Реклама
Реклама
Реклама

ibuhgalter.net | Защита персональных данных: что об этом должен знать работодатель

  1. Кто всему голова
  2. Разберемся с понятиями
  3. сообщение уполномоченного
  4. Разработка внутреннего документа по защите ПД
  5. Назначение ответственных лиц за защиту ПД
  6. Согласие на обработку ПД
  7. Сообщение физлица об обработке ее данных
  8. Итог для работодателей
  9. Помните об ответственности
  10. Санкции за нарушения в сфере защиты ПД
  11. Главные тезисы

Вероника Чернышева, эксперт газеты «Зарплата и кадровая дело»

Кто всему голова

С начала этого года бразды правления в сфере персональных данных (ПД) передано Уполномоченному Верховной Рады Украины по правам человека (далее - Уполномоченный). Ранее эти вопросы были в компетенции Государственной службы по вопросам защиты персональных данных (ДСЗПД), который подчиняется Минюста.

Изменение органа привела к появлению новой нормативно-правовой базы (уже от Уполномоченного). Речь идет о приказе № 1/02, которым утверждены:

  • Типовой порядок обработки персональных данных (далее - Типовой порядок)
  • Порядок осуществления Уполномоченным контроля за соблюдением законодательства о защите персональных данных (далее - Порядок контроля);
  • Порядок уведомления Уполномоченного об обработке персональных данных, представляет особый риск для прав и свобод субъектов персональных данных, о структурном подразделении или ответственное лицо, которое организует работу, связанную с защитой персональных данных при их обработке, а также обнародование указанной информации ( дальше -порядок сообщения).

Все эти документы разработаны во исполнение норм Закона о БПД - основного документа в сфере защиты ПД. Кроме того, Уполномоченный издал Разъяснение от 08.01.2014 гг. До Типового порядка, Порядка контроля и Порядка уведомления.

Уполномоченный и его представители имеют право проводить на основании обращений или по собственной инициативе выездные и невыездные, плановые, внеплановые проверки владельцев или распорядителей ПД, издавать обязательные к исполнению предписания по устранению нарушений в этой сфере. Он может составлять протоколы об административных правонарушениях, которые затем передает в суд.

ОБРАТИТЕ ВНИМАНИЕ. Самостоятельно привлечь нарушителей к ответственности Уполномоченный не имеет права.Ришення принимает суд.

Разберемся с понятиями

Без понимания того, что именно имеется в виду под ПД, такое их обработка и кто несет ответственность за нарушения в этой сфере, работодателю не обойтись.

ПД - сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано.

Требования законодательства выдвигаются к обработке и защите ПД, обрабатываемых полностью или частично с применением автоматизированных средств, а также ПД, содержащиеся в картотеке или предназначенные для внесения в картотеки, с применением неавтоматизированных средств.

Под обработкой ПД подразумевается любое действие или совокупность действий по сбору, регистрации, накопления, хранения, адаптации, изменения, обновления, использования и распространения (распространение, реализация, передача), обезличивание, уничтожение ПД, в том числе с использованием информационных (автоматизированных) систем.

До сих пор нет единого мнения относительно того, какой именно объем сведений о физлицо охвачено понятием ПД. Ими должны считаться не те сведения, просто позволяют идентифицировать лицо (например ФИО, серия и номер паспорта), адодаткови сведения о физлицо, которая четко идентифицирована (адрес регистрации, фактическое место жительства, образование, состояние здоровья, данные о детях, родителях и т.д.). Причем эти сведения должны быть упорядочены в электронном виде или картотеке так, чтобы по определенному критерию (алфавиту, идентификационным номером, номером паспорта и т.д.) можно было найти сведения о конкретном физлицо. Такой вывод следует из определения картотеки, в которой розумиютьсябудь-либо структурированные ПД, доступные по определенным критериям, независимо от того, централизованные, децентрализованные или разделены такие данные по функциональным или географическим принципам.

Например, гражданско-правовые договоры с физлицами, в том числе предпринимателями (подрядчиками, поставщиками, покупателями), если они состоят в папку в хронологическом порядке по дате их заключения, нельзя считать картотекой. Критерий, по которому структурируются такие договоры - дата заключения, а не сведения о физлиц. В таком случае об обработке персональных данных не идет. Если же дополнительно ведется база по контрагентам в электронном виде или на бумажных носителях, которая, например, ФИО или идентификационным номером дает доступ к дополнительной информации о запрашиваемую физлицо (паспортные данные, место проживания, контактные телефоны, реквизиты банковских счетов и т.п.), то уже речь идет об обработке ПД. Учитывая, что сегодня во многих учет автоматизирован, в программы вносят персональные данные о контрагентах, то есть основания утверждать, что имеем дело с обработкой персональных данных.

Состав и содержание ПД должны быть соответствующими, адекватными и ненадмирнимы относительно определенной цели их обработки. Первичными источниками сведений о физическом лице являются: выданные на его имя документы; подписанные им документы; сведения, которые лицо предоставляет о себе.

Обязанность по защите ПД возлагается на их владельцев и распорядителей, а также третьих лиц, которым переданы ПД в соответствии с законодательством.

Владелец ПД - физическое или юридическое лицо, определяет цель обработки персональных данных, устанавливает состав этих данных и процедуры их обработки, если иное не определено законом .

Распорядитель ПД - физическое или юридическое лицо, которому владельцем персональных данных или законом предоставлено право обрабатывать эти данные от имени владельца .

Например, владельцем базы персональных данных (БПД) Фонда соцстрахования по временной потере трудоспособности (ФВПТ) является Исполнительная дирекция ФВПТ, а распорядителями - исполнительные дирекции отделений ФВПТ и их рабочие органы (постановление Правления ФВПТ от 08.10.2013 г.. № 47).

Физические лица - предприниматели, в том числе врачи, имеющие соответствующую лицензию, адвокаты, нотариусы особистозабезпечують защите персональных данных, которыми они обладают, согласно требованиям закона (ч. 4 ст. 24 Закона о БПД).

Владельцы, распорядители ПД и третьи лица обязаны обеспечить защиту этих данных от случайной потери или уничтожения, от незаконной обработки, в том числе незаконного уничтожения или доступа к ним. Это реализуется с помощью организационных и технических мероприятий (двери, замыкаются, в помещении, где хранятся ПД, установки пароля для доступа к электронной базы и т.д.).

Для того чтобы работодатель четко понимал, что он должен делать, нужно знать общие требования законодательства по защите ПД. Об этом и поговорим далее. Однако сначала продемонстрируем общую схему обработки ПД.

Однако сначала продемонстрируем общую схему обработки ПД

сообщение уполномоченного

К началу этого года действовала процедура регистрации БПД. Сейчас ее отменено. С 01.01.2014 г.. Вместо регистрации предусмотрено сообщение Уполномоченного.

ОБРАТИТЕ ВНИМАНИЕ! Сообщать Уполномоченного нужно только об обработке тех ПД, щостановлять особый риск для прав и свобод субъектов ПД (далее - особые ПД). Об обработке других ПД сообщать Уполномоченного не требуется.

Сведения относятся к «особым», вы можете увидеть в п. 3 схемы на с.15.

Интересно, что есть ряд случаев, в которых даже при наличии «особых» ПД направлять Уполномоченному сообщение не нужно, а именно, если (п. 2.1 Порядка уведомления):

  • осуществляется обработка, целью которой является ведение реестра для предоставления информации населению, открытый для населения в целом;
  • обработка осуществляется общественными объединениями, политическими партиями и / или организациями, профессиональными союзами, объединениями работодателей, религиозными организациями, общественными организациями мировоззренческой направленности при условии, что обработка касается исключительно ПД членов этих объединений и не передается без их согласия;
  • обработка необходима для реализации прав и выполнения обязанностей владельца ПД в сфере трудовых правоотношений в соответствии с законом.

ВАЖНО! Как видим, даже если вы обрабатываете «особые» сведения о своих работников (например, состояние здоровья), сообщать об этом Уполномоченного не требуется.

Если вы обрабатываете «особые» ПД о клиентах, заказчиков, пациентов и т.д., тогда необходимо:

  • подать уведомление Уполномоченному по форме приложения 1 к приказу № 1/02 в течение 30 рабочих дней со дня сбора ПД;
  • сообщить Уполномоченного о создании структурного подразделения или назначении ответственного лица, организует работу, связанную с защитой ПД при их обработке. Такое уведомление направляется по форме приложения 4 к приказу № 1/02 в течение 30 дней с момента создания такого подразделения (назначение ответственного).

Эти сообщения посылаются письмом в Секретариат Уполномоченного по адресу: ул. Институтская, 21/8, г.. Киев, 01008, или другим доступным заявителю способом (по факсу, электронной почте, через почтовый ящик, специально размещенную на 1 этаже Секретариата Уполномоченного). Если вы направляете заявление по электронной почте, ее нужно отсканировать (т.е. почте отправляйте сканкопию).

Заявители сохраняют за собой копию заявления, которое было подано в Секретариат Уполномоченного.

Результаты рассмотрения вашего сообщения будут размещены на официальном сайте Уполномоченного.

ВАЖНО! Уполномоченный не должен отправлять владельцу (распорядителю) любое письменное подтверждение о получении сообщения. Свидетельства теперь не выдаются. Вся информация, которой владеет Уполномоченный, размещается на его официальном сайте ( http://www.ombudsman.gov.ua ). Если у вас возникли вопросы, вы можете позвонить на горячую линию Уполномоченного по телефонам: (044) 253-11-35, 253-53-94, 253-81-94.

Не следует забывать, что, кроме перечисленных выше особых требований, владельцы (распорядители) «особых» ПД должны придерживаться всех других требований по защите ПД.

Разработка внутреннего документа по защите ПД

Без такого документа не обойтись. Дело в том, что согласно п. 2.1 Типового порядка владелец (распорядитель) в обязательном порядке должен определить базовые вопросы обработки ПД (перечень см. В п. 1 схемы на с. 15). Эти моменты устанавливаются с учетом специфики деятельности владельца ПД. При разработке положения (порядка) о защите ПД, который утверждается руководителем владельца (распорядителя), вам помогут нормы Типового порядка.

Профессиональные, саморегулируемые и другие общественные объединения или юридические лица могут разрабатывать кодексы поведения с целью обеспечения эффективной защиты прав субъектов ПД, соблюдения законодательства о защите ПД с учетом специфики обработки ПД в различных сферах.

ОБРАТИТЕ ВНИМАНИЕ! Все эти процедуры надо провести не только при обработке «особых» ПД, но и в том случае, если вы имеете дело с «обычными» ПД.

Назначение ответственных лиц за защиту ПД

Выше мы уже отметили, что владелец определяет порядок доступа к ПД лиц, их обрабатывают. Кроме того, на владельца возложена обязанность по учету операций, связанных с обработкой ПД и доступом к ним. Сюда, в том числе, относится и информация о работнике, который совершил одно из указанных операций.

Согласно п. 3.7 Типового порядка работники, имеющие доступ к ПД, дают письменное обязательство о неразглашении сведений, которые им были доверены или стали им известны в связи с исполнением профессиональных или служебных (трудовых) обязанностей.

Это свидетельствует о том, что владелец должен составить список должностей работников, имеющих право на доступ и обработку ПД. У каждого из них нужно взять письменное обязательство о неразглашении этих сведений. Такое обязательство является для них действующим и после освобождения.

Дополнительные требования предусмотрено до владельцев, которые обрабатывают «особые» ПД. Им необходимо создать (определить) структурное подразделение или ответственное лицо, которое организует работу, связанную с защитой ПД. О создании такого подразделения (назначение ответственного) сообщается Уполномоченный по форме приложения 4 к Порядку № 1/02. Если обрабатываются «особые» ПД о своих работников в рамках трудовых отношений, направлять сообщения Уполномоченному не требуется.

Согласие на обработку ПД

Для того чтобы обрабатывать данные о физлиц, нужно иметь на то соответствующие основания (см. П. 2 схемы). Среди них (ст. 11 Закона о БПД):

1) согласие субъекта ПД;

2) разрешение на обработку ПД, предоставленный владельцу ПД в соответствии с законом исключительно для осуществления его полномочий;

3) заключение и исполнение сделки, стороной которого является субъект ПД или который заключен в пользу субъекта ПД или для осуществления мероприятий, предшествующих заключению сделки по требованию субъекта ПД.

Как видим, получение согласия от физлица является лишь одним из оснований обработки данных. Обрабатывать сведения о физлицо можно и без его согласия в указанных выше случаях. Например, это может сделать работодатель в отношении данных о своих работников, необходимых для осуществления трудовых отношений в соответствии с действующим законодательством.

Без согласия можно обрабатывать и данные, например, о подрядчиков-физлиц (в том числе предпринимателей), которые самостоятельно предоставляют сведения о себе для заключения гражданско-правового договора на выполнение работ (оказание услуг). При этом помните: полученные сведения должны быть необходимыми и адекватными для установленной цели их обработки.

Если согласие от физлица получать все-таки необходимо, то существует вопрос - по какой форме это нужно делать? Ведь установленной формы нет. Как указано в разъяснении к Типового порядка, это может быть (на выбор):

  • отдельный документ, который подписывает субъект ПД;
  • соответствующая отметка в электронном виде;
  • одно из условий договора;
  • любая другая форма, что позволит сделать вывод о ее предоставлении (написание заявления, заполнение анкеты и т.д.). Владелец при проверке должен предоставить убедительные доказательства того, что физлицо дала согласие на обработку его данных.

Пример формы согласия представлены в п. 12 Разъяснения к Типового порядка.

ОБРАТИТЕ ВНИМАНИЕ! УРозьясненни к типичным порядкузазначено: даже если лицо предоставило согласие на обработку его данных, часть из которых по своей сути не нужна для достижения поставленной цели обработки, такая обработка будет рассматриваться как непропорциональное и будет классифицирована как нарушение законодательства о защите ПД.

Сообщение физлица об обработке ее данных

Согласно ч. 2 ст. 12 Закона о БПД субъект ПД сообщается о владельце ПД, цель сбора, состав и содержание собранных ПД о нем, свои права, о лицах, которым они передаются:

  • в момент сбора ПД, если они собираются у субъекта ПД;
  • в других случаях в течение 30 рабочих дней со дня сбора ПД.

Владелец обязан хранить информацию (документы), подтверждающие предоставление заявителю вышеупомянутой информации в течение всего периода обработки ПД. Форму уведомления не установлено. Если при уборке ПД с физлица берется согласие, то это можно автоматически считать и сообщением, поскольку там содержится вся необходимая информация.

Отсюда следует, что в любых случаях надо сообщать физлицо. В то же время в п. 2.9 Типового порядка указано, что это необходимо делать, кроме случаев, предусмотренных законодательством Украины. Трудно сказать, о каких конкретных случаях идет речь. С одной стороны, можно предположить, что необходимости в сообщении нет, когда данные о физлицо могут обрабатываться без ее согласия. Например, в рамках трудовых отношений. С другой стороны, это довольно смелое заявление. Так, работодатель освобождается от необходимости получать у работника разрешение на получение сведений о нем (это препятствует заключению и ведению трудовых отношений). Однако довести до сведения работника, какие именно данные о нем обрабатываются, кому могут быть переданы и т.п., на наш взгляд, нужно.

Чтобы сообщить работника, можно разработать отдельную форму сообщения, образец которого мы привели на с. 19. Можно просто внести отметку в трудовой договор (заявления о принятии на работу) о том, что работник уведомлен о цели и порядок использования его ПД в соответствии с установленным на предприятии порядка защиты ПД и действующего законодательства в этой сфере. Еще один вариант: составив сообщение по образцу, приведенному ниже, ознакомить с ним работника под роспись в специальном журнале.

ВАЖНО! С 01.01.2014 г.. Есть штрафа за несообщение субъекта ПД об обработке его данных. Ранее за это нарушение взимался штраф от 5100 до 6800 грн. Ввиду отсутствия сообщения физлица, привлечь к административной ответственности (штраф от 5100 до 17000 грн) владельца (распорядителя) могут на основании ч. 4 ст. 18839 КоАП за несоблюдение установленного порядка защиты ПД.Проте это возможно, только если оно привело к незаконному доступу или нарушение прав субъекта ПД.

Проте это возможно, только если оно привело к незаконному доступу или нарушение прав субъекта ПД

Итог для работодателей

Рассмотрев действующие с 01.01.2014 г.. Требования в сфере защиты ПД, подведем итоги для работодателей, которые обрабатывают ПД своих работников.

Нужно понимать: несмотря на имеющиеся послабления, работодатель является владельцем ПД своих работников и должен обеспечивать их защиту в порядке, установленном Законом о БПД. Он не освобождается от ответственности за нарушения в этой сфере. Просто правила игры для него несколько упрощены.

Работодатель не должен:

  • сообщать уполномоченного о обработке «особых» ПД. Если работодатель обладает сведениями о работниках, Которые НЕ являются «Особыми» ПД, то вопрос сообщению уполномоченного вообще не возникает. Если у вас есть зарегистрированная в ДСЗПД база «Работники», о чем получено свидетельство, то это не создает дополнительных прав или обязанностей ни работодателю, ни работнику. Подавать заявление о снятии с регистрации такой базы владельцу не требуется;
  • создавать структурное подразделение или назначать ответственное лицо, которое организует работу по защите ПД, а также сообщать об этом Уполномоченного;
  • получать согласие на обработку ПД.

Кроме того, общий запрет на обработку данных о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, осуждения к уголовному наказанию, а также данных, касающихся здоровья, половой жизни, биометрических или генетических данных не действует, если это необходимо для осуществления прав и исполнения обязанностей владельца в сфере трудовых правоотношений в соответствии с законом. При этом работодатель обязан обеспечить соответствующую защиту этих данных (п. 2 ч. 1 ст. 7 Закона о БПД).

Работодатель обязан:

  • разработать внутренний документ (положение, порядок) о защите ПД;
  • принять технических мероприятий с целью предотвращения несанкционированного доступа к ПД;
  • взять письменное обязательство из сотрудников, имеющих доступ и осуществляют обработку ПД, о неразглашении этих сведений;
  • сообщать работников о цели и состав обрабатываемых данных о них.

Помните об ответственности

Кроме изменения контролирующего органа, изменения произошли и в основаниях для привлечения нарушителей к административной ответственности (см. Таблицу на с. 20).

Санкции за нарушения в сфере защиты ПД

нарушение

Размер штрафу1

Несообщение или несвоевременное сообщение Уполномоченного об обработке ПД или изменении сведений, подлежащих сообщению согласно закону, сообщение неполных или недостоверных сведений

  • от 3400 до 6800 грн (ч. 1 ст. 18839КпАП)
  • за повторное в течение года нарушение - от 8500 до 34000 грн (ч. 3 ст. 18839КпАП)

Невыполнение законных требований (предписаний) Уполномоченного или определенных им должностных лиц секретариата Уполномоченного по предотвращению или устранению нарушений законодательства по защите ПД

  • от 5100 до 17000 грн (ч. 2 ст. 18839КпАП)
  • за повторное в течение года нарушение - от 8500 до 34000 грн (ч. 3 ст. 18839КоАП)

Несоблюдение установленного законодательством по защите ПД порядка защиты ПД, привел к незаконному доступу к ним или нарушения прав субъекта ПД

  • от 5100 до 17000 грн (ч. 4 ст. 188 39КпАП)
  • за повторное в течение года нарушение - от 17000 до 34000 грн (ч. пятая ст. 18839КпАП)

Невыполнение законных требований Уполномоченного или его представителей

  • от 1700 до 3400 грн (ст. 18840КпАП)

1. Накладывается на должностных лиц предприятий, учреждений и организаций, а также физических лиц - предпринимателей.

Напомним, что взыскание может быть наложено не позднее, чем через три месяца со дня совершения однократного правонарушения или обнаружения длящегося правонарушения (ч. 2 ст. 38 КоАП). ДСЗПД в письме от 17.07.2013 г.. № 10 / 1892-13 разъяснила, что в контексте защиты ПД считать разовыми и продолжающимися нарушениями.

Примерами одноразовых нарушений могут быть неуведомление или несвоевременное уведомление субъекта ПД о владельце ПД, состав и содержание собранных ПД, цель сбора и тому подобное; однократное распространение ПД без надлежащих на то правовых оснований. В качестве примера продолжающегося нарушения ДСЗПД приводит такой: размещение (распространение) владельцем ПД список должников по оплате за коммунальные услуги, содержащий ПД, факт которого было зафиксировано при проведении проверки.

Главные тезисы

  • С 1 января 2014 регулирования вопросов в сфере защиты БПД передано Уполномоченному.
  • Отменена регистрация БПД. Теперь Уполномоченного надо сообщать об обработке ПД, и то при условии, если обрабатываются «особые» ПД физлиц. На работодателя, который обрабатывает особые данные своих работников в соответствии с законом, это требование не распространяется.
  • Работодателю не нужно получать от работника согласие на обработку его данных. В то же время сообщить ему о цели, состав, содержание обрабатываемых ПД о нем, о третьих лицах, которым могут передаваться эти данные, на наш взгляд, необходимо.
  • С 01.01.2014 г.. Сам факт отсутствия уведомления физлица об обработке ее данных не является основанием для наложения штрафа.
  • Теперь за нарушение порядка защиты ПД могут наказать только в том случае, если это привело к незаконному доступу или нарушение прав субъекта ПД.

Если согласие от физлица получать все-таки необходимо, то существует вопрос - по какой форме это нужно делать?