Закон України «Про захист персональних даних» від 1 червня 2010 року № 2297-VI (далі — Закон № 2297) набув чинності 1 січня 2011 року. А з 1 липня цього року спеціально створений центральний орган виконавчої влади — Державна служба України з питань захисту персональних даних — розпочав реєстрацію баз персональних даних у Державному реєстрі баз персональних даних.
ЩО ТАКЕ «БАЗА ПЕРСОНАЛЬНИХ ДАНИХ»
У статті 2 Закону № 2297 дано визначення термінів, які вживаються у такому значенні:
«база персональних даних — іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;
володілець бази персональних даних — фізична або юридична особа, якій законом або за згодою суб’єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом;
Державний реєстр баз персональних даних — єдина державна інформаційна система збору, накопичення та обробки відомостей про зареєстровані бази персональних даних;
згода суб’єкта персональних даних — будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки;
знеособлення персональних даних — вилучення відомостей, які дають змогу ідентифікувати особу;
обробка персональних даних — будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов’язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу;
персональні дані — відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;
розпорядник бази персональних даних — фізична чи юридична особа, якій володільцем бази персональних даних або законом надано право обробляти ці дані;
суб’єкт персональних даних — фізична особа, стосовно якої відповідно до закону здійснюється обробка її персональних даних;
третя особа — будь-яка особа, за винятком суб’єкта персональних даних, володільця чи розпорядника бази персональних даних та уповноваженого державного органу з питань захисту персональних даних, якій володільцем чи розпорядником бази персональних даних здійснюється передача персональних даних відповідно до закону».
КАДРОВА ДОКУМЕНТАЦІЯ ЯК БАЗА ПЕРСОНАЛЬНИХ ДАНИХ
Як уже зазначалося вище, відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована, є персональними даними. Первинними джерелами відомостей про фізичну особу є: видані на її ім’я документи; підписані нею документи; відомості, які особа надає про себе.
Таким чином, відомості про працівників, відображені в кадрових документах, зокрема про вік, дату і місце народження, місце проживання, ідентифікаційний номер, соціальний статус, пільги відповідно до закону (одинокі матері, жінки з дітьми віком до трьох років, «чорнобильці», неповнолітні, пенсіонери тощо) з точки зору Закону № 2297 вважаються персональними даними, які у своїй сукупності складають базу персональних даних або її частину.
Крім того, документація підприємств, установ та організацій в електронній формі та/або у формі картотек, що містить певним чином структуровані персональні дані найманих працівників також вважається базою персональних даних або її частиною.
Так само до бази персональних даних або її частини можна віднести упорядкований список водіїв, де вказано категорію водійських прав, водійський стаж, кваліфікаційний клас, відомості про штрафи, або ж список працівників із вказівкою на їх спеціальні кваліфікаційні документи, сертифікати, нагороди або вчене звання; список працівників та інших громадян в інформаційних базах осіб, які мають право доступу чи допуску на підприємство (перепустки), електронні чи паперові інформаційні бази даних із зазначенням персональних даних працівників та їх посад, номерів телефонів, кабінетів; список клієнтів, передплатників тощо.
Законними підставами, які зобов’язують роботодавця володіти певними персональними даними найманих працівників можуть бути такі акти:
- – стаття 24 КЗпП України;
- – пункти 2–4 постанови Кабінету Міністрів України «Про трудові книжки працівників» від 27 квітня 1993 року № 301;
- – пункти 1.3 та 1.4 Інструкції про порядок ведення трудових книжок працівників, затвердженої наказом Міністерства праці України, Міністерства юстиції України, Міністерства соціального захисту населення України від 29 липня 1993 року № 58;
- – наказ Державного комітету статистики України та Міністерства оборони України «Про затвердження типової форми первинного обліку № П-2 «Особова картка працівника» від 25 грудня 2009 року № 495/656;
- – наказ Міністерства статистики України «Про затвердження форми первинного обліку № П-2ДС та Інструкції по її заповненню» від 26 грудня 1995 року № 343;
- – акти законодавства, якими встановлені обмеження, гарантії, компенсації, пільги у сфері трудових та соціальних правовідносин.
Державна служба України з питань захисту персональних даних (ДСЗПД) рекомендує розглядати кадрову документацію, статистичну, податкову та іншу звітність в електронній формі та/або у формі картотек, яка обробляється роботодавцем і містить персональні дані працівників базою персональних даних чи складовою частиною бази персональних даних.
Яскравим прикладом бази персональних даних працівників чи її складової частини, сформованої роботодавцем у формі копій заповнених звітів, є звіти, що подаються роботодавцями місцевим органам Державної служби зайнятості (виконавчої дирекції Фонду загальнообов’язкового державного соціального страхування України на випадок безробіття). Зокрема, звіт форми № 5-ПН, затвердженої наказом Міністерства соціальної політики України «Про затвердження форми звітності № 5-ПН «Звіт про прийнятих працівників» та інструкції щодо її заповнення» від 14 липня 2011 року № 279, звіти форми № 4-ПН (план) та № 4-ПН (факт), затверджені наказом Міністерства праці та соціальної політики України «Про затвердження форм звітності та інструкцій щодо їх заповнення» від 19 грудня 2005 року № 420. Відповідно, ці ж звіти мають бути окремо зареєстровані органами державної служби зайнятості як окремі бази персональних даних.
ОБРОБКА ПЕРСОНАЛЬНИХ ДАНИХ У СФЕРІ ТРУДОВИХ ВІДНОСИН
Ведення бази даних працівників підприємства, що пов’язане зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичних осіб є обробкою персональних даних.
Здійснення дій з обробки персональних даних передбачає наявність правових підстав такої обробки: згоди суб’єкта персональних даних на обробку персональних даних; права на обробку персональних даних, надане володільцю бази персональних даних відповідно до закону у порядку, визначеному законодавством України і виключно в інтересах національної безпеки, економічного добробуту та прав людини.
Як бачимо, для обробки персональних даних працівників потрібно отримати згоду від них. Такою згодою відповідно до статті 2 Закону № 2297 може бути будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки.
ДСЗПД рекомендує отримувати від працівників письмову згоду на обробку їх персональних даних. Така згода, зокрема, може надаватися окремим документом або шляхом зазначення про це у заяві про прийняття на роботу із зазначенням цілей обробки, на яку надається згода.
Крім того, ДСЗПД рекомендує обробку персональних даних у базах персональних даних при реалізації повноважень роботодавця у сфері трудових відносин здійснювати за умов:
– визначення роботодавцем як володільцем бази персональних даних мети обробки персональних даних відповідно до законодавства у сфері трудових відносин;
– встановлення складу персональних даних та процедур їх обробки;
– отримання згоди суб’єктів персональних даних на обробку їх персональних даних відповідно до визначеної мети або права на обробку персональних даних наданого володільцю бази персональних даних відповідно до закону;
– забезпечення захисту персональних даних у базі персональних даних від незаконної обробки і незаконного доступу до них;
– реєстрації баз персональних даних у Державному реєстрі баз персональних даних.
Мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця бази персональних даних, та відповідати законодавству про захист персональних даних (ст. 6 Закону № 2297).
Не зайвим буде, якщо володілець баз персональних даних (роботодавець) прийме локальний нормативний акт (видасть наказ чи інший документ), яким обумовить кількість баз персональних даних, що будуть сформовані на підприємстві, мету обробки цих даних, їх зміст і обсяг, а також процедуру обробки, доведе до відома суб’єкта персональних даних мету обробки персональних даних, отримає від суб’єкта персональних даних попередню письмову згоду про обробку даних, що можуть здійснюватися в майбутньому, а також призначить працівника — відповідальну особу, яка забезпечуватиме захист персональних даних.
Персональні дані мають бути точними, достовірними, у разі необхідності — оновлюватися.
Склад і зміст персональних даних мають бути відповідними і ненадмірними стосовно визначеної мети їх обробки.
Суб’єкт персональних даних має право:
– знати про місцезнаходження бази персональних даних, яка містить його персональні дані, її призначення та найменування, місцезнаходження та/або місце проживання (перебування) володільця чи розпорядника цієї бази або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, установлених законом;
– отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані, що містяться у відповідній базі персональних даних;
– на доступ до своїх персональних даних, що містяться у відповідній базі персональних даних;
– отримувати не пізніш як за 30 календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи зберігаються його персональні дані у відповідній базі персональних даних, а також отримувати зміст його персональних даних, які зберігаються;
– пред’являти вмотивовану вимогу із запереченням проти обробки своїх персональних даних органами державної влади, органами місцевого самоврядування при здійсненні їхніх повноважень, передбачених законом;
– пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником цієї бази, якщо ці дані обробляються незаконно чи є недостовірними;
– на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
– звертатися з питань захисту своїх прав щодо персональних даних до органів державної влади, органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних;
– застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних.
Суб’єкт персональних даних протягом десяти днів з дня включення його персональних даних до бази персональних даних має бути повідомлений про його права, мету збору даних та осіб, яким передаються його письмові дані, виключно в письмовій формі. Повідомлення можна оформити на тому ж аркуші, на якому оформлено згоду працівника на обробку його даних (додаток 1).
ПОРЯДОК РЕЄСТРАЦІЇ БАЗ ПЕРСОНАЛЬНИХ ДАНИХ
Державній реєстрації підлягають усі бази персональних даних в електронному вигляді та/або в картотеках, в яких обробляються персональні дані, незалежно від обсягу та форми їх застосування, виду діяльності. При цьому щодо кожної бази даних, яка перебуває у володінні заявника, подається окрема заява (кількість баз даних визначається володільцем баз персональних даних).
Порядок реєстрації баз персональних даних регулюється Законом № 2297 та Положенням про Державний реєстр баз персональних даних та порядок його ведення, затвердженим постановою Кабінету Міністрів України від 25 травня 2011 року № 616 (далі — Положення).
База персональних даних підлягає державній реєстрації шляхом внесення відповідного запису ДСЗПД до Державного реєстру баз персональних даних (далі — Реєстр).
Державна служба з питань захисту персональних даних здійснює реєстрацію баз персональних даних, а також вносить зміни до відомостей, що містяться в Реєстрі, про зареєстровану базу персональних даних на підставі заяви, поданої володільцем такої бази або уповноваженою ним особою (далі — заявник). Реєстрація баз персональних даних здійснюється за заявочним принципом шляхом повідомлення.
Заява про реєстрацію бази персональних даних (додаток 2) подається заявником до ДСЗПД щодо кожної бази даних, яка перебуває у його володінні, за формою та у порядку, затвердженими наказом Міністерства юстиції «Про затвердження форм заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних і порядку їх подання» від 8 липня 2011 року № 1824/5 (далі — Наказ № 1824/5).
Заява повинна містити:
– звернення про внесення бази персональних даних до Реєстру;
– інформацію про володільця бази персональних даних:
- — найменування (зазначається повна назва юридичної особи без скорочень відповідно до установчих документів та/або свідоцтва про державну реєстрацію юридичної особи), резидент/нерезидент, код платника податків згідно з ЄДРПОУ або податковий номер (для резидента), місцезнаходження — для юридичних осіб;
- — прізвище, ім’я та по батькові (за наявності), громадянство, номер, серія паспорта та орган, що його видав, а також для громадян України реєстраційний номер облікової картки платника податків (не подається фізичними особами, які через свої релігійні переконання відмовилися від присвоєння реєстраційного номера облікової картки платника податків та офіційно повідомили про це відповідним органам державної влади, що підтверджується відміткою в паспорті), місце проживання — для фізичних осіб;
– інформацію про найменування і місцезнаходження бази персональних даних:
- — адреса фактичного розміщення — для баз даних у формі картотек;
- — фактичні адреси зберігання носіїв інформації — для баз даних в «електронній формі;
– інформацію про мету обробки персональних даних у базі персональних даних з посиланням на нормативно-правові акти, положення, установчі чи інші документи, які регулюють діяльність володільця бази персональних даних, у т. ч. про їх категорії (перелік даних про фізичну особу, які обробляються у базі, наприклад, П. І. Б., паспортні дані, реєстраційний номер облікової картки платника податків, дані про освіту, стаж роботи, навички та ін.) та правові підстави такої обробки;
– інформацію про розпорядників баз персональних даних:
- — найменування, резидент/нерезидент, код платника податків згідно з ЄДРПОУ або податковий номер (для резидента), місцезнаходження — для юридичних осіб;
- — прізвище, ім’я та по батькові (за наявності), громадянство, номер, серія паспорта та орган, що його видав, а також для громадян України реєстраційний номер облікової картки платника податків (не подається фізичними особами, які через свої релігійні переконання відмовилися від присвоєння реєстраційного номера облікової картки платника податків та офіційно повідомили про це відповідним органам державної влади, що підтверджується відміткою в паспорті), місце проживання — для фізичних осіб;
– інформацію про заявника;
– документ, що підтверджує зобов’язання стосовно виконання вимог законодавства щодо захисту персональних даних (у заяві ставиться відмітка у розділі підтвердження зобов’язання).
Заяви заповнюються і подаються в паперовій або електронній формі. У разі подання заяв у паперовій формі заявник підписує кожну сторінкузаяви та скріплює її печаткою (за наявності). В електронній формі заяви подаються відповідно до вимог Законів України «Про електронний цифровий підпис» від 22 травня 2003 року № 852-IV та «Про електронні документи та електронний документообіг» від 22 травня 2003 року № 851-IV.
Заяви заповнюються державною мовою, розбірливими, друкованими літерами. Вони не повинні містити помарок, закреслень і виправлень.
При заповненні заяв вибрана заявником ознака зазначається символом х.
Дати в заявах заповнюються арабськими цифрами у форматі — день, місяць, рік.
Сторінки заяв нумеруються, на кожній сторінці заяви зазначаються номер сторінки та загальна кількість сторінок.
Якщо заявникові потрібно заповнити більше ніж один раз розділи, які містять інформацію про розпорядників та місцезнаходження бази персональних даних, заявник заповнює у заяві відповідні розділи необхідну кількість разів.
У разі коли бази персональних даних працівників підприємства та його відокремленого структурного підрозділу мають різне найменування та/або їх ведення регулюється різними нормативно-правовими актами та/або локальними актами роботодавця, то такі бази персональних даних відокремлених структурних підрозділів мають реєструватись як окремі бази працівників конкретного відокремленого структурного підрозділу. При цьому реєстрацію баз відокремленого структурного підрозділу здійснює суб’єкт господарювання, тобто юридична особа.
Державна служба України з питань захисту персональних даних повідомляє заявникові не пізніше наступного робочого дня з дня надходження заяви про її отримання. У повідомленні зазначаються реєстраційний номер та дата отримання заяви, а також термін прийняття рішення щодо реєстрації бази персональних даних в Реєстрі.
Державна служба України з питань захисту персональних даних повідомляє заявника про прийняте рішення щодо внесення змін до Реєстру у тій самій формі, в якій було отримано таку заяву.
Державна служба України з питань захисту персональних даних у зв’язку з отриманням заяви вносить до Реєстру такі відомості:
- – дату та вихідний номер заяви;
- – найменування та місцезнаходження бази персональних даних;
- – мету обробки персональних даних;
- – інформацію про володільця бази персональних даних;
- – інформацію про розпорядників бази персональних даних;
- – інформацію про заявника.
Після внесення до Реєстру відомостей про заяву їй автоматично (з використанням програмного забезпечення Реєстру) присвоюється реєстраційний номер. При цьому фіксуються дата і час реєстрації заяви.
Протягом 10 робочих днів з дня надходження відповідної заяви ДСЗПД приймає рішення про реєстрацію бази персональних даних шляхом видання її володільцю свідоцтва про державну реєстрацію бази персональних даних чи повідомлення про відмову в реєстрації, про що вносить запис до Реєстру.
ВНЕСЕННЯ ЗМІН ДО РЕЄСТРУ
Володілець бази персональних даних зобов’язаний повідомляти ДСЗПД про кожну зміну відомостей, необхідних для реєстрації відповідної бази, не пізніш як протягом десяти робочих днів із дня настання такої зміни шляхом подання заяви про внесення змін до відомостей Державногореєстру баз персональних даних.
Заява у паперовій формі (бажано, з наданням електронної копії) подається через кур’єра або надсилається за адресою: 02660, м. Київ, вул. Марини Раскової, 15, або у формі електронного документа відповідно до вимог Законів України «Про електронні документи та електронний документообіг» та «Про електронний цифровий підпис» надсилається на електронну адресу Державної служби України з питань захисту персональних даних (register@zpd.gov.ua). Також заповнити та подати заяву в електронному вигляді можна безпосередньо на сайті Державного реєстру баз персональних даних (https://rbpd.informjust.ua/default.aspx).
ВІДПОВІДАЛЬНІСТЬ ЗА ПОРУШЕННЯ ВИМОГ ЗАКОНОДАВСТВА ПРО ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ
Використання персональних даних працівниками кадрової служби, пов’язаних із персональними даними, повинно здійснюватися лише відповідно до їхніх професійних чи службових або трудових обов’язків. Ці працівники зобов’язані не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв’язку з виконанням професійних чи службових або трудових обов’язків.
Як відомо, з 1 січня 2012 року набуває чинності Закон України «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» від 2 червня 2011 року № 3454-VI*. Законом передбачена адміністративна та кримінальна відповідальність за порушення посадовими особами підприємств законодавства у сфері захисту персональних даних.
Так, адміністративна відповідальність наступає за:
- – неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних про його права у зв’язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються;
- – неповідомлення або несвоєчасне повідомлення ДСЗПД про зміну відомостей, що подаються для державної реєстрації бази персональних даних.
За ухилення від державної реєстрації бази персональних даних передбачається накладення штрафу на громадян від трьохсот до п’ятисот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян — суб’єктів підприємницької діяльності — від п’ятисот до тисячі неоподатковуваних мінімумів доходів громадян.
Кримінальна відповідальність передбачена за незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про працівника або незаконну зміну такої інформації, крім випадків, передбачених іншими статтями Кримінального кодексу.