Проект видавничого дому «МЕДІА-ПРО»

Про реєстрацію баз персональних даних у системі споживчої кооперації

Дата публікації: 18.03.2013

Членство у споживчому товаристві, як добровільному об’єднанні громадян або громадян і юридичних осіб для спільного ведення господарської діяльності заради поліпшення свого економічного та соціального стану, не обумовлене трудовою участю громадян у його діяльності. Вступаючи до членів споживчого товариства, громадянин (фізична особа) подає заяву, в якій, крім прізвища, імені та по батькові, зазначає дату народження, ідентифікаційний код та адресу проживання. Ці дані заносяться до реєстраційних книг або у електронну базу даних членів споживчого товариства.

Запитання 1. Чи треба реєструвати базу персональних даних пайовиків?
Запитання 2. Яка мета обробки відомостей про пайовиків у базі персональних даних?
Запитання 3. Як повідомити пайовика (а їх може бути до 1000 осіб) про включення його персональних даних до бази персональних даних, якщо він вступив до споживчого товариства до 1 січня 2011 року?
Запитання 4. Чи треба вимагати заяви від тих громадян, що вступають до споживчого товариства? А як чинити щодо первинних профспілкових організацій, оскільки вони теж є юридичними особами і мають у своєму віданні дані про членів профспілки (картотеки)?

Відповідь 1. Відповідно до статті 2 Закону України «Про захист персональних даних» від 1 червня 2010 року № 2297-VI (далі – Закон № 2297) персональні дані – це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Тобто персональні дані – це будь-яка інформація, за якою фізичну особу можна ідентифікувати безпосередньо або опосередковано, зокрема прізвище, ім’я, по батькові, адреса проживання, реєстраційний номер облікової картки платника податків (ідентифікаційний код), номер телефону, паспортні дані тощо.

Первинними джерелами відомостей про фізичну особу (ч. 4 ст. 6 Закону № 2297) є:

- видані на її ім’я документи (свідоцтво про народження, паспорт, посвідчення та ін.);
- підписані нею документи (заява, автобіографія, пояснювальна записка, звернення);
- відомості, які особа надає про себе (номер телефону, домашня адреса, відомості про сім’ю тощо).

Іменована сукупність упорядкованих відомостей про фізичних осіб — учасників споживчого товариства (учасників профспілки), щодо якої виконується будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) си¬стем, є базою персональних даних.

Щодо назви бази персональних даних законодавством про захист персональних даних не встановлено жодних вимог. Володілець персональних даних самостійно дає найменування такій базі. Так, скажімо, вона може називатися базою персональних даних «Учасники», «Пайовики», «Учасники ТОВ «Прибуток», «Щастя», «Профспілка» тощо.

Варто зазначити, що база персональних даних може бути одночасно в електронному вигляді та у вигляді картотеки персона¬льних даних або лише у формі картотеки персональних даних чи в електронній формі.

Картотекою згідно зі статтею 2 Закону № 2297 є будь-які структуровані персональні дані, доступні за визначеними критеріями, незалежно від того, чи такі дані централізовані, децентралізовані або розділені за функціональними чи географічними принципами.

Таким чином, реєстраційні книги та/або електронні бази даних членів споживчого товариства чи професійної спілки, що містять персональні дані фізичних осіб, є базою персональних даних згідно зі статтею 2 Закону № 2297.

Відповідно до вимог статті 9 Закону № 2297 бази персональних даних підлягають державній реєстрації внесенням відповідного запису Державною службою України з питань захисту персональних даних до Державного реєстру баз персональних даних у порядку, встановленому Положенням про Державний реєстр баз персональних даних та порядок його ведення, затвердженим постановою Кабінету Міністрів України від 25 травня 2011 року № 616, та наказом Міністерства юстиції України «Про затвердження форм заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Дер¬жавного реєстру баз персональних даних і порядку їх подання» від 8 липня 2011 року № 1824/5.

Разом з тим Законом України «Про внесення змін до Закону України «Про захист персональних даних» від 20 листопада 2012 року № 5491-VI (далі – Закон № 5491), який набув чинності 20 грудня 2012 року, внесено зміни до статті 9 Закону № 2297. Так, частиною 2 статті 9 встановлено, що володілець персональних даних звільняється від обов’язку реєстрації баз персональних даних:

- ведення яких пов’язано із забезпеченням та реалізацією трудових відносин;
- членів громадських, релігійних організацій, професійних спілок, політичних партій.

Ураховуючи цю норму статті 9 Закону № 2297, володільці персональних даних можуть не реєструвати бази персональних даних, у яких обробляються відомості про працівників, членів громадських, релігійних організацій, професійних спілок та політичних партій. Одначе таке звільнення від обов’язку державної реєстрації баз персональних даних не звільняє володільців цих баз від дотримання та виконання інших вимог законодавства про захист персональних даних.

Постає запитання: чи треба реєструвати базу персональних даних споживчого товариства? Для цього слід визначити правовий статус споживчих товариств.

Так, статтею 1 Закону України «Про громадські об’єднання» від 22 березня 2012 року № 4572-VI визначено, що громадське об’єднання за організаційно-правовою формою утворюється як громадська організація або громадська спілка.

Своєю чергою, відповідно до статті 5 Закону України «Про споживчу кооперацію» від 10 квітня 1992 року № 2265-XII (далі — Закон № 2265) споживче товариство вважається створеним, визнається юридичною особою і може здійснювати господарську та іншу діяльність із дня його державної реєстрації.

Таким чином, споживче товариство, на нашу думку, не може належати до громадської організації, а отже, воно має зареєструвати базу персональних даних учасників (пайовиків) цього товариства.

Відповідь 2. Варто зазначити, що відповідно до вимог Закону № 2297 кожна база персональних даних має:

- затверджену мету обробки персональних даних;
- встановлений склад персональних даних;
- визначені процедури обробки персональних даних.

Кожну із цих складових, що належать до бази персональних даних, визначає володілець персональних даних, або такі скла¬дові можуть встановлюватися законом.

Так, обробка персональних даних має здійснюватися для конкретних і законних цілей (мети), визначених за згодою суб’єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством.

Своєю чергою, мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця персональних даних, та відповідати законодавству про захист персональних даних (частина 1 ст. 6 Закону № 2297).

Так скажімо, у преамбулі Закону № 2265, який регулює відносини, пов’язані зі створенням і діяльністю споживчої кооперації, визначено, що цей Закон визначає правові, економічні та соціальні основи діяльності споживчої кооперації в Україні та спрямований на відродження і зміцнення демократичних основ споживчої кооперації, захист інтересів її членів і сільського населення як споживачів та регулює відносини з органами виконавчої влади. Ураховуючи зазначене, метою обробки персональних даних учасників (пайовиків) у базі персональних даних споживчого товариства як приклад може бути «забезпечення реалізації прав та гарантій кожного члена споживчого товариства, визначених Законом № 2265». Метою обробки персональних даних у базі персональних даних, що містить відомості про членів професійної спілки, може бути, скажімо, «забезпечення реалізації прав та гарантій членів професійної спілки» тощо.

Щодо складу (обсягу) персональних даних, які можуть оброблятися у базі персональних даних слід ураховувати, що склад та зміст персональних даних мають бути відповідними, адекватними та ненад¬мірними стосовно визначеної мети їх обробки (частина 3 ст. 6 Закону № 2297).
Володілець персональних даних має вирішити, які персональні дані йому треба отримати від фізичних осіб та які оброблятимуться надалі у базі персональних даних з конкретною метою, визначеною ним або законом.

       Звернути увагу
Володільцеві персональних даних доцільно не збирати, не використовувати та не зберігати «надлишкові» або «зайві» персональні дані, а, точніше, не обробляти ті відомості про фізичних осіб, які йому не знадобляться в процесі здійснення його діяльності.

Персональні дані мають бути точними, достовірними та оновлюватися в міру по¬треби, визначеної метою їх обробки (частини 2 і 3 ст. 6 Закону № 2297).

До процедур (процесів) обробки відомостей про учасників (пайовиків) споживчого товариства або членів професійних спілок належать дії, які здійснює володілець персональних даних у базі персональних даних, а саме:

       - збирання (внесення);
       - реєстрація;
       - накопичення;
       - зберігання;
       - адаптування;
       - зміна, поновлення (оновлення);
       - використання;
       - поширення (розповсюдження, реалізація, передача, оприлюднення, розголошення);
       - знеособлення;
       - знищення.

Вказані процеси визначає володілець персональних даних, якщо вони не визначені законами. Зокрема, законами можуть передбачатися такі процедури обробки персональних даних фізичних осіб, як збирання, поширення, зберігання тощо. Тобто дії, які здійснює споживче товари¬ство чи професійна спілка із персона¬ль-ними даними фізичних осіб, урегульовано законами і вони можуть здійснюватися у порядку, встановленому законодавством.

Так, скажімо, частиною 2 статті 5 Закону № 2265 встановлено, що основним документом, що регулює діяльність споживчого товариства, є статут. У ньому визначається порядок вступу до товариства і виходу з нього, права та обов’язки членів товариства, його органи управління, контролю та їх компетенція, порядок утворення майна товариства і розподілу прибутку, умови реорганізації і ліквідації товариства та інші положення, що не суперечать законодавчим актам України. Аналогічні норми містяться і в Законі України «Про професійні спілки, їх права та гарантії діяльності» від 15 вересня 1999 року № 1045-XIV, зокрема у статті 15.

Тобто процедури обробки відомостей про членів споживчого товариства і членів професійних спілок можуть визначатися зазначеними вище законами, статутами цих товариств та іншими законодавчими актами України, які регулюють діяльність споживчих товариств і професійних спілок.

Відповідь 3. Варто зазначити, що акти цивільного законодавства регулюють відносини, які виникли з дня набуття ними чинності (ст. 5 Цивільного кодексу України). Статтею 30 Закону № 2297 визначено, що цей Закон набуває чинності з 1 січня 2011 року. З огляду на зазначене, положення цього Закону, зокрема в частині повідомлення фізичних осіб про включення їхніх персональних даних до бази персональних даних, можуть застосовуватися до відносин, які виникли з дня набуття чинності цим Законом.

Статтею 12 Закону № 2297 до 20 грудня 2012 року передбачалося, що суб’єкта персональних даних протягом 10 робочих днів з дня включення його персональних даних до бази персональних даних повідомляють про його права, визначені цим Законом, мету збирання даних та осіб, яким передаються його персональні дані, виключно в письмовій формі. Тобто всіх пайовиків (учасників) споживчого товариства чи учасників професійної спілки, чиї персональні дані отримані з 1 січня 2011 року, слід повідомляти згідно з вимогами частини 2 статті 12 Закону № 2297.

Починаючи з 20 грудня 2012 року відповідно до Закону № 5491 під час збирання персональних даних або у випадках, передбачених пунктами 2–5 частини 1 статті 11 цього Закону, протягом 10 робочих днів з дня збирання персональних даних суб’єкта персональних даних повідомляють про володільця персональних даних, склад та зміст зібраних персональних даних, права такого суб’єкта, визначені цим Законом, мету збирання персональних даних та осіб, яким передаються його персональні дані.

Звертаємо увагу, що у зв’язку із змінами, внесеними до Закону № 2297, таке повідомлення має містити:

- відомості про володільця персональних даних;
- відомості про склад (зміст) зібраних (отриманих) персональних даних;
- інформацію про права суб’єкта персональних даних, визначені, зокрема, у статті 8 Закону № 2297;
- інформацію про мету збирання цих персональних даних;
- відомості про осіб, яким передаватимуться персональні дані.

З огляду на зазначені норми, повідомленню відповідно до вимог частини 2 статті 12 Закону № 2297 підлягають ті учасники споживчого товариства та члени професійних спілок, чиї персональні дані отримано з 1 січня 2011 року. Фізичних осіб, персональні дані яких отримано до 1 січня 2011 року, повідомляти не вимагається.

Відповідь 4. Згода фізичної особи на обробку відомостей про неї є однією з підстав, визначених Законом № 2297. При цьому слід враховувати, що згодою суб’єкта персональних даних є добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про її надання.

Варто зазначити, що Законом № 5491 внесено зміни до статті 11 Закону № 2297, якою передбачено розширення підстав до використання персональних даних фізичних осіб. Так, цією статтею передбачено, що правовими підставами до використання відомостей про фізичних осіб можуть бути:

- згода суб’єкта персональних даних на обробку його персональних даних;
- дозвіл на обробку персональних даних, наданий володільцеві персональних даних відповідно до закону виключно для здійснення його повноважень;
- укладення та виконання правочину, стороною якого є суб’єкт персональних даних або який укладено на користь суб’єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта персональних даних;
- захист життєво важливих інтересів суб’єкта персональних даних;
- потреба захисту законних інтересів володільців персональних даних, третіх осіб, крім випадків, коли суб’єкт персональних даних вимагає припинити обробку його персональних даних та потреби захисту персональних даних переважають такий інтерес.

Правові підстави обробки персональних даних визначає володілець персональних даних на підставі проведеного ним аналізу законодавства, відповідно до якого здійснюються процеси обробки відомостей про фізичних осіб, що вступають до споживчого товариства, у певній сфері діяльності.

Якщо обробка (збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення, знеособлення, знищення) відомостей про фізичних осіб, що вступають до споживчого товариства чи до професійної спілки, володільцем персональних даних здійснюється у випадках, передбачених пунктами 2–5 частини 1 статті 11 Закону № 2297, отримання згоди від таких осіб не вимагається.

Згода, зокрема, вимагається тоді, коли процеси обробки відомостей про фізичних осіб виходять за межі дозволу, наданого володільцеві персональних даних відповідно до закону виключно для здійснення його повноважень.

Якщо споживче товариство чи професійна спілка використовують персональні дані своїх членів на підставі їхньої згоди, тоді їм слід дотримуватися таких вимог.

По-перше, споживчому товариству чи професійній спілці слід повідомляти фізичну особу, що вступає до цього товариства чи профспілки, про мету обробки її персональних даних до моменту отримання згоди від неї.

По-друге, згода на обробку відомостей про фізичну особу може міститися як у заяві, яку подає така особа до споживчого товариства чи професійної спілки, так і бути окремим документом. При цьому у згоді на обробку персональних даних має зазначатися мета обробки персональних даних. Окрім цього, в такій згоді доцільно передбачити склад та зміст персональних даних, які оброблятимуться стосовно визначеної мети їх обробки; найменування та місце¬знаходження бази персональних даних, яка містить персональні дані; перелік осіб, яким передаватимуться персональні дані.

Разом з тим слід пам’ятати, що вимогами статей 2 і 24 Закону № 2297 та пункту 1.8 Типового порядку обробки персональних даних у базах персональних даних, затвердженого наказом Міністерства юстиції України від 30 грудня 2011 року № 3659/5, на володільця персональних даних покладається обов’язок визначити та затвердити:

- мету обробки, склад персональних даних у базі персональних даних та її місцезнаходження (може визначатися наказом, розпорядженням);
- порядок внесення, зміни, поновлення, використання, поширення, знеособлення, знищення персональних даних у базі персональних даних;
- порядок захисту персональних даних, зокрема від незаконної обробки та незаконного доступу до них (здебільшого визначається у положенні обробки пер¬сональних даних у відповідній базі персональних даних);
- відповідальну особу або структурний підрозділ (наказ, розпорядження).

Варто зазначити, що зміни до статті 9 Закону № 2297 у частині звільнення володільця персональних даних від обов’язку реєструвати бази персональних даних, ведення яких пов’язане із забезпеченням та реалізацією трудових відносин; членів громадських, релігійних організацій, професійних спілок, політичних партій, не відміняють виконання інших вимог, визначених законодавством про захист персональних даних.

База персональних даних – іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних (ст. 2 Закону № 2297).

 

Громадська організація – це громадське об’єднання, засновниками та членами (учасниками) якого є фізичні особи. Громадське об’єднання може здійснювати діяльність зі статусом юридичної особи або без такого статусу. Громадське об’єднання зі статусом юридичної особи є непідприємницьким товариством, основною метою якого не є одержання прибутку.

 

Тетяна СТЕПАНЕНКО,
провідний спеціаліст відділу розгляду скарг, звернень фізичних та юридичних осіб
управління юридичного забезпечення Державної служби України з питань захисту персональних даних

 

Дана стаття спеціально була представлена редакцією журналу
"Довідник кадровика" для користувачів порталу ВАК