ГлавнаяО насНовостиСтатьиРешенияКонтакты
Украинский интегратор защиты персональных данных

Защита персональных данных: что об этом должен знать работодатель

Защита персональных данных

Законодательство в сфере защиты персональных данных введено в Украине в 2011 году. Наверняка многие помнят тот ажиотаж и панику, которые сопутствовали этим нововведениям. А беспокоиться было о чем: неразбериха в понятиях и механизме защиты персональных данных, проблемы с регистрацией баз, непомерные штрафы за малейшие нарушения. Практика, безусловно, внесла свои коррективы – появился более взвешенный и здравый подход, хотя далеко еще не все вопросы сняты. Кроме того, с 01.01.2014 г. в этой сфере произошли очередные серьезные изменения. О том, как выглядит картина на данный момент, и поговорим сегодня.

Кто всему голова

С начала этого года бразды правления в сфере персональных данных (ПД) переданы Уполномоченному Верховной Рады Украины по правам человека (далее – Уполномоченный). Ранее эти вопросы были в компетенции Государственной службы по защите персональных данных (ГСЗПД), подчиняющейся Минюсту.

Смена органа привела к появлению новой нормативно-правовой базы (уже от Уполномоченного). Речь идет оприказе №1/02, которым утверждены:

    Типовой порядок обработки персональных данных (далее – Типовой порядок).

    Порядок осуществления Уполномоченным контроля за соблюдением законодательства о защите персональных данных (далее – Порядок контроля).

    Порядок уведомления Уполномоченного об обработке персональных данных, которая представляет особый риск для прав и свобод субъектов персональных данных, о структурном подразделении или ответственном лице, которое организует работу, связанную с защитой персональных данных при их обработке, а также обнародование указанной информации (далее – Порядок уведомления).

Все эти документы разработаны во исполнение норм Закона о БПД – основного документа в сфере защиты ПД. Кроме того, Уполномоченный издал Разъяснения от 08.01.2014 г. к Типовому порядку, Порядку контроля и Порядку уведомления.

Уполномоченный и его представители вправе проводить на основании обращений или по собственной инициативе выездные и невыездные, плановые, внеплановые проверки владельцев или распорядителей ПД, издавать обязательные к исполнению предписания по устранению нарушений в этой сфере. Он может составлять протоколы об административных правонарушениях, которые затем передает в суд.

Обратите внимание! Самостоятельно привлечь нарушителей к ответственности Уполномоченный не вправе. Решение принимает суд.

Разберемся с понятиями

Без понимания, что именно подразумевается под ПД, что такое их обработка и кто несет ответственность за нарушения в этой сфере, работодателю не обойтись.

ПД – сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано.

Требования законодательства предъявляются к обработке и защите ПД, которые обрабатываются полностью или частично с применением автоматизированных средств, а также ПД, которые содержатся в картотеке или предназначены для внесения в картотеку, с применением неавтоматизированных средств.

Под обработкой ПД понимаются любое действие или совокупность действий по сбору, регистрации, накоплению, хранению, адаптированию, изменению, восстановлению, использованию и распространению, реализации и передаче, обезличивание, уничтожение ПД, в том числе с использованием информационных (автоматизированных) систем.

До сих пор нет единого мнения по поводу того, какой именно объем сведений о физлице охватывается понятием "персональные данные". Ими должны считаться не те сведения, которые просто позволяют идентифицировать личность (например Ф.И.О., серия и номер паспорта), а дополнительные сведения о физлице, которое четко идентифицировано (адрес регистрации, фактическое место жительства, образование, состояние здоровья, данные о детях, родителях и т.п.). Причем эти сведения должны быть упорядочены в электронном виде или картотеке таким образом, чтобы по определенному критерию (алфавиту, идентификационному номеру, номеру паспорта и т.п.) можно было найти сведения о конкретном физлице. Такой вывод следует из определения картотеки, под которой понимаются любые структурированные ПД, доступные по определенным критериям, независимо от того, централизованы, децентрализованы или разделены такие данные по функциональным или географическим принципам.

К примеру, гражданско-правовые договоры с физлицами, в том числе предпринимателями (подрядчиками, поставщиками, покупателями), если они складываются в папку в хронологическом порядке по дате их заключения, нельзя считать картотекой. Критерий, по которому структурируются такие договоры, – дата заключения договора, а не сведения, касающиеся физлиц. В этом случае об обработке персональных данных речь не идет. Если же дополнительно ведется база по контрагентам в электронном виде или на бумажных носителях, которая, к примеру, по Ф.И.О. или идентификационному номеру, дает доступ к дополнительным сведениям о запрашиваемом физлице (паспортные данные, место жительства, телефоны, банковские счета и т. п.), то тут уже речь идет об обработке ПД. Учитывая, что в настоящее время у многих учет автоматизирован, в программы вносят персональные данные о контрагентах, то есть основания говорить, что имеем дело с обработкой ПД.

Состав и содержание ПД должны быть соответствующими, адекватными и нечрезмерными относительно определенной цели их обработки. Первичными источниками сведений о физическом лице являются: выданные на его имя документы; подписанные им документы; сведения, которые лицо предоставляет о себе.

Обязанность по защите ПД возлагается на их владельцев и распорядителей, а также третьих лиц, которым передаются ПД в соответствии с законодательством.

Владелец ПД – физическое или юридическое лицо, которое определяет цель обработки ПД, устанавливает состав этих данных и процедуры их обработки, если другое не определенно законом.

Распорядитель ПД – физическое или юридическое лицо, которому владельцем ПД или законом дано право обрабатывать эти данные от имени владельца.

Например, владельцем базы персональных данных (БПД) Фонда соцстрахования по временной потере трудоспособности (ФВПТ) является Исполнительная дирекция ФВПТ, а распорядителями – исполнительные дирекции отделений ФВПТ и их рабочие органы (постановление правления ФВПТ от 08.10.13 г. №47). Физические лица – предприниматели, в том числе врачи, имеющие соответствующую лицензию, адвокаты, нотариусы личнообеспечивают защиту персональных данных, которыми они владеют, согласно требованиям закона (ч. 4 ст. 24 Закона о БПД).

Владельцы, распорядители ПД и третьи лица обязаны обеспечить защиту этих данных от случайной потери или уничтожения, от незаконной обработки, в том числе незаконного доступа к ним. Это реализуется с помощью организационных и технических мероприятий (закрываемая дверь в помещении, где хранятся ПД, установление пароля для доступа в электронную базу и т. п.).

Чтобы работодатель четко понимал, что он должен делать, нужно знать общие требования законодательства по защите ПД. Об этом и поговорим далее. Но прежде покажем общую схему обработки ПД.

Уведомление Уполномоченного

До начала этого года действовала процедура регистрации БПД. Сейчас она отменена. С 01.01.14 г. вместо регистрации преду­смотрено уведомление Уполномоченного.

А теперь самое интересное: уведомлять Уполномоченного нужно только об обработке тех ПД, которые представляют особый риск для прав и свобод субъектов ПД (далее – "особые" ПД). Об обработке других ПД уведомлять Уполномоченного не нужно.

Какие сведения относятся к "особым", вы можете увидеть в п. 3 схемы.

Интересно, что есть ряд случаев, когда даже при наличии "особых" ПД направлять Уполномоченному уведомление не нужно, а именно когда (п. 2.1 Порядка уведомления):

    осуществляется обработка, единственной целью которой является ведение реестра для предоставления информации населению, который открыт для населения в целом;

    обработка осуществляется общественными объединениями, политическими партиями и/или организациями, профессиональными союзами, объединениями работодателей, религиозными организациями, общественными организациями мировоззренческой направленности при условии, что обработка касается исключительно ПД членов этих объединений и не передается без их согласия;

    обработка необходима для реализации прав и выполнения обязательств владельца ПД в сфере трудовых правоотношений в соответствии с законом.

Обратите внимание! Как видим, даже если вы обрабатываете "особые" сведения о своих работниках (например, состояние здоровья), уведомлять об этом Уполномоченного не нужно.

Если вы обрабатываете "особые" ПД о клиентах, заказчиках, пациентах и т.п., тогда необходимо:

    подать уведомление Уполномоченному по форме приложения 1 к приказу №1/02 в течение 30 рабочих дней со дня сбора ПД;

    уведомить Уполномоченного о создании структурного подразделения или назначении ответственного лица, которое организует работу, связанную с защитой ПД при их обработке. Такое уведомление направляется по форме приложения 4 к приказу №1/02 в течение 30 дней с момента создания такого под­разделения (назначения ответственного).

Данные уведомления направляются письмом Секретариату Уполномоченного по адресу: ул. Институтская, 21/8, г. Киев, 01008 или другим доступным заявителю способом (по факсу, электронной почтой, через почтовый ящик, специально размещенный на первом этаже Секретариата Уполномоченного). Если вы направляете заявление электронной почтой, его нужно отсканировать (по почте отправляйте сканкопию).

Заявители хранят у себя копию заявления, которое было подано в Секретариат Уполномоченного.

Результаты рассмотрения вашего уведомления будут размещены на официальном веб-сайте Уполномоченного.

Обратите внимание! Уполномоченный не должен направлять владельцу (распорядителю) какое-либо письменное подтверждение о получении уведомления. Свидетельства теперь не выдаются. Вся информация, которой владеет Уполномоченный, размещается на его официальном сайте (www.ombudsman.gov.ua). Если у вас возникли вопросы, вы можете позвонить на горячую линию Уполномоченного по телефонам: (044) 253-11-35, 253-53-94, 253-81-94.

Не стоит забывать, что, помимо перечисленных выше особых требований, владельцы (распорядители) "особых" ПД должны соблюдать все прочие требования по защите ПД.

Разработка внутреннего документа по защите ПД

Без такого документа не обойтись. Дело в том, что согласно п. 2.1 Типового порядка владелец (распорядитель) в обязательном порядке должен определить базовые вопросы обработки ПД (перечень см. в п. 1 схемы на с. 15). Эти моменты устанавливаются с учетом специфики деятельности владельца БД. При разработке положения (порядка) о защите ПД, который утверждается руководителем владельца (распорядителя), вам помогут нормы Типового порядка.

Профессиональные, самоуправляющиеся и другие общественные объединения или юридические лица могут разрабатывать кодексы поведения с целью обеспечения эффективной защиты прав субъектов ПД, соблюдения законодательства о защите ПД с учетом специфики обработки ПД в разных сферах.

Обратите внимание! Все эти процедуры надо произвести не только при обработке "особых" ПД, но и в том случае, если вы имеете дело с "обычными" ПД.

Назначение ответственных лиц за защиту ПД

Выше мы уже говорили, что владелец определяет порядок доступа к ПД лиц, которые их обрабатывают. Кроме того, на владельца возлагается обязанность по учету операций, связанных с обработкой ПД и доступом к ним. Сюда в том числе входит и информация о работнике, который осуществил одну из указанных операций.

В соответствии с п. 3.7 Типового порядка работники, которые имеют доступ к ПД, дают письменное обязательство о неразглашении сведений, которые им были доверены или которые стали им известны в связи с выполнением профессиональных или служебных (трудовых) обязанностей.

Это говорит о том, что владелец должен составить список должностей работников, которые имеют право на доступ и обработку ПД. У каждого из них нужно взять письменное обязательство о неразглашении этих сведений. Данное обязательство является для них действующим и после увольнения.

Дополнительные требования предусмотрены к владельцам, которые обрабатывают "особые" ПД. Им необходимо создать (определить) структурное подразделение или ответственное лицо, которое организует работу, связанную с защитой ПД. О создании такого подразделения (назначении ответственного) уведомляется Уполномоченный по форме приложения 4 к Порядку №1/02. Если обрабатываются "особые" ПД о своих работниках в рамках трудовых отношений, направлять уведомление Уполномоченному не нужно.

Согласие на обработку ПД

Для того чтобы обрабатывать данные о физлицах, нужно иметь на то соответствующие основания (см. п. 2 схемы на с. 15). Среди них (ст. 11 Закона о БПД):

  1. согласие субъекта ПД;

  2. разрешение на обработку ПД, предоставленное владельцу ПД в соответствии с законом исключительно для осуществления его полномочий;

  3. заключение и выполнение правовой сделки, стороной которой является субъект ПД или которая заключена в пользу субъекта ПД или для осуществления мероприятий, предшествующих заключению правовой сделки по требованию субъекта ПД.

Как видим, получение согласия от физлица является лишь одним из оснований обработки данных. Обрабатывать сведения о физлице можно и без его согласия в указанных выше случаях. Например, это может делать работодатель относительно данных о своих работниках, которые необходимы для осуществления трудовых отношений в соответствии с действующим законодательством.

Без согласия можно обрабатывать и данные, к примеру, о подрядчиках-физлицах (в том числе предпринимателях), которые самостоятельно предоставляют сведения о себе для заключения гражданско-правового договора на выполнение работ (предоставление услуг). При этом помните: полученные сведения должны быть необходимыми и адекватными для установленной цели их обработки.

Если согласие от физлица получать все-таки необходимо, то вопрос – по какой форме это нужно делать? Ведь установленной формы нет. Как сказано в Разъяснении к Типовому порядку, это может быть (на выбор):

    отдельный документ, который подписывает субъект ПД;

    соответствующее обозначение в электронном виде;

    одно из условий договора;

    любая другая форма, которая даст возможность сделать вывод о его предоставлении (написание заявления, заполнение анкеты и т.п.). Владелец при проверке должен предоставить убедительные доказательства того, что физлицо дало согласие на обработку его данных.

Пример формы согласия приведен в п. 12 Разъяснения к Типовому порядку.

Обратите внимание! В Разъяснении к Типовому порядкусказано, что даже если лицо дало согласие на обработку его данных, часть из которых по своей сути не нужна для достижения поставленной цели обработки, такая обработка будет рассматриваться как непропорциональная и будет классифицирована как нарушениезаконодательства о защите ПД.

Уведомление физлица об обработке его данных

В соответствии с ч. 2 ст. 12 Закона о БПД субъект ПД уведомляется о владельце ПД, цели сбора, составе и содержании собранных ПД о нем, своих правах, о лицах, которым они передаются:

    в момент сбора ПД, если они собираются у субъекта ПД;

    в иных случаях в течение 30 рабочих дней со дня сбора ПД.

Владелец обязан хранить информацию (документы), которые подтверждают предоставление заявителю вышеупомянутой информации в течение всего периода обработки ПД. Форма уведомления не установлена. Если при сборе ПД с физлица берется согласие, то это можно автоматически считать и уведомлением, так как там содержится вся необходимая информация.

Отсюда следует, что в любых случаях нужно уведомлять физлицо. В то же время в п. 2.9 Типового порядка сказано, что это необходимо делать кроме случаев, предусмотренных законодательством Украины. Сложно сказать, о каких конкретных случаях идет речь. С одной стороны, можно предположить, что необходимость в уведомлении отсутствует, когда данные о физлице могут обрабатываться без его согласия. Например, в рамках трудовых отношений. С другой стороны, это довольно смелое заявление. Да, работодатель освобождается от необходимости получать у работника разрешение на получение сведений о нем (это препятствует заключению и ведению трудовых отношений). Однако поставить работника в известность, какие именно данные о нем обрабатываются, кому могут быть переданы и т.д., на наш взгляд, нужно.

Чтобы уведомить работника, можно разработать отдельную форму уведомления, образец котрой мы привели на с. 19. Можно просто включить отметку в трудовой договор (заявление о приеме на работу) о том, что работник уведомлен о цели и порядке использования его ПД в соответствии с установленным на предприятии порядком защиты ПД и действующим законодательством в этой сфере. Еще один вариант: составив уведомление по образцу, приведенному ниже, ознакамливать с ним работника под роспись в специальном журнале.

Обратите внимание! С 01.01.2014 г. нет штрафа за неуведомление субъекта ПД об обработке его данных. Ранее за это нарушение взыскивался штраф от 5 100 до 6 800 грн. Ввиду отсутствия уведомления физлица привлечь к админответственности (штраф от 5 100 до 17 000 грн) владельца (распорядителя) могут на основании ч. 4 ст. 18839 КоАП за несоблюдение установленного порядка защиты ПД. Но это возможно, только если это приведет к незаконному доступу или нарушению прав субъекта ПД.

Итог для работодателей

Рассмотрев действующие с 01.01.14 г. требования в сфере защиты ПД, подведем итог для работодателей, обрабатывающих ПД своих работников.

Нужно понимать: несмотря на имеющиеся послабления, работодатель является владельцем ПД своих работников и должен обеспечивать их защиту в порядке, установленном Законом о БПД. Он не освобождается от ответственности за нарушения в этой сфере. Просто правила игры для него несколько упрощены.

Работодатель не должен:

    уведомлять Уполномоченного об обработке "особых" ПД. Если работодатель владеет сведениями о работниках, не являющимися "особыми" ПД, то вопрос с уведомлением Уполномоченного вообще не возникает. Если у вас есть зарегистрированная в ГСЗПД база "Работники", о чем получено свидетельство, то это не создает дополнительные права или обязанности ни работодателю, ни работнику. Подавать заявление о снятии с регистрации такой базы владельцу не нужно;

    создавать структурное подразделение или назначать ответственное лицо, которое организует работу по защите ПД, а также уведомлять об этом Уполномоченного;

    получать согласие на обработку ПД.

Кроме того, общий запрет на обработку данных о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, осуждении к уголовному наказанию, а также данных, которые касаются здоровья, половой жизни, биоматематических или генетических данных, не действует, если это необходимо для осуществления прав и выполнения обязанностей владельца в сфере трудовых правоотношений в соответствии с законом. При этом работодатель обязан обеспечить соответствующую защиту этих данных (п. 2 ч. 1 ст. 7 Закона о БПД).

Работодатель обязан:

    разработать внутренний документ (положение, порядок) о защите ПД;

    принять технические меры с целью предотвращения несанкционированного доступа к ПД;

    взять письменное обязательство с работников, которые имеют доступ и осуществляют обработку ПД, о неразглашении этих сведений;

    уведомлять работников о цели и составе обрабатываемых данных о них.

Помните об ответственности

Помимо смены контролирующего органа, изменения произошли и в основаниях для привлечения нарушителей к админответственности (см. таблицу на с. 20).

Санкции за нарушения в сфере защиты ПД

НарушениеРазмер штрафа (1)
Неуведомление или несвоевременное уведомление Уполномоченного об обработке ПД или изменении сведений, подлежащих уведомлению в соответствии с законом, сообщение неполных или недостоверных сведенийот 5 100 до 17 000 грн (ч. 2 ст. 18839 КоАП);

за повторное в течение года нарушение – от 8 500 до 34 000 грн (ч. 3 ст. 18839 КоАП)
Невыполнение законных требований (предписаний) Уполномоченного или определенных им должностных лиц Секретариата Уполномоченного по предотвращению или устранению нарушений законодательства по защите ПДот 5 100 до 17 000 грн (ч. 2 ст. 18839 КоАП);

за повторное в течение года нарушение – от 8 500 до 34 000 грн (ч. 3 ст. 18839 КоАП)
Несоблюдение установленного законодательством по защите ПД порядка защиты ПД, приведшего к незаконному доступу к ним или нарушению прав субъекта ПДот 5 100 до 17 000 грн (ч.4 ст. 18839 КоАП);

за повторное в течение года нарушение – от 17 000 до 4 000 грн (ч. 5 ст. 18839 КоАП)
Невыполнение законных требований Уполномоченного или его представителейот 1 700 до 3 400 грн (ст. 18840 КоАП)

(1) Налагается на должностных лиц предприятий, учреждений и организаций, а также физлиц-предпринимателей.

Напоминаем, что взыскание может быть наложено не позднее чем через три месяца со дня совершения разового правонарушения или выявления длящегося правонарушения (ч. 2 ст. 38 КоАП). ГСЗПД в письме от 17.07.2013 г. №10/1892-13 разъяснила, что в контексте защиты ПД считать разовыми и длящимися нарушениями.

Примерами разовых нарушений могут быть неуведомление или несовременное уведомление субъекта ПД о владельце ПД, составе и содержании собранных ПД, цели сбора и т.п.; разовое распространение ПД без надлежащих на то правовых оснований. В качестве примера длящегося нарушения ГСЗПД приводит такой: размещение (распространение) владельцем ПД списка должников по оплате за коммунальные услуги, который содержит ПД, факт которого был зафиксирован при проведении проверки.

Главные тезисы

    С 1 января 2014 года регулирование вопросов в сфере защиты БПД передано Уполномоченному.

    Отменена регистрация БПД. Теперь Уполномоченного нужно уведомлять об обработке ПД, да и то только если обрабатываются "особые" ПД физлиц. На работодателя, обрабатывающего особые данные своих работников в соответствии с законом, это требование не распространяется.

    Работодателю не нужно получать от работника согласие на обработку его данных. В то же время уведомить его о целях, составе, содержании обрабатываемых ПД о нем, о третьих лицах, которым могут передаваться эти данные, на наш взгляд, необходимо.

    С 01.01.2014 г. сам факт отсутствия уведомления физлица об обработке его данных не является основанием для наложения штрафа.

    Теперь за нарушение порядка защиты ПД могут наказать только в том случае, если это привело к незаконному доступу или нарушению прав субъекта ПД.

Автор статьи: Вероника Чернышева


Зарплата и кадровое дело (18.08.2014 в 10:22) | вверх страницы | к списку статей

Общие вопросы:

Что нас ждет в 2011 году и о чем необходимо задуматься сегодня?
Что такое защита персональных данных?
Для чего это необходимо?
Если не выполнять требования Закона?
Типовые нарушения
Какие риски неисполнения требований законодательства?
Сколько потребуется времени и средств?
Что необходимо делать?
Кому доверить внедрение защиты персональных данных?
ГлавнаяО насНовостиСтатьиРешенияКонтакты
Контактная информация
© 2003-2014 ООО "Ди Эй Кей продакшн"