Захист персональних даних: що про це має знати роботодавець

Законодавство у сфері захисту персональних даних запроваджено в Україні у 2011 році. Напевне, багато хто пам’ятає той ажіотаж і паніку, що супроводжували це нововведення. А турбуватися було чому: плутанина в поняттях та механізмі захисту персональних даних, проблеми з реєстрацією баз, надмірні штрафи за найменші порушення. Практика, безумовно, внесла свої корективи — з’явився більш зважений і поміркований підхід, хоча далеко ще не всі питання вирішено. Крім того, з 01.01.2014 р. у цій сфері відбулися чергові серйозні зміни. Якою є картина зараз, поговоримо сьогодні.

Версія для друку

01 березня, 2014

Тема:

Вероніка Чернишова, експерт газети «Зарплата та кадрова справа»

Хто усьому голова

З початку цього року кермо влади у сфері персональних даних (ПД) передано Уповноваженому Верховної Ради України з прав людини (далі — Уповноважений). Раніше ці питання були в компетенції Державної служби з питань захисту персональних даних (ДСЗПД), що підпорядковується Мін’юсту.

Зміна органу призвела до появи нової нормативно-правової бази (уже від Уповноваженого). Ідеться про наказ № 1/02, яким затверджено:

Типовий порядок обробки персональних даних (далі — Типовий порядок);
Порядок здійснення Уповноваженим контролю за додержанням законодавства про захист персональних даних(далі — Порядок контролю);
Порядок повідомлення Уповноваженого про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, про структурний підрозділ або відповідальну особу, яка організовує роботу, пов’язану із захистом персональних даних при їх обробці, а також оприлюднення зазначеної інформації (далі —Порядок повідомлення).

Усі ці документи розроблено на виконання норм Закону про БПД — основного документа у сфері захисту ПД. Крім того, Уповноважений видав Роз’яснення від 08.01.2014 р. до Типового порядку, Порядку контролю та Порядку повідомлення.

Уповноважений і його представники мають право проводити на підставі звернень або за власною ініціативою виїзні та невиїзні, планові, позапланові перевірки володільців або розпорядників ПД, видавати обов’язкові до виконання приписи щодо усунення порушень у цій сфері. Він може складати протоколи про адміністративні правопорушення, які потім передає до суду.

ЗВЕРНІТЬ УВАГУ. Самостійно притягнути порушників до відповідальності Уповноважений не має права.Рішення приймає суд.

Розберімося з поняттями

Без розуміння того, що саме мається на увазі під ПД, що таке їх обробка і хто несе відповідальність за порушення у цій сфері, роботодавцю не обійтися.

ПД — відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.

Вимоги законодавства висуваються до обробки та захисту ПД, що обробляються повністю або частково із застосуванням автоматизованих засобів, а також ПД, що містяться в картотеці або призначені для внесення до картотеки, із застосуванням неавтоматизованих засобів.

Під обробкою ПД мається на увазі будь-яка дія або сукупність дій зі збирання, реєстрації, накопичення, зберігання, адаптування, зміни, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення,знищення ПД, у тому числі з використанням інформаційних (автоматизованих) систем.

Досі немає єдиної думки щодо того, який саме обсяг відомостей про фізособу охоплено поняттям ПД. Ними повинні вважатися не ті відомості, що просто дозволяють ідентифікувати особу (наприклад П. І. Б., серія та номер паспорта), адодаткові відомості про фізособу, яка чітко ідентифікована (адреса реєстрації, фактичне місце проживання, освіта, стан здоров’я, дані про дітей, батьків тощо). Причому ці відомості мають бути впорядковані в електронному вигляді або картотеці так, щоб за певним критерієм (алфавітом, ідентифікаційним номером, номером паспорта тощо) можна було знайти відомості про конкретну фізособу. Такий висновок випливає з визначення картотеки, під якою розуміютьсябудь-які структуровані ПД, доступні за певними критеріями, незалежно від того, централізовані, децентралізовані або розділені такі дані за функціональними чи географічними принципами.

Наприклад, цивільно-правові договори з фізособами, у тому числі підприємцями (підрядниками, постачальниками, покупцями), якщо вони складаються до папки в хронологічному порядку за датою їх укладення, не можна вважати картотекою. Критерій, за яким структуруються такі договори, — дата укладення, а не відомості стосовно фізосіб. У такому разі про обробку персональних даних не йдеться. Якщо ж додатково ведеться база за контрагентами в електронному вигляді або на паперових носіях, яка, наприклад, за П. І. Б. або ідентифікаційним номером дає доступ до додаткових відомостей про запитувану фізособу (паспортні дані, місце проживання, контактні телефони, реквізити банківських рахунків тощо), то тут уже йдеться про обробку ПД. Ураховуючи, що на сьогодні в багатьох облік автоматизовано, до програм вносять персональні дані про контрагентів, тобто є підстави стверджувати, що маємо справу з обробкою персональних даних.

Склад і зміст ПД повинні бути відповідними, адекватними та ненадмірними стосовно визначеної мети їх обробки. Первинними джерелами відомостей про фізичну особу є: видані на її ім’я документи; підписані нею документи; відомості, які особа надає про себе.

Обов’язок щодо захисту ПД покладається на їх володільців та розпорядників, а також третіх осіб, яким передані ПД відповідно до законодавства.

Володілець ПД — фізична або юридична особа, яка визначає мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом.

Розпорядник ПД — фізична чи юридична особа, якій володільцем персональних даних або законом надано право обробляти ці дані від імені володільця.

Наприклад, володільцем бази персональних даних (БПД) Фонду соцстрахування з тимчасової втрати працездатності (ФТВП) є Виконавча дирекція ФТВП, а розпорядниками — виконавчі дирекції відділень ФТВП та їх робочі органи (постанова Правління ФТВП від 08.10.2013 р. № 47).

Фізичні особи — підприємці, у тому числі лікарі, які мають відповідну ліцензію, адвокати, нотаріуси особистозабезпечують захист персональних даних, якими вони володіють, згідно з вимогами закону (ч. 4 ст. 24 Закону про БПД).

Володільці, розпорядники ПД та треті особи зобов’язані забезпечити захист цих даних від випадкової втрати чи знищення, від незаконної обробки, в тому числі незаконного знищення чи доступу до них. Це реалізується за допомогою організаційних і технічних заходів (двері, що замикаються, у приміщенні, де зберігаються ПД, встановлення пароля для доступу до електронної бази тощо).

Для того щоб роботодавець чітко розумів, що він має робити, потрібно знати загальні вимоги законодавства щодо захисту ПД. Про це й поговоримо далі. Проте спершу продемонструємо загальну схему обробки ПД.

Повідомлення уповноваженого

До початку цього року діяла процедура реєстрації БПД. Зараз її скасовано. Із 01.01.2014 р. замість реєстрації передбачено повідомлення Уповноваженого.

ЗВЕРНІТЬ УВАГУ!Повідомляти Уповноваженого потрібно тільки про обробку тих ПД, щостановлять особливий ризик для прав і свобод суб’єктів ПД(далі — особливі ПД). Про обробку інших ПД повідомляти Уповноваженого не потрібно.

Які відомості належать до «особливих», ви можете побачити в п. 3 схеми на с.15.

Цікаво, що є низка випадків, у яких навіть за наявності «особливих» ПД направляти Уповноваженому повідомлення не потрібно, а саме, якщо (п. 2.1 Порядку повідомлення):

здійснюється обробка, єдиною метою якої є ведення реєстру для надання інформації населенню, який відкритий для населення в цілому;
обробка здійснюється громадськими об’єднаннями, політичними партіями та/або організаціями, професійними спілками, об’єднаннями роботодавців, релігійними організаціями, громадськими організаціями світоглядної спрямованості за умови, що обробка стосується виключно ПД членів цих об’єднань та не передається без їх згоди;
обробка необхідна для реалізації прав та виконання обов’язків володільця ПД у сфері трудових правовідносин відповідно до закону.

ВАЖЛИВО! Як бачимо, навіть якщо ви обробляєте «особливі» відомості про своїх працівників (наприклад, стан здоров’я), повідомляти про це Уповноваженого не потрібно.

Якщо ви обробляєте «особливі» ПД про клієнтів, замовників, пацієнтів тощо, тоді необхідно:

подати повідомлення Уповноваженому за формою додатка 1 до наказу № 1/02 протягом 30 робочих днів з дня збирання ПД;
повідомити Уповноваженого про створення структурного підрозділу або призначення відповідальної особи, яка організовує роботу, пов’язану із захистом ПД при їх обробці. Таке повідомлення надсилається за формою додатка 4 до наказу № 1/02 протягом 30 днів з моменту створення такого підрозділу (призначення відповідального).

Ці повідомлення надсилаються листом до Секретаріату Уповноваженого на адресу: вул. Інститутська, 21/8, м. Київ, 01008, або іншим доступним заявнику способом (факсом, електронною поштою, через поштову скриньку, спеціально розміщену на 1 поверсі Секретаріату Уповноваженого). Якщо ви направляєте заяву електронною поштою, її потрібно відсканувати (тобто поштою відправляйте сканкопію).

Заявники зберігають у себе копію заяви, яку було подано до Секретаріату Уповноваженого.

Результати розгляду вашого повідомлення будуть розміщені на офіційному веб-сайті Уповноваженого .

ВАЖЛИВО! Уповноважений не повинен надсилати володільцеві (розпоряднику) будь-яке письмове підтвердження про отримання повідомлення. Свідоцтва тепер не видаються. Уся інформація, якою володіє Уповноважений, розміщується на його офіційному сайті (http://www.ombudsman.gov.ua). Якщо у вас виникли запитання, ви можете зателефонувати на гарячу лінію Уповноваженого за телефонами: (044) 253-11-35, 253-53-94, 253-81-94.

Не слід забувати, що, крім перерахованих вище особливих вимог, володільці (розпорядники) «особливих» ПД мають дотримуватися всіх інших вимог щодо захисту ПД.

Розробка внутрішнього документа із захисту ПД

Без такого документа не обійтися. Справа в тому, що згідно з п. 2.1 Типового порядку володілець (розпорядник) в обов’язковому порядку повинен визначити базові питання обробки ПД (перелік див. у п. 1 схеми на с. 15). Ці моменти встановлюються з урахуванням специфіки діяльності володільця ПД. При розробці положення (порядку) про захист ПД, який затверджується керівником володільця (розпорядника), вам допоможуть норми Типового порядку.

Професійні, саморегульовані та інші громадські об’єднання або юридичні особи можуть розробляти кодекси поведінки з метою забезпечення ефективного захисту прав суб’єктів ПД, дотримання законодавства про захист ПД з урахуванням специфіки обробки ПД у різних сферах.

ЗВЕРНІТЬ УВАГУ! Усі ці процедури треба провести не тільки при обробці «особливих» ПД, а й у тому разі, якщо ви маєте справи зі «звичайними» ПД.

Призначення відповідальних осіб за захист ПД

Вище ми вже зазначили, що володілець визначає порядок доступу до ПД осіб, які їх обробляють. Крім того, на володільця покладено обов’язок з обліку операцій, пов’язаних з обробкою ПД і доступом до них. Сюди, у тому числі, належить й інформація про працівника, який здійснив одну із зазначених операцій.

Відповідно до п. 3.7 Типового порядку працівники, які мають доступ до ПД, дають письмове зобов’язання про нерозголошення відомостей, які їм були довірені або стали їм відомі у зв’язку з виконанням професійних чи службових (трудових) обов’язків.

Це свідчить про те, що володілець повинен скласти список посад працівників, які мають право на доступ і обробку ПД. У кожного з них потрібно взяти письмове зобов’язання про нерозголошення цих відомостей. Таке зобов’язання є для них чинним і після звільнення.

Додаткові вимоги передбачено до володільців, які обробляють «особливі» ПД. Їм необхідно створити (визначити) структурний підрозділ або відповідальну особу, яка організовує роботу, пов’язану із захистом ПД. Про створення такого підрозділу (призначення відповідального) повідомляється Уповноважений за формою додатка 4 до Порядку № 1/02. Якщо обробляються «особливі» ПД про своїх працівників у межах трудових відносин, направляти повідомлення Уповноваженому не потрібно.

Згода на обробку ПД

Для того щоб обробляти дані про фізосіб, потрібно мати на те відповідні підстави (див. п. 2 схеми). Серед них (ст. 11 Закону про БПД):

1) згода суб’єкта ПД;

2) дозвіл на обробку ПД, наданий володільцю ПД відповідно до закону виключно для здійснення його повноважень;

3) укладення та виконання правочину, стороною якого є суб’єкт ПД або який укладено на користь суб’єкта ПД чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта ПД.

Як бачимо, отримання згоди від фізособи є лише однією з підстав обробки даних. Обробляти відомості про фізособу можна і без її згоди у зазначених вище випадках. Наприклад, це може зробити роботодавець стосовно даних про своїх працівників, необхідних для здійснення трудових відносин відповідно до чинного законодавства.

Без згоди можна обробляти й дані, наприклад, про підрядників-фізосіб (у тому числі підприємців), які самостійно надають відомості про себе для укладання цивільно-правового договору на виконання робіт (надання послуг). При цьому пам’ятайте: отримані відомості повинні бути необхідними й адекватними для встановленої мети їх обробки.

Якщо згоду від фізособи отримувати все-таки необхідно, то існує питання — за якою формою це потрібно робити? Адже встановленої форми немає. Як зазначено в Роз’ясненні до Типового порядку, це може бути (на вибір):

окремий документ, який підписує суб’єкт ПД;
відповідна позначка в електронному вигляді;
одна з умов договору;
будь-яка інша форма, що дасть можливість зробити висновок про її надання (написання заяви, заповнення анкети тощо). Володілець при перевірці повинен надати переконливі докази того, що фізособа дала згоду на обробку її даних.

Приклад форми згоди подано в п. 12 Роз’яснення до Типового порядку.

ЗВЕРНІТЬ УВАГУ! УРоз’ясненні доТипового порядкузазначено: навіть якщо особа надала згоду на обробку її даних, частина з яких за своєю суттю не потрібна для досягнення поставленої мети обробки, така обробка буде розглядатися як непропорційна і буде класифікована як порушеннязаконодавства про захист ПД.

Повідомлення фізособи про обробку її даних

Відповідно до ч. 2 ст. 12 Закону про БПД суб’єкт ПД повідомляється про володільця ПД, мету збирання, склад і зміст зібраних ПД про нього, свої права, про осіб, яким вони передаються:

у момент збирання ПД, якщо вони збираються в суб’єкта ПД;
в інших випадках протягом 30 робочих днів з дня збирання ПД.

Володілець зобов’язаний зберігати інформацію (документи), що підтверджують надання заявнику вищезазначеної інформації протягом усього періоду обробки ПД. Форму повідомлення не встановлено. Якщо при збиранні ПД з фізособи береться згода, то це можна автоматично вважати й повідомленням, оскільки там міститься вся необхідна інформація.

Звідси випливає, що в будь-яких випадках треба повідомляти фізособу. Водночас у п. 2.9 Типового порядку зазначено, що це необхідно робити, крім випадків, передбачених законодавством України. Важко сказати, про які конкретні випадки йде мова. З одного боку, можна припустити, що необхідності в повідомленні немає, коли дані про фізособу можуть оброблятися без її згоди. Наприклад, у межах трудових відносин. З іншого боку, це досить смілива заява. Так, роботодавець звільняється від необхідності отримувати у працівника дозвіл на отримання відомостей про нього (це перешкоджає укладенню та веденню трудових відносин). Однак довести до відома працівника, які саме дані про нього обробляються, кому можуть бути передані тощо, на наш погляд, потрібно.

Щоб повідомити працівника, можна розробити окрему форму повідомлення, зразок якого ми навели на с. 19. Можна просто внести відмітку до трудового договору (заяви про прийняття на роботу) про те, що працівник повідомлений про мету і порядок використання його ПД відповідно до встановленого на підприємстві порядку захисту ПД та чинного законодавства у цій сфері. Ще один варіант: склавши повідомлення за зразком, наведеним нижче, ознайомити з ним працівника під підпис у спеціальному журналі.

ВАЖЛИВО! Із 01.01.2014 р. немає штрафу за неповідомлення суб’єкта ПД про обробку його даних. Раніше за це порушення стягувався штраф від 5100 до 6800 грн. Зважаючи на відсутність повідомлення фізособи, притягнути до адмінвідповідальності (штраф від 5100 до 17000 грн) володільця (розпорядника) можуть на підставі ч. 4 ст. 18839 КпАП за недотримання встановленого порядку захисту ПД.Проте це можливо, тільки якщо воно призвело до незаконного доступу або порушення прав суб’єкта ПД.

Підсумок для роботодавців

Розглянувши чинні з 01.01.2014 р. вимоги у сфері захисту ПД, підіб’ємо підсумки для роботодавців, які обробляють ПД своїх працівників.

Потрібно розуміти: незважаючи на наявні послаблення, роботодавець є володільцем ПД своїх працівників і повинен забезпечувати їх захист у порядку, встановленому Законом про БПД. Він не звільняється від відповідальності за порушення у цій сфері. Просто правила гри для нього дещо спрощені.

Роботодавець не повинен:

повідомляти Уповноваженого про обробку «особливих» ПД. Якщо роботодавець володіє відомостями про працівників, які не є «особливими» ПД, то питання з повідомленням Уповноваженого взагалі не виникає. Якщо у вас є зареєстрована в ДСЗПД база «Працівники», про що отримано свідоцтво, то це не створює додаткових прав або обов’язків ані роботодавцю, ані працівнику. Подавати заяву про зняття з реєстрації такої бази володільцеві не потрібно;
створювати структурний підрозділ або призначати відповідальну особу, яка організовує роботу щодо захисту ПД, а також повідомляти про це Уповноваженого;
отримувати згоду на обробку ПД.

Крім того, загальна заборона на обробку даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, засудження до кримінального покарання, а також даних, що стосуються здоров’я, статевого життя, біометричних або генетичних даних не діє, якщо це необхідно для здійснення прав та виконання обов’язків володільця у сфері трудових правовідносин відповідно до закону. При цьому роботодавець зобов’язаний забезпечити відповідний захист цих даних (п. 2 ч. 1 ст. 7 Закону про БПД).

Роботодавець зобов’язаний:

розробити внутрішній документ (положення, порядок) про захист ПД;
вжити технічних заходів з метою запобігання несанкціонованого доступу до ПД;
взяти письмове зобов’язання з працівників, які мають доступ і здійснюють обробку ПД, про нерозголошення цих відомостей;
повідомляти працівників про мету і склад оброблюваних даних про них.

Пам’ятайте про відповідальність

Крім зміни контролюючого органу, зміни відбулися й у підставах для притягнення порушників до адмінвідповідальності (див. таблицю на с. 20).

Санкції за порушення у сфері захисту ПД

Порушення	Розмір штрафу¹
Неповідомлення або несвоєчасне повідомлення Уповноваженого про обробку ПД чи зміну відомостей, що підлягають повідомленню відповідно до закону, повідомлення неповних чи недостовірних відомостей	від 3400 до 6800 грн (ч. 1 ст. 18839КпАП); за повторне протягом року порушення — від 8500 до 34000 грн (ч. 3 ст. 18839КпАП)
Невиконання законних вимог (приписів) Уповноваженого чи визначених ним посадових осіб секретаріату Уповноваженого щодо запобігання чи усунення порушень законодавства із захисту ПД	від 5100 до 17000 грн (ч. 2 ст. 18839КпАП); за повторне протягом року порушення — від 8500 до 34000 грн (ч. 3 ст. 18839КоАП)
Недотримання встановленого законодавством із захисту ПД порядку захисту ПД, що призвів до незаконного доступу до них чи порушення прав суб’єкта ПД	від 5100 до 17000 грн (ч. 4 ст. 18839КпАП); за повторне протягом року порушення — від 17000 до 34000 грн (ч. п’ята ст. 18839КпАП)
Невиконання законних вимог Уповноваженого чи його представників	від 1700 до 3400 грн (ст. 18840КпАП)
1. Накладається на посадових осіб підприємств, установ та організацій, а також фізосіб — підприємців.

Нагадаємо, що стягнення може бути накладене не пізніше, ніж через три місяці з дня вчинення одноразового правопорушення або виявлення триваючого правопорушення (ч. 2 ст. 38 КпАП). ДСЗПД у листі від 17.07.2013 р. № 10/1892-13 роз’яснила, що в контексті захисту ПД вважати разовими і триваючими порушеннями.

Прикладами одноразових порушень можуть бути неповідомлення або несвоєчасне повідомлення суб’єкта ПД про володільця ПД, склад і зміст зібраних ПД, мету збирання тощо; одноразове поширення ПД без належних на те правових підстав. Як приклад триваючого порушення ДСЗПД наводить такий: розміщення (розповсюдження) володільцем ПД списку боржників з оплати за комунальні послуги, що містить ПД, факт якого було зафіксовано при проведенні перевірки.

Головні тези

Із 1 січня 2014 року регулювання питань у сфері захисту БПД передано Уповноваженому.
Скасовано реєстрацію БПД. Тепер Уповноваженого треба повідомляти про обробку ПД, та й то за умови, якщо обробляються «особливі» ПД фізосіб. На роботодавця, який обробляє особливі дані своїх працівників відповідно до закону, ця вимога не поширюється.
Роботодавцю не потрібно отримувати від працівника згоду на обробку його даних. Водночас повідомити його про мету, склад, зміст оброблюваних ПД про нього, про третіх осіб, яким можуть передаватися ці дані, на наш погляд, необхідно.
Із 01.01.2014 р. сам факт відсутності повідомлення фізособи про обробку її даних не є підставою для накладення штрафу.
Тепер за порушення порядку захисту ПД можуть покарати лише в тому випадку, якщо це призвело до незаконного доступу або порушення прав суб’єкта ПД.