Захист персональних даних: що треба знати кадровикові
Закон України «Про захист персональних даних» від 1 червня 2010 року № 2297-VI (далі — Закон № 2297) набув чинності 1 січня 2011 року. А з 1 липня цього року спеціально створений центральний орган виконавчої влади — Державна служба України з питань захисту персональних даних — розпочав реєстрацію баз персональних даних у Державному реєстрі баз персональних даних.
Що таке «база персональних даних»
У статті 2 Закону № 2297 дано визначення термінів, які вживаються у такому значенні:
«база персональних даних — іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;
володілець бази персональних даних — фізична або юридична особа, якій законом або за згодою суб’єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом;
Державний реєстр баз персональних даних — єдина державна інформаційна система збору, накопичення та обробки відомостей про зареєстровані бази персональних даних;
згода суб’єкта персональних даних — будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки;
знеособлення персональних даних — вилучення відомостей, які дають змогу ідентифікувати особу;
обробка персональних даних — будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов’язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу;
персональні дані — відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;
розпорядник бази персональних даних — фізична чи юридична особа, якій володільцем бази персональних даних або законом надано право обробляти ці дані;
суб’єкт персональних даних — фізична особа, стосовно якої відповідно до закону здійснюється обробка її персональних даних;
третя особа — будь-яка особа, за винятком суб’єкта персональних даних, володільця чи розпорядника бази персональних даних та уповноваженого державного органу з питань захисту персональних даних, якій володільцем чи розпорядником бази персональних даних здійснюється передача персональних даних відповідно до закону».
Кадрова документація як база персональних даних
Як уже зазначалося вище, відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована, є персональними даними. Первинними джерелами відомостей про фізичну особу є: видані на її ім’я документи; підписані нею документи; відомості, які особа надає про себе.
Таким чином, відомості про працівників, відображені в кадрових документах, зокрема про вік, дату і місце народження, місце проживання, ідентифікаційний номер, соціальний статус, пільги відповідно до закону (одинокі матері, жінки з дітьми віком до трьох років, «чорнобильці», неповнолітні, пенсіонери тощо) з точки зору Закону № 2297 вважаються персональними даними, які у своїй сукупності складають базу персональних даних або її частину.
Крім того, документація підприємств, установ та організацій в електронній формі та/або у формі картотек, що містить певним чином структуровані персональні дані найманих працівників також вважається базою персональних даних або її частиною.
Так само до бази персональних даних або її частини можна віднести упорядкований список водіїв, де вказано категорію водійських прав, водійський стаж, кваліфікаційний клас, відомості про штрафи, або ж список працівників із вказівкою на їх спеціальні кваліфікаційні документи, сертифікати, нагороди або вчене звання; список працівників та інших громадян в інформаційних базах осіб, які мають право доступу чи допуску на підприємство (перепустки), електронні чи паперові інформаційні бази даних із зазначенням персональних даних працівників та їх посад, номерів телефонів, кабінетів; список клієнтів, передплатників тощо.
Законними підставами, які зобов’язують роботодавця володіти певними персональними даними найманих працівників можуть бути такі акти:
пункти 1.3 та 1.4 Інструкції про порядок ведення трудових книжок працівників, затвердженої наказом Міністерства праці України, Міністерства юстиції України, Міністерства соціального захисту населення України від 29 липня 1993 року № 58;
акти законодавства, якими встановлені обмеження, гарантії, компенсації, пільги у сфері трудових та соціальних правовідносин.
Державна служба України з питань захисту персональних даних (ДСЗПД) рекомендує розглядати кадрову документацію, статистичну, податкову та іншу звітність в електронній формі та/або у формі картотек, яка обробляється роботодавцем і містить персональні дані працівників базою персональних даних чи складовою частиною бази персональних даних.
Яскравим прикладом бази персональних даних працівників чи її складової частини, сформованої роботодавцем у формі копій заповнених звітів, є звіти, що подаються роботодавцями місцевим органам Державної служби зайнятості (виконавчої дирекції Фонду загальнообов’язкового державного соціального страхування України на випадок безробіття). Зокрема, звіт форми № 5-ПН, затвердженої наказом Міністерства соціальної політики України «Про затвердження форми звітності № 5-ПН «Звіт про прийнятих працівників» та інструкції щодо її заповнення» від 14 липня 2011 року № 279, звіти форми № 4-ПН (план) та № 4-ПН (факт), затверджені наказом Міністерства праці та соціальної політики України «Про затвердження форм звітності та інструкцій щодо їх заповнення» від 19 грудня 2005 року № 420. Відповідно, ці ж звіти мають бути окремо зареєстровані органами державної служби зайнятості як окремі бази персональних даних.
Обробка персональних даних у сфері трудових відносин
Ведення бази даних працівників підприємства, що пов’язане зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичних осіб є обробкою персональних даних.
Здійснення дій з обробки персональних даних передбачає наявність правових підстав такої обробки: згоди суб’єкта персональних даних на обробку персональних даних; права на обробку персональних даних, надане володільцю бази персональних даних відповідно до закону у порядку, визначеному законодавством України і виключно в інтересах національної безпеки, економічного добробуту та прав людини.
Як бачимо, для обробки персональних даних працівників потрібно отримати згоду від них. Такою згодою відповідно до статті 2 Закону № 2297 може бути будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки.
ДСЗПД рекомендує отримувати від працівників письмову згоду на обробку їх персональних даних. Така згода, зокрема, може надаватися окремим документом або шляхом зазначення про це у заяві про прийняття на роботу із зазначенням цілей обробки, на яку надається згода.
Крім того, ДСЗПД рекомендує обробку персональних даних у базах персональних даних при реалізації повноважень роботодавця у сфері трудових відносин здійснювати за умов:
визначення роботодавцем як володільцем бази персональних даних мети обробки персональних даних відповідно до законодавства у сфері трудових відносин;
встановлення складу персональних даних та процедур їх обробки;
отримання згоди суб’єктів персональних даних на обробку їх персональних даних відповідно до визначеної мети або права на обробку персональних даних наданого володільцю бази персональних даних відповідно до закону;
забезпечення захисту персональних даних у базі персональних даних від незаконної обробки і незаконного доступу до них;
реєстрації баз персональних даних у Державному реєстрі баз персональних даних.
Мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця бази персональних даних, та відповідати законодавству про захист персональних даних (ст. 6 Закону № 2297).
Не зайвим буде, якщо володілець баз персональних даних (роботодавець) прийме локальний нормативний акт (видасть наказ чи інший документ), яким обумовить кількість баз персональних даних, що будуть сформовані на підприємстві, мету обробки цих даних, їх зміст і обсяг, а також процедуру обробки, доведе до відома суб’єкта персональних даних мету обробки персональних даних, отримає від суб’єкта персональних даних попередню письмову згоду про обробку даних, що можуть здійснюватися в майбутньому, а також призначить працівника — відповідальну особу, яка забезпечуватиме захист персональних даних.
Персональні дані мають бути точними, достовірними, у разі необхідності — оновлюватися.
Склад і зміст персональних даних мають бути відповідними і ненадмірними стосовно визначеної мети їх обробки.
Звернути увагу. Забороняється обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров’я чи статевого життя. Зазначене положення не застосовується, якщо, зокрема, обробка персональних даних необхідна для здійснення прав та виконання обов’язків у сфері трудових правовідносин відповідно до закону. Так, з метою створення умов для дотримання вимог статті 43 КЗпП роботодавець має право на обробку персональних даних щодо членства у професійних спілках, для дотримання вимог частини шостої статті 24, статей 169 та 191 КЗпП роботодавець має право на обробку персональних даних, що стосуються здоров’я працівника.
Суб’єкт персональних даних має право:
знати про місцезнаходження бази персональних даних, яка містить його персональні дані, її призначення та найменування, місцезнаходження та/або місце проживання (перебування) володільця чи розпорядника цієї бази або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, установлених законом;
отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані, що містяться у відповідній базі персональних даних;
на доступ до своїх персональних даних, що містяться у відповідній базі персональних даних;
отримувати не пізніш як за 30 календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи зберігаються його персональні дані у відповідній базі персональних даних, а також отримувати зміст його персональних даних, які зберігаються;
пред’являти вмотивовану вимогу із запереченням проти обробки своїх персональних даних органами державної влади, органами місцевого самоврядування при здійсненні їхніх повноважень, передбачених законом;
пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником цієї бази, якщо ці дані обробляються незаконно чи є недостовірними;
на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
звертатися з питань захисту своїх прав щодо персональних даних до органів державної влади, органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних;
застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних.
Суб’єкт персональних даних протягом десяти днів з дня включення його персональних даних до бази персональних даних має бути повідомлений про його права, мету збору даних та осіб, яким передаються його письмові дані, виключно в письмовій формі. Повідомлення можна оформити на тому ж аркуші, на якому оформлено згоду працівника на обробку його даних (додаток 1).
Звернути увагу. Закон № 2297 набув чинності з 1 січня 2011 року, і з цієї дати у кадрових службах підприємств мають бути документи, які підтверджують письмову згоду працівників на обробку їх персональних даних. Згода суб’єкта персональних даних на обробку його персональних даних повторно не надається, якщо володілець продовжує обробляти персональні дані суб’єкта, відповідно до правовідносин на основі вільного волевиявлення фізичної особи, які виникли до набрання чинності Законом № 2297. Отримання згоди на обробку персональних даних у працівників, які працювали до набрання чинності Законом № 2297, необхідно у випадку зміни мети обробки таких даних.
Порядок реєстрації баз персональних даних
Державній реєстрації підлягають усі бази персональних даних в електронному вигляді та/або в картотеках, в яких обробляються персональні дані, незалежно від обсягу та форми їх застосування, виду діяльності. При цьому щодо кожної бази даних, яка перебуває у володінні заявника, подається окрема заява (кількість баз даних визначається володільцем баз персональних даних).
База персональних даних підлягає державній реєстрації шляхом внесення відповідного запису ДСЗПД до Державного реєстру баз персональних даних (далі — Реєстр).
Державна служба з питань захисту персональних даних здійснює реєстрацію баз персональних даних, а також вносить зміни до відомостей, що містяться в Реєстрі, про зареєстровану базу персональних даних на підставі заяви, поданої володільцем такої бази або уповноваженою ним особою (далі — заявник). Реєстрація баз персональних даних здійснюється за заявочним принципом шляхом повідомлення.
звернення про внесення бази персональних даних до Реєстру;
інформацію про володільця бази персональних даних:
найменування (зазначається повна назва юридичної особи без скорочень відповідно до установчих документів та/або свідоцтва про державну реєстрацію юридичної особи), резидент/нерезидент, код платника податків згідно з ЄДРПОУ або податковий номер (для резидента), місцезнаходження — для юридичних осіб;
прізвище, ім’я та по батькові (за наявності), громадянство, номер, серія паспорта та орган, що його видав, а також для громадян України реєстраційний номер облікової картки платника податків (не подається фізичними особами, які через свої релігійні переконання відмовилися від присвоєння реєстраційного номера облікової картки платника податків та офіційно повідомили про це відповідним органам державної влади, що підтверджується відміткою в паспорті), місце проживання — для фізичних осіб;
інформацію про найменування і місцезнаходження бази персональних даних:
адреса фактичного розміщення — для баз даних у формі картотек;
фактичні адреси зберігання носіїв інформації — для баз даних в «електронній формі;
інформацію про мету обробки персональних даних у базі персональних даних з посиланням на нормативно-правові акти, положення, установчі чи інші документи, які регулюють діяльність володільця бази персональних даних, у т. ч. про їх категорії (перелік даних про фізичну особу, які обробляються у базі, наприклад, П. І. Б., паспортні дані, реєстраційний номер облікової картки платника податків, дані про освіту, стаж роботи, навички та ін.) та правові підстави такої обробки;
інформацію про розпорядників баз персональних даних:
найменування, резидент/нерезидент, код платника податків згідно з ЄДРПОУ або податковий номер (для резидента), місцезнаходження — для юридичних осіб;
прізвище, ім’я та по батькові (за наявності), громадянство, номер, серія паспорта та орган, що його видав, а також для громадян України реєстраційний номер облікової картки платника податків (не подається фізичними особами, які через свої релігійні переконання відмовилися від присвоєння реєстраційного номера облікової картки платника податків та офіційно повідомили про це відповідним органам державної влади, що підтверджується відміткою в паспорті), місце проживання — для фізичних осіб;
інформацію про заявника;
документ, що підтверджує зобов’язання стосовно виконання вимог законодавства щодо захисту персональних даних (у заяві ставиться відмітка у розділі підтвердження зобов’язання).
Звернути увагу. Володілець бази персональних даних може доручити обробку персональних даних розпоряднику бази персональних даних відповідно до договору в письмовій формі. У разі відсутності розпорядника(-ків) розділ IV заяви не заповнюється.
Заяви заповнюються і подаються в паперовій або електронній формі. У разі подання заяв у паперовій формі заявник підписує кожну сторінку заяви та скріплює її печаткою (за наявності). В електронній формі заяви подаються відповідно до вимог Законів України «Про електронний цифровий підпис» від 22 травня 2003 року № 852-IV та «Про електронні документи та електронний документообіг» від 22 травня 2003 року № 851-IV.
Заяви заповнюються державною мовою, розбірливими, друкованими літерами. Вони не повинні містити помарок, закреслень і виправлень.
При заповненні заяв вибрана заявником ознака зазначається символом х.
Дати в заявах заповнюються арабськими цифрами у форматі — день, місяць, рік.
Сторінки заяв нумеруються, на кожній сторінці заяви зазначаються номер сторінки та загальна кількість сторінок.
Якщо заявникові потрібно заповнити більше ніж один раз розділи, які містять інформацію про розпорядників та місцезнаходження бази персональних даних, заявник заповнює у заяві відповідні розділи необхідну кількість разів.
Приклад
Якщо суб’єкт господарювання має відокремлені структурні підрозділи, які не мають статусу юридичної особи але їх керівники наділені повноваженнями щодо укладання та розривання трудових договорів з працівниками цих відокремлених структурних підрозділів і ці підрозділи ведуть власне кадрове діловодство, то в заяві про реєстрацію бази персональних даних працівників у розділі ІІ потрібно зазначати адреси місцезнаходження бази персональних даних працівників підприємства та кожного відокремленого структурного підрозділу за умови, що ці бази персональних даних мають однакове найменування та до їх ведення застосовуються вимоги одних і тих нормативно-правових актів, зокрема й локальних актів роботодавця. У разі коли бази персональних даних працівників підприємства та його відокремленого структурного підрозділу мають різне найменування та/або їх ведення регулюється різними нормативно-правовими актами та/або локальними актами роботодавця, то такі бази персональних даних відокремлених структурних підрозділів мають реєструватись як окремі бази працівників конкретного відокремленого структурного підрозділу. При цьому реєстрацію баз відокремленого структурного підрозділу здійснює суб’єкт господарювання, тобто юридична особа.
Державна служба України з питань захисту персональних даних повідомляє заявникові не пізніше наступного робочого дня з дня надходження заяви про її отримання. У повідомленні зазначаються реєстраційний номер та дата отримання заяви, а також термін прийняття рішення щодо реєстрації бази персональних даних в Реєстрі.
Державна служба України з питань захисту персональних даних повідомляє заявника про прийняте рішення щодо внесення змін до Реєстру у тій самій формі, в якій було отримано таку заяву.
Звернути увагу. Державна служба України з питань захисту персональних даних відмовляє в реєстрації бази персональних даних якщо:
заява про реєстрацію не відповідає вимогам частини третьої статті 9 Закону № 2297;
подані відповідно до пункту 7 Положення відомості є неповними чи недостовірними;
заповнена заява не відповідає встановленій формі заяви та вимогам Порядку подання заяв про реєстрацію баз персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних, затвердженого Наказом № 1824/5.
Державна служба України з питань захисту персональних даних у зв’язку з отриманням заяви вносить до Реєстру такі відомості:
дату та вихідний номер заяви;
найменування та місцезнаходження бази персональних даних;
мету обробки персональних даних;
інформацію про володільця бази персональних даних;
інформацію про розпорядників бази персональних даних;
інформацію про заявника.
Після внесення до Реєстру відомостей про заяву їй автоматично (з використанням програмного забезпечення Реєстру) присвоюється реєстраційний номер. При цьому фіксуються дата і час реєстрації заяви.
Протягом 10 робочих днів з дня надходження відповідної заяви ДСЗПД приймає рішення про реєстрацію бази персональних даних шляхом видання її володільцю свідоцтва про державну реєстрацію бази персональних даних чи повідомлення про відмову в реєстрації, про що вносить запис до Реєстру.
Звернути увагу. На офіційному веб-сайті Державної служби України з питань захисту персональних даних можна ознайомитися з більш детальною інформацією щодо заповнення та надання заяви про реєстрацію баз персональних даних.
Внесення змін до реєстру
Володілець бази персональних даних зобов’язаний повідомляти ДСЗПД про кожну зміну відомостей, необхідних для реєстрації відповідної бази, не пізніш як протягом десяти робочих днів із дня настання такої зміни шляхом подання заяви про внесення змін до відомостей Державного реєстру баз персональних даних.
Звернути увагу. До зазначених відомостей відносяться: зміна інформації про володільця та розпорядників бази персональних даних, найменування та місцезнаходження бази персональних даних та зміни мети обробки персональних даних.
Заява подається до Державної служби України з питань захисту персональних даних.
Відповідальність за порушення вимог законодавства про захист персональних даних
Використання персональних даних працівниками кадрової служби, пов’язаних із персональними даними, повинно здійснюватися лише відповідно до їхніх професійних чи службових або трудових обов’язків. Ці працівники зобов’язані не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв’язку з виконанням професійних чи службових або трудових обов’язків.
Так, адміністративна відповідальність наступає за:
неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних про його права у зв’язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються;
неповідомлення або несвоєчасне повідомлення ДСЗПД про зміну відомостей, що подаються для державної реєстрації бази персональних даних.
За ухилення від державної реєстрації бази персональних даних передбачається накладення штрафу на громадян від трьохсот до п’ятисот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян — суб’єктів підприємницької діяльності — від п’ятисот до тисячі неоподатковуваних мінімумів доходів громадян.
Кримінальна відповідальність передбачена за незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про працівника або незаконну зміну такої інформації, крім випадків, передбачених іншими статтями Кримінального кодексу.
Статья предоставлена нашему порталу редакцией журнала
Джерело:
Автор: Степаненко Сергій, Степаненко Тетяна, Лось Володимир
Ласкаво просимо
Реклама
