Роз’яснення щодо баз персональних даних

Що є базою персональних даних і які бази потрібно реєструвати?

Відповідно до статті 2 Закону України «Про захист персональних даних» від 1 червня 2010 року № 2297-VI (далі — Закон № 2297) персональні дані — це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.
Існують персональні дані таких категорій:

– дані загального характеру (прізвище, ім’я та по батькові, дата і місце народження, громадянство, місце проживання, особисті відомості (вік, стать, сімейний стан тощо), склад сім’ї, освіта, професія, фінансова інформація, електронні ідентифікаційні дані, запис зображень (фото, відео) тощо);

– вразливі (чутливі) персональні дані (расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також дані, що стосуються здоров’я чи статевого життя).

Відповідно до Закону № 2297 будь-яка сукупність упорядкованих персональних даних про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована, вважається базою персональних даних. Кожна база персональних даних підлягає державній реєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних. Винятків щодо реєстрації баз персональних даних зазначений вище Закон не містить.

Володілець самостійно приймає рішення щодо того, чи є та чи та сукупність персональних даних фізичних осіб, яка перебуває у його володінні, базою персональних даних.

Аналізуючи заяви про реєстрацію баз персональних даних, які надходять на реєстрацію до Державної служби України з питань захисту персональних даних, можна дійти висновку, що кожне підприємство (організація) найчастіше є володільцем двох баз персональних даних, а саме: бази персональних даних працівників, яка ведеться з метою забезпечення вимог трудового законодавства, реалізації податкових відносин та відносин у сфері бухгалтерського обліку й аудиту, та бази персональних даних клієнтів або інших осіб, персональні дані яких обробляються володільцем з метою забезпечення господарської діяльності організації.

Крім того, слід зазначити, що різні типи звітів та форм, які містять певну сукупність відомостей про фізичних осіб, вибраних з баз персональних даних володільця і відповідно до закону періодично подаються до органів державної влади, є передачею персональних даних у випадках, визначених законом, третій особі. Органи державної влади в цьому випадку, з точки зору володільця, не є розпорядниками, адже вони обробляють персональні дані з метою, сформульованою в законах та інших нормативно-правових актах.

Які існують способи (форми) отримання згоди від суб’єкта персональних даних?

Відповідно до статті 2 Закону № 2297 згодою суб’єкта персональних даних є будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки.

Ураховуючи, що суб’єкт персональних даних має право при наданні згоди внести застереження стосовно обмеження права на обробку своїх персональних даних, Державна служба України з питань захисту персональних даних рекомендує вважати формами надання згоди суб’єкта персональних даних:

– документ на паперовому носії з реквізитами, що дає змогу ідентифікувати цей документ і фізичну особу. Добровільне волевиявлення суб’єкта персональних даних доцільно засвідчувати його підписом;

– електронний документ, який має містити обов’язкові реквізити, що дають змогу ідентифікувати цей документ та фізичну особу. Добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних доцільно засвідчувати електронним підписом суб’єкта персональних даних;

– відмітку на електронній сторінці документа чи в електронному файлі, що обробляється в інформаційній системі на основі документованих програмно-технічних рішень, які, у свою чергу:

– не дозволяють обробку персональних даних доти, доки суб’єкт персональних даних не виконає дій, що підтверджують надання ним відповідної згоди;

– забезпечують реєстрацію дій суб’єкта персональних даних та цілісність протоколів реєстрації таких дій.

Згода щодо надання дозволу на обробку персональних даних повинна надаватися відповідно до сформульованої мети їх обробки.

Яким чином можна подати заяву про реєстрацію бази персональних даних?

Заява про реєстрацію бази персональних даних у паперовій формі подається через кур’єра або надсилається за адресою: 02660, м. Київ, вул. Марини Раскової, 15, або у формі електронного документа відповідно до вимог законів України «Про електронні документи та електронний документообіг» від 22 травня 2003 року № 851-IV та «Про електронний цифровий підпис» від 22 травня 2003 року № 852-IV надсилається на електронну адресу Державної служби України з питань захисту персональних даних (register@zpd. gov.ua). Також заповнити й подати заяву в електронному вигляді можна безпосередньо на сайті Державного реєстру баз персональних даних (https://rbpd.informjust.ua).

Хто такий володілець та розпорядник баз персональних даних? Які їх обов’язки?

Відповідно до Закону № 2297 володілець бази персональних даних — фізична або юридична особа, якій законом або за згодою суб’єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад даних та процедури їх обробки, якщо інше не визначено законом.

Володілець бази персональних даних може доручити обробку персональних даних розпорядникові бази персональних даних відповідно до договору в письмовій формі.

Розпорядник бази персональних даних — фізична чи юридична особа, якій володільцем бази персональних даних на підставі договору в письмовій формі або законом надано право обробляти ці дані.
Відповідно до вимог Закону № 2297 обробка персональних даних повинна здійснюватися для конкретних і законних цілей, визначених за згодою суб’єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством.

Володілець бази/баз персональних даних повинен:
– визначити й затвердити мету обробки персональних даних у базах персональних даних;
– установити склад персональних даних;
– установити процедуру обробки персональних даних;
– визначити особу/структурний підрозділ, відповідальну (-ий) за організацію процесів з обробки персональних даних;
– реєструвати бази персональних даних. 

Яким чином здійснюють захист бази персональних даних у формі картотек та/або електронної бази персональних даних?

Відповідно до статті 24 Закону № 2297 володільці баз персональних даних (у формі картотек та/або в електронній формі) зобов’язані вжити заходів щодо забезпечення захисту персональних даних від незаконної обробки, а також незаконного доступу до них.

Умови захисту персональних даних залежать від конкретних реальних загроз, природи персональних даних, які обробляються, технології обробки інформації й типу інформаційної системи, у рамках якої обробляються персональні дані (для баз персональних даних в електронній формі), і визначаються володільцем баз персональних даних самостійно.

У кожному випадку володілець може провести детальний аналіз загроз та інших факторів, які впливають на рівень ризику. На підставі аналізу ризиків володілець вирішує, який рівень захищеності бази персональних даних потрібний для створення умов щодо захисту персональних даних.

Чи належать кадрові документи до баз персональних даних?

Відповідно до статті 2 Закону № 2297 відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована, є персональними даними. Первинними джерелами відомостей про фізичну особу є: видані на її ім’я документи; підписані нею документи; відомості, які особа надає про себе.

Таким чином, відомості про працівників, відображені в кадрових документах (особових картках працівника форми № П-2, особових справах, трудових книжках тощо), зокрема, про вік, дату і місце народження, місце проживання, ідентифікаційний номер, соціальний статус, передбачені законом пільги (одиноким матерям, жінкам, які мають дітей віком до трьох років, «чорнобильцям», неповнолітнім, пенсіонерам тощо) відповідно до Закону № 2297 вважаються персональними даними, які у своїй сукупності складають базу персональних даних або її частину.

Крім того, документація підприємств, установ та організацій в електронній формі та/або у формі картотек, що містить певним чином структуровані персональні дані найманих працівників, також вважається базою персональних даних або її частиною.

Які відомості належать до персональних даних?

До персональних даних належать:

– за природою:

• – об’єктивні відомості про фізичну особу (біометричні дані, стан банківського рахунку тощо);
• – суб’єктивні відомості про фізичну особу (автобіографія, характеристика, мате­ріали атестації, опис особистих якостей фізичної особи, досьє тощо);

– за джерелами:

• – відомості, що містяться в первинних та інших джерелах про фізичну особу;

– за способами обробки:

• – відомості в алфавітно-цифровому форматі;
• – відомості в графічному форматі;
• – відомості у фото-, кіно-, аудіо- та відео­форматі тощо;

– за формою обробки:

• – відомості на паперових носіях;
• – відомості на електронних носіях;
• – відомості на магнітних носіях;
• – відомості на оптичних носіях тощо;

– за вимогами до обробки:

• – відомості, щодо яких застосовуються загальні вимоги обробки відповідно до За­кону № 2297;
• – відомості, щодо яких згідно зі статтею 7 Закону № 2297 застосовуються особливі вимоги обробки (расове або етнічне похо­дження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також відомості, що стосуються здоров’я чи статевого життя тощо);

– за зв’язком із фізичною особою:

• – відомості, що стосуються фізичної особи безпосередньо (особова справа працівника, запис у базі даних медичного закладу, банківський рахунок фізичної особи тощо);
• – відомості, що стосуються фізичної особи опосередковано (реєстраційний запис про право власності на об’єкт нерухомого майна, записи відеоспостереження у громадських місцях, записи про технічне обслуговування автомобіля тощо).

Яка мета обробки персональних даних?

Мета обробки персональних даних повинна відповідати меті діяльності володільця бази персональних даних, зафіксованій у його статутних документах та/або передбаченій законодавством України, що регулює діяльність володільця.

Типовою метою обробки персональних даних є забезпечення реалізації:

– трудових відносин;
– адміністративно-правових (у т. ч. відносин у сфері державного управління), податкових відносин та відносин у сфері бухгалтерського обліку;
– відносин у сфері управління людськими ресурсами, зокрема кадровим потенціалом;
– відносин у сфері економічних, фінансових послуг і страхування;
– відносин у сфері реклами та збору персональних даних у комерційних цілях;
– відносин у сфері телекомунікаційних послуг;
– відносин у сфері громадської, політичної та релігійної діяльності, культури, дозвілля, спортивної та соціальної діяльності;
– відносин у сфері освіти;
– відносин у сфері охорони здоров’я;
– відносин у сфері безпеки, зокрема, питань приватних розслідувань, побудови системи приватної безпеки та приватної охорони;
– відносин у сфері транспорту;
– відносин у сфері науки, історичних досліджень і статистики;
– інших відносин, які вимагають обробки персональних даних.

Що є предметом контролю за додержанням законодавства про захист персональних даних суб’єктом відносин (володільцем, розпорядником бази даних)?

У державах Європейського Союзу органи нагляду, відповідальні за забезпечення дотримання заходів, передбачених внутрішньодержавним правом цих країн, мають, зокрема, повноваження стосовно розслідування, а також право брати участь у судовому розгляді або повідомляти компетентним судовим органам про порушення положень внутрішньодержавного права.

Державна служба України з питань захисту персональних даних здійснює в межах своїх повноважень контроль за додержанням вимог законодавства про захист персональних даних, видає обов’язкові для виконання законні вимоги (приписи) про усунення порушень законодавства про захист персональних даних.

Предметом контролю є додержання вимог законодавства про захист персональних даних суб’єктами відносин, зокрема, щодо:

– сумлінності й законності обробки даних, тобто:

а) наявності хоча б однієї з визначених нижче умов обробки персональних даних, що відповідають загальним вимогам:

• – згоди суб’єкта персональних даних на обробку його персональних даних (п. 1 ч. 1 ст. 11 Закону № 2297);
• – дозволу на обробку персональних даних, наданого володільцю бази персональних даних відповідно до закону лише для здійснення його повноважень (п. 2 ч. 1 ст. 11 Закону № 2297);
• – для захисту життєво важливих інтересів суб’єктів персональних даних без їх згоди до часу, коли отримання такої згоди стане можливим (ч. 7 ст. 6 Закону № 2297);
• – у випадках, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини без згоди фізичної особи (ч. 6 ст. 6 Закону № 2297);

б) наявності хоча б однієї з визначених нижче умов обробки персональних даних, що відповідають особливим вимогам:

• – надання суб’єктом персональних даних однозначної згоди на обробку даних, що відповідають особливим вимогам (п. 1 ч. 2 ст. 7 Закону № 2297);
• – для здійснення прав та виконання обов’язків у сфері трудових правовідносин відповідно до закону (п. 2 ч. 2 ст. 7 Закону № 2297);
• – для захисту інтересів суб’єкта персональних даних або іншої особи у разі недієздатності або обмеження цивільної дієздатності суб’єкта персональних даних (п. 3 ч. 2 ст. 7 Закону № 2297);
• – здійснення обробки персональних даних релігійною організацією, громадською організацією світоглядної спрямованості, політичною партією або професійною спілкою, що створені відповідно до закону, за умови, що обробка стосується лише персональних даних членів цих об’єднань або осіб, які підтримують постійні контакти з ними у зв’язку з характером їх діяльності, і персональні дані не передаються третій особі без згоди суб’єктів персональних даних (п. 4 ч. 2 ст. 7 Закону № 2297);
• – для обґрунтування, задоволення або захисту правової вимоги (п. 5 ч. 2 ст. 7 Закону № 2297);
• – з метою охорони здоров’я, для забезпечення піклування чи лікування за умови, що такі дані обробляються медичним працівником або іншою особою закладу охорони здоров’я, на яку покладено обов’язки щодо забезпечення захисту персональних даних (п. 6 ч. 2 ст. 7 Закону № 2297);
• – стосується обвинувачень у вчиненні злочинів, вироків суду, здійснення державним органом повноважень, визначених законом, щодо виконання завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом (п. 7 ч. 2 ст. 7 Закону № 2297);
• – що раніше були оприлюднені суб’єктом персональних даних (п. 8 ч. 2 ст. 7 Закону № 2297);

– відповідності й ненадмірності складу та змісту персональних даних стосовно визначеної мети їх обробки (ч. 3 ст. 6 Закону № 2297);

– точності й достовірності оброблюваних персональних даних, а також оновлення їх у разі потреби (ч. 2 ст. 6 Закону № 2297);

– дотримання прав суб’єкта персональних даних, визначених Законом № 2297, зокрема, щодо:

• – надання доступу до його персональних даних, що містяться у відповідній базі персональних даних (п. 3 ч. 2 ст. 8 Закону № 2297);
• – отримання інформації про умови надання доступу до персональних даних, зокрема інформації про третіх осіб, яким передаються його персональні дані (п. 2 ч. 2 ст. 8 Закону № 2297);
• – пред’явлення вмотивованої вимоги щодо зміни або знищення його персональних даних будь-яким володільцем та розпорядником цієї бази, якщо дані обробляються незаконно або є недостовірними (п. 6 ч. 2 ст. 8 Закону № 2297);
• – захисту його персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність і ділову репутацію фізичної особи (п. 7 ч. 2 ст. 8 Закону № 2297);

– дотримання строків обробки персональних даних (у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються) не більших, ніж це потрібно відповідно до їх законного призначення (ч. 8 ст. 6 Закону № 2297).

– забезпечення захисту персональних даних від незаконної обробки, а також від незаконного доступу до них суб’єктами відносин, пов’язаних із персональними даними (ч. 2 ст. 24 Закону № 2297).

Передання персональних даних іноземним суб’єктам відносин, пов’язаних із персональними даними, здійснюється лише за умови забезпечення належного захисту цих даних, за наявності відповідного дозволу та у випадках, передбачених законом або міжнародним договором України, у порядку, встановленому законодавством. Персональні дані не можуть поширюватися з іншою метою, ніж та, з якою вони були зібрані (ч. 3 ст. 29 Закону № 2297).

Яка відповідальність передбачена за недотримання вимог законодавства про захист персональних даних?

Законом № 2297 передбачено, що порушення законодавства про захист персональних даних тягне за собою відповідальність, установлену законом.

Відповідно до Закону України «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» вiд 2 червня 2011 року № 3454-VI (далі — Закон № 3435) унесено зміни до деяких законодавчих актів України.

Кодекс України про адміністративні правопорушення доповнено статтями 188³⁹ і 188⁴⁰ такого змісту:

«Стаття 188³⁹. Порушення законодавства у сфері захисту персональних даних

Неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних про його права у зв’язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються, — тягнуть за собою накладення штрафу на громадян від двохсот до трьохсот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян — суб’єктів підприємницької діяльності — від трьохсот до чотирьохсот неоподатковуваних мінімумів доходів громадян.

Неповідомлення або несвоєчасне повідомлення спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних про зміну відомостей, що подаються для дер­жавної реєстрації бази персональних даних, — тягнуть за собою накладення штрафу на громадян від ста до двохсот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян — суб’єктів підприємницької діяльності — від двохсот до чотирьохсот неоподатковуваних мінімумів доходів громадян.

Повторне протягом року вчинення порушення з числа передбачених частинами першою або другою цієї статті, за яке особу вже було піддано адміністративному стягненню, — тягне за собою накладення штрафу на громадян від трьохсот до п’я­тисот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян — суб’єктів підприємницької діяльності — від чотирьохсот до семисот неоподатковуваних мінімумів доходів громадян.

Ухилення від державної реєстрації бази персональних даних — тягне за собою накладення штрафу на громадян від трьохсот до п’ятисот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян — суб’єктів підприємницької діяльності — від п’ятисот до тисячі неоподатковуваних мінімумів доходів громадян.

Недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них, — тягне за собою накладення штрафу від трьохсот до тисячі неоподатковуваних мінімумів доходів громадян».

«Стаття 188⁴⁰. Невиконання законних вимог посадових осіб спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних

Невиконання законних вимог посадових осіб спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних щодо усунення порушень законодавства про захист персональних даних — тягне за собою накладення штрафу на посадових осіб, громадян — суб’єктів підприємницької діяльності від ста до двохсот неоподатковуваних мінімумів доходів громадян».

Статтю 182 Кримінального кодексу України викладено в такій редакції:

«Стаття 182. Порушення недоторканності приватного життя

1. Незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації, крім випадків, передбачених іншими статтями цього Кодексу, — караються штрафом від п’ятисот до однієї тисячі неоподатковуваних мінімумів доходів громадян або виправними роботами на строк до двох років, або арештом на строк до шести місяців, або обмеженням волі на строк до трьох років.

2. Ті самі дії, вчинені повторно, або якщо вони заподіяли істотну шкоду охоронюваним законом правам, свободам та інтересам особи, — караються арештом на строк від трьох до шести місяців або обмеженням волі на строк від трьох до п’яти років, або позбавленням волі на той самий строк.

Примітка. Істотною шкодою у цій статті, якщо вона полягає у заподіянні матеріальних збитків, вважається така шкода, яка в сто і більше разів перевищує неоподатковуваний мінімум доходів громадян».

Чи повинні профспілки, не юридичні особи, реєструвати бази персональних даних? Які ще громадські об’єднання мають реєструвати такі бази?

Дія Закону № 2297 поширюються на всіх суб’єктів відносин, пов’язаних із збиранням, обробкою і зберіганням персональних даних, окрім фізичних осіб, які обробляють персональні дані для непрофесійних або побутових потреб, журналістів, які обробляють персональні дані у зв’язку з виконанням ними службових чи професійних обов’язків, професійних творчих працівників, які обробляють персональні дані для здійснення творчої діяльності.

Безумовно, дія закону поширюється на профспілки.

Якщо профспілки є юридичними особами вони здійснюють обробку персональних даних з дотриманням установлених Законом № 2297 вимог, зокрема і стосовно реєстрації баз персональних даних.

Більш складним є питання застосування законодавства про захист персональних даних асоціаціями, фондами, будь-якими іншими організаціями, зокрема і профспілками, що безпосередньо чи опосередковано складаються з окремих осіб, але не мають статусу юридичної особи.

Відповідно до Закону України «Про ратифікацію Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних та

Додаткового протоколу до Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних стосовно органів нагляду та транскордонних потоків даних» від 6 липня 2010 року № 2438-VI Україна зобов’язалася застосовувати цю Конвенцію до таких суб’єктів («Україна буде застосовувати цю Конвенцію до інформації, яка стосується груп осіб, асоціацій, фондів, компаній, корпорацій та будь-яких інших організацій, що безпосередньо чи опосередковано складаються з окремих осіб, незалежно від того, мають чи не мають такі установи статус юридичної особи»).

Водночас Закон № 2297 визначає володільців баз персональних даних як фізичних або юридичних осіб, а форма заяви про реєстрацію бази персональних даних, чинна на сьогодні, не повною мірою дозволяє зазначити ідентифікаційну інформацію про таких суб’єктів відносин, пов’язаних з персональними даними.

Профспілки, асоціації, фонди, інші організації — не юридичні особи повинні дотримуватися, у будь-якому випадку, вимог до захисту персональних даних, встановлених Конвенцією.

Слід зазначити, Закон № 2297 встановлює, що професійні об’єднання можуть розробляти професійні кодекси поведінки, які враховують специфіку роботи у різних сферах.

Відповідно до Положення про Міністерство юстиції України, затвердженого Указом Президента України від 6 квітня 2011 року № 395/2011 завдання щодо забезпечення реалізації державної правової політики покладено на Міністерство юстиції України. Наразі Державною службою України з питань захисту персональних даних та Міністерством юстиції України дане питання опрацьовується.