Ваш надёжный лоцман в бушующем море законодательства

Вновь о вопросе обработки и защиты персональных данных

В настоящее время на законодательном и подзаконном уровне снова актуализируется проблема о порядке сбора и хранения на предприятиях личной информации о физических лицах (сотрудниках, контрагентах и т.д.), т.е.  вопрос обработки и защиты персональных данных

Напомним, что 1 июня 2010 года Верховной Радой Украины был принят Закон «О защите персональных данных», который вступил в силу 1 января 2011 года (далее — Закон)1. Одновременно с данным законом вступил в силу Закон Украины «О ратификации Конвенции о защите лиц в связи с автоматизированной обработкой персональных данных и дополнительного Протокола к Конвенции о защите лиц в связи с автоматизированной обработкой персональных данных об органах надзора и трансграничных потоках данных». Именно для реализации положений Конвенции в Украине и был принят Закон. Несмотря на то, что он вступил в силу с начала текущего года, практически Закон не исполнялся из-за отсутствия механизма его исполнения.

В настоящее время активно ведётся разработка нормативно-правовых актов, направленных на реализацию Закона в Украине. Значительным шагом на пути к этому стало принятие в июне 2011 года закона, предусматривающего установление административной и ужесточения уголовной ответственности за нарушение законодательства о защите персональных данных. Закон Украины «О внесении изменений в некоторые законодательные акты Украины относительно нарушения законодательства о защите персональных данных»2 вступит в силу с 01 января 2012 года.

В связи с этим предприятиям, подпадающим под определение «владелец базы персональных данных» (а это, как Вы увидите ниже, практически все предприятия), до конца года целесообразно привести имеющуюся у них личную информацию о физических лицах в соответствие с законодательством о защите персональных данных.

Учитывая изложенное, надеемся, что следующие пояснения будут полезны для Вас.

 Действие Закона направлено на урегулирование отношений, связанных с обработкой (то есть сбором, хранением, изменением, распространением, уничтожением) персональных данных, которыми владеют предприятия, учреждения, организации любой формы собственности, органы государственной власти и местного самоуправления. Главная цель данного акта состоит в создании правовых гарантий обеспечения защиты персональных данных во время их обработки. Не менее важным мотивом ратификации Конвенции и обеспечения действия её положений в Украине (путём принятия Закона и разработки механизма его реализации), пожалуй, можно считать намерение подчеркнуть евроинтеграционный вектор Украины и приближение к стандартам ЕС.

Нельзя не отметить, что для самих украинских предприятий закон практически выльется в бюрократизацию некоторых процессов и взаимоотношений между юридическими и физическими лицами.

Определение содержания понятия «персональные данные»

В соответствии с аб. 7 ст. 2 Закона персональными данными являются сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано3.

Этим положением законодатель четко не определяет перечень и структуру персональных данных, их содержание, и при таком определении под понятие персональных данных может попадать самая различная информация о физическом лице, (фамилия, имя, отчество, паспортные данные, адреса регистрации, проживания, телефоны и т.д.)4.

Часть 1 статьи 7 Закона установила запрет на обработку данных, касающихся личной жизни, здоровья, расового и этнического происхождении, вероисповедания, мировоззрения, членства в политических партиях и профсоюзах.

Часть 3 статьи 6 Закона закрепляет, что состав и содержание персональных данных должно быть соответствующим цели их обработки. При этом цель обработки персональных данных должна быть сформулирована в тех нормативно – правовых актах, которые регулируют деятельность владельца базы данных (под владельцем базы данных понимается то предприятие, учреждение, организация, орган государственной власти или местного самоуправления, в ведении которого находится информация о физическом лице и который использует такую информацию).

Важным является то, что объем персональных данных, включаемых в соответствующую базу, определяется не самим владельцем базы, а на основании соглашения между владельцем базы данных и субъектом персональных данных (то есть самим физическим лицом, данные которого учитываются) или в соответствии с законом.

Субъект персональных данных (физическое лицо) должен дать владельцу базы персональных данных (предприятию) письменное согласие на сбор, хранение, распространение, передачу каким-либо третьим лицам, уничтожение (словом, обработку) информации о нём.

Режим доступа к персональным данным

Персональные данные, которые находятся в базе данных, относятся к категории информации с ограниченным доступом (ч.2 ст.5 Закона). В данном контексте, помимо норм указанного Закона, применению подлежат нормы Закона Украины «Об информации», который в ч.2 ст. 21 устанавливает, что информация о физическом лице, а также информация, доступ к которой ограничен физическим или юридическим лицом (кроме органов государственной власти) является конфиденциальной. Таким образом, информация о физическом лице, находящаяся в базе данных, является конфиденциальной, а поэтому исключается свободный доступ к такой информации третьими лицами. Закон («О защите персональных данных») предусматривает возможность доступа к такой информации третьими лицами только в случае, если это предусмотрено в соглашении между субъектом персональных данных и владельцем базы данных.

Не относится к информации с ограниченным доступом, а таким образом, конфиденциальной, персональные данные физического лица, которое занимает или претендует занять должность государственного служащего 1 категории.

Регистрация баз персональных данных

Законодатель устанавливает обязательную регистрацию баз персональных данных по заявочному принципу путем уведомления владельцем базы специального органа исполнительной власти в этой сфере.

Регистрацию базы данных проводит специально уполномоченный орган исполнительной власти по вопросам защиты персональных данных (Государственная служба по вопросам защиты персональных данных).

С 1 июля 2011 г. Государственная служба по вопросам защиты персональных данных начала непосредственное рассмотрение заявлений о регистрации персональных баз данных. По состоянию на 8 июля 2011 г. зарегистрировано 3 базы персональных данных. Можно предположить, что в случае, если действие Закона не будет ограничено (например, путём установления характерных признаков баз персональных данных, подлежащих регистрации), то в скором времени зарегистрироваться пожелают сотни тысяч, а то и миллионы баз персональных данных. Практически на любом предприятии собирается и сохраняется личная информация о физических лицах (о контрагентах, о сотрудниках, об акционерах и т.д.), а исходя из «широты» определений, предусмотренных в Законе, обязанность регистрировать базы персональных данных обязательна для всех и любых владельцев баз данных.

Закон «О внесении изменений в некоторые законодательные акты Украины относительно нарушения законодательства о защите персональных данных» предусматривает штрафы за нарушение законодательства о защите персональных данных в размере от 1700 до 17 000 гривен, в частности, за уклонение от регистрации баз персональных данных установлен штраф от 8 500 до 17 000 гривен. Кроме того, за незаконное распространение конфиденциальной информации действующим законодательством предусмотрена уголовная ответственность (статья 182 Уголовного кодекса), которая с 2012 года будет увеличена (размер штрафа как альтернативной санкции за это преступление наряду с исправительными работами, арестом и ограничением свободы, будет увеличен с максимального предела в 850 гривен до минимального предела в 8 500 гривен).

 

ПРАКТИЧЕСКИЕ РЕКОМЕНДАЦИИ

Исходя из изложенного, предлагаем Вашему внимание основные практические рекомендации для приведения учёта личных данных в соответствие с требованиями законодательства:

I. Систематизировать хранящие на предприятии сведения о физических лицах в базу персональных данных, подать заявку на регистрацию базы в Государственную службу по вопросам защиты персональных данных.

С формой заявки и другими условиями регистрации базы персональных данных можно ознакомиться на официальном сайте Службы http://www.zpd.gov.ua/indexServices.html. Кроме того, на сайте Верховной Рады Украины5 Вы можете ознакомиться с образцом свидетельства о государственной регистрации базы персональных данных (утверждено Приказом Министерства юстиции Украины от 08.07.2011 № 1823/5).

II. Разработать для предприятия, учреждения, организации, органа государственной власти и местного самоуправления Положение о порядке обработки и защиты персональных данных.

Обязательными элементами данного Положения должны стать цель обработки персональных данных, порядок обработки и использование данных, порядок предоставления информации о субъектах персональных данных третьим лицам.

Цель обработки персональных данных должна соответствовать специфике деятельности предприятия, учреждения, организации и характеру взаимоотношений между владельцем базы и субъектом персональных данных.

При определении обработки данных важно отметить, что под обработкой персональных данных следует понимать сбор, накопление, использование, уничтожение, изменение персональных данных, их передача, а также совершение каких либо других действий.

В соответствии с Законом Службе поручено разработать типовой порядок обработки персональных данных в базах персональных данных. В настоящее время ведётся работа над проектом такого документа. После его разработки целесообразно будет адаптировать его к каждому конкретному предприятию для распределения обязательств и ответственности за соблюдение законодательства о защите персональных данных между службами и/или работниками предприятия.

 

III.В отношениях с физическими лицами (контрагентами, работника и т.д.):

  • Для обеспечения выполнения положений Закона при заключении гражданско-правовых договоров с физическими лицами отдельной оговоркой прописывать согласие контрагента на обработку персональных данных, а также подтверждение того, что субъект персональных данных уведомлен обо всех правах, связанных с обработкой его персональных данных.
  • Для обеспечения выполнения положений Закона при принятии физических лиц на работу рекомендуем включить в пакет документов, которые новый работник подписывает при приёме на работу, письменное согласие на обработку его персональных данных.
  • Относительно иных физических лиц, чьи данные сохраняются на предприятии, у них также необходимо получить письменное разрешение на внесение их персональных данных в базу данных и их дальнейшую обработку, которое целесообразно подписывать, когда принимаете копию паспорта или иных документов, содержащих персональные данные.

Согласие на обработку персональных данных любого другого физического лица может отбираться по примеру (по образцу) согласия на обработку персональных данных работника, однако в каждому случае необходимо указывать правильную цель сбора персональных данных и, возможно, корректировать объём данных.

Напомним, что все эти бюрократические мероприятия желательно реализовать до 01 января 2012 года, чтобы к моменту вступления в силу ответственности за нарушение законодательства о защите персональных данных привести систему персональных данных в соответствие с законодательством.

 

_____________________________________________________________________________________________

 1.Текст доступен на сайте ВРУ: http://zakon.rada.gov.ua/cgi-bin/laws/main.cgi?nreg=2297-17

2. Текст доступен на сайте ВРУ: http://zakon1.rada.gov.ua/cgi-bin/laws/main.cgi?nreg=3454-17

3. Такое определение дублирует положение Европейской Конвенции о защите лиц в связи с автоматизированной обработкой персональных данных, подписанной в Страсбурге 28 января 1981г.

4. К слову, аналогичное понятие в Законе РФ «О персональных данных» от 27 июня 2007 г. содержит более детальную регламентацию, поскольку четко перечисляет информацию, относящуюся к определенному лицу (в частности, фамилия, имя, отчество лица, дата рождения, место рождения, адрес, семейное, социальное положение, образование, профессия доходы и др.).

В европейской Конвенции персональные данные поделены на «общие» (любая информация, касающаяся физического лица) и «чувствительные» (информация о расовом и этническом происхождении, вероисповедании, мировоззрении и т.д.).

 5. http://zakon1.rada.gov.ua/cgi-bin/laws/main.cgi?nreg=za889-11