Как защитить персональные данные

Для кого эта статья: сельхозпредприятий, которые сотрудничают с физическими лицами (контрагенты, работники, арендодатели и пр.).

Из этой статьи вы узнаете: должно ли сельхозпредприятие разрабатывать положение о защите персональных данных (далее – ПД), какая установлена ответственность за нарушение законодательства о защите ПД, когда у физлица надо брать согласие на обработку его ПД.

Хотя Закон от 01.06.10 г. № 2297-VI «О защите персональных данных» (далее – Закон № 2297) и вступил в силу с 01.01.11 г., до сих пор остается множество вопросов относительно того, как происходит эта защита. Также сельхозпредприятия интересуются, нужно ли получать согласие на обработку ПД у работника и арендодателя-физлица. Попробуем раскрыть все аспекты защиты ПД в этой консультации.

Законодательная база

Главным документом, который говорит о защите ПД лица, является Конституция (ст. 32). Но в ней содержатся только общие фразы. Специальным нормативным актом, регулирующим эту защиту, является Закон № 2297.

Кроме того, надо принять во внимание также:

• Закон от 02.10.92 г. № 2657-XII «Об информации» (далее – Закон № 2657);
• приказ Уполномоченного ВРУ по правам человека от 08.01.14 г. № 1/02-14 (далее – Уполномоченный, Приказ № 1/02-14) и разъяснения к нему от 08.01.14 г.;
• письмо Уполномоченного от 03.03.14 г. № 2/9-227067.14-1/НД-129 (далее – Письмо № 129).

Так, Приказом № 1/02-14 утверждено несколько важных документов в данной сфере, которые также размещены на официальном веб-сайте Уполномоченного. Среди них – Типовый порядок обработки персональных данных (далее – Типовой порядок № 1/02-14), которым определены общие требования к обработке и защите ПД субъектов, которые обрабатываются полностью или частично с применением автоматизированных средств, а также ПД, которые содержатся в картотеке или предназначены для внесения в нее неавтоматизированным способом.

Итак, чтобы сохранить точность и учесть специфику обработки данных, предприятие должно самостоятельно разработать собственный порядок обработки и защиты ПД. Для этого можно использовать Типовой порядок, но это не обязательно.

Что такое ПД

ПД – это сведения или их совокупность о физическом лице, которое идентифицировано или может быть конкретно идентифицировано (ст. 2 Закона № 2297). Согласно ст. 11 Закона № 2657 информация о лице является конфиденциальной и запрещена к распространению без его согласия.

Некоторые предприятия считают, что когда им предоставляются ПД физлица не в полном объеме (например, человек сообщает о себе только некоторую информацию), то не нужно получать от него согласие, надлежащим образом хранить эти данные и всякое другое. Впрочем, это совсем не так. Закон № 2297 не содержит исчерпывающего перечня ПД о лице, но из самого термина понятно, что это сведения или совокупность сведений. То есть даже единица сведения/информации о физлице подлежит надлежащей защите владельцем.

Субъекты ПД

Субъектами отношений, связанных с ПД, являются (ст. 4 Закона № 2297):

• субъект ПД – физическое лицо, ПД которой обрабатываются;
• владелец ПД – физическое или юридическое лицо, которое определяет цель обработки ПД, их состав и процедуры обработки, если иное не определено Законом № 2297;
• распорядитель ПД – физическое или юридическое лицо, которому владельцем или законом предоставлено право обрабатывать ПД от имени владельца;
• Уполномоченный;
• третье лицо – какое-либо лицо, кроме перечисленных выше, которому владелец или распорядитель ПД передает эти данные.

То есть прежде всего физлицо с письменного согласия предоставляет право владельцу обрабатывать его ПД, а уже после этого владелец может поручить обработку данных распорядителю согласно договору, заключенному в письменной форме. Поэтому распорядитель сможет обрабатывать ПД только в целях и в объеме, определенном сторонами в договоре (ч. 4, 5 ст. 4 Закона № 2297).

Владелец ПД должен определить (п. 2.1 Типового порядка № 1/02-14):

• цель и основания обработки данных;
• категории субъектов ПД;
• состав данных;
• порядок обработки ПД, в частности, способом сбора, накопление данных; срок и условия их хранения; условия и процедуру их изменения/удаления/уничтожения, передачи данных и перечень третьих лиц, которым они могут передаваться; порядок доступа к ПД лиц, которые осуществляют их обработку, и субъектов данных; меры обеспечения защиты данных; процедуру сохранения информации об операциях, связанных с обработкой ПД и доступом к ним.

Важно! Цель обработки ПД должна быть четкой и законной и определяться до начала их сбора (п. 2.4, 2.5 Типового порядка № 1/02-14). Поэтому перед началом сбора и обработки ПД предприятию целесообразно утвердить такой порядок внутренним актом (приказом руководства).

Организационные меры по защите ПД охватывают:

• определение порядка доступа к данным работникам владельца/распорядителя;
• порядок ведения учета операций, связанных с обработкой ПД субъекта и доступом к ним;
• разработку плана действий в случае несанкционированного доступа к ПД, возникновение чрезвычайных ситуаций, повреждение технического оборудования;
• регулярное обучение сотрудникам, которые работают с ПД.

Итак, сельхозпредприятию необходимо распорядительным документом определить перечень работников, которые будут иметь доступ к ПД субъектов, которые есть в его распоряжении (ст. 24 Закона № 2297). Не имеет значения, кто это будет – владелец или распорядитель, он должен вести учет таких работников и установить уровень их доступа к ПД – в полной мере или только к конкретной части данных. Каждый из таких работников пользуется доступом только к тем ПД (их части) субъектов, которые необходимы ему для выполнения своих профессиональных/служебных/трудовых обязанностей. Все другие работники имеют право на полную информацию только о собственных ПД (п. 3.5, 3.6 Типового порядка № 1/02-14).

После предоставления приказом работнику права доступа к ПД он должен составить письменное обязательство о неразглашении данных, которые ему доверены или которые стали известны в связи с выполнением своих обязанностей. Типовой формы такого обязательства не утверждено, поэтому его излагают в произвольной письменной или печатной форме с обязательным проставлением подписи и даты (см. образец). Датой предоставления работнику права доступа считается дата предоставления им обязательства (п. 3.8 Типового порядка № 1/02-14).

Что такое обработка ПД

Обработкой ПД признается какое-либо действие или совокупность действий с ПД. В частности, это сбор, регистрация, накопление, хранение, изменение, восстановление, адаптирование, использование и распространение (распространение, реализация, передача), уничтожение или обезличение ПД, в том числе с использованием информационных/автоматизированных систем (ст. 2 Закона № 2297). Итак, сельхозпредприятие в процессе ведения своей деятельности осуществляет обработку ПД физлиц, но в рамках правового поля для этого предварительно необходимо получить согласие субъекта.

Сбор данных является составляющей процесса обработки ПД. Тайно ПД не собираются, субъект должен быть уведомлен о владельце ПД, составе и содержании собранных данных, своих правах, цели их сбора и лицах, которым передаются его ПД. Такое уведомление может происходить (ч. 2 ст. 12 Закона № 2297):

• в момент сбора ПД, если они собираются у субъекта;
• в других случаях в течение 30 рабочих дней (далее – р. д.) со дня сбора таких данных.

В любом случае согласно Закону № 2297 физическое лицо должно знать, что его ПД собирают/обрабатывают.

Основаниями для обработки ПД являются (ст. 11 Закона № 2297):

• согласие субъекта;
• разрешение на обработку, предоставленное владельцу исключительно для осуществления его полномочий;
• заключение и выполнение сделки, стороной которой является субъект ПД или которая заключена в пользу субъекта ПД или для осуществления мероприятий, предшествующих заключению сделки по требованию субъекта;
• защита жизненно важных интересов субъекта;
• необходимость выполнения обязанности владельца, предусмотренной законом;
• потребность защиты законных интересов владельца данных или третьего лица, которому передаются ПД, кроме случаев, когда потребность защиты основоположных прав и свобод субъекта в связи с обработкой его данных преобладают над такими интересами.

Уведомление Уполномоченного

Сейчас базы ПД, которые ведутся на предприятии, не подлежат обязательной регистрации, как это было раньше. Но владелец данных обязан уведомить Уполномоченного об обработке данных, которая представляет особый риск для прав и свобод субъектов ПД (например, данные о расовом и национальном происхождении, состоянии здоровья, биометрические данные, о привлечении к административной или уголовной ответственности, место пребывания лица). Уведомление подается в течение 30 р. д. со дня начала обработки данных (ст. 9 Закона № 2297). Детальный порядок направления и форма такого уведомления определены Приказом № 1/02-14. В случае изменения сведений, которые подлежат уведомлению, владелец должен проинформировать Уполномоченного в течение 10 р. д. со дня наступления этих изменений.

Кроме того, когда владелец (распорядитель) осуществляет обработку ПД, о которых, как указано выше, необходимо уведомлять Уполномоченного, он должен также уведомить Уполномоченного о создании структурного подразделения или назначении ответственного лица, которое организовывает работу по защите ПД при их обработке. Форма такого уведомления приведена в приложении 4 к Приказу № 1/02-14.

Согласие на обработку

Согласие на обработку ПД (далее – согласие) предоставляется субъектом как добровольное волеизъявление (при условии его осведомленности) лица согласно сформулированной цели их обработки, которое излагается в письменной форме или в форме, дающей возможность сделать вывод о предоставлении такого согласия.

В сфере электронной коммерции согласие может быть предоставлено во время регистрации в информационно-телекоммуникационной системе субъекта электронной коммерции путем проставления отметки о предоставлении разрешения согласно сформулированной цели их обработки, при условии, что такая система не создает возможности для обработки ПД до момента проставления такой отметки (ст. 2 Закона № 2297).

Законом № 2297 не определена форма предоставления согласия. В целом согласие может быть в виде:

• отдельного документа, который подписывает субъект, или соответствующей отметки в электронном виде;
• одного из условий договора;
• любой другой формы, которая позволяет прийти к выводу о его предоставлении (написание заявления, заполнение анкеты и т. п.).

То есть получать согласие, бесспорно, нужно, причем и при оформлении на работу работника. Поэтому не пренебрегайте этим.

В разъяснениях Уполномоченного от 08.01.14 г. приведен пример согласия (п. 12), но он не является обязательным. Сельхозпредприятие может самостоятельно разработать листок такого согласия или в конце формы заявлений прилагать текст о предоставлении согласия лицом, которое ставит собственную подпись, на обработку его ПД.

Лицо, давшее согласие, может контролировать процесс их обработки, обращаясь с разумной периодичностью к владельцу за необходимой информацией.

Надо ли брать согласие у арендодателя-физлица при заключении договора аренды земли?

Считаем, что не надо. Объясним почему. Исходя из положений ст. 11 Закона № 2297, одним из оснований для обработки ПД является заключение и выполнение сделки, стороной которой является субъект ПД (физлицо-арендодатель). То есть арендодателю нет необходимости отдельно давать согласие, ведь, подписывая договор аренды земли, он дает согласие и понимает, что его ПД станут известны арендатору и будут использоваться им для выполнения условий данного соглашения (оплаты аренды, направления официальных писем и т. п.). Поэтому получать отдельно согласие арендодателя-физлица нет необходимости.

Порядок действий сельхозпредприятия

Итак, мы выяснили, что сельхозпредприятия в случае получения согласия являются владельцами ПД физлиц. Что же они должны сделать согласно Закону № 2297?

1. Необходимо установить:

• какие ПД используются на предприятии, например данные работников, контрагентов, арендодателей;
• лицо или подразделение, которое будет отвечать за организацию на предприятии работы по защите ПД;
• какие работники для выполнения своих трудовых обязанностей должны иметь доступ и обрабатывать ПД.

2. Разработать и утвердить положение об обработке и защите ПД. В приказе об утверждении такого положения отдельным пунктом определить ответственное лицо/подразделение, которое будет отвечать за организацию на предприятии работы по защите этих данных. В положении обязательно определить цель, состав данных, срок и условия хранения, порядок доступа и т. п. Уведомить Уполномоченного об ответственном лице/подразделении.

3. Получить от работников, которые имеют доступ к ПД, письменное обязательство об их неразглашении. Владелец должен приложить все усилия, чтобы избежать разглашения ПД субъектов. Именно поэтому берутся все возможные обязательства о неразглашении.

4. Получить от субъектов ПД согласие. Оформить согласие можно путем утверждения по предприятию его формы или просто указания в конце всех заявлений/анкет информации о предоставлении согласия в соответствии с Законом № 2297. Каким именно образом воспользоваться – решает предприятие.

Например, если речь идет о заключении договора с физлицом, то в его условия можно добавить пункт следующего содержания:

«Сторона 2 (физлицо) путем подписания настоящего договора дает согласие на обработку ее персональных данных способом и в порядке, предусмотренных Законом № 2297 и внутренними документами Стороны 1 (сельхозпредприятия). В частности, разрешение предоставляется на включение персональных данных во внутреннюю базу контрагентов Стороны 1, которая ведется для осуществления хозяйственной деятельности последнего. При изменении персональных данных Сторона 2 обязуется в кратчайший срок уведомить Сторону 1 о таком изменении путем направления письменного письма с соответствующими документами, подтверждающими изменение данных».

Контроль и ответственность

Контроль за соблюдением законодательства о защите ПД осуществляют (ст. 22 Закона № 2297):

• Уполномоченный;
• суды.

Полный перечень полномочий Уполномоченного в сфере защиты данных установлен ст. 23 Закона № 2297. Среди них – проведение на основании обращений или по собственной инициативе выездных или безвыездных, плановых, внеплановых проверок владельцев или распорядителей ПД с обеспечением согласно закону доступа к помещениям, где происходит обработка данных, и получение заверенных копий документов.

По итогам проверки/рассмотрения обращения Уполномоченный составляет акт в двух экземплярах, на основании которого при выявлении нарушений составляет обязанности для выполнения требования (предписания) о предотвращении или устранении нарушений законодательства о защите ПД (п. 5.10 Порядка осуществления Уполномоченным Верховной Рады Украины по правам человека контроля за соблюдением законодательства о защите персональных данных, утвержденного Приказом № 1/02-14). Детально порядок осуществления проверок Уполномоченным изложен в Приказе № 1/02-14.

Кроме того, Уполномоченный наделен правом составлять протоколы о привлечении к административной ответственности и направлять их в суд. Так, ст. 188³⁹ КУоАП предусмотрена ответственность в частности, но не исключительно:

• за невыполнение законных требований (предписаний) Уполномоченного относительно предотвращения или устранения нарушений – штраф для должностных лиц, граждан – субъектов предпринимательской деятельности в размере от 300 до 1 000 НМДГ (от 5 100 до 17 000 грн.);
• несоблюдение порядка защиты ПД, что привело к незаконному доступу к этим данным или нарушению прав субъекта, – штраф для должностных лиц, граждан – субъектов предпринимательской деятельности в размере от 300 до 1 000 НМДГ (от 5 100 до 17 000 грн.), а за повторное нарушение в течение года – от 1 000 до 2 000 НМДГ (от 17 000 до 34 000 грн.).

Как видим, штрафы довольно значительные. Но кроме административной предусмотрена также уголовная ответственность. Так, за незаконный сбор, использование, хранение, уничтожение, распространение конфиденциальной информации о лице (национальности, образовании, семейном положении, адресе, дате и месте рождения и т. п.) нарушителя ждет ответственность, предусмотренная ст. 182 Уголовного кодекса:

• штраф в размере от 500 до 1 000 НМДГ (от 440 500 до 881 000 грн., расчет согласно подразд. 1 разд. ХХ и пп. 169.1.1 Налогового кодекса), или исправительные работы на срок до 2 лет, или арест на срок до 6 месяцев либо ограничение свободы на срок до 3 лет;
• при повторном совершении нарушения или, если оно нанесло существенный ущерб (на сумму более 88 100 грн.) охраняемым законом правам, свободам и интересам лица, – арест на срок от 3 до 6 месяцев или ограничение/лишение свободы на срок от 3 до 5 лет.

К нарушителям законодательства в сфере защиты ПД установлены довольно жесткие меры ответственности, поэтому советуем соблюдать требования и надлежащим образом оформить на сельхозпредприятии порядок защиты, доступа и обработки ПД. Для этого можно воспользоваться материалами нашей консультации.