Ще кілька років тому тема захисту персональних даних була чи не найактуальнішою. Не останню роль у зацікавленості СГД цією темою зіграли величезні штрафи, що набрали чинності разом з обов'язком захищати персональні дані фізосіб — працівників і контрагентів. Яка ж ситуація склалася нині для СГД, у розпорядженні яких перебувають персональні дані? Проаналізуймо її.
Персональні дані (далі — ПД) — це відомості або сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Дані про фізосіб, більш менш докладні, зберігаються в різних місцях: в держорганах, за місцем роботи і навчання, у страхових компаніях та банках, у провайдерів та операторів мобільного зв'язку тощо. Проте кожна людина має право на захист особистого життя і на безпеку в тому разі, якщо вона за своїм бажанням або на вимогу закону надала свої ПД для використання (обробки) їх з чітко зазначеною метою. Саме це й покликаний забезпечити захист ПД.
Основним документом, що регулює захист ПД, є Закон №2297. Згідно зі ст. 1 цього Закону, він поширюється на відносини, пов'язані із захистом та обробкою ПД (яка здійснюється як автоматизованим, так і неавтоматизованим способом). Тобто щойно будь-яка особа починає збір ПД з метою їх обробки у встановленому законодавством порядку, одразу виникає й обов'язок ці дані захищати.
Бази персональних даних
База персональних даних (далі — БПД) — це іменована сукупність упорядкованих ПД в електронній формі та/або у формі картотек ПД. Таким чином, кожна БПД має свою назву — відповідно до того, які дані вона містить або з якою метою вони обробляються. При цьому основним критерієм формування БПД є не відомості про фізосіб, а саме мета, з якою вони обробляються. У різних БПД навіть на одному підприємстві можуть зберігається ПД одних і тих самих фізосіб. Як випливає із зазначеного вище, збиратися (зберігатися) БПД може як у паперовому (картковому), так і в електронному вигляді.
При цьому юридична чи фізична особа, яка збирає, встановлює мету створення БПД і обробляє ПД, отримує статус володільця ПД (до 20.12.2012 р. цей статус називався «володілець БПД»). І саме на нього покладається обов'язок щодо захисту отриманих ним ПД фізосіб, зокрема від посягання на них з боку третіх осіб у випадках, прямо не встановлених законодавством. Крім володільця ПД, доступ до БПД може мати й розпорядник. Розпорядник ПД — це особа, яка здійснює обробку ПД, переданих йому їх володільцем, на підставі відповідного договору (і лише в обсязі та з метою, що встановлені таким договором).
Повідомлення про обробку ПД
До 01.01.2014 р. БПД підлягали державній реєстрації їх володільцями. Державний реєстр баз персональних даних (далі — Держреєстр) — це єдина державна інформаційна система збору, накопичення та обробки відомостей про зареєстровані БПД. Проте з 01.01.2014 р. процедуру реєстрації БПД замінено повідомленням про обробку ПД (і далеко не всіма володільцями ПД). Кажучи про державний контроль за захистом ПД, слід згадати двох осіб:
— Державну службу з питань захисту персональних даних (далі — ДСЗПД). Вона була заснована відповідно до Указу Президента України від 06.04.2011 р. №390/2011 (з 18.04.2011 р.). Спочатку саме цей орган, відповідно до ст. 22 Закону №2297, здійснював контроль за дотриманням законодавства про захист ПД. На сьогоднішній день, проте, цю функцію з ДСЗПД знято;
— Уповноважений ВРУ з прав людини (далі — Омбудсмен) — саме так з 01.01.2014 р. називається особа, яка здійснює основний контроль за дотриманням законодавства про захист ПД. Порядок здійснення Омбудсменом такого контролю1 затверджено Наказом №1/02-142. Крім нього, такий контроль з 01.01.2014 р. здійснюють суди (а не «інші органи державної влади», як було встановлено ст. 22 Закону №2297 раніше).
Саме Омбудсмена володілець ПД з 01.01.2014 р. повідомляє про обробку ПД — протягом 30 робочих днів з дня початку такої обробки (ч. 1 ст. 9 Закону №2297). При цьому повідомляти слід не про будь-яку обробку ПД, а тільки про ту, яка становить особливий ризик для прав і свобод суб'єктів ПД (фізосіб).
Порядок повідомлення (далі — Порядок) уже затверджено наказом Омбудсмена №1/02-14, який набрав чинності з 08.01.2014 р. Цим Порядком установлено перелік видів обробки ПД, про які необхідно повідомляти Омбудсмена, а також тих, для обробки яких повідомлення Омбудсмена не потрібне.
Види обробки ПД, про які необхідно повідомляти Омбудсмена
На відміну від вимоги реєструвати БПД практично про будь-які дані щодо фізосіб, яка діяла раніше, з 08.01.2014 р. повідомляти треба лише про обробку інформації про:
— расове, етнічне та національне походження;
— політичні, релігійні або світоглядні переконання;
— членство в політичних партіях та/або організаціях, професійних спілках, релігійних організаціях або в громадських організаціях світоглядної спрямованості;
— стан здоров'я;
— статеве життя;
— біометричі дані;
— генетичні дані;
— притягнення до адміністративної або кримінальної відповідальності;
— застосування до особи заходів у рамках досудового розслідування;
— вжиття до особи заходів, передбачених Законом України «Про оперативно-розшукову діяльність»;
— вчинення щодо особи тих чи інших видів насильства;
— місцеперебування та/або шляхи пересування особи.
Пункт 1.2 Порядку
Випадки, в яких повідомляти про обробку ПД не треба:
— якщо здійснюється обробка, метою якої є ведення реєстру для надання інформації населенню, який відкритий для населення в цілому;
— якщо обробка здійснюється суспільними об'єднаннями, політичними партіями та/або організаціями, професійними спілками, об'єднаннями роботодавців, релігійними організаціями, громадськими організаціями світоглядної спрямованості за умови, що обробка стосується виключно ПД членів цих об'єднань і не передається без їхньої згоди;
— якщо обробка необхідна для реалізації прав та виконання обов'язків володільця ПД у сфері трудових правовідносин відповідно до закону.
Пункт 2.1 Порядку
Тепер безпосередньо про форму повідомлення. Вона затверджена у вигляді заяви (додаток 1 до Порядку). На жаль, чинна форма заяви про обробку ПД є не набагато простішою за складні та незвичні для більшості володільців БПД заяви про реєстрацію БПД, які їм доводилося заповнювати раніше. Немає в Порядку і зразків заповнення такої заяви, якими можна було б скористатися як типовими. Немає їх (сподіваємося, що лише поки) і на сайті Омбудсмена http://www.ombudsman.gov.ua. Хоча неповна інформація, зазначена в заяві, є причиною для відмови в її розгляді (п. 2.8 Порядку), а також підставою для застосування вельми солідного адміністративного штрафу (див. далі).
1 У цьому документі прописується порядок організації та проведення перевірок (планових, позапланових, виїзних, невиїзних), оформлення результатів перевірок, права та обов'язки як перевіряльників, так і тих, кого перевіряють. Як додатки до нього затверджено форми акта перевірки, розпорядження про усунення порушень, а також акта огляду електронного документа (виведеного на екран монітора). Докладніше про такі перевірки читайте в наступних числах «ДК».
2 Враховуючи особливий статус Омбудсмена як особи, на яку покладено парламентський контроль за дотриманням конституційних прав і свобод людини та громадянина (Закон України від 23.12.97 р. №776/97-ВР «Про Уповноваженого Верховної Ради України з прав людини»), його накази підлягають обов'язковому виконанню, без реєстрації в Мін'юсті України.
Проте деякі вказівки щодо заповнення заяви містяться як у самому Порядку, так і у формі заяви:
— відомості, які повинні міститися в заяві, перелічено в п. 2.4 Порядку;
— заява заповнюється друкованими літерами. Це уточнення швидше стосується заповнення заяви від руки, адже в разі роздрукування її або надсилання в електронному вигляді букви й так будуть друкованими;
— заява складається у двох примірниках, при цьому один надсилається Омбудсменові, а другий (копія) — залишається у володільця ПД (п. 2.5 Порядку).
Надіслати заяву Омбудсменові можна будь-яким доступним способом (п. 2.3 Порядку):
— поштою за адресою: «Секретаріат Уповноваженого Верховної Ради України, вул. Інститутська, 21/8; м. Київ, 01008»;
— факсом. Телефони Секретаріату та графік його роботи наведено на сайті Омбудсмена;
— електронною поштою. У цьому разі надсилається відсканована копія заяви;
— опустити в спеціальну скриньку, встановлену на першому поверсі за зазначеною вище адресою.
Мабуть, з огляду на попередній досвід ні в Законі №2297, ні в Порядку не зазначено, як швидко заява буде оброблена і повідомлення про результати такої обробки отримає володілець ПД. Не передбачене цього разу і надсилання таких повідомлень кожному володільцю окремо. Дані про успішно оброблені заяви та заяви, що не були прийняті до розгляду, повинні публікуватися на сайті Омбудсмена (п. 2.6 і п. 2.9 Порядку).
Володілець ПД зобов'язаний інформувати про зміни відомостей, які підлягають повідомленню (зазначених у заяві згідно з п. 2.4 Порядку) протягом 10 робочих днів, заявою за формою додатка 2 до Порядку.
Про припинення обробки ПД володілець повідомляє уповноваженого заявою за формою додатка 3 до Порядку. Термін повідомлення — 10 днів з часу припинення обробки. Зверніть увагу: не робочих, а календарних днів.
Крім того, володільці ПД зобов'язані повідомляти Омбудсмена про структурні підрозділи чи відповідальних осіб, які організовують роботу, пов'язану із захистом ПД під час їх обробки. Повідомлення здійснюється у формі заяви (додатка 4 до Порядку) протягом 30 календарних днів з дня створення такого підрозділу або призначення такої відповідальної особи.
Дані, отримані на підставі всіх перелічених вище заяв від володільця ПД, повинні публікуватися на сайті Омбудсмена.
Типовий порядок обробки ПД: що нового?
До 01.01.2014 р. в Україні діяв типовий порядок обробки ПД, затверджений наказом Мін'юсту України від 30.12.2011 р. №3659/5. Проте з 08.01.2014 р. набрав чинності новий типовий порядок обробки ПД (далі — Типовий порядок), також затверджений наказом Омбудсмена №1/02-14.
Істотних змін цей документ не несе. Проте є деякі моменти, на які варто звернути увагу.
Володілець ПД, крім випадків, передбачених законодавством України, повідомляє суб'єкта ПД (тобто фізособу) про склад і зміст зібраних ПД, його права, визначені Законом №2297, мету збирання ПД і про третіх осіб, яким передаються його ПД. Раніше таке повідомлення треба було здійснити протягом 10 робочих днів від дня збирання ПД. З 08.01.2014 р. строки повідомлення змінено:
— у момент збору ПД, якщо ПД збираються у суб'єкта ПД;
— в інших випадках протягом 30 робочих днів з дня збору ПД.
Як і раніше, ПД обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, протягом строку не більш ніж це необхідно відповідно до мети їх обробки. Але з 08.01.2014 р. вони обробляються не довше, ніж це передбачено законодавством у сфері архівної справи і діловодства (п. 2.10 Типового порядку).
З 08.01.2014 р. у разі виявлення в БПД відомостей про осіб, що не відповідають дійсності, такі відомості повинні бути невідкладно змінені або знищені.
Пунктами 2.12 — 2.15 Типового порядку прописано дії володільця ПД у разі вимоги з боку фізособи припинити обробку її ПД або відкликання раніше наданої згоди на таку обробку. Загалом ці дії майже не змінилися і були й раніше встановлені в нормах Закону №2297. Проте цього разу зазначено строки, протягом яких володілець ПД зобов'язаний відреагувати — погодитися або відмовитися виконати вимоги фізособи:
— про заборону на обробку — протягом 10 днів з дня отримання. Не зазначено, яких днів — робочих чи календарних, тому, за загальним правилом, вважаємо, що йдеться про календарні дні. Як про припинення обробки ПД, так і в разі відмови припинити обробку ПД, фізособу треба повідомити. На нашу думку, таке повідомлення варто оформити письмово і зазначити підстави для такої відмови, наприклад, що така обробка ПД здійснюється відповідно до вимог чинного законодавства (з посиланням на норми такого законодавства), а не за бажанням володільця ПД;
— про відкликання згоди на обробку — з моменту отримання такого відкликання.
Штрафи за порушення
Як і раніше, відповідальність за порушення законодавства про захист персональних даних несуть власники та розпорядники персональних даних, а також треті особи, які отримали доступ до таких даних. А ними можуть бути як фізичні, так і юридичні особи.
З 01.01.2014 р. набрали чинності нові адміністративні штрафи за порушення зазначених вище нових норм захисту ПД. Зверніть увагу: фізособи, що підпадають під адміністративну відповідальність, як видно із зазначеного нижче, поділяються на фізосіб-СПД, посадових осіб (тобто працівників, до трудових обов'язків яких входить захист БПД та повідомлення про їх обробку) і звичайних громадян. До якої ж категорії з них потрапляють фізособи, що здійснюють незалежну професійну діяльність (нотаріуси, адвокати й ін.)? На думку автора, відсутність такої категорії фізосіб у нижчеперелічених статтях не є випадковою, і вони не підпадають під адміністративну відповідальність за нижчеперелічені порушення. Проте не виключено варіант, що у подальших роз'ясненнях Омбудсмен зазначить, що ці штрафи стосуються і таких фізосіб.
Так, Законом №383 статтю 188-39 КУпАП було викладено в новій редакції, що передбачає:
— за неповідомлення або невчасне повідомлення Омбудсмена про обробку ПД або про зміну відомостей, що підлягають повідомленню, зазначення неповних або недостовірних відомостей в такому повідомленні — накладення штрафу на громадян від 100 до 200 н. м. д. г. (1700 — 3400 грн); а на посадових осіб, фізосіб-СПД — від 200 до 400 н. м. д. г. (3400 — 6800 грн);
— за невиконання законних вимог (розпоряджень) Омбудсмена або визначених ним посадових осіб секретаріату Омбудсмена щодо запобігання чи усунення порушень законодавства про захист ПД — накладення штрафу на громадян від 200 до 300 н. м. д. г. (3400 — 5100 грн); а на посадових осіб, фізосіб-СПД — від 300 до 1000 н. м. д. г. (5100 — 17000 грн).
І це ще не все. За повторне протягом календарного року вчинення цих порушень (якщо до порушника вже застосовувалися зазначені вище штрафи) відповідальність зростає: штраф накладається на громадян у розмірі від 300 до 500 н. м. д. г. (5100 — 8500 грн) і на посадових осіб, фізосіб-СПД — від 500 до 2000 н. м. д. г. (8500 — 34000 грн).
Окремий штраф передбачено ст. 188-39 КУпАП за недотримання встановленого законодавством порядку захисту БПД, що призвело до незаконного доступу до них або порушення прав суб'єкта ПД. За перше таке виявлене порушення накладається адміністративний штраф: на громадян — від 100 до 500 н. м. д. г. (1700 — 8500 грн) і на посадових осіб, фізосіб-СПД — від 300 до 1000 н. м. д. г. (5100 — 17000 грн). При повторному притягненні до адміністративної відповідальності протягом календарного року штраф накладається на порушників уже в розмірі від 1000 до 2000 н. м. д. г. (17000 — 34000 грн).
Нормативна база
- КУпАП — Кодекс України про адміністративні правопорушення від 07.12.84 р. №8073-X.
- Закон №2297 — Закон України від 01.06.2010 р. №2297-VI «Про захист персональних даних».
- Закон №383 — Закон України від 03.07.2013 р. №383-VII «Про внесення змін до деяких законодавчих актів України щодо вдосконалення системи захисту персональних даних».
- Порядок — Порядок повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних, яка становить особливий ризик для прав і свобод суб'єктів персональних даних, про структурний підрозділ або відповідальну особу, що організовує роботу, пов'язану із захистом персональних даних при їх обробці, а також оприлюднення зазначеної інформації, затверджений наказом Уповноваженого ВРУ з прав людини від 08.01.2014 р. №1/02-14.
- Типовий порядок — Типовий порядок обробки персональних даних, затверджений наказом Уповноваженого ВРУ з прав людини від 08.01.2014 р. №1/02-14.
Ганна БИКОВА, «Дебет-Кредит»