Як захистити персональні дані
Для кого ця стаття: сільгосппідприємств, які співпрацюють із фізичними особами (контрагенти, працівники, орендодавці та інші).
Із цієї статті ви дізнаєтеся: чи повинне сільгосппідприємство розробляти положення про захист персональних даних (далі – ПД), яку установлено відповідальність за порушення законодавства про захист ПД, коли у фізособи треба брати згоду на обробку її ПД.
Хоча Закон від 01.06.10 р. № 2297-VI «Про захист персональних даних» (далі – Закон № 2297) і набув чинності з 01.01.11 р., досі залишається безліч запитань стосовно того, як відбувається цей захист. Також сільгосппідприємства цікавляться, чи потрібно отримувати згоду на обробку ПД у працівника та орендодавця-фізособи. Спробуємо розкрити всі аспекти захисту ПД у цій консультації.
Законодавча база
Головним документом, який говорить про захист ПД особи, є Конституція (ст. 32). Але в ній містяться тільки загальні фрази. Спеціальним нормативним актом, що регулює цей захист, є Закон № 2297.
Крім того, треба взяти до уваги також:
- Закон від 02.10.92 р. № 2657-XII «Про інформацію» (далі – Закон № 2657);
- наказ Уповноваженого ВРУ з прав людини від 08.01.14 р. № 1/02-14 (далі – Уповноважений) та Наказ № 1/02-14 і роз’яснення до нього від 08.01.14 р.;
- лист Уповноваженого від 03.03.14 р. № 2/9-227067.14-1/НД-129 (далі – Лист № 129).
Так, Наказом № 1/02-14 затверджено декілька важливих документів у даній сфері, які також розміщено на офіційному веб-сайті Уповноваженого. Серед них – Типовий порядок обробки персональних даних (далі – Типовий порядок № 1/02-14), яким визначено загальні вимоги до обробки та захисту ПД суб’єктів, які обробляються повністю або частково із застосуванням автоматизованих засобів, а також ПД, що містяться у картотеці чи призначені для внесення до неї неавтоматизованим способом.
Тож, аби зберегти точність та врахувати специфіку обробки даних, підприємство має самостійно розробити власний порядок обробки та захисту ПД. Для цього можна використати Типовий порядок, але це не обов’язково.
Що таке ПД
ПД – це відомості чи їх сукупність про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована (ст. 2 Закону № 2297). Згідно зі ст. 11 Закону № 2657 інформація про особу є конфіденційною та забороняється до поширення без її згоди.
Довідково: до конфіденційної інформації про фізособу належать, зокрема, дані про її національність, освіту, сімейний стан, релігійні переконання, стан здоров’я, адресу, дату та місце народження. Тобто дані, за допомогою яких можна ідентифікувати особу. |
Деякі підприємства вважають, що коли їм надаються ПД фізособи не в повному обсязі (наприклад, людина повідомляє про себе тільки деяку інформацію), то не потрібно отримувати від неї згоду, належно зберігати ці дані та усе інше. Утім це зовсім не так. Закон № 2297 не містить вичерпного переліку ПД про особу, але із самого терміна зрозуміло, що це відомості або сукупність відомостей. Тобто навіть одиниця відомості/інформації про фізособу підлягає належному захисту володільцем.
До відома: первинними джерелами відомостей про особу є видані на її ім’я документи, підписані нею власноруч, та відомості, котрі вона про себе надає (ч. 4 ст. 6 Закону № 2297). |
Суб’єкти ПД
Суб’єктами відносин, пов’язаних із ПД, є (ст. 4 Закону № 2297):
- суб’єкт ПД – фізична особа, ПД якої обробляються;
- володілець ПД – фізична чи юридична особа, яка визначає мету обробки ПД, їх склад та процедури обробки, якщо інше не визначено Законом № 2297;
- розпорядник ПД – фізична чи юридична особа, якій володільцем чи законом надано право обробляти ПД від імені володільця;
- Уповноважений;
- третя особа – будь-яка особа, окрім перелічених вище, якій володілець чи розпорядник ПД передає ці дані.
Тобто перш за все фізособа за допомогою письмової згоди надає право володільцю обробляти її ПД, а вже після цього володілець може доручити обробку даних розпоряднику відповідно до договору, укладеного в письмовій формі. Тож розпорядник зможе обробляти ПД тільки з метою та в обсязі, визначеному сторонами в договорі (ч. 4, 5 ст. 4 Закону № 2297).
Зверніть увагу! Володільцем або розпорядником можуть бути підприємства, установи та організації усіх форм власності, а також органи державної влади чи органи місцевого самоврядування, фізособи-підприємці, які обробляють ПД згідно із Законом № 2297. Отже, сільгосппідприємство чи фермерське господарство також є володільцем ПД осіб, які надали згоду на оброблення їх даних, та може бути розпорядником цих даних за договором. |
Володілець ПД має визначити (п. 2.1 Типового порядку № 1/02-14):
- мету та підстави обробки даних;
- категорії суб’єктів ПД;
- склад даних;
- порядок обробки ПД, зокрема, спосіб збору, накопичення даних; строк та умови їх зберігання; умови та процедуру їх зміни/видалення/знищення, передачі даних та перелік третіх осіб, яким вони можуть передаватися; порядок доступу до ПД осіб, які здійснюють їх обробку, та суб’єктів даних; заходи забезпечення захисту даних; процедуру збереження інформації про операції, пов’язані з обробкою ПД та доступом до них.
Важливо! Мета обробки ПД має бути чіткою і законною та визначатися до початку їх збору (п. 2.4, 2.5 Типового порядку № 1/02-14). Тож перед початком збору та обробки ПД підприємству доцільно затвердити такий порядок внутрішнім актом (наказом керівництва).
Організаційні заходи із захисту ПД охоплюють:
- визначення порядку доступу до даних працівників володільця/розпорядника;
- порядок ведення обліку операцій, пов’язаних з обробкою ПД суб’єкта та доступом до них;
- розробку плану дій у разі несанкціонованого доступу до ПД, виникнення надзвичайних ситуацій, пошкодження технічного обладнання;
- регулярне навчання співробітників, які працюють із ПД.
Отже, сільгосппідприємству необхідно розпорядчим документом визначити перелік працівників, які матимуть доступ до ПД суб’єктів, які є в його розпорядженні (ст. 24 Закону № 2297). Не має значення, хто це буде – володілець чи розпорядник, він повинен вести облік таких працівників та установити рівень їх доступу до ПД – у повній мірі чи тільки до конкретної частини даних. Кожен із таких працівників користується доступом тільки до тих ПД (їх частини) суб’єктів, які необхідні йому для виконання своїх професійних/службових/трудових обов’язків. Усі інші працівники мають право на повну інформацію тільки про власні ПД (п. 3.5, 3.6 Типового порядку № 1/02-14).
Після надання наказом працівнику права доступу до ПД він повинен скласти письмове зобов’язання про нерозголошення даних, які йому довірено чи які стали відомі у зв’язку з виконанням своїх обов’язків. Типової форми такого зобов’язання не затверджено, тому його викладають у довільній письмовій чи друкованій формі з обов’язковим проставлянням підпису та дати (див. зразок). Датою надання працівнику права доступу вважається дата надання ним зобов’язання (п. 3.8 Типового порядку № 1/02-14).
ЗРАЗОК Директору СТОВ «Квітка» Головного спеціаліста Зобов’язанняЯ, головний спеціаліст відділу кадрів СТОВ «Квітка» Обільченко Олександра Олегівна, зобов’язуюсь не розголошувати персональні дані фізичних осіб, котрі стали мені відомі під час виконання моїх безпосередніх посадових обов’язків. 04.06.18 р. (підпис) О. О. Обільченко |
Що таке обробка ПД
Обробкою ПД визнається будь-яка дія чи сукупність дій із ПД. Зокрема, це збирання, реєстрація, накопичення, зберігання, зміна, поновлення, адаптування, використання і поширення (розповсюдження, реалізація, передача), знищення чи знеособлення ПД, у тому числі з використанням інформаційних/автоматизованих систем (ст. 2 Закону № 2297). Отже, сільгосппідприємство в процесі ведення своєї діяльності здійснює обробку ПД фізосіб, але в межах правового поля для цього попередньо слід отримати згоду суб’єкта.
Майте на увазі! ПД обробляються у формі, що допускає ідентифікацію фізособи, у строк не більше, ніж це необхідно відповідно до мети, або не довше, ніж це передбачено законодавством у сфері архівної справи та діловодства (п. 2.10 Типового порядку № 1/02-14). |
Збирання даних є складовою процесу обробки ПД. Таємно ПД не збираються, суб’єкт має бути повідомлений про володільця ПД, склад та зміст зібраних даних, свої права, мету їх збору та осіб, яким передаються його ПД. Таке повідомлення може відбуватися (ч. 2 ст. 12 Закону № 2297):
- у момент збору ПД, якщо вони збираються у суб’єкта;
- в інших випадках протягом 30 робочих днів (далі – р. д.) з дня збору таких даних.
У будь-якому разі за Законом № 2297 фізична особа повинна знати, що її ПД збирають/обробляють.
Підставами для обробки ПД є (ст. 11 Закону № 2297):
- згода суб’єкта;
- дозвіл на обробку, наданий володільцю виключно для здійснення його повноважень;
- укладення та виконання правочину, стороною якого є суб’єкт ПД або який укладено на користь суб’єкта ПД чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта;
- захист життєво важливих інтересів суб’єкта;
- необхідність виконання обов’язку володільця, який передбачено законом;
- потреба захисту законних інтересів володільця даних або третьої особи, якій передаються ПД, крім випадків, коли потреба захисту основоположних прав і свобод суб’єкта у зв’язку з обробкою його даних переважають такі інтереси.
Повідомлення Уповноваженого
Наразі бази ПД, що ведуться на підприємстві, не підлягають обов’язковій реєстрації, як це було раніше. Але володілець даних зобов’язаний повідомити Уповноваженого про обробку даних, яка становить особливий ризик для прав та свобод суб’єктів ПД (наприклад, дані про расове та національне походження, стан здоров’я, біометричні дані, притягнення до адміністративної чи кримінальної відповідальності, місце перебування особи). Повідомлення подається упродовж 30 р. д. з дня початку обробки даних (ст. 9 Закону № 2297). Детальний порядок надсилання та форма такого повідомлення визначені Наказом № 1/02-14. У разі зміни відомостей, що підлягають повідомленню, володілець повинен проінформувати Уповноваженого протягом 10 р. д. з дня настання цих змін.
Крім того, коли володілець (розпорядник) здійснює обробку ПД, про які, як зазначено вище, необхідно повідомляти Уповноваженого, він має також повідомляти Уповноваженого про створення структурного підрозділу чи призначення відповідальної особи, яка організовує роботу із захисту ПД при їх обробці. Форму такого повідомлення наведено в додатку 4 до Наказу № 1/02-14.
Будьте уважні! При обробленні таких даних слід перевірити, чи надіслано в установленому порядку повідомлення до Уповноваженого щодо створення відповідального підрозділу чи покладення обов’язків на спеціаліста. |
Згода на обробку
Згода на обробку ПД (далі – згода) надається суб’єктом як добровільне волевиявлення (за умови її поінформованості) особи відповідно до сформульованої мети їх обробки, котре висловлюється у письмовій формі або у формі, яка дає змогу зробити висновок про надання такої згоди.
У сфері електронної комерції згода може бути надана під час реєстрації в інформаційно-телекомунікаційній системі суб’єкта електронної комерції шляхом проставляння відмітки про надання дозволу згідно зі сформульованою метою їх обробки, за умови, що така система не створює можливостей для обробки ПД до моменту проставляння такої відмітки (ст. 2 Закону № 2297).
Законом № 2297 не визначено форму надання згоди. Загалом згода може бути у вигляді:
- окремого документа, який підписує суб’єкт, чи відповідної позначки в електронному вигляді;
- однієї з умов договору;
- будь-якої іншої форми, яка дозволяє дійти висновку про її надання (написання заяви, заповнення анкети тощо).
Тобто отримувати згоду беззаперечно потрібно, причому і при оформленні на роботу працівника. Отже, не нехтуйте цим.
У роз’ясненнях Уповноваженого від 08.01.14 р. наведено приклад згоди (п. 12), але він не є обов’язковим. Сільгосппідприємство може самостійно розробити листок такої згоди чи в кінці форми заяв додавати текст про надання згоди особою, яка ставить власний підпис, на обробку її ПД.
Особа, що надала згоду, може контролювати процес їх обробки, звертаючись із розумною періодичністю до володільця за необхідною інформацією.
Зверніть увагу! Поширення/передача ПД фізособи відбувається тільки за згодою суб’єкта. Винятком є випадки, визначені законом, і тільки в інтересах національної безпеки, економічного добробуту та прав людини (ст. 14 Закону № 2297). |
Чи треба брати згоду в орендодавця-фізособи при укладенні договору оренди землі?
Уважаємо, що не треба. Пояснимо чому. Виходячи з положень ст. 11 Закону № 2297, однією із підстав для обробки ПД є укладення та виконання правочину, стороною якого є суб’єкт ПД (фізособа-орендодавець). Тобто орендодавцю немає необхідності окремо надавати згоду, адже, підписуючи договір оренди землі, він надає згоду та розуміє, що його ПД стануть відомі орендарю і будуть використовуватися ним для виконання умов даної угоди (оплати оренди, надсилання офіційних листів тощо). Тому отримувати окремо згоду орендодавця-фізособи немає потреби.
Порядок дій сільгосппідприємства
Отже, ми з’ясували, що сільгосппідприємства у разі отримання згоди є власниками ПД фізосіб. Що ж вони мають зробити згідно із Законом № 2297?
1. Необхідно встановити:
- які ПД використовуються на підприємстві, наприклад дані працівників, контрагентів, орендодавців;
- особу чи підрозділ, який відповідатиме за організацію на підприємстві роботи із захисту ПД;
- які працівники для виконання своїх трудових обов’язків повинні мати доступ та обробляти ПД.
2. Розробити і затвердити положення про обробку та захист ПД. У наказі про затвердження такого положення окремим пунктом визначити відповідальну особу/підрозділ, який відповідатиме за організацію на підприємстві роботи із захисту цих даних. У положенні обов’язково визначити мету, склад даних, строк та умови зберігання, порядок доступу тощо. Повідомити Уповноваженого про відповідальну особу/підрозділ.
3. Отримати від працівників, котрі мають доступ до ПД, письмове зобов’язання про їх нерозголошення. Володілець має докласти усіх зусиль, аби уникнути розголошення ПД суб’єктів. Саме тому беруться усі можливі зобов’язання про нерозголошення.
4. Отримати від суб’єктів ПД згоду. Оформити згоду можна шляхом затвердження по підприємству її форми або просто наведення в кінці всіх заяв/анкет інформації про надання згоди згідно із Законом № 2297. Яким саме способом скористатися – вирішує підприємство.
Наприклад, якщо йдеться про укладення договору з фізособою, то до його умов можна додати пункт такого змісту:
«Сторона 2 (фізособа) шляхом підписання цього договору надає згоду на обробку її персональних даних у спосіб та порядок, що передбачені Законом № 2297 та внутрішніми документами Сторони 1 (сільгосппідприємства). Зокрема, дозвіл надається на включення персональних даних до внутрішньої бази контрагентів Сторони 1, яка ведеться для здійснення господарської діяльності останнього. При зміні персональних даних Сторона 2 зобов’язується у найкоротший строк повідомити Сторону 1 про таку зміну шляхом надсилання письмового листа з відповідними документами, які підтверджують зміну даних».
Контроль та відповідальність
Контроль за дотриманням законодавства про захист ПД здійснюють (ст. 22 Закону № 2297):
- Уповноважений;
- суди.
Повний перелік повноважень Уповноваженого у сфері захисту даних установлено ст. 23 Закону № 2297. Серед них – проведення на підставі звернень чи за власною ініціативою виїзних чи безвиїзних, планових, позапланових перевірок володільців або розпорядників ПД із забезпеченням відповідно до закону доступу до приміщень, де відбувається обробка даних, та отримання засвідчених копій документів.
За підсумками перевірки/розгляду звернення Уповноважений складає акт у двох примірниках, на підставі якого при виявленні порушень складає обов’язкові для виконання вимоги (приписи) про запобігання або усунення порушень законодавства про захист ПД (п. 5.10 Порядку здійснення Уповноваженим Верховної Ради України з прав людини контролю за додержанням законодавства про захист персональних даних, затвердженого Наказом № 1/02-14). Детально порядок здійснення перевірок Уповноваженим викладено в Наказі № 1/02-14.
Крім того, Уповноважений наділений правом складати протоколи про притягнення до адміністративної відповідальності та направляти їх до суду. Так, ст. 18839 КУпАП передбачено відповідальність зокрема, але не виключно:
- за невиконання законних вимог (приписів) Уповноваженого стосовно запобігання чи усунення порушень – штраф для посадових осіб, громадян – суб’єктів підприємницької діяльності у розмірі від 300 до 1 000 НМДГ (від 5 100 до 17 000 грн.);
- недотримання порядку захисту ПД, що призвело до незаконного доступу до цих даних або порушення прав суб’єкта, – штраф для посадових осіб, громадян – суб’єктів підприємницької діяльності у розмірі від 300 до 1 000 НМДГ (від 5 100 до 17 000 грн.), а за повторне порушення протягом року – від 1 000 до 2 000 НМДГ (від 17 000 до 34 000 грн.).
Як бачимо, штрафи досить значні. Але окрім адміністративної передбачена також кримінальна відповідальність. Так, за незаконне збирання, використання, зберігання, знищення, поширення конфіденційної інформації про особу (національність, освіта, сімейний стан, адреса, дата та місце народження тощо) порушника чекає відповідальність, передбачена ст. 182 Кримінального кодексу:
- штраф у розмірі від 500 до 1 000 НМДГ (від 440 500 до 881 000 грн., розрахунок згідно з підрозд. 1 розд. ХХ та пп. 169.1.1 Податкового кодексу) або виправні роботи на строк до 2 років, або арешт на строк до 6 місяців, або обмеження волі на строк до 3 років;
- при повторному вчиненні порушення або якщо воно завдало істотної шкоди (на суму більше 88 100 грн.) охоронюваним законом правам, свободам та інтересам особи – арешт на строк від 3 до 6 місяців або обмеження/позбавлення волі на строк від 3 до 5 років.
До порушників законодавства у сфері захисту ПД установлено досить жорсткі заходи відповідальності, тому радимо дотримуватися вимог та належним чином оформити на сільгосппідприємстві порядок захисту, доступу та обробки ПД. Для цього можна скористатися матеріалами нашої консультації.
Коментарі до матеріалу