Защита персональных данных: что, как, зачем

(Часть II см. в консультации от 19.12.2011 г.)

ВОПРОС: Что значит «получить доступ к личной информации работников и субъектов предпринимательской деятельности, с которыми сотрудничаем»? Где необходимо регистрировать эти права и в каком законе об этом говорится? Каковы штрафные санкции за неполучение доступа к личным данным работника? Обязано ли предприятие требовать у работника копию паспорта и фотографию и вести личные карточки? Если да, то следует ли уволить работника, который отказался предоставить доступ к его личным данным (данные паспорта)? Обязано ли предприятие регистрировать базу поставщиков и работников в 1C?

ОТВЕТ: В январе 2011 года вступил в силу Закон Украины от 01.06.2010 г. N 2297-VI «О защите персональных данных», цель которого носит достаточно благородный характер - обеспечить защиту персональной информации о физическом лице. Появление данного Закона в Украине обусловлено, в частности, необходимостью исполнения Украиной требований Европейского Союза, которые содержатся в совместном Соглашении под названием «Матрица сотрудничества». Одним из условий данного документа было обязательство Украины ратифицировать и импле-ментировать Конвенцию Совета Европы о защите лиц в связи с автоматизированной обработкой персональных данных от 28.01.1981 г. Украина, исполняя данное обязательство, ратифицировала Конвенцию согласно Закону от 06.07.2010 г. N 2438-VI. Необходимым шагом была имплементация норм Конвенции в национальное законодательство, результатом чего и стало принятие Закона «О защите персональных данных». Следовательно, надеяться на отмену данного Закона (о чем, естественно, мечтает большинство бухгалтеров) напрасно: страна одной ногой в Европе, а тут такие пораженческие настроения...

Регулируя правоотношения в сфере правовой защиты персональной информации о лице, наш законодатель, как всегда, делал все «по-стахановски»: в кратчайшие сроки и напоказ. Однако хотя Украина и стала более правовым государством в глазах европейцев, большое количество недоработок Закона создало новые неудобства на практике и прибавило украинским предприятиям немало работы и головной боли.

Что же такого особенного в указанном Законе и какие сюрпризы он приготовил для субъектов предпринимательской деятельности?

Самое главное - субъекты предпринимательской деятельности до 01.01.2012 г. должны привести свои процессы и процедуры обработки информации о физических лицах в соответствие с Законом «О защите персональных данных». Для этого им нужно:

1) обеспечить правомерность использования персональных данных путем получения согласия от физических лиц;

2) сообщить в письменной форме физическому лицу в течение десяти рабочих дней со дня включения его персональных данных в базу персональных данных о его правах, цели сбора данных и лицах, которым передаются его персональные данные;

3) зарегистрировать базы персональных данных;

4) создать систему защиты персональных данных.

Почему именно до 01.01.2012 г.? Потому что с этой даты вступает в силу Закон от 02.06.2011 г. N 3454-VI «О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных», который вносит изменения в Кодекс Украины об административных правонарушениях и в Уголовный кодекс. На сегодняшний день действующее законодательство не предусматривает конкретной ответственности за нарушение Закона «О защите персональных данных». А вот с 01.01.2012 г. в КУоАП появится ст. 188-39, которая содержит четыре состава правонарушений и соответствующие санкции, а именно:

- неуведомление или несвоевременное уведомление субъекта персональных данных о его правах в связи с включением его персональных данных в базу персональных данных, цели сбора этих данных и лицах, которым эти данные передаются. Такое нарушение влечет наложение штрафа в зависимости от субъекта нарушения в размере от 200 до 400 нмдг (3400 - 6800 грн), повторно - от 300 до 700 нмдг (5100-11 900 грн);

- неуведомление или несвоевременное уведомление специально уполномоченного центрального органа исполнительной власти по вопросам защиты персональных данных об изменении сведений, которые представляются для государственной регистрации базы персональных данных. Штраф в размере от 100 до 400 нмдг (1700 - 6800 грн), повторно - от 300 до 700 нмдг (5100-11 900 грн);

- уклонение от государственной регистрации базы персональных данных. Штраф в размере от 300 до 1000 нмдг (5100-17 000 грн);

- несоблюдение установленного законодательством о защите персональных данных порядка защиты персональных данных в базе персональных данных, что привело к незаконному доступу к ним. Штраф в размере от 300 до 1000 нмдг (5100-17 000 грн).

А это, согласитесь, немало!*

Кроме того, с 01.01.2012 г. вступают в силу положения ст. 182 УК, в соответствии с которыми незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о лице или незаконное изменение такой информации караются штрафом от 500 до 1000 нмдг или исправительными работами сроком до двух лет, или арестом сроком до шести месяцев, или ограничением свободы сроком до трех лет.

Осуществление надзора и контроля за соблюдением в Украине законодательства в сфере защиты персональных данных возложено на специально созданный орган - Государственную службу Украины по вопросам защиты персональных данных (далее - ГСЗПД). Полномочия ГСЗПД определены Законом «О защите персональных данных» и Положением о Государственной службе Украины по вопросам защиты персональных данных, утвержденным Указом Президента Украины от 06.04.2011 г. N 390/2011. Спектр полномочий ГСПЗД достаточно широкий, почти как у налоговой. Так, ГСЗПД имеет право проводить выездные и безвыездные проверки владельцев и (или) распорядителей баз персональных данных, выдавать обязательные к исполнению предписания относительно устранения нарушений законодательства о защите персональных данных и требовать предоставления необходимой информации и документов, составлять административные протоколы о выявленных нарушениях законодательства в сфере защиты персональных данных, передавать материалы о выявленных нарушениях правоохранительным органам и ряд других полномочий.

Таким образом, субъектам предпринимательской деятельности не следует медлить с приведением своей деятельности в соответствие с Законом «О защите персональных данных».

Рассмотрим направления их действий подробнее.

1. Обеспечение правомерности использования персональных данных

Для начала следует разобраться с понятиями «персональные данные» и «использование персональных данных».

В соответствии со ст. 2 Закона «О защите персональных данных» персональные данные - это сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано (другими словами, сведения о юридических лицах могут собираться без лишних формальностей).

Как видим, понятие, данное в Законе, носит довольно общий характер и может охватывать любую идентифицирующую информацию относительно лица. Из этого следует, что, если определенные сведения о лице сочетаются с именем, они будут считаться персональными данными.

Добавим, что в соответствии со ст. 11 Закона «Об информации» к основным конфиденциальным данным о лице (персональным данным) относятся национальность, образование, семейное положение, религиозные убеждения, состояние здоровья, а также адрес, дата и место рождения. К персональным данным исходя из определения, приведенного в Законе, относятся и паспортные данные, данные водительских прав, идентификационный код, поскольку с помощью таких данных можно опосредованно идентифицировать физическое лицо. А согласно решению Конституционного Суда Украины от 30.10.97 г. N 5-зп к персональным данным также отнесены имущественное состояние и медицинская информация (сведения о состоянии здоровья человека, история его болезни, цель предложенных исследований и лечебных мероприятий, прогноз возможного развития заболевания, в том числе и информация о наличии риска для жизни и здоровья). На сайте ГСЗПД указано:

«Такой широкий подход к определению персональных данных дает возможность достичь достаточной гибкости, что позволяет использовать указанный термин в разнообразных ситуациях и информационных и телекоммуникационных ресурсах, которые не существовали на момент принятия Конвенции или могут возникнуть в будущем» (см. http:// www.zpd.gov.ua).

Однако на практике такая масштабность понятия создает казусные моменты. Ведь под определение персональных данных подпадает любая информация о физическом лице - вплоть до содержимого визит-ницы, адресной книги в электронной почте или списка контактов в телефоне. В Европе, например, все данные о лице разделены на две категории - общие (те, которые являются общеизвестными, например Ф. И. О.) и чувствительные (судимость, данные относительно здоровья и т. п.), при этом защите подлежат только чувствительные персональные данные. Будем надеяться, что и у нас данное понятие вскоре усовершенствуют.

Более подробное объяснение понятия «персональные данные» приведено в проекте Типового порядка обработки персональных данных в базах персональных данных (далее - проект Типового порядка), который еще официально не утвержден. Так, проект Типового порядка предусматривает, что сведения о физическом лице являются персональными данными в случае, если физическое лицо, которого они касаются, можно идентифицировать непосредственно или опосредованно, и относит к персональным данным объективные сведения о физическом лице (биометрические данные, состояние банковского счета и т. п.) и субъективные сведения о физическом лице (автобиография, характеристика, материалы аттестации, описание личных качеств физического лица, досье и т. п.).

Таким образом, персональными данными считаются данные, которые, во-первых, касаются физического лица и, во-вторых, с помощью которых можно определить (идентифицировать) конкретное лицо.

Закон «О защите персональных данных» относит к первичным источникам сведений о лице выданные на его имя документы; подписанные им документы; сведения, которые лицо предоставляет о себе (ч. 4 ст. 6 Закона).

Соответственно использованием персональных данных законодатель считает любые действия их владельца относительно обработки этих данных, действия по их защите, а также действия по предоставлению частичного или полного права обработки персональных данных другим субъектам, которые осуществляются с согласия субъекта персональных данных или в соответствии с законом (ст. 10 Закона). При этом понятие «обработка персональных данных» определяется законодателем как любое действие или совокупность действий, осуществленных полностью или частично в информационной (автоматизированной) системе и/или в картотеках персональных данных, которые связаны со сбором, регистрацией, накоплением, хранением, адаптированием, изменением, восстановлением, использованием и распространением (реализацией, передачей), обезличиванием, уничтожением сведений о физическом лице.

То есть если, например, на предприятии имеется картотека с личными данными работников, то в соответствии с Законом «О защите персональных данных» можно сказать, что предприятие владеет, хранит, использует персональные данные. Однако появляется вопрос: правомерно ли такое использование?

Закон определяет следующие правовые основания возникновения права на использование персональных данных:

1) согласие субъекта персональных данных на обработку его персональных данных;

2) предоставленное владельцу базы персональных данных в порядке, определенном законодательством Украины, право на обработку персональных данных в соответствии с законом и исключительно в интересах национальной безопасности, экономического благополучия и прав человека;

3) необходимость защиты жизненно важных интересов субъекта персональных данных до момента, когда получение согласия на обработку персональных данных от субъекта персональных данных станет возможным.

В соответствии со ст. 2 Закона «О защите персональных данных» согласие субъекта персональных данных - это любое документированное, в частности письменное, добровольное волеизъявление физического лица в отношении предоставления разрешения на обработку его персональных данных в соответствии со сформулированной целью их обработки. Статьей 6 Закона установлено, что не допускается обработка данных о физическом лице без его согласия, кроме случаев, определенных законом, и только в интересах национальной безопасности, экономического благополучия и прав человека.

Маловероятно, чтобы субъект предпринимательской деятельности подпал под действие второго или третьего основания. Поэтому ему следует настраиваться на необходимость получения согласия.

Как видим, Закон «О защите персональных данных» четко не устанавливает требования относительно формы согласия субъекта персональных данных на их использование. Вместе с тем проект Типового порядка предусматривает, что формами предоставления согласия субъекта персональных данных являются:

а) документ на бумажном носителе с реквизитами, дающий возможность идентифицировать данный документ и физическое лицо. Добровольное волеизъявление субъекта персональных данных удостоверяется его подписью;

б) электронный документ, включая обязательные реквизиты документа, дающие возможность идентифицировать данный документ и физическое лицо. Добровольное волеизъявление физического лица в отношении предоставления разрешения на обработку его персональных данных удостоверяется электронной подписью субъекта персональных данных;

в) отметка на электронной странице документа или в электронном файле, который обрабатывается в информационной системе на основе документированных программно-технических решений, которые, в свою очередь:

- не разрешают обработку персональных данных до того момента, пока субъект персональных данных не выполнит действия, подтверждающие предоставление им соответствующего согласия;

- обеспечивают регистрацию действий субъекта персональных данных и целостность протоколов регистрации таких действий.

Таким образом, для правомерного использования персональных данных лиц в условиях существования данной редакции Закона предприятию или частному предпринимателю следует получить согласие (в письменной или электронной форме) от субъектов персональных данных.

В свою очередь одним из условий предоставления согласия лицом на использование своих персональных данных является информированность такого лица о цели обработки его персональных данных. То есть субъектам предпринимательской деятельности следует сформулировать цель обработки персональных данных в отношении каждой базы данных, которая должна соответствовать целям их деятельности, зафиксированным в их учредительных документах.

При изменении определенной цели обработки персональных данных субъектом персональных данных должно быть предоставлено новое согласие на обработку его данных в соответствии с измененной целью (письмо Минздрава Украины от 01.12.2011 г. N 11-02-09/10-298).

В соответствии со ст. 6 Закона «О защите персональных данных» цель обработки персональных данных должна быть сформулирована в законах, других нормативно-правовых актах, положениях, учредительных или других документах, регулирующих деятельность владельца базы персональных данных, и соответствовать законодательству о защите персональных данных. При этом состав и содержание персональных данных должны быть соответствующими и неизбыточными в отношении определенной цели их обработки. Данное положение означает, что, например, когда предприятие нанимает работницу, информация относительно наличия у нее домашних животных или банковских счетов в Никарагуа (вариант: родственников в Донецкой области) является избыточной для включения ее в базу работников.

Следовательно, в отношении каждой группы персональных данных предприятием должна быть сформулирована своя цель обработки данных. ГСЗПД приводит соответствующие примеры: обеспечение реализации трудовых отношений; административно-правовых (в том числе отношений в сфере государственного управления), налоговых отношений и отношений в сфере бухгалтерского учета; отношений в сфере управления человеческими ресурсами, в частности кадровым потенциалом; отношений в сфере экономических, финансовых услуг и страхования и т. п. На сайте (см. http://www.zpd.gov.ua/index.html) ГСЗПД также привела образец формулировки цели:

«Обработка персональных данных физических лиц осуществляется для обеспечения реализации (указать, каких именно) отношений в соответствии с (перечислить правовые акты, положения, учредительные или другие документы, регулирующие деятельность владельца)».

Таким образом, целью обработки данных, например, в базе данных «Работники» является обеспечение реализации трудовых, административно-правовых и налоговых отношений, а также отношений в сфере бухгалтерского учета, а к соответствующим нормативным положениям можно отнести ст. 24 КЗоТ Украины, п. 2 - 4 Постановления Кабинета Министров Украины от 27.04.93 г. N 301 «О трудовых книжках работников», п. 1.3, 1.4 Инструкции о порядке ведения трудовых книжек работников, утвержденной приказом Минтруда, Минюста, Минсоцзащиты Украины от 29.07.93 г. N 58, совместный приказ Госкомстата Украины и Минобороны Украины от 25.12.2009 г. N 495/656 «Об утверждении типовой формы первичного учета N П-2 "Личная карточка работника"», Положение об автоматизированной базе данных предприятия, утвержденного соответствующим приказом руководителя предприятия.

Естественно, что у предприятия обычно не возникают трудности с получением согласия при получении персональных данных от лиц, которые принимаются на работу. Так, положение о предоставлении согласия субъектом персональных данных на их обработку можно включить, например, в договор гражданско-правового (хозяйственно-правового) характера, в трудовой договор (контракт) или в заявление о приеме на работу.

Проблема заключается скорее в том, как быть с физическими лицами, сведения о которых уже собраны, однако эти лица не предоставили четко выраженное согласие на обработку их персональных данных. Каким образом обязать этих физических лиц предоставить согласие на их обработку?

С одной стороны, Законы «О защите персональных данных» и «Об информации» нигде не предоставляют права использовать (то есть хранить, обрабатывать, передавать и т. п.) персональные данные лица без письменного согласия их субъекта. С другой же - законодательство не дает ответа на вопрос, как урегулировать отношения относительно использования данных, возникших до 01.01.2011 г.

Многие не знают, как действовать в ситуации, когда работник отказался предоставить согласие на использование работодателем - владельцем его персональных данных. Действующее украинское трудовое законодательство, в отличие от законодательства Российской Федерации и европейских стран, не содержит такого основания для увольнения работника, как его отказ от предоставления согласия на обработку собственных персональных данных.

Нет единого мнения и у ГСЗПД. Так, на сайте ГСЗПД содержатся следующие позиции:

1) основанием для возникновения права относительно обработки персональных данных наемных работников является получение согласия работника предприятия, учреждения, организации относительно предоставления разрешения на обработку его персональных данных в соответствии со сформулированной целью их обработки (см. http://www. zpd.gov. ua/index.html);

2) согласие субъекта персональных данных на обработку его персональных данных повторно не предоставляется, если владелец продолжает обрабатывать персональные данные субъекта в соответствии с правоотношениями на основе свободного волеизъявления физического лица, которые возникли до вступления в силу Закона (см. http://www. zpd.gov.uа/index, html).

Последняя позиция соответствует положениям, отраженным в нормах проекта Типового порядка. Следовательно, если получить согласие невозможно, то следует ссылаться на вторую определенную ГСЗПД позицию.

Из-за этой неоднозначности возникает актуальный для предпринимателей вопрос:

нарушает ли законодательство о защите персональных данных работодатель, который заключил трудовой договор с работником, обрабатывает его персональные данные, в том числе передает их государственным страховым фондам, при этом не получив от работника его согласия?

Может ли работник запретить обработку его персональных данных работодателем и обратиться, например, в суд за защитой своего нарушенного права?

По нашему мнению, работодатель, обрабатывая персональные данные своего работника, только реализует свои права и обязанности, возложенные на него законом как на работодателя, поэтому данный случай исходя из принципа разумности должен подпадать под разрешенную обработку на основании закона без согласия субъекта. Однако законодатель не смог закрепить в законе прямое и понятное толкование таких отдельных случаев, в частности, для трудовых правоотношений.

Аналогичная проблема возникает и в случае владения персональными данными физических лиц - предпринимателей для юридических лиц, которые вступили с этими частными предпринимателями в договорные правоотношения, поскольку, как правило, однозначного согласия этих субъектов, в частности - в форме письменного документа, они не получают.

В связи с этим полезным для заимствования является законодательный опыт Европейского союза по поводу критериев законности обработки персональных данных. Напомним, что статья 7 директивы ЕС 95/46 «О защите физических лиц при обработке персональных данных и о свободном перемещении таких данных» определяет, что государства - члены ЕС должны в своем национальном законодательстве предусмотреть, что данные могут обрабатываться при выполнении одного из следующих условий:

- субъект данных недвусмысленно дал свое согласие,

- либо обработка необходима для выполнения контракта, стороной которого является субъект данных, или для принятия мер по просьбе субъекта данных до подписания контракта;

- либо обработка необходима для соблюдения правового обязательства, которым связан контролер;

- либо обработка необходима для защиты жизненно важных интересов субъекта данных;

- либо обработка необходима для выполнения задания, осуществляемого в общественных интересах, или при исполнении официальных полномочий, которыми наделен контролер или третья сторона, которой предоставляются данные;

- либо обработка необходима в целях законных интересов, преследуемых контролером или третьей стороной либо сторонами, для которых предоставляются данные, кроме случаев, когда над такими интересами преобладают интересы основных прав и свобод субъекта данных, требующие защиты в соответствии с Директивой.

Таким образом, директива ЕС, в отличие от украинского закона, содержит более широкий и разумный перечень случаев, когда согласие лица на обработку его данных может не быть получено. Будем надеяться, что законодатель внесет изменения в Закон «О защите персональных данных», заполнив пробелы и устранив его бессмыслицы.

При разработке формы согласия субъекта персональных данных необходимо предусмотреть обобщение всех видов информации в его отношении, которые:

- необходимы для обеспечения реализации определенных отношений,

- должны соответствовать цели обработки персональных данных,

- являются соответствующими и неизбыточными относительно правовых оснований для обработки персональных данных.

Кроме того, согласно требованиям статьи 12 Закона «О защите персональных данных» субъекта персональных данных необходимо в течение десяти рабочих дней со дня включения его персональных данных в БПД исключительно в письменной форме уведомить о его правах, определенных данным Законом.

Согласно ст. 8 Закона субъект персональных данных имеет право, в частности:

- знать о местонахождении базы персональных данных, содержащей его персональные данные, ее назначении, названии;

- получать информацию об условиях предоставления доступа к его персональным данным, в частности информацию о третьих лицах, которым передаются его персональные данные;

- на доступ к своим персональным данным, содержащимся в соответствующей БПД;

- на защиту своих персональных данных от незаконной обработки;

- предъявлять мотивированное требование с возражением против обработки своих персональных данных;

- предъявлять мотивированное требование относительно изменения или уничтожения своих персональных данных каким-либо владельцем или распорядителем данной базы, если эти данные обрабатываются незаконно или являются недостоверными, и т. п.

В принципе, с целью уменьшения бюрократической волокиты пункты с уведомлением о правах субъекта персональных данных целесообразно включить в форму согласия на обработку персональных данных и обязать лиц расписываться о том, что они ознакомлены с правами, определенными Законом.

_____________

* Вдобавок в КУоАП появился штраф за неисполнение законных требований должностных лиц специально уполномоченного центрального органа исполнительной власти по защите персональных данных (ст. 188-40).

"Бухгалтер" N 44, декабрь (II) 2011 г.
Подписной индекс 74201