Некоторые вопросы практического применения
Закона Украины «О защите персональных данных»
I
Разъяснение Министерства юстиции Украины
(извлечение)
<...>
Что такое «персональные данные»
Определение понятия «персональные данные» приводится в абзаце восьмом статьи 2 Закона [Украины «О защите персональных данных»], в соответствии с которым персональными данными являются сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано.
Но законодательством Украины не установлен и не может быть установлен четкий перечень сведений о физическом лице, которые являются персональными данными, для возможности применения положений Закона к разнообразным ситуациям, в том числе при обработке персональных данных в информационных (автоматизированных) базах и картотеках персональных данных, которые могут возникнуть в будущем, в связи с изменением в технологической, социальной, экономической и других сферах общественной жизни.
Например, в соответствии со статьей 24 Кодекса законов о труде Украины гражданин при заключении трудового договора обязан представить паспорт или другой документ, удостоверяющий личность, трудовую книжку, а в случаях, предусмотренных законодательством, - также документ об образовании (специальности, квалификации), о состоянии здоровья и другие документы.
В связи с этим персональные данные работника, содержащиеся в паспорте или документе, удостоверяющем личность, в трудовой книжке, документе об образовании (специальности, квалификации), документе о состоянии здоровья и других документах, которые он представил при заключении трудового договора, обрабатываются владельцем базы персональных данных на основании статьи 24 Кодекса законов о труде Украины исключительно для осуществления полномочий владельца базы персональных данных в сфере правоотношений, возникших у него с работником на основании трудового договора (контракта).*
Таким образом, информация о наемных работниках является базой персональных данных, поскольку личные дела, трудовые книжки, копии паспортов, документов об образовании хранятся и обрабатываются работодателем.
Что такое «база персональных данных»
Понятие «база персональных данных» определено абзацем вторым статьи 2 Закона, в соответствии с которым база персональных данных - именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных.
Ввиду этого база персональных данных является упорядоченной совокупностью логично связанных данных о физических лицах:
- которые хранятся и обрабатываются соответствующим программным обеспечением, являются базой персональных данных в электронной форме;
- которые хранятся и обрабатываются на бумажных носителях информации, являются базой персональных данных в форме картотек.
Картотекой персональных данных является любой структурированный массив персональных данных, который является доступным с определенными критериями независимо от того, является ли такой массив централизованным, децентрализованным или разделенным по функциональным или географическим принципам.
Такие данные должны быть структурированы по определенным критериям, касающимся физических лиц, чтобы обеспечить легкий доступ к соответствующим персональным данным.:
Стоит отметить, что исходя из положений статьи 2 Закона персональные данные одновременно могут быть упорядочены и в электронной форме, и в форме картотек.
Что не является базой персональных данных
Физические лица - предприниматели и самозанятые лица самостоятельно определяют, владеют ли они базами персональных данных в смысле Закона.
<...>
Так, при осуществлении своей профессиональной деятельности на адвокатов законодательством не возложена обязанность ведения баз персональных данных клиентов. Но, если адвокаты формируют дела на своих клиентов, которые они постоянно обновляют и поддерживают в актуальном состоянии, такие дела являются базой персональных данных и подлежат государственной регистрации.
Нотариусы могут обрабатывать персональные данные своих наемных работников, клиентов в базах персональных данных, однако документы нотариального делопроизводства и архив нотариуса, определенные в статье 14 Закона Украины «О нотариате», не являются базой персональных данных в смысле Закона Украины «О защите персональных данных» и не подлежат государственной регистрации.
Кроме того, в случае если физические лица - предприниматели заключают договоры выполнения работ или предоставления услуг с физическими лицами, такие договоры также не являются базой персональных данных и не подлежат государственной регистрации.
Разъяснение Государственной службы защиты персональных данных
(извлечение)
<...>
Основания обработки персональных данных. Обработка персональных данных работника
Согласно статье 11 Закона [«О защите персональных данных»] основаниями возникновения права на использование персональных данных являются:
1) согласие субъекта персональных данных на обработку его персональных данных;
2) разрешение на обработку персональных данных, предоставленное владельцу базы персональных данных в соответствии с законом исключительно для осуществления его полномочий.
Отдельного внимания требует вопрос относительно основания обработки персональных данных работника.
В соответствии со статьей 24 Кодекса законов о труде Украины гражданин при заключении трудового договора обязан представить паспорт или другой документ, удостоверяющий личность, трудовую книжку, а в случаях, предусмотренных законодательством, - также документ об образовании (специальности, квалификации), о состоянии здоровья и другие документы.
В связи с этим персональные данные работника, содержащиеся в паспорте или документе, удостоверяющем личность, в трудовой книжке, документе об образовании (специальности, квалификации), документе о состоянии здоровья и других документах, которые он подал при заключении трудового договора, обрабатываются владельцем базы персональных данных на основании статьи 24 Кодекса законов о труде Украины исключительно для осуществления полномочий владельца базы персональных данных в сфере правоотношений, возникших у него с работником на основании трудового договора (контракта).**
<...>
II
Относительно полномочий
Государственной службы Украины
по вопросам защиты персональных данных
(далее - ГСЗПД) в сфере
государственного контроля
за соблюдением требований законодательства
о защите персональных данных
В соответствии с Положением о Государственной службе Украины по вопросам защиты персональных данных, утвержденным Указом Президента Украины от 06.04.2011 N 390, ГСЗПД осуществляет полномочия в сфере государственного надзора и контроля за соблюдением требований законодательства о защите персональных данных.
- разрабатывает и утверждает планы проверок владельцев и (или) распорядителей баз персональных данных относительно соблюдения ими требований законодательства в сфере защиты персональных данных;
- проводит в пределах своих полномочий выездные и безвыездные проверки владельцев и (или) распорядителей баз персональных данных;
- выдает владельцам и (или) распорядителям баз персональных данных обязательные к исполнению предписания относительно устранения нарушений законодательства о защите персональных данных и требует представления необходимой информации и документов, подтверждающих устранение выявленных нарушений;
- составляет административные протоколы о выявленных нарушениях законодательства в сфере защиты персональных данных;
- передает правоохранительным органам материалы о выявленных нарушениях в сфере защиты персональных данных;
- осуществляет контроль за соблюдением правил передачи персональных данных иностранным субъектам отношений, связанных с персональными данными.
С 1 января 2012 года вступают в силу изменения к Кодексу Украины об административных правонарушениях и Уголовному кодексу Украины, которыми введена административная (за неуведомление или несвоевременное уведомление субъекта персональных данных о его правах в связи с включением его персональных данных в базу персональных данных, цели сбора этих данных и лицах, которым эти данные передаются, и уклонение от государственной регистрации базы персональных данных и неисполнение законных требований должностных лиц специально уполномоченного центрального органа исполнительной власти по вопросам защиты персональных данных) и уголовная ответственность (за нарушение неприкосновенности частной жизни относительно незаконного сбора, хранения, использования, уничтожения, распространения конфиденциальной информации о лице или незаконного изменения такой информации), но только при следующих условиях.
1) В ГСЗПД должна быть направлена жалоба гражданина Украины (при этом жалоба должна быть подкреплена документами, подтверждающими нарушения в сфере защиты персональных данных).
2) На основании жалобы ГСЗПД будет проведена проверка владельцев и (или) распорядителей баз персональных данных относительно соблюдения ими требований законодательства в сфере защиты персональных данных, в результате которой будет предоставлено предписание на устранение нарушений.
3) В случае неисполнения предписания ГСЗПД составляет административный протокол, который затем передается в суд.
4) На основании административного протокола проводится судебное заседание и принимается решение о наложении административного взыскания, предусмотренного Кодексом Украины об административных правонарушениях, на основании которого владельцем базы персональных данных уплачивается штраф.
Справочно. Уклонением от государственной регистрации базы персональных данных не будет считаться факт подачи владельцем базы персональных данных заявления о регистрации базы персональных данных в ГСЗПД до 1 января 2012 года.
В соответствии с предоставленными ГСЗПД полномочиями в 2012 году будут осуществляться проверки владельцев баз персональных данных. Такие проверки могут быть выездными и безвыездными, а также плановыми и внеплановыми. С Планом проведения проверок владельцев и (или) распорядителей баз персональных данных относительно соблюдения ими требований законодательства в сфере защиты персональных данных можно ознакомиться на веб-сайте ДСЗПД (mvw.zpd.gov.ua). Внеплановые проверки будут проводиться только по жалобам граждан (при этом жалоба должна быть подкреплена документами, подтверждающими нарушения в сфере защиты персональных данных).
Также информируем о том, что ГСЗПД разработан проект приказа Министерства юстиции Украины «Об утверждении Положения о порядке осуществления Государственной службой Украины по вопросам защиты персональных данных государственного контроля за соблюдением законодательства о защите персональных данных», который сейчас проходит общественное обсуждение, по результатам которого будет направлен на согласование уполномоченному органу по вопросам регуляторной политики (Министерство экономического развития и торговли Украины) в установленном законодательством порядке. Только после этого приказ будет подан на подпись Министру юстиции Украины. Отметим, что проверки будут осуществляться только после утверждения соответствующего приказа.
Акцентируем внимание на том, что согласно Закону Украины «О защите персональных данных» контроль за соблюдением законодательства о защите персональных данных возложен на уполномоченный государственный орган по вопросам защиты персональных данных, в качестве которого согласно Указу Президента Украины «Об утверждении Положения о Государственной службе Украины по вопросам защиты персональных данных» N 390/2011 определена Государственная служба Украины по вопросам защиты персональных данных. В настоящее время законодательством не определено ни одного другого органа государственной власти и/или местного самоуправления, уполномоченного на осуществление контроля за соблюдением требований законодательства о защите персональных данных.
Единственным органом исполнительной власти, на который законом возложена задача относительно контроля за соблюдением требований законодательства о защите персональных данных, является Государственная служба Украины по вопросам защиты персональных данных, а решение об административном взыскании будет принимать только суд.
Внимание: заявления о регистрации базы данных Государственной службой Украины по вопросам защиты персональных данных будут приниматься также после 1 января 2012 года.
От редакции
В общем, угодить под штраф в настоящее время крайне сложно.
Напомним, кстати, что правительством принято решение не применять штрафы за непредставление информации о базе персональных данных; заодно обещано сделать Закон менее обременительным.
А самое приятное - подготовленный законопроект о переносе срока введения штрафов на 1 июля 2012 года уже принят Верховной Радой 13.01.2012 г.!
_______________
* Из этого косвенно следует, что согласие на обработку таких данных у работника брать не нужно.
** Тоже самое утверждает и Минюст.
"Бухгалтер" N 3, январь (III) 2012 г.
Подписной индекс 74201