типова форма якої також затверджена Наказом №1824.
Зразок
Зразок заповнення Заяви про реєстрацію бази персональних даних
Заява на кожну БПД подається:
1) або у паперовому вигляді — у цьому випадку заявник (або уповноважена посадова особа) підписує кожну сторінку заяви та скріпляє її печаткою (за наявності). Чинне законодавство не передбачає права заявника подати заяву поштою. Проте, оскільки сьогодні працює лише один орган ДСЗПД за адресою 02660, м. Київ, вул. М.Раскової, 15, чимало заявників подали заяви поштою, листом з описом вкладеного та повідомленням про вручення. ДСЗПД не забороняє такого способу подання заяв, мало того, у роз'ясненнях на своєму сайті згадує такий спосіб як варіант подання заяв. Принаймні повідомлення про вручення такого листа є підтвердженням того, що володілець персональних даних виконав вимоги закону та подав БПД на реєстрацію. Але на сьогодні найрезультативнішим є спосіб особистого подання заяви у паперовій формі, адже при такому поданні працівники ДСЗПД проводять перевірку поданої заяви на відповідність вимогам законодавства, що виключає можливість отримання відмови у реєстрації БПД або змін у відомостях через неправильно складену заяву. При цьому слід розуміти, що навіть якщо подану поштою заяву про реєстрацію БПД не прийнято і заявник отримав повідомлення про відмову, це не означає, що заява не була подана взагалі до держоргану, а отже, дозволить уникнути штрафних санкцій за ухилення від реєстрації БПД. Таке повідомлення про відмову міститиме причини, які потрібно усунути, з термінами подання виправленої заяви. Головне — вкластися у зазначені у повідомленні терміни;
2) або у вигляді електронного документа через веб-сайт Державного реєстру (https://rbpd.informjust.ua) відповідно до вимог законів України «Про електронні документи та електронний документообіг» від 22.05.2003 р. №851-IV та «Про електронний цифровий підпис» від 22.05.2003 р. №852-IV. Форма та зміст заяв у цьому разі не відрізнятимуться від наведених у Зразку 1 і Зразку 2. А ось про те, як скласти електронний документ за допомогою сайта Державного реєстру, докладніше читайте нижче. Зверніть увагу, що ДСЗПД обробляє заяви у формі електронного документа, підписані лише тими володільцями БПД, які отримують послуги електронного цифрового підпису в акредитованих центрах сертифікації ключів, що надали у розпорядження ДСЗПД надійні засоби електронного цифрового підпису. Інформація про такі акредитовані центри можна побачити на сайті ДСЗПД.
В електронному вигляді заяву можна надіслати таким способом.
1. Створити заяву в електронній формі на сайті Державного реєстру https://rbpd.informjust.ua/declarant/declaration/registerdb.aspx?decid=-1 та зберегти цей електронний документ у себе на комп'ютері.
2. Стягнути у вашого акредитованого центру сертифікації ключів, через який ви подаєте електронну звітність, програму, що дозволяє накладати електронні підписи та печатку на будь-який електронний документ.
3. Підписати з його допомогою заяву підписом керівника підприємства (або фізособи — володільця БПД) та зберегти підписану заяву у себе на комп'ютері. Окремо зберегти такий самий файл, підписаний не лише підписом, а й печаткою підприємства (або фізособи — за її наявності).
4. Відправити через сайт ДСЗПД https://rbpd.informjust.ua/declarant/declaration/uploaddeclaration.aspx у такій послідовності:
- «Файл заяви:*» — непідписана заява в електронній формі;
- «Файл цифрового підпису:*» — заява в електронній формі, підписана електронним підписом. Якщо володілець — юрособа, то підпис повинен бути особи, уповноваженої здійснювати реєстрацію баз даних, тобто директора;
- «Файл публічного сертифіката:*» — файл сертифіката відкритого ключа керівника підприємства, наданий центром сертифікації ключів. Фізособа — володілець БПД повинна зазначити сертифікат ключа свого підпису;
- «Файл цифрового підпису печатки (за наявності):» — заява в електронній формі, підписана електронним підписом і печаткою, за її наявності;
- «Файл публічного сертифіката печатки (за наявності):» — файл сертифіката печатки підприємства, установи, наданий центром сертифікації ключів. Фізособа-СПД повинна зазначити сертифікат своєї печатки лише за її наявності.
Зверніть увагу, що на сайті Державного реєстру з'явився новий засіб захисту від спаму: щоб подати заяву в електронній формі, потрібно ввести контрольний символ, який ви побачите на сторінці подання заяви.
Докладна інформація про те, як скласти та надіслати заяву в електронному вигляді, — на сайті ДСЗПД http://zpd.gov.ua/indexPovidomlenya.html.
Увага! Внаслідок виконаної роботи на адресу електронної пошти заявника, зазначену в заяві, надсилається повідомлення про успішне подання заяви, що містить реєстраційний номер та код доступу до інформації про заяву. Реєстраційний номер дозволить заявникові відстежувати інформацію про стан обробки заяви через веб-сайт Державного реєстру баз персональних даних (https://rbpd.informjust.ua).
Відповідно до ст. 9 Закону №2297 фахівці ДСЗПД повинні:
1) повідомити заявника не пізніше наступного робочого дня з дня надходження заяви про її отримання;
2) прийняти рішення про реєстрацію (або відмову в реєстрації) БПД протягом 10 р. д. з дня надходження заяви. Володільцю БПД видається свідоцтво встановленого Наказом №1823 зразка про реєстрацію БПД у Державному реєстрі.
На жаль, на практиці таких термінів не дотримують через величезну кількість заяв. Повідомлення володільців БПД, наприклад, при поданні заяви в електронному вигляді, відбувається досить швидко. При успішному (після візуальної перевірки документа працівниками ДСЗПД) поданні заяви особисто ви можете бути певні, що заяву прийнято до обробки. А ось свідоцтва доводиться чекати місяцями.
Якщо володілець БПД ухиляється від реєстрації таких баз у Державному реєстрі, з 01.07.2012 р. при виявленні цього порушення відповідно до Закону №3454 на нього накладається штраф у розмірі:
1) на пересічних громадян — від 300 до 500 н. м. д. г. (5100 - 8500 грн);
2) на посадових осіб юросіб, а також фізосіб-СПД — від 500 до 1000 н. м. д. г. (8500 - 17000 грн).
Увага! Зазначені суми штрафів стягуються судом, а сама Держслужба тільки складає протоколи щодо виявлених порушень, з яким також слід ознайомити володільця БПД. Найголовніше, що треба пам'ятати, — на сьогодні Закон №2297 не встановлює конкретних термінів (дати) для реєстрації БПД.
Крім того, зверніть увагу, що Законом №3454 передбачено низку адміністративних штрафів і навіть кримінальну відповідальність за інші порушення законодавства щодо захисту БПД.
Підприємство має базу персональних даних працівників. Частину з них прийнято на роботу до 01.01.2011 р., частину — пізніше. На сьогодні підприємство проходить процедуру реєстрації БПД. Чи обов'язково для того, щоб вести таку базу, мати письмовий дозвіл від працівників на внесення до неї їхніх персональних даних? Що робити працедавцю, у разі якщо працівник відмовляється дати згоду на використання його персональних даних?
Відповідно до ст. 6 Закону №2297, обсяг персональних даних, які можуть бути включені до БПД, визначається двома способами: за умови згоди фізособи — суб'єкта персональних даних або відповідно до чинного законодавства. При цьому п. 6 цієї статті підкреслюється: «Не допускається обробка даних про фізичну особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини».
Таким чином, на нашу думку (а на сьогодні вона збігається з точкою зору ДСЗПД), за умови що персональні дані збираються та використовуються виключно у зв'язку з вимогою чинного трудового, бухгалтерського та податкового законодавства, наявність письмової згоди на це не є обов'язковою.
Наприклад, згідно зі ст. 1, 2 Закону про бухоблік1, усі юридичні особи, створені відповідно до законодавства України, незалежно від їхніх організаційно-правових форм та форм власності, а також представництва іноземних суб'єктів господарської діяльності зобов'язані вести бухгалтерський облік (тобто процес виявлення, вимірювання, реєстрації, накопичення, узагальнення, зберігання та передачі інформації про діяльність підприємства зовнішнім і внутрішнім користувачам для прийняття рішень) та подавати фінансову звітність згідно із законодавством. Складання за наслідками господарських операцій первинних документів, вимоги до них, порядок узагальнення інформації про них у регістрах синтетичного й аналітичного обліку передбачено ст. 9 цього Закону. А згідно зі ст. 3 згаданого Закону податкова звітність, як і фінансова та статистична, грунтуються на даних бухгалтерського обліку.
1 Закон України від 16.07.99 р. №996-XIV «Про бухгалтерський облік та фінансову звітність в Україні».
Якщо звернутися до ПКУ, то згідно з пп. 14.1.180 податковий агент з ПДФО — юридична особа (її філія, відділення, інший відокремлений підрозділ), самозайнята особа, представництво нерезидента-юрособи — зобов'язані вести податковий облік, подавати податкову звітність податковим органам та нести відповідальність.
Надання працедавцями інформації у системі персоніфікованого обліку передбачене ст. 21 Закону від 09.07.2003 р. №1058-IV «Про загальнообов'язкове державне пенсійне страхування».
Таким чином, використання інформації про працівників для ведення обліку та звітування є передбаченою законодавством підставою для використання працедавцем їхніх персональних даних і не потребує обов'язкової письмової згоди працівників.
Зазначимо також, що законодавство не передбачає спеціальної відповідальності за використання персональних даних без згоди працівника. Відповідальність, проте, буде передбачена (з 01.07.2012 р.) за неповідомлення або невчасне повідомлення суб'єкта персональних даних про його права у зв'язку з включенням його персональних даних до БПД, про мету збору цих даних та осіб, яким ці дані передаються. Згідно зі ст. 12 Закону №2297, суб'єкт персональних даних протягом десяти робочих днів з дня включення його персональних даних до БПД повинен бути повідомлений про свої права, визначені цим Законом, мету збору даних та осіб, яким передаються його персональні дані, виключно у письмовій формі. Тож, навіть у разі якщо працівник відмовляється дати згоду на використання його даних з метою бухгалтерського та податкового обліку, він усе одно повинен бути письмово повідомлений про його права й інші питання, передбачені Законом №2297.
Відмовитися від обробки своїх персональних даних та зажадати їх вилучення з БПД фізособа може лише у тому разі, якщо така обробка не є за чинним законодавством обов'язковою, і фізособа не давала згоди (або відкликає таку згоду) на збір, обробку та зберігання її персональних даних.
На нещодавно створеному підприємстві нині є один директор, він же — і засновник. Чи потрібно цьому підприємству реєструвати бази персональних даних? Скільки має бути осіб, щоб вважалося, що є база персональних даних?
Згідно зі ст. 2 Закони №2297:
1) база персональних даних — іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;
2) персональні дані — відомості або сукупність відомостей про фізособу, яка ідентифікована або може бути конкретно ідентифікована.
Закон не визначає мінімальної кількості фізосіб, відомості або сукупність відомостей про яких становить БПД. З наведених значень термінів можна зробити висновок, що БПД починається з персональних даних про одну фізичну особу.
Відповідно до п. 6 Положення №616: «Заява подається щодо кожної бази даних, що перебуває у володінні заявника, за формою та в порядку, які затверджуються Мін’юстом».
І незважаючи на позицію Мін’юсту, оприлюднену в листі від 08.11.2011 р. №17304-0-33-11/61, про те, що дані про одну фізособу не є базою даних, ДСЗПД у своїх роз'ясненнях дотримується протилежної точки зору. І навіть висловлює думку, що БПД можуть реєструватися і заздалегідь, ще до того, як персональні дані хоча б про одну фізособу в ній фактично з'являться.
Ганна БИКОВА, «Дебет-Кредит»