ЗВІЛЬНЕННЯ ВІД РЕЄСТРАЦІЇ БАЗ ПЕРСОНАЛЬНИХ ДАНИХ, АЛЕ НЕ ВІД ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ

Закон України «Про внесення змін до Закону України «Про захист персональних даних» від 20 листопада 2012 року № 5491-VI (далі – Закон № 5491) набув чинності 20 грудня 2012 року. Цим Законом внесено зміни до статті 9 Закону України «Про захист персональних даних» від 1 червня 2010 року № 2297-VI (далі – Закон № 2297). Відповідно до цієї статті володілець персональних даних звільняється від обов’язку реєстрації баз персональних даних:

Ураховуючи цю норму статті 9 Закону № 2297, володільці персональних даних можуть не реєструвати бази персональних даних, у яких обробляються відомості про працівників, членів громадських, релігійних організацій, професійних спілок та політичних партій.

Усі інші бази персональних даних, які є у володільця персональних даних, підлягають обов’язковій державній реєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних.

Так, володілець персональних даних, у якого наявні бази персональних даних, ведення котрих пов’язано із забезпеченням та реалізацією трудових відносин, а також членів громадських, релігійних організацій, професійних спілок, політичних партій, і який раніше надіслав належно оформлену заяву про реєстрацію відповідної бази, має можливість звернутися до Державної служби України з питань захисту персональних даних із проханням не реєструвати таку базу. Для цього до ДСЗПД надсилається звернення, завірене печаткою підприємства, установи чи організації (додаток).

Проте на сьогодні виникла ситуація неправильного розуміння внесених змін до Закону № 2297 у частині звільнення від реєстрації баз персональних даних. Так, більшість володільців персональних даних розуміють, що звільнення від реєстрації певних баз персональних даних повністю звільняє їх і від обробки та ведення таких баз. Таке розуміння норми статті 9 Закону № 2297 помилкове, оскільки вимогами статті 9 Закону № 2297 володільців персональних даних звільнено лише від обов’язку реєструвати бази персональних даних, проте цією нормою не передбачено звільнення від обробки персональних даних.

Таким чином, володільці персональних даних, які виявили бажання не реєструвати вказані вище бази персональних даних, продовжують обробляти персональні дані із дотриманням вимог Закону № 2297.

Варто ще раз звернути увагу на основні вимоги законодавства у сфері захисту персональних даних, які мають бути виконані володільцем персональних даних.

Законодавством про захист персональних даних на володільця персональних даних покладається виконання певних вимог. Зокрема, відповідно до статей 2, 24 Закону № 2297 та пункту 1.8 Типового порядку обробки персональних даних у базах персональних даних, затвердженого наказом Міністерства юстиції України від 30 грудня 2011 року № 3659/5, зареєстрованим у Мін’юсті 3 січня 2012 року за № 1/20314, володілець персональних даних має визначити:

1) мету обробки персональних даних. Мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця персональних даних, та відповідати законодавству про захист персональних даних;

2) склад персональних даних, які ним обробляються. При цьому склад та зміст цих даних мають бути відповідними, адекватними та ненадмірними стосовно визначеної мети їх обробки;

3) місцезнаходження баз персональних даних;

4) порядок внесення, зміни, поновлення (оновлення), використання, поширення, знеособлення, знищення персональних даних (процедури обробки персональних даних);

5) порядок захисту персональних даних, у т. ч. від незаконної обробки та незаконного доступу до них;

6) відповідальну особу (структурний підрозділ), яка організовує роботу, пов’язану із захистом персональних даних при їх обробці, відповідно до закону;

7) правові підстави обробки персональних даних відповідно до вимог статті 11 Закону № 2297 та мати їх підтвердження;

8) а також: повідомити суб’єкта персональних даних згідно з вимогами частини 2 статті 12 Закону № 2297 і мати підтвердження такого повідомлення;

Звернути увагу У зв’язку із змінами, внесеними до Закону № 2297, повідомлення суб’єкта персональних даних доповнилося новою інформацією. Так, у момент збору персональних даних або у випадках, передбачених пунктами 2–5 частини 1 статті 11 Закону № 2297, протягом 10 робочих днів з дня збору персональних даних суб’єкт персональних даних повідомляється про володільця персональних даних, склад та зміст зібраних персональних даних, права такого суб’єкта, визначені цим Законом, мету збору персональних даних та осіб, яким передаються його персональні дані.

9) здійснювати обробку персональних даних з дотриманням інших вимог законодавства у сфері захисту персональних даних.
Таким чином, зміни, пов’язані із звільненням володільців персональних даних від обов’язку державної реєстрації певних баз персональних даних, не звільняють цих володільців від обробки відомостей про фізичних осіб та дотримання і виконання вимог, встановлених законодавством про захист персональних даних.

РІЗНИЦЯ МІЖ СУБ’ЄКТАМИ ВІДНОСИН, ПОВ’ЯЗАНИХ ІЗ ПЕРСОНАЛЬНИМИ ДАНИМИ

Статтею 4 Закону № 2297 визначається коло суб’єктів відносин, пов’язаних із персональними даними. Так, суб’єктами відносин, пов’язаних із персональними даними, є:

Суб’єкт персональних даних

Одним із головних суб’єктів відносин, пов’язаних із персональними даними, є безпосередньо суб’єкт персональних даних. Відповідно до статті 2 Закону № 2297 суб’єктом персональних даних є фізична особа, стосовно якої відповідно до закону здійснюється обробка її персональних даних.

Тут слід наголосити на тому, що суб’єктом персональних даних може бути лише фізична особа, оскільки Закон№ 2297 регулює правові відносини, пов’язані із захистом і обробкою персональних даних, і спрямований на захист основоположних прав і свобод людини і громадянина, зокрема права на невтручання в особисте життя у зв’язку з обробкою персональних даних.

Звернути увагу Не може бути суб’єктом персональних даних юридична особа.

Уповноважений державний орган з питань захисту персональних даних

Іншим суб’єктом відносин, пов’язаних із персональними даними, є уповноважений державний орган з питань захисту персональних даних. Відповідно до Положення про Державну службу України з питань захисту персональних даних, затвердженого Указом Президента України від 6 квітня 2011 року № 390/2011, центральним органом виконавчої влади, що забезпечує реалізацію державної політики у сфері захисту персональних даних, є Державна служба України з питань захисту персональних даних, повноваження якої визначені Законом № 2297 та цим Положенням.

Володілець персональних даних

Володільцем персональних даних згідно зі статтею 2 Закону № 2297 є фізична або юридична особа, якій законом або за згодою суб’єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом.

При цьому володільцем персональних даних можуть бути підприємства, установи і організації усіх форм власності, органи державної влади чи органи місцевого самоврядування, фізичні особи – підприємці, які обробляють персональні дані відповідно до закону.

Розпорядник персональних даних

Фізична чи юридична особа, якій володільцем персональних даних або законом надано право обробляти ці дані від імені володільця, є розпорядником персональних даних.

Розпорядником персональних даних можуть бути підприємства, установи і організації усіх форм власності, органи державної влади чи органи місцевого самоврядування, фізичні особи – підприємці, які обробляють персональні дані відповідно до закону.

Розпорядником персональних даних, володільцем яких є орган державної влади чи орган місцевого самоврядування, крім цих органів, може бути лише підприємство державної або комунальної форми власності, що належить до сфери управління цього органу.

Звернути увагу Наявність розпорядника персональних даних не є обов’язковою.

При цьому, відповідно до статті 4 Закону № 2297, володілець персональних даних може доручити обробку персональних даних розпоряднику персональних даних відповідно до договору, укладеного в письмовій формі. Розпорядник персональних да­них може обробляти персональні дані лише з метою і в обсязі, визначених у договорі.

У чому ж полягає відмінність між володільцем та розпорядником персональних даних?

Виходячи з вищенаведеного відмінність між володільцем та розпорядником персональних даних полягає в такому:

1) володільцю персональних даних право на обробку персональних даних надає сам суб’єкт персональних даних або таке право надано законом. Розпоряднику персональних даних право обробляти персональні дані надає володілець персональних даних або таке право може бути надано законом від імені володільця;

2) володілець персональних даних затверджує мету обробки персональних даних, якщо інше не визначено законом, а розпорядник персональних даних обробляє з тією метою, яка визначена володільцем персональних даних чи законом. При цьому варто наголосити, що мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця персональних даних, та відповідати законодавству про захист персональних даних;

3) володілець персональних даних вста­новлює склад персональних даних, які він обробляє, та процедури їх обробки, якщо інше не визначено законом, а розпорядник персональних даних обробляє персональні дані в тому складі та здійснює ті дії з ними, що визначені володільцем персональних даних чи законом.

Тобто володільцю персональних даних право обробляти персональні дані на­дає фізична особа або така обробка може здійснюватися відповідно до закону. Розпоряднику персональних даних, у свою чергу, право обробляти відомості про фізичних осіб надає володілець персональних даних або закон від імені володільця.

Як сказано вище, розпорядник персональних даних може обробляти персона­льні дані лише з метою і в обсязі, визначеними у договорі. У цьому договорі доцільно чітко передбачити мету, з якою оброблятимуться розпорядником персональних даних персональні дані фізичних осіб, обумовити склад (обсяг) персональних даних, до яких матиме доступ розпорядник, та чітко визначити дії, які будуть ним здійснюватися з цими даними (збирання, зберігання, поширення тощо).

Так, наприклад, розпорядниками персональних даних можуть бути особи, які діють від імені володільця персональних даних за договором доручення, котрі в інтересах володільця персональних даних надають аутсорсингові послуги, тощо. Або ж, наприклад, підприємство, яке не має свого бухгалтера, може найняти позаштатного бухгалтера, який приходитиме двічі на місяць на підприємство та нараховуватиме заробітну плату працівникам. Така особа матиме доступ до персональних даних працівників підприємства та здійснюватиме з ними певні дії (передаватиме до органів податкової служби, пенсійного фонду у формі звітності тощо), а отже, відносини між такою особою та підприємством мають бути оформлені у вигляді письмового договору, укладеного між володільцем та розпорядником персональних даних.

Звернути увагу Якщо повноваження розпорядника персональних даних, що пов’язані з обробкою персональних даних, ви­значено законом, у такому випадку доцільно вважати, що право обробляти персональні дані цьому розпоряднику надано законом від імені володільця персональних даних і не потребує укладання договору. Наприклад, таким розпорядником може бути депозитарій по відношенню до акціонерних товариств, оскільки законами України «Про депозитарну систему України» від 6 липня 2012 року № 5178-VI, «Про цінні папери та фондовий ринок» від 23 лютого 2006 року № 3480-IV, «Про Національну депозитарну систему та особливості електронного обігу цінних паперів в Україні» від 10 грудня 1997 року № 710/97-ВР урегульовано процеси обробки персональних даних акціонерів.

Третя особа

Третьою особою у розумінні Закону № 2297 є будь-яка особа, за винятком суб’єкта персональних даних, володільця чи розпорядника персональних даних та уповноваженого державного органу з питань захисту персональних даних, якій володільцем чи розпорядником персональних даних здійснюється передача персональних даних відповідно до закону.

Чим відрізняється розпорядник персональних даних від третьої особи? Відмінність між цими двома суб’єктами відносин, пов’язаних із персональними даними, полягає в тому, що розпорядник персональних даних, який отримав персональні дані від володільця персональних даних, обробляє їх від імені володільця з визначеною ним метою, якщо інше не визначено законом. Третя особа, яка отримала персональні дані від володільця персональних даних, оброблятиме їх зі своєю метою.

Третіми особами можуть бути, наприклад, державні органи – органи податкової служби, пенсійного фонду, фонду соціального страхування тощо. Так, органи податкової служби, які отримали від підприємства відомості про працівників, оброблятимуть ці дані не з метою забезпечення реалізації трудових відносин, а з метою контролю за своєчасністю, достовірністю, повнотою нарахування та сплати податків і зборів (обов’язкових платежів); органи пенсійного фонду – з метою ведення обліку та контролю надходжень від сплати єдиного внеску, інших коштів відповідно до законодавства та здійснення контролю за їх сплатою.

Особи, які безпосередньо здійснюють обробку відомостей про фізичних осіб, самостійно визначаються зі статусом суб’єктів відносин, пов’язаних із персональними даними.

ЯК БУТИ ПІДПРИЄМСТВУ, ЯКЩО ПРАЦІВНИК ВІДКЛИКАЄ РАНІШЕ НАДАНУ ЗГОДУ НА ОБРОБКУ ПЕРСОНАЛЬНИХ ДАНИХ

Законом № 5491 розширено правові під­стави для обробки персональних даних та права суб’єкта персональних даних.

Так, відповідно до статті 11 Закону № 2297 підставами для обробки персональних даних є:

1) згода суб’єкта персональних даних на обробку його персональних даних;

2) дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень;

3) укладення та виконання правочину, стороною якого є суб’єкт персональних да­них або який укладено на користь суб’єкта персональних даних чи для здійснення за­ходів, що передують укладенню правочину на вимогу суб’єкта персональних даних;

4) захист життєво важливих інтересів суб’єкта персональних даних;

5) необхідність захисту законних інтересів володільців персональних даних, третіх осіб, крім випадків, коли суб’єкт персональних даних вимагає припинити обробку його персональних даних та потреби захисту персональних даних переважають такий інтерес.

У свою чергу, кожен працівник на підставі пункту 11 частини 2 статті 8 Закону № 2297 має право відкликати згоду на обробку персональних даних. Проте законодавством про захист персональних даних не передбачено порядок відкликання такої згоди. Тобто не врегульовано процедуру повернення такої згоди, зокрема, чи повинен (має право) роботодавець залишати копію згоди працівника на обробку персональних даних у себе та ін. Вирішення цього питання залишається на розсуд роботодавця, при цьому доцільно, щоб на підприємстві фіксувалося повернення такої згоди.

Якщо працівник відкликав раніше надану ним згоду на обробку своїх персональних даних, у роботодавця виникає право обробляти персональні дані такого працівника без його згоди лише з підстав, визначених пунктами 2–5 частини 1 статті 11 Закону № 2297.

Звернути увагу Підприємству як володільцю персональних даних надано право на обробку персональних даних відповідно до закону виключно для здійснення його повноважень.

Варто зазначити, що правові підстави для обробки персональних даних визначаються підприємством на підставі проведеного ним аналізу законодавства, відповідно до якого здійснюються процеси обробки відомостей про працівників у трудовій сфері, а саме: збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання, поширення, знеособлення, знищення відомостей про працівника.

Якщо одна або кілька з вище перелічених дій, які здійснюються підприємством з персональними даними працівників, здійснюються відповідно до закону та у по­рядку, встановленому законодавством, доцільно вважати, що така обробка здійснюється на підставі дозволу, наданого підприємству відповідно до закону, виключно для здійснення його повноважень.

Так, наприклад, якщо підприємством збирання та поширення відомостей про працівників здійснюється на підставах, визначених статтею 24 Кодексу законів про працю України, Податкового кодексу України, Закону України «Про загальнообов’язкове державне пенсійне страхування» від 9 липня 2003 року № 1058-IV тощо. Правовою підставою для обробки персональних даних працівників у цьому випадку буде дозвіл, наданий підприємству вищезазначеними законами для здійснення його повноважень.

Згода від працівника потрібна у тих випадках, коли процеси обробки відомостей про нього не врегульовано законом та виходять за межі дозволу, наданого підприємству відповідно до закону виключно для здійснення його повноважень.

З огляду на зазначене, рекомендуємо підприємствам ретельно проаналізувати законодавство, на підставі якого здійснюється обробка персональних даних працівників, та визначити підстави для обробки. При цьому доцільно кожну з таких процедур обробки персональних даних зафіксувати (відобразити) у положенні/порядку обробки персональних даних, що має бути розроблено і затверджено на підприємстві.

Інколи працівник, одночасно із відкликанням згоди на обробку персональних даних, може вимагати видалити або знищити свої персональні дані. У такому разі підприємству слід керуватися статтею 15 Закону № 2297, відповідно до якої персональні дані видаляються або знищуються в порядку, встановленому законом.

Персональні дані підлягають знищенню у разі:

- закінчення строку зберігання даних, визначеного згодою суб’єкта персональних даних на обробку цих даних або законом;
- припинення правовідносин між суб’єктом персональних даних та володільцем чи розпорядником, якщо інше не передбачено законом;
- набрання законної сили рішенням суду щодо вилучення даних про фізичну особу з бази персональних даних.

Таким чином, знищення персональних даних здійснюється не лише у разі припинення правовідносин між працівником та підприємством, а й після закінчення строку зберігання персональних даних.

Звернути увагу Законом теж може бути визначений строк зберігання персональних даних у відповідній сфері діяльності.

Підсумовуючи наведене вище, слід підкреслити, що, окрім згоди фізичної особи на обробку її персональних даних, існують й інші правові підстави для використання персональних даних.

Стаття надана редакцією журналу «Довідник кадровика» 
спеціально для інтернет-порталу «Всеукраїнська асоціація кадровиків» 
(детальніше – журнал «Довідник кадровика» №4, 2013)

Автор: Тетяна СТЕПАНЕНКО,
провідний спеціаліст відділу розгляду скарг, звернень фізичних та юридичних осіб управління юридичного забезпечення Державної служби України з питань захисту персональних даних

kadrovik.ua