Захист персональних даних. Що потрібно зробити підприємству?

 4 Августа 2015

3 1 січня 2012 року запроваджується адміністративна і кримінальна відповідальність за порушення законодавства у сфері захисту персональних даних. За допомогою ПОКРОКОВИХ ДІЙ ви зможете своєчасно та без помилок дотримати вимоги Закону України «Про захист персональних даних», визначити, які бази персональних даних є на вашому підприємстві, чи є у цих баз розпорядники.

   1 січня 2011 року набрав чинності Закон України «Про захист персональних даних» від 1 червня 2010 р. № 2297-УІ {далі — Закон № 2297). Протягом року розроблено низку підзаконних актів, які кон­кретизують порядок дій підприємства, установи, організації, спрямованих на виконання Закону № 2297.

   Давайте систематизуємо, що має зробити підприємство покроково, щоб забезпечити дотримання вимог законодавства та упевнено почуватися при перевірках.

   Захист персональних даних — нова для вітчизняної правової систе­ми сфера. Безумовно, керівник підприємства, його заступники, керівни­ки та працівники юридичних, кадрових, бухгалтерських служб, керівник ІТ-відділу мають ознайомитися з прийнятими нормативними актами:

   Зверніть увагу, що для цілей закону використовується такий термін як обробка персональних даних — будь-яка дія або сукупність дій, здій­снених повністю або частково в інформаційній (автоматизованій) систем та/або в картотеках персональних даних, які пов'язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновлен­ням, використанням і поширенням (розповсюдженням, реалізацією, пе­редачею), знеособленням, знищенням відомостей про фізичну особу.

   Приймаючи особу на роботу або укладаючи цивільно-правовий до­говір на виконання робіт (надання послуг), підприємство отримує від особи паспортні дані, ідентифікаційний код, у необхідних випадках — документи про освіту, склад сім’ї  як передбачено трудовим або госпо­дарським законодавством. У цьому контексті отримання відомостей — це і є збирання персональних даних.
 
Відомості про працівників систематизуємо та зберігаємо в особо­вих картках (типова форма № П-2), особових справах, інколи — в ін­формаційних базах бухгалтерських чи кадрових програм. Отже, гово­римо про накопичення персональних даних та їх зберігання

   При цьому зберігання персональних даних передбачає дії щодо забезпечення їх цілісності та відповідного режиму доступу до них (ст.13 Закону № 2297; зокрема, маємо обмежити доступ до місць зберігання персональних даних, а у випадках електронних баз — розмежувати доступ відповідно до повноважень поса­дових осіб, забезпечити захист інформації в інформаційних системах).

   Працівниця вийшла заміж, змінила прізвище, змінилися паспортні дані... Вно­симо зміни до особової картки, особової справи, трудової книжки, інших облікових документів — і говоримо про зміну пер­сональних даних.

   Дійсно, термінологія нова і незвична, але упевнені, мине зовсім небагато часу і нові поняття стануть частиною щоденної практики. То є лише справою часу.

   Проаналізувавши зазначені норматив­ні акти, визначаємо комплекс дій: що слід зробити, аби привести процеси та проце­дури обробки персональних даних у від­повідність до Закону № 2297.
 
 1. Опановуємо нормативну базу у сфері захисту персональних даних

  • Закон № 2297;
  • Положення про Державну службу України з питань захисту персо­нальних даних (Указ Президента України від 6 квітня 2011 р. № 390/2011 )*:
  • Положення про Державний реєстр баз персональних даних та по­рядок його ведення (постанова Кабінету Міністрів України від 25 травня 2011р. №61 б)*;
  • «Про затвердження форм заяв про реєстрацію бази персональ­них даних та про внесення змін до відомостей Державного реєстру баз персональних даних і порядку їх подання» (наказ Міністерства юстиції України від 8 липня 2011 р. № 1824/5, зареєстровано в Мін'юсті 19 липня 2011 р. за №890/19628)*;
  • «Про затвердження зразка свідоцтва про державну реєстрацію бази персональних даних» (наказ Міністерства юстиції України від 8 липня 2011 р. № 1823/5, зареєстровано в Мін'юсті 19 липня 2011 р. за № 889/19627}*.
  • Інформація про фізичну особу
   • Інформація про фізичну особу (персональні дані) — відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована,
   • Не допускаються збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та захисту прав людини. До конфіденційної інформації про фізичну особу належать, зокрема, дані про її національність, освіту, сімейний стан, релігійні переконання, стан здоров'я, а також адреса, дата і місце народження.
   • Кожному забезпечується вільний доступ до інформації, яка стосується його особисто, крім випадків, передбачених законом Стаття 11Закону України «Про інформацію» від 2 жовтня 1992 р. № 2657-ХІІ
    
 2. Готуємо проект наказу про приведення процесів та процедур обробки персональних даних у відповідність до законодавства

  • Дії щодо приведення процесів та процедур обробки персональних даних у відповідність до законодавства слід зафіксувати у розпорядчо­му документі — наказі з основної діяльності
 3. Визначаємо, які бази персональних даних є на підприємстві

  • Відповідно до статті 2 Закону № 2297 персональні дані — це відомос­ті чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Так, до персональних, безумовно, належать паспортні дані, адреса місця реєстрації, номери домашнього та мобільного телефонів тощо.
  • Важливо, що термін «персональні дані» стосується лише фізичних осіб.
   Фіксуючи персональні дані у певному порядку у картотеці, файлі, ми впритул підходимо до терміну «база персональних даних».
   Важливо розуміти, що база персональних даних — це умовне аб­страктне поняття. Закон № 2297 визначає цей термін як «іменована су­купність упорядкованих персональних даних в електронній формі та/ або у формі картотек персональних даних», для якої володілець пови­нен визначити та затвердити мету обробки, встановити склад персо­нальних даних та процедури їх обробки.
   Картотека особових карток (типова форма № П-2), усі особові справи працівників, довідник з відомостями про працівників у бухгалтерській програмі  — все це може бути визначено як одна умовна база персональних даних «Працівники» або як складова частина такої бази, що залежить від визначеної мети обробки, складу персональних даних та процедур їх обробки. Історії хвороби, амбулаторні картки хворих, інші відомості про фізичних осіб, які звернулися до лікарні, можуть бути визначені як одна умовна база «Пацієнти».
   Кожне підприємство при провадженні господарської діяльності має справу з фізичними особами: з працівниками, з особами, що виконують роботи (надають послуги) за цивільно-правовими договорами.
   І контр­агенти можуть бути фізичними особами, і клієнти... Звісно, підприємство отримує від фізичних осіб їхні персональні дані.
   Отже, у більшості випадків на підприємстві можна виділити кілька умовних баз персональних даних. За наявності найманих працівників буде база персональних даних «Працівники». Також, як правило, буде база, яку можемо назвати, наприклад, так: «Фізичні особи, персональ­ні дані яких обробляються у ході ведення господарської діяльності». До цієї бази можемо зарахувати персональні дані фізичних осіб — під­рядників, клієнтів, контрагентів або персональні дані фізичних осіб, що перебувають у трудових відносинах з юридичною особою — під­рядником, клієнтом, контрагентом. Акціонерне товариство може від­нести до цієї бази персональні дані фізичних осіб — акціонерів.
   «Плодити» безліч баз немає потреби — все, що пов'язано з госпо­дарською діяльністю, може бути згруповано в одну умовну базу.
   Тож, перше завдання — визначити, які саме бази існують на підпри­ємстві.
 4. Визначаємо мету обробки по кожній з баз персональних даних

  Далі маємо з'ясувати, з якою метою обробляються персональні дані по кожній з баз (у подальшому при оформленні різних документів мету обробки персональних даних доведеться зазначати часто).
  Визначити мету обробки можна, скориставшись примірним перелі­ком типових цілей обробки персональних даних.
  Так, типовими цілями обробки персональних даних є забезпечен­ня реалізації:
  • трудових відносин;
  • відносин у сфері управління людськими ресурсами, зокрема, ка­дровим потенціалом;
  • адміністративно-правових (у т. ч. відносин у сфері державного управління), податкових відносин та відносин у сфері бухгалтер­ського обліку;
  • відносин у сфері економічних, фінансових послуг та страхування;
  • відносин у сфері реклами та збору персональних даних у комер­ційних цілях;
  • відносин у сфері телекомунікаційних послуг;
  • відносин у сфері громадської, політичної та релігійної діяльності, культури, дозвілля, спортивної та соціальної діяльності;
  • відносин у сфері освіти;
  • відносин у сфері охорони здоров'я;
  • відносин у сфері безпеки, включаючи пи­тання приватних розслідувань, побудови системи приватної безпеки та приватної охорони;
  • відносин у сфері транспорту;
  • відносин у сфері науки, історичних дослі­джень та статистики;
  • інших відносин, що вимагають обробки пер­сональних даних.
   
  З наведеного переліку підприємство може само­стійно вибрати те, що відповідає специфіці його ді­яльності та категорії осіб, дані яких обробляються.
   
  З точки зору Закону № 2297 підприємство є володільцем бази (баз). Закон визначає що володілець бази — це фізична або юридична осо­ба, якій законом або за згодою суб'єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональ­них даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом.
   
  Зверніть увагу, що мета (цілі) обробки персональних даних повинні відповідати цілям діяльності володільця бази персональних даних, що зафіксовані в його установчих документах та/або передбачені законодавством України, що регулює діяльність володільця бази.
 5. Визначаємо, чи є розпорядники баз персональних даних

  Відповідно до статті 2 Закону № 2297 розпорядник бази персо­нальних даних — фізична чи юридична особа, якій володільцем бази персональних даних або законом надано право обробляти ці дані.

  Володілець бази персональних даних може доручити обробку пер­сональних даних розпоряднику бази персональних даних відповідно до договору в письмовій формі.
   
  Розпорядники є далеко не завжди, але можна виділити кілька ситуа­цій, коли розпорядники присутні.
  Наприклад, якщо на підприємстві немає відділу кадрів, а кадрове діловодство ведеться сторонньою консалтинговою чи аутсорсінговою фірмою, ця фірма може вважатися розпорядником бази «Праців­ники».
   
 6. Аналізуємо, чи не є склад та зміст персональних даних надмірними

  Пунктами 2 та 3 статті б Закону № 2297 встановлено, що персональні дані їх склад та зміст мають бути точними, достовірними, відповідними та ненадмірними стосовно визначеної мети їх обробки.
  Отже, проаналізувавши склад і зміст персональних даних, підприєм­ство має визначити, чи всі складові дійсно потрібні.
   
 7. Готуємо проект змін до установчих документів

  Відповідно до пункту 1 статті б Закону № 2297 мета обробки персо­нальних даних має бути сформульована у законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регу­люють діяльність володільця бази персональних даних, та відповідати законодавству про захист персональних даних.

  На виконання наказу про приведення процесів та процедур оброб­ки персональних даних у відповідність до законодавства необхідно внести зміни до установчих документів підприємства щодо визначення мети обробки персональних даних. На практиці внесення змін до статуту (положення про підприємство) зазвичай покладається на юридичну службу (юрисконсульта).
   
 8. Отримуємо від працівників документовану згоду на обробку персональних даних, розробляємо шаблон заяви про згоду на обробку персональних даних

  3 метою приведення кадрової документації у відповідність до законодавства, від усіх працівників, прийнятих на підприємство після 1 січня 2011 року, слід отримати документовану згоду на обробку їхніх персональних даних, наприклад, у формі заяв. У подальшому таку заяву слід отримувати від кожного працівника, якого приймають на підприємство.

  Отримувати заяви на працівників, прийнятих у попередні роки, не потрібно,
  адже закон не має зворотної сили у часі. Уважається, що обробка персональних даних провадиться на підставі вільного волевиявлення сторін відповідно до правовідносин, що виникли до набрання чинності Закону №2297.

  Підприємство може розробити окремі трафаретні форми (шаблони) заяв для різ­них категорій фізичних осіб, персональні дані яких обробляються. Фізичним особам буде потрібно лише вказати прізвище, ім'я, по батькові, проставити дату, підпис.
   
  Звісно, деякі фізичні особи відмовляти­муться надавати згоду, насамперед, через нерозуміння законодавчого підґрунтя об­робки персональних даних, необізнаність у нових вимогах законодавства.
   
  Можна роз'яснювати, навіщо проси­мо про згоду, кожній фізичній особі пер­сонально а можна додати роз'яснення до трафаретної форми заяви.
   
  Ще один варіант — розмістити у місцях обробки (збирання) персональних даних інформаційний стенд з відповідним повідомленням.
 9. Повідомляємо працівників про їхні права у сфері захисту персональних даних, мету обробки персональних даних, розпорядників бази персональних даних (за їх наявності)

  Відповідно до статті 12 Закону № 2297 збирання персональних даних є складовою процесу їх обробки, що передбачає дії з підбору чи впо­рядкування відомостей про фізичну особу та внесення їх до бази персо­нальних даних.

  Суб'єкта персональних даних протягом десяти робочих днів з дня включення його персональних даних до бази персональних даних не­обхідно повідомити про його права, визначені цим Законом, мету збо­ру даних та осіб, яким передаються його персональні дані, виключно у письмовій формі.

  Повідомлення не здійснюється, якщо персональні дані збираються із загальнодоступних джерел.

  Зібрані відомості про суб'єкта персональних даних, а також інфор­мація про їх джерела надаються цьому суб'єкту персональних даних за його вимогою, крім випадків, установлених законом.

  Отже, наступний крок, який має зробити саме кадрова служба, — повідомити працівників, прийнятих після 1 січня 2011 року, про права, визначені законодавством у сфері захисту персональних даних, мету обробки персональних даних, розпорядників бази персональних даних (за їх наявності).
   
  Направляти повідомлення працівникам, прийнятим у попередні роки, не потрібно. У подальшому маємо надавати таке повідомлення кожному працівнику, прийнятому на роботу, у десятиденний строк з дня оформ­лення особової картки (особової справи) або включення відомостей про працівника до електронної бази даних (бухгалтерська чи кадрова про­грама, зокрема, 1С).
 10. Реєструємо бази персональних даних

  Відповідно до статті 9 Закону № 2297 база персональних даних під­лягає державній реєстрації шляхом внесення відповідного запису упо­вноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних.

  Державний реєстр баз персональних даних — єдина державна ін­формаційна система збору, накопичення та обробки відомостей про за­реєстровані бази персональних даних — створена на виконання вимог Закону №2297.

  Реєстрацію баз персональних даних розпочато з 1 липня 2011 року. Реєстрація здійснюється за заявочним принципом та є безкоштов­ною для володільців БПД.

  Державній реєстрації підлягають усі бази персональних даних в елек­тронному вигляді та/або у формі картотек, у яких обробляються персо­нальні дані, незалежно від обсягу та форми їх застосування, виду діяль­ності підприємства. Тобто, вимогу щодо реєстрації баз мають дотримати і комерційні підприємства, і бюджетні організації, заклади, установи, ор­гани державної влади і місцевого самоврядування.
   
  Радимо не відкладати реєстрацію баз на потім. Адже з 1 січня 2012 року набирають чинності зміни до Кодексу України про адміністратив­ні правопорушення, згідно з якими ухилення від державної реєстрації бази персональних даних тягне за собою накладення штрафу на громадян від 300 до 500 неоподатковуваних мінімумів доходів громадян (нмдг) і на посадових осіб, громадян — суб'єктів підприємницької діяльності — від 500 до 1000 нмдг (до 17 000 грн.; ст. 188-39 КУАП).
  Визначившись з кількістю баз персональних даних, що фактично є на підприємстві, метою обробки, складом та змістом персональних даних, розпорядниками бази, уповноважені наказом керівника підприємства працівники мають заповнити заяви про реєстрацію бази персональних даних і надіслати (або особисто передати) їх до Державної служби України з питань захисту персональних даних {далі — Служба) за адресою 02660, м. Київ, вул. М. Раскової, 15, каб. 1205.
  На кожну з фактично наявних баз слід заповнити окрему заяву, при цьому безпосередньо бази подавати до Служби не потрібно — лише за­яви про їх реєстрацію.
  Заяви заповнюють українською мовою за типовою формою, затвердже­ною наказом Міністерства юстиції України від 8 липня 2011 р. № 1824/5.
  Про отримання заяви Служба має повідомити підприємство не пізні­ше наступного робочого дня з дня надходження заяви.
  Протягом десяти робочих днів з дня надходження відповідної зая­ви Служба приймає рішення про реєстрацію бази персональних даних шляхом видання її володільцю свідоцтва про державну реєстрацію бази персональних даних чи повідомлення про відмову в реєстрації, про що вносить запис до Реєстру (Служба відмовляє у реєстрації бази персональних даних у разі, коли подані відомості є неповними чи недо­стовірними).
  Зразок свідоцтва про державну реєстрацію бази персональних да­них затверджено наказом Міністерства юстиції України від 19 липня 2011р. №889/19627.
  Згідно з пунктом 10 Порядку подання заяв, затвердженого наказом Міністерства юстиції України від 8 липня 2011 р. № 1824/5, свідоцтво видається заявнику або уповноваженому ним представнику за дові­реністю та пред'явленим документом, що посвідчує особу, або Служба надсилає свідоцтво поштою рекомендованим листом з описом вкла­дення.
  Отримані свідоцтва зберігаються на підприємстві. Строк зберігання цих документів радимо встановлювати як «Доки не мине потреба».
 11. Приводимо посадові інструкції працівників кадрової служби у відповідність до законодавства про захист персональних даних

  Отже, у зв'язку з появою нових законодавчих вимог кадрова служба набуває нових обов'язків та відповідальності.
  Давайте розберемось. Чи вважаємо ми зміною істотних умов пра­ці необхідність подання нового звіту до служби зайнятості або органу статистики? Звісно, ні, адже у цьому разі ми просто дотримуємо вимог законодавства. Аналогічну ситуацію маємо і з захистом персональних даних.
   
  Нові обов'язки і відповідальність вводяться з метою приведення процесів та процедур обробки персональних даних, а також докумен­тації підприємства, у відповідність до законодавства про захист пер­сональних даних. Зміни істотних умов праці у цьому разі не відбува­ється.

  Радимо затвердити посадові інструкції працівників, які мають справу з обробленням персональних даних, у новій редакції. Не забудьте озна­йомити працівників зі зміненими інструкціями під підпис.
 12. Отримуємо від працівників підприємства, які обробляють персональні дані інших осіб, зобов'язання щодо нерозголошення персональних даних

  Відповідно до статті 10 Закону № 2297 використання персональних даних працівниками суб'єктів відносин, пов'язаних з персональни миданими, повинно здійснюватися лише відповідно до їхніх професійних чи службових або трудових обов'язків. Ці працівники зобов'язані не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв'язку з виконанням професійнихчи службових або трудових обов'язків. Таке зобов'язання чинне після припинення ними діяльності, пов'язаної з персональними даними, крім випадків, установлених законом.
   
  Отже, необхідно отримати від працівників, які за посадовими обов'язками мають справу з персональними даними інших осіб, письмові зобов'язання щодо нерозголошення персональних даних, які їм було довірено або які стали відомі у зв'язку з виконанням посадових обов'язків. Важливо, аби працівник зазначив, що таке зобов'язання чинне після припинення ним діяльності, пов'язаної з обробкою персональних даних.
   
  Письмові зобов'язання можна зберігати в окремій справі. За невеликої кількості працівників, робота яких пов'язана з обробкою персональних даних, можна зберігати зобов'язання у справі Із заявами про згоду та повідомленнями про мету обробки персональних даних.
 13. Розробляємо положення про захист персональних даних

  Згідно із Законом № 2297 володілець бази персональних даних повинен забезпечити захист цих даних.

  На підприємстві доцільно розробити локальний нормативний акт, яким регламентуватиметься процес обробки персональних даних на підприємстві, наприклад, Положення про захист персональних даних. Одна із основних функцій цього документа — запровадження процедур доступу до персональних даних, що обробляються на підприємстві.

  Наразі Державною службою України з питань захисту персональних даних розроблено проект Типового порядку обробки персональних даних {далі — Типовий порядок).

  Проектом Типового порядку передбачено, що з метою створення дієвої системи управління персональними даними володільцем має бути визначено структурний підрозділ або відповідальну особу, яка організовуватиме роботу, пов'язану із захистом персональних даних при їх обробці відповідно до законодавства України, яке регулює його діяльність, та/або установчих документів володільця бази персональних даних.

  Після прийняття Типового порядку (він перебуває на розгляді у Міністерстві юстиції України) цей нормативно-правовий акт можна буде використовувати як основу при розробленні локального нормативного акта, що регламентуватиме обробку персональних даних. 
 
ЗА ДОВІДКАМИ ЗВЕРТАЙТЕСЬ ЗА ТЕЛЕФОНОМ
ВІДДІЛУ РЕЄСТРАЦІЙ БАЗ ПЕРСОНАЛЬНИХ ДАНИХ
УПРАВЛІННЯ РЕЄСТРАЦІЇ БАЗ ПЕРСОНАЛЬНИХ ДАНИХ 
(044)517-81-68

Возврат к списку