• Посилання скопійовано

Бази персональних даних

БАЗИ ПЕРСОНАЛЬНИХ ДАНИХ

Розпорядник БПД — особа, якій володільцем БПД або законом надано право обробляти ці дані

Підприємство користується послугами не бухгалтера, а обслуговуючої бухгалтерської компанії. Хто повинен реєструвати бази персональних даних — обслуговуюча бухгалтерська компанія чи обидва підприємства?

Випадки, коли персональні дані фізосіб у межах одних і тих самих баз даних обробляються і використовуються кількома суб'єктами, врегульовано Законом №2297. Згідно зі ст. 2 цього Закону, фізична або юридична особа, якій законом або за згодою суб'єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, визначена як володілець бази персональних даних (БПД). Особа ж, якій володільцем бази персональних даних або законом надано право обробляти ці дані, називається розпорядником БПД. Розпорядником БПД може бути як сам володілець, так і інша особа.

Відповідно до ст. 9 згаданого Закону, заяву про реєстрацію бази персональних даних до уповноваженого державного органу з питань захисту персональних даних подає її володілець.

З огляду на це, у разі якщо на підприємстві є БПД, що використовуються в межах бухгалтерського та інших видів обліку не лише цим підприємством (володільцем БПД), але й обслуговуючою бухгалтерською компанією, володілець бази повинен зареєструвати відповідні БПД шляхом подання заяви (заяв), що мають містити інформацію про інших розпорядників бази персональних даних. У цьому випадку — обслуговуючу бухгалтерську компанію.

Не слід забувати також про гарантоване Законом №2297 право фізичної особи (суб'єкта персональних даних) знати про місцезнаходження бази персональних даних, яка містить його персональні дані, її призначення та найменування, місцезнаходження та/або місце проживання (перебування) володільця чи розпорядника цієї бази. Відповідно до ст. 12 зазначеного Закону суб'єкт персональних даних протягом 10-ти робочих днів від дня включення його персональних даних до БПД повідомляється про свої права, визначені цим Законом, мету збору даних та осіб, яким передаються його персональні дані, тільки у письмовій формі. Закон не передбачає порядку фіксування такого повідомлення, тому, на думку автора, підприємству варто одержати від повідомленого працівника відповідну розписку.

Олексій КРАВЧУК, к. ю. н., аудитор


Договори підприємця з фізособами-замовниками не є базами персональних даних

Чи повинні реєструвати бази персональних даних: 1) фізособа-підприємець на загальній системі без найманих працівників, яка здійснює діяльність і серед своїх покупців має просто фізосіб (має тільки їхні П. I. Б. та адреси); 2) фізособа-підприємець на загальній системі без найманих працівників, яка багато років не провадить діяльності.

Щоб відповісти на це запитання, спочатку слід з'ясувати, що належить до персональних даних.

Відповідно до ст. 2 Закону №2297 під терміном «персональні дані» розуміються відомості чи сукупність відомостей про фізособу, яка ідентифікована або може бути конкретно ідентифікована. Єдиний законодавчий акт, що містить більш-менш розкрите поняття ідентифікації особи, — Закон від 28.11.2002 р. №249-IV «Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, або фінансуванню тероризму», ч. 11 ст. 9 якого містить таке: «з метою ідентифікації резидентів суб'єкти первинного фінансового моніторингу встановлюють для фізособи прізвище, ім'я та по батькові, дату народження, серію і номер паспорта (або іншого документа, що посвідчує особу), дату видачі та орган, що його видав. Під час ідентифікації з'ясовують місце проживання або місце перебування фізичної особи, IПН або серію та номер паспорта, в якому проставлено відмітку органів ДПС про відмову від одержання IПН».

Мін'юст у роз'ясненні від 21.12.2011 р. зазначає, що персональними даними працівника є ті дані, які працівник подав при укладенні трудового договору.

Відповідно до ч. 6 ст. 24 Закону №2297 фізичні особи — підприємці, у тому числі лікарі, які мають відповідну ліцензію, адвокати, нотаріуси особисто забезпечують захист баз персональних даних, якими вони володіють, згідно з вимогами закону.

Враховуючи наведене положення ч. 6 ст. 24 Закону №2297, Мін'юст у роз'ясненні від 21.12.2011 р. вважає, що в разі, якщо фізичні особи — підприємці укладають договори виконання робіт або надання послуг з фізичними особами, такі договори також не є базою персональних даних та не підлягають державній реєстрації.

Якщо розтлумачити висновок Мін'юсту України дещо ширше, то не потребують реєстрації і не є базою персональних даних і дані, отримані від покупців — СПДФО та/або фізичних осіб.

До речі, в цьому Мін'юст зайшов ще далі та в листі від 08.11.2011 р. №17304-0-33-11/61 на запитання «Чи вважається базою персональних даних інформація про орендодавця — фізичну особу за договором оренди нежитлового приміщення, і якщо так, то чи підлягає така база персональних даних з відомостями про одного орендодавця державній реєстрації?» надав таку відповідь: «Виходячи зі змісту поняття «база персональних даних», визначеного статтею 2 Закону, персональні дані однієї фізичної особи не є базою персональних даних. Але особа, яка володіє цими даними, зобов'язана вживати заходів щодо їх збереження, які визначено законами України «Про захист персональних даних» та «Про інформацію».

Щодо персональних даних самого підприємця, то тут слід звернути увагу на те, що приписи Закону №2297 зобов'язують захищати персональні дані про фізособу, отримані від неї та за її згодою. Тож незрозуміло, чи йдеться про дані саме про фізособу-підприємця, чи про іншу особу, з якою встановлені певні господарські відносини.

Загалом, на нашу думку, якщо підприємець-фізособа не має найманих працівників, то не має й бази персональних даних працівників, незалежно від того, яку систему оподаткування обрано таким підприємцем.

Водночас нагадаємо, що на сьогодні немає жодних нормативних документів, які б роз'яснювали окремі положення Закону №2297. Усі роз'яснення, листи та рекомендації офіційних держорганів не є нормативними документами та мають роз'яснювальний характер.

Наталія КАНАРЬОВА, «Дебет-Кредит»


Дані про фізособу, зазначені у рахунку-фактурі, ще не є базою персональних даних

Фізособа-непідприємець придбаває в будівельної фірми будматеріали. Договір усний, виписаний тільки рахунок, кошти перераховуються на поточний рахунок. Підприємству відомо тільки прізвище та ім'я фізособи-покупця, і все. Фізична особа не бажає давати решту своїх даних (IПН, дані паспорта), та й вони нам не потрібні. Якщо ж укладати договір купівлі-продажу, то чи можна скласти його без паспортних даних фізичної особи — непідприємця? Чи ми маємо реєструвати базу персональних даних таких фізосіб-покупців?

Щодо укладення договору з фізособою без зазначення її паспортних даних, то слід зауважити, що рахунок-фактура не потребує обов'язкового укладення додатково ще й письмового договору. До того ж цивільне законодавство визначає виконання зобов'язання особисто, якщо договором не встановлено виконання обов'язку іншою стороною, що тягне за собою надання необхідних даних — тут розуміємо як «персональних даних». Тож ідентифікація особи у договорі більш необхідна передусім для контрагента.

Але проблема, описана у запитанні, не має вирішення ні на законодавчому рівні, ні на рівні офіційних роз'яснень держорганів.

По-перше, відповідно до ч. 6 ст. 24 Закону №2297 фізособи-підприємці, у тому числі лікарі, які мають відповідну ліцензію, адвокати, нотаріуси особисто забезпечують захист баз персональних даних, якими вони володіють, згідно з вимогами закону.

За логікою Мін'юсту (див. роз'яснення від 21.12.2011 р.), у разі якщо фізособи-підприємці укладають договори виконання робіт або надання послуг з фізичними особами, такі договори також не є базою персональних даних та не підлягають державній реєстрації.

По-друге, дія Закону №2297 не поширюється на діяльність зі створення баз персональних даних та обробки персональних даних у цих базах:

1) фізичною особою — виключно для непрофесійних особистих чи побутових потреб;

2) журналістом — у зв'язку з виконанням ним службових чи професійних обов'язків;

3) професійним творчим працівником — для здійснення творчої діяльності.

Юрособи, які мають відносини з фізособами (у т. ч. за одноразовими письмовими та/або усними угодами), у цьому переліку не наведені.

По-третє, Закон №2297 покладає обов'язок щодо виконання вимог цього закону щодо захисту персональних даних фізосіб саме на підприємства, установи та організації всіх форм власності, органи державної влади чи органи місцевого самоврядування, фізосіб-підприємців, які обробляють персональні дані відповідно до закону.

Загалом діяльність підприємств, установ, організацій, незалежно від підпорядкування та форм власності, осіб, які здійснюють незалежну професійну діяльність, значною мірою пов'язана з обробкою персональних даних фізичної особи. При цьому має забезпечуватися конституційне право кожної людини на невтручання в її особисте та сімейне життя. Персональні дані повинні оброблятися відповідно до встановлених у статтях 6 та 7 Закону №2297 вимог до обробки персональних даних.

Підприємства, установи, організації будь-яких форм власності, особи, які здійснюють незалежну професійну діяльність, повинні привести свої процедури обробки персональних даних у відповідність до Закону №2297 та Типового порядку обробки персональних даних у базах персональних даних.

Тому, на нашу думку, при вирішенні проблеми, наведеної у запитанні, слід врахувати, що під базами даних Закон розуміє іменовану сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних.

З огляду на це база персональних даних (як це розуміє Мін'юст у роз'ясненні від 21.12.2011 р.) є упорядкованою сукупністю логічно пов'язаних даних про фізосіб:

1) що зберігаються та обробляються відповідним програмним забезпеченням, є базою персональних даних в електронній формі;

2) що зберігаються та обробляються на паперових носіях інформації, є базою персональних даних у формі картотек.

Картотекою персональних даних є будь-який структурований масив персональних даних, що є доступним за визначеними критеріями, незалежно від того, чи є такий масив централізованим, децентралізованим або розділеним на функціональних або географічних засадах.

Такі дані мають бути структуровані за визначеними критеріями, що стосуються фізичних осіб, щоб забезпечити легкий доступ до відповідних персональних даних.

Тож стверджувати, що документ про відпуск товару чи виконання робіт (надання послуг) свідчить про наявність іменованої сукупності упорядкованих персональних даних, які збираються, зберігаються та обробляються з певно визначеною метою, досить складно.

На сьогодні жоден державний орган не взяв на себе відповідальності тлумачити норми Закону №2297 та чітко визначити, коли є база персональних даних, а коли її немає. Тому підприємству доведеться самому вирішувати, чи потрібні йому дані фізичних осіб — покупців, чи воно їх збиратиме та зберігатиме з певно визначеною комерційною метою та чи планує їх обробляти для подальшого використання у господарської діяльності. Залежно від отриманих на поставлені запитання відповіді і слід приймати рішення про наявність у такого підприємства бази даних. Адже реєстрації підлягає та база даних, яка вже є на підприємстві, а не та, яку планується створювати у майбутньому.

Наталія КАНАРЬОВА, «Дебет-Кредит»

До змісту номеру