Свого часу ми вже зверталися до питання реєстрації баз персональних даних та їх обробки. Згодом було прийнято порядок контролю за додержанням вимог Закону №2297, чинний вже з 16.07.2012 р. Проте госпсуб'єктам, безперечно, буде цікаво знати, яка інформація приверне увагу перевіряльників під час перевірок.
Що ми про це думаємо
Закону України від 01.06.2010 р. №2297-VI «Про захист персональних даних» (далі — Закон №2297) вже близько двох років. Проте з огляду на відсутність будь-якої практики щодо застосування його норм ми можемо лише поділитися власним баченням і привернути увагу наших читачів та держорганів до окремих проблемних питань обробки та захисту персональних даних.
Водночас нагадаємо, що нещодавно набрав чинності Порядок контролю за додержанням законодавства щодо захисту персональних даних.1
1 Наказ Мін'юсту від 22.06.2012 р. №947/5 «Про затвердження Порядку здійснення Державною службою України з питань захисту персональних даних державного контролю за додержанням законодавства про захист персональних даних».
Проведення перевірок на виконання вимог цього Порядку та Закону №2297, на нашу думку, має надати прозорості їх нормам та визначити єдиний підхід насамперед до оформлення та складання документів, яких вимагає Закон, зокрема положення (наказ, рішення, порядок тощо) щодо обробки персональних даних, повідомлення суб'єктів персональних даних про їхні права, мету обробки тощо, а також отримання згоди на їх обробку.
Тож ця стаття — це лише перша спроба надати вимогам Закону певної документованої форми та інформаційної змістовності, яка, цілком зрозуміло, надалі ще не раз буде виправлятися та/або змінюватися.
Захист ПД — не госпдіяльність
Стаття 22 Закону №2297 наділяє правом контролю у цій сфері не лише ДСЗПД, але й інші органи державної влади та органи місцевого самоврядування. Проте, на нашу думку, це не означає, що під час перевірок слід зважати на приписи Закону України від 05.04.2007 р. №877-V «Про основні засади державного нагляду (контролю) у сфері господарської діяльності» (далі — Закон №877). Адже:
по-перше, у цьому випадку за приписами Закону №2297 йдеться про контроль у сфері захисту персональних даних;
по-друге, Закон №877 зазначає про перевірки у сфері госпдіяльності. Відповідно до приписів частин 1 та 2 ст. 3, а також ст. 52 ГКУ, діяльність з захисту та обробки персональних даних не можна віднести ні до господарської комерційної, ні до господарської некомерційної діяльності.
Тож наразі маємо лише наказ Мін'юсту від 22.06.2012 р. №947/5 (набрав чинності з 16.07.2012 р.), який, за відсутності у Законі №2297 визначених конкретних способів і методів перевірок, врегулював це підзаконним актом.
Пунктом 2.10 цього Наказу №947/5 визначено перелік документів, які мають зацікавити органи контролю (у цьому випадку ми кажемо лише про державну службу з питань захисту персональних даних (далі — Держслужба)), серед яких названі такі, як:
— розпорядчі документи (накази, рішення, розпорядження, постанови тощо) та інші документи, якими затверджено мету обробки, перелік баз персональних даних та їх місцезнаходження тощо;
— наявність свідоцтв про державну реєстрацію баз персональних даних;
— інша інформація, яка дає змогу встановити наявність або відсутність порушення законодавства про захист персональних даних.
На офіційному сайті Держслужби розміщено перелік питань для проведення перевірки дотримання вимог законодавства про захист персональних даних: http://zpd.gov.ua/dszpd/uk/publish/article/39634.
Так, Держслужба зауважує, що на підставі Закону №2297 та розділів I, III Типового порядку обробки персональних даних у базах персональних даних, затвердженого наказом Мін'юсту від 30.12.2011 р. №3659/5 (далі — Порядок обробки) комісія, що проводить перевірку дотримання вимог законодавства про захист персональних даних, має право отримувати у керівника суб'єкта перевірки, керівників його структурних підрозділів документи, письмові й усні пояснення та іншу інформацію щодо питань, які перевіряються (у т. ч. з обмеженим доступом), потрібну для здійснення комісією своїх функцій.
Ми ж у цій статті зупинимося лише на деяких з них, а саме:
1) розпорядчі документи (накази, рішення, розпорядження, постанови тощо) та інші документи, якими:
— затверджено мету обробки, перелік баз персональних даних та їх місцезнаходження;
— затверджено склад персональних даних у базах персональних даних;
— передбачено отримання згоди від суб'єкта персональних даних на обробку його персональних даних (у разі необхідності);
— визначено відповідальну особу або структурний підрозділ, які здійснюють організацію роботи, пов'язаної із захистом персональних даних при їх обробці;
2) правові підстави обробки персональних даних, зокрема наявність згоди суб'єкта персональних даних або дозволу на обробку його персональних даних, наданого володільцю бази відповідно до закону виключно для здійснення його повноважень;
Деякі питання практичного застосування Закону України «Про захист персональних даних»
У зв'язку з численними зверненнями громадян щодо практичного застосування деяких положень Закону України «Про захист персональних даних» Міністерство юстиції надало роз'яснення з найбільш актуальних та поширених питань.
<...>
Згода суб'єкта на обробку персональних даних та вимоги до її оформлення
<...> Згідно з вимогами Закону згода суб'єкта персональних даних на обробку персональних даних повинна містити інформацію щодо:
— мети, яка визначається володільцем бази персональних даних залежно від виду його діяльності, при здійсненні якої виникає необхідність в обробці персональних даних у базах персональних даних, конкретних цілей обробки персональних даних, для досягнення яких володілець бази персональних даних обробляє персональні дані у цій базі (стаття 2 Закону);
— обсягу персональних даних, а саме чіткого переліку персональних даних фізичної особи, які можуть обробляються володільцем бази персональних даних у цій базі (стаття 6 Закону);
— порядку використання персональних даних, який передбачає дії володільця бази щодо обробки цих даних, у тому числі використання персональних даних працівниками володільця бази персональних даних, відповідно до їхніх професійних чи службових або трудових обов'язків, дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншим суб'єктам відносин, пов'язаних із персональними даними (стаття 10 Закону);
— порядку поширення персональних даних, який передбачає дії володільця бази персональних даних щодо передачі відомостей про фізичну особу з бази персональних даних (стаття 14 Закону);
— порядку доступу до персональних даних третіх осіб, який визначає дії володільця бази персональних даних у разі отримання запиту від третьої особи щодо доступу до персональних даних, у тому числі порядок доступу суб'єкта персональних даних до відомостей про себе (стаття 16 Закону).
Роз'яснення Міністерства юстиції України від 21.12.2011 р.
3) підтвердні документи про повідомлення суб'єкта персональних даних про його права у зв'язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються.
Документальне оформлення обробки персональних даних
Нагадаємо, що відповідно до частин 1, 2 ст. 5 Закону №2297 об'єктами захисту є персональні дані, які обробляються в базах персональних даних. Персональні дані, крім знеособлених персональних даних, за режимом доступу є інформацією з обмеженим доступом. Відповідно до ч. 3 ст. 6 Закону №2297 склад та зміст персональних даних, які обробляються, мають бути відповідними та ненадмірними щодо визначеної мети їх обробки.
Кожен володілець бази повинен розуміти, що перед тим як надіслати заяву на реєстрацію баз персональних даних, він повинен:
1) створити робочу групу, яка б визначилася з кількістю баз персональних даних, які є (мають бути) на підприємстві, та реальним обсягом даних про фізосіб, які підлягатимуть захисту (ті персональні дані, які реально збирались та збираються підприємством про фізосіб);
2) визначити мету обробки, яка на вимогу припису ч. 1 ст. 6 Закону №2297 має бути сформульована відповідно до вимог законів, інших нормативно-правових актів, у положеннях, установчих чи інших документах, які регулюють діяльність володільця бази персональних даних, та відповідати законодавству про захист персональних даних;
3) визначити перелік осіб, які відповідатимуть за роботу з персональними даними (йдеться про повідомлення фізосіб про обробку їхніх персональних даних та отримання згоди від них), а також з третіми особами, які в силу виконання своїх професійних обов'язків матимуть доступ до таких баз персональних даних.
Таку роботу у принципі має бути проведено ще до моменту надсилання заяви про реєстрацію баз персональних даних до Держслужби. Але зважаючи на ажіотаж, який пережили всі госпсуб'єкти (йдеться про фізосіб-підприємців, юросіб, держустанови та організації, самозайнятих осіб тощо), зрозуміло, що всі ці документи оформлялися вже після того, як ми почали отримувати відповідні роз'яснення та краще розуміти, про які взагалі бази даних йдеться та якого саме захисту це стосується.
Згадані вище мінімальні кроки варто оформити окремим наказом, щоб чітко зрозуміти, куди саме рухатися та з чого почати роботу з персональними даними.
Проте на практиці це виявилось найпростішим. Адже далі ми порушимо питання оформлення документів, які свідчать про реальну роботу з персональними даними в частині їх обробки.
Так, підприємству (іншому володільцю бази персональних даних) слід створити та затвердити документ, за допомогою якого створити умови для забезпечення захисту цих даних від незаконної обробки, а також від незаконного доступу до них відповідно до вимог Закону №2297.
Такий документ може мати різні назви — положення, порядок, розпорядження, рішення тощо.
Порядок та наслідки збору інформації про фізособу
Питання збору інформації про фізособу має у цьому випадку ключове значення, адже збирання персональних даних є складовою процесу їх обробки, що передбачає дії з підбору чи впорядкування відомостей про фізособу та внесення їх до бази персональних даних (ч. 1 ст. 12 Закону №2297).
Отже, ця дія передбачає у першу чергу не лише сам факт отримання певного обсягу даних від фізособи та включення цих даних до бази персональних даних, але й обов'язкове отримання згоди на обробку персональних даних, і, вже забігаючи наперед, у другу — повідомлення суб'єкта персональних даних про перелічені нижче факти і події.
Повідомлення 1. Має містити інформацію про факт включення персональних даних такої фізособи до зареєстрованої бази персональних даних, її права, визначені законодавством у сфері захисту персональних даних, мета обробки її персональних даних.
Повідомлення 2. Надсилається інформація про зміну мети обробки персональних даних (якщо таке станеться) і відповідно отримання згоди на обробку персональних даних у зв'язку зі зміною мети їх обробки (ч. 2 ст. 12 Закону №2297). Увага! Наразі ще не постало питання про необхідність повідомлення у разі зміни, скажімо, даних, зазначених у реєстраційній заяві (наприклад, найменування бази, місцезнаходження, підстав обробки персональних даних). Нагадаємо, що відповідно до п. 1 ч. 2 ст. 8 Закону №2297 суб'єкт персональних даних має право, зокрема, знати про місцезнаходження бази персональних даних, яка містить його персональні дані, її призначення та найменування, місцезнаходження та/або місце проживання (перебування) володільця чи розпорядника цієї бази або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом.
Запитання 1. У разі внесення змін до реєстраційних даних щодо бази персональних даних — чи зобов'язаний володілець повідомляти про них саму фізособу? На нашу думку, цьому питанню ще буде присвячено відповідні роз'яснення держорганів, адже на сьогодні ще не всі володільці отримали самі свідоцтва про державну реєстрацію бази персональних даних. Тож про внесення будь-яких змін до зазначених у них відомостей ще говорити зарано. Проте все ж таки вимоги Закону про обов'язковість повідомлення про зміни у базі даних, зокрема у найменуванні бази, місцезнаходженні, підставах обробки, не встановлено.
Повідомлення 3. Має містити відомості про обробку персональних даних після звільнення працівника та/або передача таких даних до архіву, адже зі звільненням працівника володілець не звільняється від обов'язку щодо зберігання даних про оплату праці цієї особи, оподаткування нарахованих/виплачених доходів тощо протягом строків, визначених чинним законодавством. Відповідно володілець змушений зберігати їх у своїй базі персональних даних або передати до держархіву.
Увага! Одне з найпроблемніших питань — це питання отримання згоди.
Відповідно до ч. 1 ст. 10 Закону №2297 використання персональних даних передбачає будь-які дії володільця бази щодо обробки цих даних, їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншим суб'єктам відносин, пов'язаних із персональними даними, що здійснюються за згодою суб'єкта персональних даних чи відповідно до закону.
Підставою виникнення права на використання персональних даних є, зокрема, згода суб'єкта персональних даних на їх обробку. Суб'єкт персональних даних має право при наданні згоди внести застереження щодо обмеження права на обробку своїх персональних даних (п. 1 ч. 1 ст. 11 Закону).
Форма згоди. Згідно зі ст. 2 Закону №2297 згода суб'єкта персональних даних — це будь-яке документоване, зокрема письмове, добровільне волевиявлення фізособи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки.
Тому володільцю бази слід подбати про покладення обов'язку отримання згоди на відповідних осіб, які (як ми згадували вище) будуть визначені відповідальними за обробку персональних даних та користуватимуться безпосередньо самою базою персональних даних.
На сьогодні ми умовно поділяємо фізосіб, дані про яких збираємо та включаємо до бази ПД, на дві категорії:
1) працівники (сюди ж можна віднести й засновників, які працюють безпосередньо на підприємстві або не втручаються у його діяльність);
2) контрагенти — з якими укладені цивільно-правові або господарські договори.
Запитання 2. Який обсяг персональних даних слід збирати по працівниках?
Щодо працівників, то збирання їхніх персональних даних фактично обмежується даними, які включаються до трудового договору та/або витребовуються для заповнення типової форми первинного обліку №П-2 «Особова картка працівника», затвердженої наказом Держкомстату та Міноборони України від 25.12.2009 р. №495/656 (далі — особова картка працівника), якою користуються більшість підприємств (хоча цей документ не зареєстрований в Мін'юсті, отже, не є обов'язковим до виконання).
Запитання 3. Як бути з особами які працюють за сумісництвом або за суміщенням, — чи включати їхні дані до бази персональних даних? Дійсно, й ті, й інші оформляються відповідним наказом по підприємству та надають свої дані, які дають змогу їх ідентифікувати (з огляду на документальне оформлення відповідно до вимог законодавства про працю). На нашу думку, оскільки Закон №2297 не містить винятків для сумісників, їхні персональні дані збираються та обробляються у загальному порядку. Щодо працівників, які виконують роботу за суміщенням, то їхні персональні дані повторно не збираються та повторно до бази персональних даних не включаються.
Запитання 4. За якою формою слід оформляти згоду підприємцям зі своїми працівниками? Нагадаємо, що форму трудового договору між працівником і фізособою, яка використовує найману працю, затверджено наказом Мінпраці від 08.06.2001 р. №260. Причому зміст цього договору не містить жодних посилань на дотримання вимог Закону №2297.
Тому під час прийняття на роботу працівників фізособами-підприємцями слід отримувати оформлену окремим документом згоду на обробку персональних даних фізосіб, база яких зареєстрована таким підприємцем.
Окремі питання щодо баз персональних даних
Чи є картотека з інформацією про найманих працівників фізичної особи — підприємця базою персональних даних і чи підлягає державній реєстрації?
Картотека з інформацією про найманих працівників фізичної особи — підприємця є базою персональних даних у розумінні статті 2 Закону України «Про захист персональних даних» (далі — Закон), відповідно до якого база персональних даних — іменована сукупність упорядкованих персональних даних в електронній формі і/або у формі картотек.
Відповідно до статті 9 Закону база персональних даних підлягає державній реєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних.
Чи вважається базою персональних даних інформація про орендодавця — фізичну особу за договором оренди нежилого приміщення і якщо так, то чи підлягає така база персональних даних з відомостями про одного орендодавця державній реєстрації?
Виходячи зі змісту поняття «база персональних даних», визначеного статтею 2 Закону, персональні дані однієї фізичної особи не є базою персональних даних. Але особа, яка володіє цими даними, зобов'язана вживати заходів для їх збереження, які визначені законами України «Про захист персональних даних» та «Про інформацію».
Лист Міністерства юстиції України від 08.11.2011 р. №17304-0-33-11/61 (витяг)
Запитання 5. Чи слід брати згоду на обробку персональних даних у контрагента-фізособи та в якій формі? Ми вважаємо, що так. По контрагентах — фізособах Закон №2297 винятків не містить. Проте, документ про згоду на обробку даних може мати різні форми: скажімо, окрема згода, оформлена за прикладом згоди працівника, або відповідна вказівка у договорі чи іншому документі, складеному на виконання зобов'язань.
Наприклад, на нашу думку, це можна оформити у положенні (рішенні, порядку) про обробку персональних даних таким текстом:
«...Зазначена згода оформляється письмово шляхом власноручного заповнення та підпису контрагентом окремого документа або включається до тексту цивільно-правових угод (договорів), які укладаються між володільцем та суб'єктом персональних даних (контрагентом).
Зазначена згода/повідомлення, що включається до тексту такої цивільно-правової угоди (договору), має містити загальні вимоги, а саме:
— згоду на збір та обробку персональних даних контрагента;
— мету обробки персональних даних та обсяг їх збирання з посиланням на відповідні документи;
— строки та порядок уточнення наданих персональних даних у разі їх зміни;
— повідомлення про права та обов'язки з посиланням на приписи ст. 8 Закону №2297;
— повідомлення про те, що власноручний підпис на паперовому носії тексту цивільно-правової угоди (договору) на всіх його примірниках свідчить про виконання володільцем вимог Закону №2297 у частині отримання згоди та надання повідомлення про права, визначені законодавством у сфері захисту персональних даних, мету обробки персональних даних.
У разі якщо згода оформляється письмово шляхом власноручного заповнення та підпису контрагентом окремої згоди (окремим документом), то в такому випадку у строки, встановлені Законом №2297, відповідальна особа повідомляє суб'єкта персональних даних (контрагента) про його права, мету збору даних та осіб, яким передаються його персональні дані...».
Наталія КАНАРЬОВА, «Дебет-Кредит»