(044) 391-51-92
ru ua

Есть предложения, замечания или пожелания? Свяжитесь с редакцией!
Мы обязательно ответим.

;

Отдельные вопросы обработки персональных данных

В свое время мы уже обращались к вопросу регистрации баз персональных данных и их обработки. Впоследствии был принят порядок контроля за соблюдением требований Закона №2297, действующий уже с 16.07.2012 г. Однако хозсубъектам, бесспорно, будет интересно знать, какая информация привлечет внимание проверяющих в ходе проверок.

Что мы об этом думаем

Закону Украины от 01.06.2010 г. №2297-VI «О защите персональных данных» (дальше — Закон №2297) уже почти два года. Однако учитывая отсутствие какой-либо практики по применению его норм, мы можем лишь поделиться собственным виденьем и привлечь внимание наших читателей и госорганов к отдельным проблемным вопросам обработки и защиты персональных данных.

В то же время напомним, что недавно вступил в силу Порядок контроля за соблюдением законодательства о защите персональных данных.1

1 Приказ Минюста от 22.06.2012 г. №947/5 «Об утверждении Порядка осуществления Государственной службой Украины по вопросам защиты персональных данных государственного контроля за соблюдением законодательства о защите персональных данных».

Проведение проверок во исполнение требований этого Порядка и Закона №2297, по нашему мнению, должно дать прозрачность их нормам и определить единый подход прежде всего к оформлению и составлению документов, требуемых Законом, в частности положения (приказа, решения, порядка и пр.) относительно обработки персональных данных, уведомления субъектов персональных данных об их правах, цели обработки и пр., а также получения согласия на их обработку.

Поэтому данная статья — это только первая попытка придать требованиям Закона определенную документированную форму и информационную содержательность, которая, вполне понятно, в дальнейшем еще не раз будет исправляться и/или изменяться.

Защита ПД — не хоздеятельность

Статья 22 Закона №2297 наделяет правом контроля в данной сфере не только ГСЗПД, но и другие органы государственной власти и органы местного самоуправления. Однако, по нашему мнению, это не означает, что в ходе проверок следует считаться с предписаниями Закона Украины от 05.04.2007 г. №877-V «Об основных принципах государственного надзора (контроля) в сфере хозяйственной деятельности» (далее — Закон №877). Ведь:

во-первых, в этом случае по предписаниям Закона №2297 речь идет о контроле в сфере защиты персональных данных;

во-вторых, Закон №877 говорит о проверках в сфере хоздеятельности. В соответствии с предписаниями частей 1 и 2 ст. 3, а также ст. 52 ХКУ, деятельность по защите и обработке персональных данных нельзя отнести ни к хозяйственной коммерческой, ни к хозяйственной некоммерческой деятельности.

Поэтому пока у нас есть только приказ Минюста от 22.06.2012 г. №947/5 (вступил в силу с 16.07.2012 г.), который, при отсутствии в Законе №2297 определенных конкретных способов и методов проверок, урегулировал это подзаконным актом.

Пунктом 2.10 этого Приказа №947/5 определен перечень документов, которые должны заинтересовать органы контроля (в данном случае мы говорим лишь о государственной службе по вопросам защиты персональных данных (далее — Госслужба)), в числе которых названы такие, как:

— распорядительные документы (приказы, решения, распоряжения, постановления и пр.) и прочие документы, которыми утверждены цель обработки, перечень баз персональных данных и их местонахождение и пр.;

— наличие свидетельств о государственной регистрации баз персональных данных;

— другая информация, дающая возможность установить наличие или отсутствие нарушения законодательства о защите персональных данных.

Некоторые вопросы практического применения Закона Украины «О защите персональных данных»

В связи с многочисленными обращениями граждан по поводу практического применения некоторых положений Закона Украины «О защите персональных данных» Министерство юстиции предоставило разъяснение по наиболее актуальным и распространенным вопросам. <...>

Согласие субъекта на обработку персональных данных и требования к его оформлению

<...> Согласно требованиям Закона согласие субъекта персональных данных на обработку персональных данных должно содержать информацию о:

цели, которая определяется владельцем базы персональных данных в зависимости от вида его деятельности, при осуществлении которой возникает необходимость в обработке персональных данных в базах персональных данных, конкретных целях обработки персональных данных, для достижения которых владелец базы персональных данных обрабатывает персональные данные в этой базе (статья 2 Закона);

объеме персональных данных, а именно четком перечне персональных данных физического лица, которые могут обрабатываются владельцем базы персональных данных в этой базе (статья 6 Закона);

порядке использования персональных данных, предусматривающем действия владельца базы по обработке этих данных, в том числе использованию персональных данных работниками владельца базы персональных данных, в соответствии с их профессиональными или служебными либо трудовыми обязанностями, действия по их защите, а также действия по предоставлению частичного или полного права обработки персональных данных другим субъектам отношений, связанных с персональными данными (статья 10 Закона);

порядке распространения персональных данных, предусматривающем действия владельца базы персональных данных по передаче сведений о физическом лице из базы персональных данных (статья 14 Закона);

порядке доступа к персональным данным третьих лиц, определяющем действия владельца базы персональных данных в случае получения запроса от третьего лица по доступу к персональным данным, в том числе порядок доступа субъекта персональных данных к сведениям о себе (статья 16 Закона).

Разъяснение Минюста Украины от 21.12.2011 г.

На официальном сайте Госслужбы размещен перечень вопросов для проведения проверки соблюдения требований законодательства о защите персональных данных: http://zpd.gov.ua/dszpd/uk/publish/article/39634.

Так, Госслужба замечает, что на основании Закона №2297 и разделов I, III Типового порядка обработки персональных данных в базах персональных данных, утвержденного приказом Минюста от 30.12.2011 г. №3659/5 (далее — Порядок обработки) комиссия, проводящая проверку соблюдения требований законодательства о защите персональных данных, имеет право получать у руководителя субъекта проверки, руководителей его структурных подразделений документы, письменные и устные объяснения и другую информацию по проверяемым вопросам (в т. ч. с ограниченным доступом), необходимую для осуществления комиссией своих функций.Мы же в данной статье остановимся лишь на некоторых из них, а именно:

1) распорядительные документы (приказы, решения, распоряжения, постановления и пр.) и прочие документы, которыми:

— утверждены цель обработки, перечень баз персональных данных и их местонахождение;

— утвержден состав персональных данных в базах персональных данных;

— предусмотрено получение согласия от субъекта персональных данных на обработку его персональных данных (при необходимости);

— определены ответственное лицо или структурное подразделение, которые осуществляют организацию работы, связанной с защитой персональных данных при их обработке;

2) правовые основания обработки персональных данных, в частности наличие согласия субъекта персональных данных или разрешения на обработку его персональных данных, предоставленного владельцу базы в соответствии с законом исключительно для осуществления его полномочий;

3) подтверждающие документы об уведомлении субъекта персональных данных о его правах в связи с включением его персональных данных в базу персональных данных, цели сбора этих данных и лиц, которым эти данные передаются.

Документальное оформление обработки персональных данных

Напомним, что в соответствии с частями 1, 2 ст. 5 Закона №2297 объектами защиты являются персональные данные, которые обрабатываются в базах персональных данных. Персональные данные, кроме обезличенных персональных данных, по режиму доступа являются информацией с ограниченным доступом. В соответствии с ч. 3 ст. 6 Закона №2297 состав и содержание обрабатываемых персональных данных должны соответствовать и быть не чрезмерными относительно определенной цели их обработки.

Каждый владелец базы должен понимать, что перед тем как отправить заявление на регистрацию баз персональных данных, он должен:

1) создать рабочую группу, которая определилась бы с количеством баз персональных данных, которые имеются (должны быть) на предприятии, и реальным объемом данных о физлицах, которые будут подлежать защите (те персональные данные, которые реально собирались и собираются предприятием о физлицах);

2) определить цель обработки, которая по требованию предписания ч. 1 ст. 6 Закона №2297 должна быть сформулирована в соответствии с требованиями законов, других нормативно-правовых актов, в положениях, учредительных или иных документах, регулирующих деятельность владельца базы персональных данных, и отвечать законодательству о защите персональных данных;

3) определить перечень лиц, отвечающих за работу с персональными данными (речь идет об уведомлении физлиц об обработке их персональных данных и получении согласия от них), а также с третьими лицами, которые в силу исполнения своих профессиональных обязанностей будут иметь доступ к таким базам персональных данных.

Такая работа в принципе должна быть проведена еще до момента направления заявления о регистрации баз персональных данных в Госслужбу. Но с учетом ажиотажа, который пережили все хозсубъекты (речь идет о физлицах-предпринимателях, юрлицах, госучреждениях и организациях, самозанятых лицах и пр.), понятно, что все эти документы оформлялись уже после того, как мы начали получать соответствующие разъяснения и лучше понимать, о каких вообще базах данных идет речь и какой именно защиты это касается.

Вышеупомянутые минимальные шаги стоит оформить отдельным приказом, чтобы четко понять, куда именно двигаться и с чего начать работу с персональными данными.

Однако на практике это оказалось самым простым. Ведь дальше мы затронем вопрос оформления документов, свидетельствующих о реальной работе с персональными данными в части их обработки.

Так, предприятию (другому владельцу базы персональных данных) следует создать и утвердить документ, посредством которого создать условия для обеспечения защиты этих данных от незаконной обработки, а также от незаконного доступа к ним в соответствии с требованиями Закона №2297.

Такой документ может иметь разные названия — положение, порядок, распоряжение, решение и пр.

Порядок и последствия сбора информации о физлице

Вопрос сбора информации о физлице имеет в этом случае ключевое значение, ведь сбор персональных данных является составляющей процесса их обработки, предусматривающего действия по подбору или упорядочению сведений о физлице и внесении их в базу персональных данных (ч. 1 ст. 12 Закона №2297).

Следовательно, это действие предусматривает в первую очередь не только сам факт получения определенного объема данных от физлица и включения этих данных в базу персональных данных, но и обязательное получение согласия на обработку персональных данных, и, уже забегая вперед, во вторую — уведомление субъекта персональных данных о перечисленных ниже фактах и событиях.

Уведомление 1. Должно содержать информацию о факте включения персональных данных такого физлица в зарегистрированную базу персональных данных, его права, определенные законодательством в сфере защиты персональных данных, цель обработки ее персональных данных.

Уведомление 2. Высылается информация об изменении цели обработки персональных данных (если такое произойдет) и соответственно получении согласия на обработку персональных данных в связи с изменением цели их обработки (ч. 2 ст. 12 Закона №2297). Внимание! Пока еще не встал вопрос о необходимости уведомления в случае изменения, скажем, данных, указанных в регистрационном заявлении (например, наименования базы, местонахождения, оснований обработки персональных данных). Напомним, что в соответствии с п. 1 ч. 2 ст. 8 Закона №2297 субъект персональных данных имеет право, в частности, знать о местонахождении базы персональных данных, содержащей его персональные данные, ее назначении и наименовании, местонахождении и/или местожительстве (местонахождении) владельца либо распорядителя этой базы или дать соответствующее поручение о получении этой информации уполномоченным им лицам, кроме случаев, установленных законом.

Вопрос 1. При внесении изменений в регистрационные данные относительно базы персональных данных — обязан ли владелец уведомлять о них само физлицо? По нашему мнению, этому вопросу еще будут посвящены соответствующие разъяснения госорганов, ведь на сегодня еще не все владельцы получили сами свидетельства о государственной регистрации базы персональных данных. Поэтому о внесении каких-либо изменений в указанные в них сведения говорить еще слишком рано. Однако все-таки требования Закона об обязательности уведомления об изменениях в базе данных, в частности в наименовании базы, местонахождении, основаниях обработки, не установлены.

Уведомление 3. Должно содержать сведения об обработке персональных данных после увольнения работника и/или передача таких данных в архив, поскольку с увольнением работника владелец не освобождается от обязанности хранения данных об оплате труда этого лица, налогообложении начисленных/выплаченных доходов и пр. в течение сроков, определенных действующим законодательством. Соответственно владелец вынужденный хранить их в своей базе персональных данных либо передать в госархив.

Внимание! Один из наиболее проблемных вопросов — это вопрос получения согласия.

В соответствии с ч. 1 ст. 10 Закона №2297 использование персональных данных предусматривает любые действия владельца базы по обработке этих данных, их защите, а также действия по предоставлению частичного или полного права обработки персональных данных другим субъектам отношений, связанных с персональными данными, которые осуществляются с согласия субъекта персональных данных или в соответствии с законом.

Основанием возникновения права на использование персональных данных служит, в частности, согласие субъекта персональных данных на их обработку. Субъект персональных данных вправе при предоставлении согласия внести оговорку относительно ограничения права на обработку своих персональных данных (п. 1 ч. 1 ст. 11 Закона).

Форма согласия. Согласно ст. 2 Закона №2297 согласие субъекта персональных данных — это любое документированное, в частности письменное, добровольное волеизъявление физлица по предоставлению разрешения на обработку его персональных данных в соответствии со сформулированной целью их обработки.

Поэтому владельцу базы следует побеспокоиться о возложении обязанности получения согласия на соответствующих лиц, которые (как мы упоминали выше) будут определены ответственными за обработку персональных данных и будут пользоваться непосредственно самой базой персональных данных.

На сегодня мы условно делим физлиц, данные о которых собираем и включаем в базу ПД, на две категории:

1) работники (сюда же можно отнести и учредителей, которые работают непосредственно на предприятии или не вмешиваются в его деятельность);

2) контрагенты — с которыми заключены гражданско-правовые или хозяйственные договоры.

Вопрос 2. Какой объем персональных данных следует собирать по работникам? Что касается работников, то сбор их персональных данных фактически ограничивается данными, которые включаются в трудовой договор и/или истребуются для заполнения типовой формы первичного учета №П-2 «Особова картка працівника», утвержденной приказом Госкомстата и Минобороны Украины от 25.12.2009 г. №495/656 (далее — личная карточка работника), которой пользуются большинство предприятий (хотя данный документ не зарегистрирован в Минюсте, следовательно, не является обязательным к исполнению).

Вопрос 3.Как быть с лицами, работающими по совместительству или по совмещению, — включать ли их данные в базу персональных данных? Действительно, и те, и другие оформляются соответствующим приказом по предприятию и предоставляют свои данные, дающие возможность их идентифицировать (учитывая документальное оформление в соответствии с требованиями законодательства о труде). По нашему мнению, поскольку Закон №2297 не содержит исключений для совместителей, их персональные данные собираются и обрабатываются в общем порядке. Что касается работников, выполняющих работу по совмещению, то их персональные данные повторно не собираются и повторно в базу персональных данных не включаются.

Вопрос 4. По какой форме следует оформить согласие предпринимателям со своими работниками? Напомним, что форма трудового договора между работником и физлицом, использующим наемный труд, утверждена приказом Минтруда от 08.06.2001 г. №260. Причем содержание этого договора не содержит никаких ссылок на соблюдение требований Закона №2297.

Поэтому при приеме на работу работников физлицами-предпринимателями следует получать оформленное отдельным документом согласие на обработку персональных данных физлиц, база которых зарегистрирована таким предпринимателем.

Отдельные вопросы по базам персональных данных

Является ли картотека с информацией о наемных работниках физического лица — предпринимателя базой персональных данных и подлежит ли государственной регистрации?

Картотека с информацией о наемных работниках физического лица — предпринимателя является базой персональных данных в понимании статьи 2 Закона Украины «О защите персональных данных» (далее — Закон), в соответствии с которой база персональных данных — именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек.

В соответствии со статьей 9 Закона база персональных данных подлежит государственной регистрации путем внесения соответствующей записи уполномоченным государственным органом по вопросам защиты персональных данных в Государственный реестр баз персональных данных.

Считается ли базой персональных данных информация об арендодателе-физлице по договору аренды нежилого помещения и если да, то подлежит ли такая база персональных данных со сведениями об одном арендодателе государственной регистрации?

Исходя из содержания понятия «база персональных данных», определенного статьей 2 Закона, персональные данные одного физического лица не являются базой персональных данных. Но лицо, владеющее этими данными, обязано принимать меры по их сохранению, которые определены законами Украины «О защите персональных данных» и «Об информации».

Письмо Минюста от 08.11.2011 г. №17304-0-33-11/61 (извлечение)

Вопрос 5. Следует ли брать согласие на обработку персональных данных у контрагента-физлица и в какой форме? Мы считаем, что да, следует. Касательно контрагентов-физлиц Закон №2297 исключений не содержит. Однако документ о согласии на обработку данных может иметь разные формы: скажем, отдельное согласие, оформленное по примеру согласия работника, или соответствующее указание в договоре или ином документе, составленном во исполнение обязательств.

Например, по нашему мнению, это можно оформить в положении (решении, порядке) об обработке персональных данных следующим текстом:

«...Указанное согласие оформляется в письменном виде путем собственноручного заполнения и подписи контрагентом отдельного документа или включается в текст гражданско-правовых соглашений (договоров), которые заключаются между владельцем и субъектом персональных данных (контрагентом).

Указанное согласие/уведомление, которое включается в текст такого гражданско-правового соглашения (договора), должно содержать общие требования, а именно:

— согласие на сбор и обработку персональных данных контрагента;

— цель обработки персональных данных и объем их сбора со ссылкой на соответствующие документы;

— сроки и порядок уточнения предоставленных персональных данных в случае их изменения;

— уведомление о правах и обязанностях со ссылкой на предписания ст. 8 Закона №2297;

— уведомление о том, что собственноручная подпись на бумажном носителе текста гражданско-правового соглашения (договора) на всех его экземплярах свидетельствует о выполнении владельцем требований Закона №2297 в части получения согласия и предоставления уведомления о правах, определенных законодательством в сфере защиты персональных данных, цели обработки персональных данных.

В случае если согласие оформляется в письменном виде путем собственноручного заполнения и подписи контрагентом отдельного согласия (отдельным документом), то в таком случае в сроки, установленные Законом №2297, ответственное лицо уведомляет субъекта персональных данных (контрагента) о его правах, цели сбора данных и лицах, которым передаются его персональные данные...».

Наталия КАНАРЕВА, «Дебет-Кредит»

«ДК» №40/2012 (рус.)

«ДК» №40/2012 (рус.)


The remote server returned an error: (404) Not Found.