У першій частині цієї статті («ДК» №40/2012) ми порушили питання обробки персональних даних та проаналізували окремі проблеми, що виникають під час їх збору, зокрема щодо необхідного обсягу, документального оформлення та наслідків цього для володільця. Друга частина статті присвячена захисту інформації та порядку знищення персональних даних.
Автобіографії
На продовження теми порядку та наслідків збору інформації про фізособу зауважимо про такий документ, як автобіографія. Адже цей документ і досі оформляється на багатьох підприємствах, і його дані також дають змогу ідентифікувати працівника як особу.
Хоча, на нашу думку, навряд чи ці дані включаються до бази даних та обробляються. Найімовірніше, вони призначені лише для внутрішнього користування та не підлягають обробці, як цього вимагає Закон №2297.
З огляду на позицію КСУ, викладену у Рішенні від 20.01.2012 р. №2-рп/2012 (справа №1-9/2012), інформація про особисте та сімейне життя особи (персональні дані про неї) — це національність, освіта, сімейний стан, релігійні переконання, стан здоров'я, матеріальне становище, адреса, дата і місце народження, місце проживання та перебування тощо, дані про особисті майнові та немайнові відносини цієї особи з іншими особами, зокрема членами сім'ї, а також відомості про події та явища, що відбувалися або відбуваються у побутовій, інтимній, товариській, професійній, діловій та інших сферах життя особи.
До наведеного переліку не належить інформація (дані) стосовно виконання повноважень особою, яка займає посаду, пов'язану зі здійсненням функцій держави або органів місцевого самоврядування. Вищеперелічена інформація про фізособу та членів її сім'ї є конфіденційною і може бути поширена лише за їхньою згодою, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
Тому ми дотримуємося позиції, що інформація, яку збирає підприємство та яка зазначається фізособою в автобіографії, має оброблятися як персональні дані працівника (у зареєстрованій базі персональних даних працівників), лише у разі коли вона відповідає обсягу персональних даних, зазначених у заяві про реєстрацію баз персональних даних. Iнакше для неї (з огляду на приписи ст. 7 Закону №2297) доведеться створювати та реєструвати окрему базу персональних даних.
Можливо, для запобігання проблемам варто взагалі відмовитися від складення та зберігання автобіографій своїх працівників (як дійсних, так і колишніх).
Розголошення інформації з бази ПД — хто відповідає?
Згідно з приписами ч. 3 ст. 10 Закону №2297, використання персональних даних працівниками суб'єктів відносин, пов'язаних із персональними даними, має здійснюватися лише відповідно до їхніх професійних чи службових або трудових обов'язків. Ці працівники зобов'язані не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв'язку з виконанням професійних чи службових або трудових обов'язків. Таке зобов'язання чинне після припинення ними діяльності, пов'язаної з персональними даними, крім випадків, установлених законом.
Отже, з одного боку, зазначений Закон встановлює обов'язок не розголошувати інформацію про персональні дані, а з другого — вимагати від працівників, обізнаних із персональними даними, дотримання цього обов'язку і після звільнення чи переведення на іншу роботу. Для цього потрібно, з урахуванням ст. 29 КзПП, належним чином оформити документи, які допоможуть «вбити двох зайців».
1. Зобов'язати працівників, які безпосередньо відповідають за базу персональних даних або з огляду на свої трудові обов'язки використовуватимуть дані з неї, не розголошувати ці персональні дані.
Яким чином це можна зробити? Єдиного підходу немає, адже кожне підприємство обирає свій спосіб захисту всієї інформації, що належить до його діяльності. Так, якщо на підприємстві видано, наприклад, наказ про перелік інформації, що є конфіденційною, який охоплює і відомості про дані бази персональних даних, і працівники ознайомлені з його змістом, то додатково складати ще якісь документи про нерозголошення, на нашу думку, не потрібно. Цілком достатньо внести до такого документа пункт щодо нерозголошення інформації про персональні дані.
Iнша ситуація — коли підприємство замислилося над виконанням вимог п. 3 ст. 10 Закону №2297 лише у зв'язку з реєстрацією баз персональних даних. Таким підприємствам слід вирішувати, яким чином це зробити:
— або внести відповідні зміни до посадових інструкцій (хоча відповідні зміни, на думку багатьох консультантів, у будь-якому разі мають бути внесені до посадових інструкцій працівників, які є відповідальними за персональні дані, або матимуть відношення до бази ПД);
— або додатково до затвердженого положення (рішення, порядку) про обробку персональних даних затвердити відповідним наказом перелік осіб, які мають право використовувати у роботі відомості з бази персональних даних, та заразом повідомити їх про обов'язок нерозголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв'язку з виконанням професійних чи службових чи трудових обов'язків. Хоча, на нашу думку, таких осіб та/або відділи юрособи можна визначити безпосередньо у тексті положення (рішення, порядку) про обробку персональних даних з ознайомленням відповідних осіб під підпис.
Візитки та списки контактів
Нагадаємо, що в одному з листів — від 02.04.2012 р. №10/1106-12, див. «ДК» №24/2012, — Держслужба звернула увагу на інформацію, яка зазначена у візитках, в електронній пошті фізосіб, та щодо номерів мобільних телефонів.
З огляду на можливість виникнення непорозумінь радимо у тексті положення (рішення, порядку) про обробку персональних даних, затвердженого на підприємстві, зазначати, що ці дані фізособа передає особисто та за своїм волевиявленням, тож вони можуть не збиратися та не оброблятися підприємством або їх збір не пов'язаний із виконанням вимог Закону №2297 та не покладає на володільця бази персональних даних обов'язку щодо їх належного захисту (пп. 8 п. 2 ст. 7 Закону).
Хоча є й фахівці, які вважають, що візитки належать до особистих документів працівників (є їхньою особистою інформацією) і жодним чином не стосуються підприємства. Тож про них взагалі не варто згадувати у контексті обробки та захисту персональних даних.
Яку позицію обрати — вирішувати доведеться самому володільцю бази.
2. Вимагати дотримуватися зобов'язання щодо недопущення розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв'язку з виконанням професійних чи службових або трудових обов'язків.
З дотриманням цієї частини норми закону є певні труднощі. Адже особа, яка звільнена з підприємства, вже не є відповідальною за дотримання конфіденційності щодо інформації, про яку вона довідалася під час виконання трудових обов'язків.
Водночас ця вимога мала би в силу закону зобов'язати особу, звільнену з підприємства, не розголошувати інформацію про персональні дані, які їй стали відомі під час виконання трудових обов'язків.
Натомість закон поклав обов'язок забезпечити нерозголошення звільненими працівниками цієї інформації на володільця баз персональних даних.
На нашу думку, виконати умову щодо нерозголошення даних із бази персональних даних на практиці дуже складно, навіть якщо володілець бази під час видачі трудової книжки вимагатиме підписати документ про гарантії нерозголошення таких відомостей. До того ж, якщо колишній працівник відмовиться, то законних засобів змусити його сам Закон №2297 не надає. Хіба що сам факт такої спроби надалі буде розцінений як факт виконання володільцем вимоги Закону в частині гарантій щодо нерозголошення відомостей із бази ПД.
Сподіваємося, у майбутньому ця норма буде уточнена законодавцями принаймні у частині відповідальності такої фізособи за розголошення даних із бази персональних даних (ст. 188-39 та 188-42 КпАП такої відповідальності не містять).
Щоправда, є ще ст. 182 ККУ, згідно з якою колишній працівник може нести кримінальну відповідальність за незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації, крім випадків, передбачених іншими статтями цього Кодексу, з якою також можна (а на нашу думку, необхідно та достатньо) ознайомити працівника (при працевлаштуванні або, враховуючи період дії Закону №2297, при звільненні).
Обробляти... не можна... знищувати?
Згідно зі ст. 15 Закону №2297 персональні дані знищують у порядку, встановленому відповідно до вимог закону (див. зразок повідомлення про знищення персональних даних). Персональні дані у базах персональних даних підлягають знищенню у разі:
1) закінчення строку зберігання даних, визначеного згодою суб'єкта персональних даних на обробку цих даних або законом;
Зразок
2) припинення правовідносин між суб'єктом персональних даних та володільцем чи розпорядником бази, якщо інше не передбачено законом;
3) набрання законної сили рішенням суду щодо вилучення даних про фізособу з бази персональних даних.
Проте не все так просто...
Скажімо, під час складення порядку (рішення, положення) про обробку персональних даних слід визначитися з таким принципом обробки, як принцип строковості зберігання.
Так, персональні дані не повинні зберігатися довше, ніж це визначено відповідними нормативно-правовими актами. Одним із таких документів наразі є Перелік типових документів, що утворюються в діяльності органів державної влади та місцевого самоврядування, інших підприємств, установ та організацій, із зазначенням строків зберігання документів, затверджений наказом Головного архівного управління при КМУ від 20.07.98 р. №41, зареєстрованим у Мін'юсті 17.09.98 р. за №576/3016. З 01.01.2013 р. його замінить Перелік типових документів, що створюються під час діяльності органів державної влади та місцевого самоврядування, інших установ, підприємств та організацій, із зазначенням строків зберігання документів, затверджений наказом Мін'юсту від 12.04.2012 р. №578/5, зареєстрованим у Мін'юсті 17.04.2012 р. за №571/20884.
Водночас припинення правовідносин із володільцем бази не завжди тягне за собою знищення персональних даних.
Проблема в тому, що наведений вище перелік типових документів визначає строки зберігання документів без урахування переліку інформації, яка підлягає захисту як персональні дані. Адже такі дані можуть зберігатися не лише у документах, що свідчать про нарахування та виплати доходів фізособі, а й в інших документах фінансово-господарської діяльності.
Крім того, скажімо, у разі коли підприємство ліквідується (або в інший спосіб припиняє свою діяльність) володільцю слід подбати про бази персональних даних. Ті персональні дані, які можна знищити, слід знищити, а решту — передати до державного архіву. Але як саме здійснити цю процедуру стосовно баз персональних даних, законодавством не визначено. Є лише рекомендації ДСЗПД, наведені на її офіційному сайті http://zpd.gov.ua/dszpd/uk/publish/printable_article/41427.
Тож у разі такої передачі персональних даних для зберігання до архіву база персональних даних володільця стає частиною загальної бази персональних даних архівної установи.
На володільця у такому разі покладається обов'язок щодо:
1) повідомлення фізосіб про факт такої передачі та про зміну мети обробки персональних даних суб'єкта персональних даних. Таке повідомлення здійснюється особою, уповноваженою на проведення процедури ліквідації юридичної особи;
2) отримання згоди на обробку персональних даних суб'єкта персональних даних у зв'язку зі зміною мети їх обробки.
З вищенаведеного напрошується висновок: Закон №2297 вимагає провести величезну за обсягом роботу, яка, проте, може й не дати бажаного результату. Наприклад, виробниче підприємство має тисячі працівників, дані про яких у зв'язку з його ліквідацією передаються до архіву. I немає жодних гарантій, що підприємство отримає згоду від переважної більшості осіб до моменту вилучення його з ЄДР: хоча б тому, що багатьох із них може не бути на цей момент у країні або вони давно померли. I це не кажучи про те, що суб'єкти персональних даних можуть змінити свої дані та не повідомити про них володільця бази ПД. Як бути у цій ситуації, наразі не роз'яснює ні Закон №2297, ні державні органи.
Замість висновків
Враховуючи все вищенаведене, ми намагалися зорієнтувати наших передплатників щодо інформації, яка має міститися у затвердженому положенні (рішенні, порядку) про обробку персональних даних. Причому це стосується не лише юросіб, а й фізосіб-підприємців, які мають найманих працівників та працюють з фізособами-контрагентами, персональні дані яких внесені до зареєстрованої бази ПД.
Оскільки робота на виконання вимог Закону №2297 щойно розпочалася і питань буде ще багато, ми радо будемо ділитися напрацьованою практикою з нашими читачами на сторінках «ДК». Тим більше що у цій статті ми порушили тільки декілька питань, які виникли при складенні документів щодо обробки персональних даних у наших передплатників та користувачів веб-порталу.
Наталія КАНАРЬОВА, «Дебет-Кредит»