З 1 січня 2012 року набрав чинності Закон України «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» (далі - Закон № 3454), яким вводиться адміністративна та кримінальна відповідальність за порушення законодавства у сфері захисту персональних даних та конфіденційної інформації. У зв'язку з цим питання дотримання вимог Закону України «Про захист персональних даних» (далі - Закон № 2297) стає все більш актуальним. Очевидним залишається той факт, що більша частина юридичних осіб (ЮО) та фізичних осіб - суб'єктів підприємницької діяльності (СПД) ще не зареєстрували бази персональних даних (БПД), якими вони володіють, як того вимагає Закон № 2297. Очевидно також і те, що положення самого Закону залишають бажати кращого. У зв'язку з цим ми пропонуємо аналіз деяких важливих практичних питань, які повинні послужити орієнтиром на дотримання Закону № 2297 при реєстрації БПД.
Персональні дані і бази персональних даних
Закон № 2297 визначає персональні дані як будь-яку інформацію про фізичну особу, яка ідентифікована або може бути як-небудь ідентифіковано.
Важливо відзначити, що у відповідності з європейськими стандартами існують два види персональних даних: 1) дані загального характеру (прізвище, ім'я, по батькові, дата і місце народження, громадянство, місце проживання), та 2) вразливі персональні дані (дані про стан здоров'я: історія хвороби і діагнози, етнічна приналежність, ставлення до релігії; кредитна історія, ідентифікаційні коди). Уповноважений виконавчий орган з питань захисту персональних даних - Державна служба з захисту персональних даних (ДСЗПД) - схильний тлумачити визначення персональних даних дуже широко і включає в нього як дані загального характеру, так і вразливі дані.
Поняття персональних даних є критерієм для визначення бази персональних даних. Відповідно до Закону № 2297 будь-яка інформація, що містить персональні дані в електронній формі та / або у формі картотек персональних даних, вважається базою персональних даних (БПД).
Бази персональних даних, які повинні бути створені і зареєстровані ЮО або СПД
Згідно із Законом № 2297 кожне ЮО або СПД зобов'язана зареєструвати БПД, якими воно володіє.
Закон не визначає перелік видів БПД, які підлягають реєстрації. Проте в даний час ДСЗПД дотримується позиції, що кожне окреме ЮЛ є власником як мінімум двох баз персональних даних, а саме БПД співробітників, яка ведеться з метою забезпечення вимог трудового законодавства, реалізації податкових зобов'язань та ведення бухгалтерського обліку та аудиту, і БПД контрагентів , у т. ч. потенційних.
ЮЛ чи СПД самостійно приймають рішення про те, чи є та чи інша сукупність персональних даних фізичних осіб, яка знаходиться в його / їх володінні, базою персональних даних. Таким чином, кількість БПД визначається самим ЮО або СПД. До такого висновку також приходить і Міністерство юстиції України (Мін'юст) у своїх роз'ясненнях щодо застосування Закону № 2297.
Згідно з роз'ясненнями Мін'юсту, у разі якщо фізичні особи - підприємці укладають договори на виконання робіт або надання послуг з фізичними особами, такі договори не є базою персональних даних і не підлягають державній реєстрації. Наскільки ми розуміємо, йдеться не про самих договорах, а про персональні дані фізичних осіб, які утримуються в сукупності таких договорів. Думається, що подібні висновки потребують додаткового аналізу, оскільки із Закону № 2297 слід зворотне. Також у роз'ясненнях Мін'юсту нічого не сказано про необхідність реєстрації БПД, що утримуються в сукупності подібних угод, сторонами яких виступають ЮО та громадяни.
Заява про реєстрацію БПД потрібно було подати до ДСЗПД до 1 січня 2012
Кожне ЮО або СПД має визначитися з наявністю у них баз персональних даних і зареєструвати їх у ДСЗПД. У заяві про реєстрацію БПД повинні бути зазначені, зокрема, назва юридичної особи, найменування БПД, види персональних даних, а також цілі і підстави для обробки персональних даних. Процедура реєстрації є формальною, отже, сама БПД, а також її зміст не розкривається і не надається. Однак необхідно пам'ятати, що заява про реєстрацію БПД має бути подана до ДСЗПД до 1 січня 2012 року.
Обробка персональних даних
Обробка персональних даних, у розумінні Закону № 2297, означає будь-яку дію або сукупність дій, виконуваних повністю або частково в інформаційній системі або в картотеках персональних даних, що стосуються збору, реєстрації, накопичення, зберігання, адаптації, відновлення, використання, розпорядження (шляхом поширення , продажу, передачі), знеособлення або знищення персональних даних.
Розкриття або обробка персональних даних може здійснюватися тільки після отримання попередньої згоди власника персональних даних, тобто фізичної особи.
Така згода не вимагається, якщо персональні дані обробляються і / або передаються третім особам у випадках, передбачених законом (наприклад, обробка при здійсненні функцій роботодавця або передача правоохоронним органам за їх законному вимогу) і лише в інтересах національної безпеки, економічного добробуту та дотримання прав людини .
Обробка персональних даних може здійснюватися тільки відповідно до цілей або передбаченими законодавством або конкретно зазначеними в заяві про реєстрацію бази персональних даних, так і в злагоді власника цих даних (якщо така згода вимагається). Закон також встановлює, що в разі зміни мети обробки персональних даних їх власник повинен бути повідомлений про це. Відповідно, і якщо останній не дає свою згоду на їх обробку з іншою метою, то така обробка заборонена.
Законом № 2297 передбачається, що мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність власника БПД.
Мета обробки персональних даних не повинна суперечити основним видам діяльності ЮО або СПД. Так, наприклад, метою обробки персональних даних може бути: забезпечення реалізації трудових відносин; адміністративно-правових; податкових зобов'язань та ведення бухгалтерського обліку та аудиту; відносин у сфері управління людськими ресурсами, економічних і фінансових послуг, реклами і т. п.
ДСЗПД наводить наступний приклад можливої мети обробки:
Обробка персональних даних фізичних осіб загального характеру (прізвище, ім'я та по батькові, дата і місце народження, громадянство, місце проживання тощо) або делікатних персональних даних (расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях і професійні спілки, а також даних, що стосуються здоров'я чи статевого життя) здійснюється для забезпечення реалізації (вказати яких саме) відносин, відповідно до (перерахувати правові акти, положення, установчі та інші документи, що регулюють діяльність власника).
Звертаємо увагу, що кожне ЮО або СПД має призначити відповідальну особу або відділ, який повинен контролювати дотримання вимог законодавства.
Крім того, ЮО або СПД зобов'язана розробити внутрішнє Положення про захист персональних даних, яке встановлює внутрішні правила обробки персональних даних (процедуру і цілі обробки даних, доступ до БПД, права власників персональних даних і т. д.).
Організація системи захисту персональних даних на підприємстві
В даний момент конкретні вимоги до технічного захисту баз персональних даних від незаконної обробки або незаконного доступу не передбачені. На офіційному сайті Служби з цього питання дано такі роз'яснення: умови захисту персональних даних залежать від конкретних реальних загроз, природи оброблюваних персональних даних, технології обробки інформації та типу інформаційної системи, у рамках якої обробляються персональні дані (для баз персональних даних в електронній формі), і визначаються власником баз персональних даних самостійно.
Власник БПД може провести детальний аналіз загроз та інших факторів, що впливають на ступінь ризику. На основі аналізу ризиків власник може вирішити, який рівень захисту бази персональних даних потрібно для створення достатніх умов щодо захисту персональних даних.
До державних органів застосовуються загальні вимоги з технічного захисту інформації, встановлені держстандартом «Державний Стандарт України. Захист інформації. Технічний захист інформації. Основні положення. ДСТУ 3396.0-96 ». Ми вважаємо, що даний держстандарт може служити ЮО та СПД орієнтиром для визначення вимог про належний захист персональних даних.
Здійснення контролю дотримання вимог Закону № 2297
Відповідно до Закону № 2297 функції контролю у сфері захисту персональних даних покладено на ДСЗПД. Також у Положенні про ДСЗПД, затвердженому Указом Президента України від 06.04.2011 р., визначено перелік повноважень цієї служби. Зокрема, ДСЗПД уповноважена розробляти і затверджувати план перевірок власників та розпорядників БПД на предмет дотримання законодавства; проводити виїзні та безвиїзні перевірки власників та розпорядників БПД, складати протоколи про адміністративне правопорушення у сфері захисту персональних даних та ін
На офіційному сайті ДСЗПД розміщено проект наказу Міністерства юстиції України «Про затвердження Положення про порядок здійснення ДСЗПД державного контролю за дотриманням законодавства про захист персональних даних», який знаходиться на стадії громадського обговорення.
Проект наказу передбачає процедуру проведення ДСЗПД планових та позапланових перевірок, які, у свою чергу, можуть бути виїзними та безвиїзними. Планові перевірки будуть проводитися на підставі виданого наказу і не частіше ніж раз на 5 років. Термін проведення планової перевірки не може перевищувати 10 робочих днів. В окремих випадках термін проведення перевірки може бути продовжений, але не більше ніж на 10 додаткових робочих днів. Проект також передбачає вичерпний перелік підстав для проведення позапланових перевірок, а також ряд інших питань.
Мін'юст пропонує затвердити процедуру проведення ДСЗПД планових та позапланових перевірок
Звертаємо увагу, що в рамках здійснення планових та позапланових перевірок ДСЗПД має право на «доступ до інформації. пов'язаної з обробкою персональних даних, до приміщень, де здійснюється їх обробка ». При цьому представники ДСЗПД в даний час розробляють можливості співпраці з правоохоронними органами при здійсненні контролю за дотриманням вимог законодавства про захист персональних даних.
Визначення «інформації, пов'язаної з обробкою персональних даних», доступ до якої повинен надаватися ДСЗПД, в законодавстві відсутнє. Можемо припустити, що до неї відносяться всі документи в паперовому або електронному вигляді, пов'язані з обробки персональних даних, - статут підприємства (де вказані основні види діяльності, яким не повинні суперечити меті обробки персональних даних), внутрішнє положення про обробці БПД, наказ про призначення відповідальної особи у сфері обробки персональних даних, затверджені правила доступу та технічного захисту баз персональних даних, зобов'язання здійснювати захист персональних даних особами, яким вони були передані, і т. д. ДСЗПД також може здійснювати перевірку приміщення та технічного обладнання (у т. ч. програмного забезпечення для захисту персональних даних). У той же час ДСЗПД не має права вимагати повний доступ до бази персональних даних і вилучати обладнання.
Важливо відзначити, що якщо в ході перевірки ДСЗПД виявить порушення законодавства про захист персональних даних, служба має право скласти протокол про адміністративне правопорушення. Але приймати рішення про притягнення до адміністративної відповідальності і визначати розмір штрафу має право тільки суд.
Відповідальність за недотримання законодавства про захист персональних даних
Як ми вже згадували вище, з 1 січня 2012 року Законом № 3454 вводиться адміністративна та кримінальна відповідальність за порушення законодавства у сфері захисту персональних даних та конфіденційної інформації.
Так, адміністративна відповідальність у вигляді штрафу до 17 000 грн. встановлюється за:
• ухилення від державної реєстрації бази персональних даних;
• неповідомлення або несвоєчасне повідомлення суб'єкта персональних даних про його права у зв'язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються;
• неповідомлення або несвоєчасне повідомлення ДСЗПД про зміну відомостей, що подаються для державної реєстрації бази персональних даних;
• недотримання встановленого законодавством порядку захисту персональних даних у БПД, що призвело до незаконного доступу до них;
• невиконання законних вимог посадових осіб ДСЗПД про усунення порушень законодавства про захист персональних даних.
Закон № 3454 також посилює кримінальну відповідальність за незаконне поводження з конфіденційною інформацією, яка може включати персональні дані. Максимальною санкцією є покарання у вигляді позбавлення волі до п'яти років.
Згідно з роз'ясненнями ДСЗПД факт подачі володільцем БПД заяви про реєстрацію даної бази в ДСЗПД до 1 січня 2012 року не розглядається як ухилення від державної реєстрації БПД. Якщо ЮО або СПД не встигнуть подати заяви про реєстрацію БПД до 1 січня 2012 року, то адміністративна відповідальність може застосовується після тільки при дотриманні наступних умов:
1) у ДСЗПД надійшла скарга громадянина України, що супроводжується документами, що підтверджують порушення у сфері захисту персональних даних;
2) на підставі скарги ДСЗПД проведено перевірку власника та / або розпорядника БПД з видачею приписи про усунення порушень законодавства;
3) у разі невиконання припису, ДСЗПД складає протокол про адміністративне правопорушення та передає його до суду;
4) на підставі протоколу про адміністративне правопорушення проводиться судове засідання і приймається рішення про накладення адміністративних санкцій.
Ми розуміємо, що адміністративна відповідальність згідно з такими умовами накладатиметься лише до моменту прийняття Положення про проведення контролю за дотриманням законодавства у сфері захисту персональних даних. В даний час у Верховній Раді України зареєстровано два проекти законів, якими пропонується відстрочити накладення санкцій за порушення законодавства у сфері захисту персональних даних до 1 липня 2012 (або до 1 січня 2013 року). Вважаємо, що їх прийняття є об'єктивно необхідним і логічним і дасть можливість прийняти всі необхідні заходи для дотримання законодавства у сфері захисту персональних даних.
ВИСНОВОК:
Таким чином, ми вважаємо, що для дотримання вимог законодавства у сфері захисту персональних даних ЮО та СПД необхідно здійснити наступні дії:
• належним чином оформити всі існуючі БПД і до 1 січня 2012 року подати до ДСЗПД заяву про їх реєстрацію;
• отримати від фізичних осіб згоду на обробку їх персональних даних у випадках, передбачених законодавством;
• розробити і затвердити документи, необхідні для дотримання законодавства у сфері захисту персональних даних.