Защита персональных данных: что, как, зачем
(Часть I см. в консультации от 12.12.2011 г.)
2. Регистрация баз персональных данных
В соответствии со ст. 2 Закона «О защите персональных данных» база персональных данных - это именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных.
С учетом определения персональных данных базой персональных данных будет считаться группа данных о физических лицах, которая имеет конкретные общие признаки и с помощью которых можно идентифицировать каждое отдельное лицо. Например, собранная картотека на всех работников (личные карточки) с указанием их возраста, даты и места рождения, местожительства, идентификационного номера, социального статуса, предоставляющего льготы согласно закону, с точки зрения Закона считается базой персональных данных. Аналогично базой персональных данных является список контрагентов - физических лиц. В контексте определения, приведенного в Законе, базой персональных данных вполне может считаться даже телефонная книга.
Закон сделал три исключения относительно баз данных, на которые не будет распространяться действие Закона о защите персональных данных. Так, согласно ст. 1 Закона действие данного Закона не распространяется на деятельность по созданию баз и обработке данных:
физическим лицом - исключительно для непрофессиональных личных или бытовых нужд;
журналистом - в связи с исполнением им служебных или профессиональных обязанностей;
профессиональным творческим работником - для осуществления творческой деятельности.
Из этого можно сделать вывод, что действие Закона будет распространяться на базы персональных данных, которые используются в коммерческой деятельности.
Интересный вопрос, являются ли отчетность, те или иные формы, которые содержат в себе определенную совокупность сведений о физических лицах, базой персональных данных. У самой ГСЗПД на этот вопрос нет однозначного ответа.
Так, на одной странице ее сайта она рекомендует рассматривать в качестве базы персональных данных или составляющей базы персональных данных кадровую документацию, статистическую, налоговую и другую отчетность в электронной форме и/или в форме картотек, которая составляется работодателем и содержит персональные данные работников (http://www.zpd.gov. ua/indexDovidkaInfo. html - вопрос «Каковы условия обработки персональных данных в базах персональных данных при осуществлении полномочий работодателя в сфере трудовых отношений?»).
Примером базы персональных данных работников или ее составляющей, сформированной работодателем в форме копий заполненных отчетов, являются отчеты, которые представляются работодателями местным органам Государственной службы занятости (исполнительной дирекции Фонда общеобязательного государственного социального страхования Украины на случай безработицы). В частности, отчет формы N 5-ПН, утвержденной приказом Министерства социальной политики Украины от 14.07.2011 N 279 «Об утверждении формы отчетности N 5-ПН «Отчет о принятых работниках» и инструкции по ее заполнению», отчеты формы N 4-ПН (план) и N 4-ПН (факт), утвержденные приказом Министерства труда и социальной политики Украины от 19.12.2005 N 420 «Об утверждении форм отчетности и инструкций по их заполнению». Соответственно, эти же отчеты, по мнению ГСЗПД, должны быть зарегистрированы органами как отдельные базы персональных данных.
На другой же странице сайта (http://www.zpd.gov. ua/indexDovidkaInfo.html - вопрос «Что именно является базой персональных данных и какие базы необходимо регистрировать?») ГСЗПД выражает прямо противоположное мнение и говорит, что разные типы отчетов и форм, которые содержат в себе определенную совокупность сведений о физических лицах, выбранных из баз персональных данных владельца, и которые в соответствии с законом периодически представляются в органы государственной власти, не рассматриваются как отдельные базы персональных данных. Мы считаем такой подход более корректным.
Многие персональные данные содержатся в бумажном виде. Это касается, в частности, кадровой документации. Так, в соответствии со ст. 24 КЗоТ Украины при заключении трудового договора гражданин обязан представить паспорт или другой документ, удостоверяющий личность, трудовую книжку, а в случаях, предусмотренных законодательством, - также документ об образовании (специальности, квалификации), о состоянии здоровья и другие документы. Кроме того, законодательство обязует предприятие и физических лиц - предпринимателей вести личные карточки. Так, действующая форма первичного учета личного состава (типовая форма N П-2) используется предприятиями, учреждениями, организациями и т. п., которые являются юридическими лицами и лицами, занимающимися предпринимательской деятельностью, и на которых распространяется Закон Украины «О государственной статистике» (см. п. 1.6 Инструкции по статистике количества работников, утвержденной приказом Госкомстата от 28.09.2005 г. N 286).
По мнению Госкомстата (см. письмо от 26.02.2010 N 17/1-25/Н-24/10/37), личные карточки по новой форме N 2-П должны вестись на работников, принятых на работу с 1 января 2010 года. Вместе с тем карточки, заведенные по старой форме, следует актуализировать, то есть приложить к ним информацию, которая содержится в типовой форме N П-2, утвержденной совместным приказом Госкомстата и Минобороны N 495/656, но отсутствует в ранее действующей форме (код профессии по Классификатору профессий, место фактического жительства работника, место государственной регистрации и т. п.). Соответствующие сведения можно написать в личной карточке от руки.
Итак, предприятия и физические лица - предприниматели и лица, использующие наемный труд, в соответствии с законодательством ведут личные карточки по форме N П-2. А такая собранная картотека в соответствии с Законом N 2297-VI считается базой персональных данных, которую тоже следует зарегистрировать.
Часто для систематизации данных субъектами предпринимательской деятельности используется база 1С, которая представляет собой автоматизированную программу, обрабатывающую введенные в нее данные по избранным задачам и целям. Относительно данной базы у контролирующего органа позиция такова, что регистрироваться должна не сама 1C, а все базы данных, содержащиеся в ней. Например, если в 1C есть база по контрагентам и база по работникам, то в данном случае следует зарегистрировать отдельно две базы данных: базу по контрагентам и базу по работникам. 1C с этой точки зрения выступает в качестве способа обработки данных в разных базах персональных данных, а не самой базой данных.
На наш взгляд, в каждом конкретном случае именно субъект хозяйствования решает вопрос относительно того, является та или иная совокупность персональных данных базой данных или ее составляющей. Это подчеркивает и ГСЗПД на своем сайте в ответе на вопрос «Что именно является базой персональных данных и какие базы необходимо регистрировать?».
Естественно, что с целью экономии сил дробить персональные данные на предприятии, выделяя при этом большое количество баз данных, нецеле-сообразно. С практической точки зрения логично сгруппировать их в большие базы данных по наиболее общему признаку. Например, можно выделить следующие базы данных, существующие на каждом предприятии: «Работники», либо «Кадровый учет», «Физические лица, персональные данные которых обрабатываются в ходе ведения хозяйственной деятельности», либо «Клиенты» и «Контрагенты». В принципе, можно рискнуть и создать одну глобальную базу, например «Физические лица, персональные данные которых обрабатываются в ходе ведения хоздеятельности (осуществления хозяйственных, финансовых, трудовых и прочих правоотношений)».
Кроме того, количество баз данных определяется одинаковой целью их обработки для обеспечения реализации определенных отношений. Так, определенная база персональных данных может использоваться на предприятии по частям и на разных носителях (электронные и бумажные). При наличии разных составляющих (например, картотеки личных карточек по ф. N П-2, трудовых книжек, личных дел и персональных данных работников в автоматизированной системе «Учет кадров», которая применяется на предприятии), но одинаковой цели обработки (обеспечение реализации трудовых отношений, управления кадровым потенциалом) такие сведения должны рассматриваться как единая база персональных данных и информация по ней в таком случае будет регистрироваться под одним названием. В вышеприведенном случае база данных считается базой персональных данных, к которой применен смешанный, то есть автоматизированный и неавтоматизированный, способ обработки данных.
Еще одним интересным вопросом является вопрос относительно необходимости регистрации баз данных филиалами предприятия. ГСЗПД разъясняет, что если субъект хозяйствования имеет обособленные структурные подразделения, расположенные за пределами мест нахождения такого субъекта, базы персональных данных имеют одинаковое название и к их ведению применяются требования одних и тех же нормативно-правовых актов, в частности и локальных актов владельца базы данных, то такие базы данных не нужно отдельно регистрировать. В случае если базы персональных данных предприятия и его обособленного структурного подразделения имеют разные наименования, и/или их ведение регулируется разными нормативными актами, и/или структурное подразделение является отдельным юридическим лицом, то базы обособленных подразделений должны регистрироваться как отдельные базы персональных данных конкретного обособленного структурного подразделения.
Порядок регистрации
Напомним, что регистрация баз персональных данных формально началась с 01.07.2011 г. Порядок их регистрации регулируется Законом «О защите персональных данных» и Положением о Государственном реестре баз персональных данных и порядке его ведения, утвержденным Постановлением Кабинета Министров Украины от 25.05.2011 N 616 (далее - Положение). По мнению ГСЗПД, регистрация баз персональных данных помогает:
- владельцам - быть осведомленными и тщательно исполнять требования законодательства;
- субъектам персональных данных - на основе анализа полученной информации о том, хранятся ли его персональные данные в базе данных конкретной компании, и категорий таких данных корректно формулировать запросы и жалобы;
- уполномоченному государственному органу по вопросам защиты персональных данных - следить за ситуацией, использовать записи о зарегистрированных базах персональных данных для проведения выездных и безвыездных проверок владельцев и распорядителей баз персональных данных.
Важно, что регистрация базы данных осуществляется по заявочному принципу и является бесплатной для владельцев баз персональных данных. Кроме того, следует учитывать, что при регистрации базы персональных данных сама база данных органу не представляется, а регистрируются только факт ее наличия в учреждении и название.
Заявление о регистрации базы персональных данных подается владельцем базы персональных данных в ГСЗПД в отношении каждой базы данных, находящейся во владении заявителя.
Заявление о регистрации базы персональных данных подается согласно Порядку подачи заявлений о регистрации базы персональных данных и о внесении изменений в сведения Государственного реестра баз персональных данных, утвержденному приказом Министерства юстиции Украины от 08.07.2011 N 1824/5, и должно содержать информацию о владельце и распорядителях базы персональных данных, информацию о базе данных и месте ее нахождения, а также подтверждение обязательства по исполнению требований законодательства относительно защиты персональных данных (ч. 3 ст. 9 Закона «О защите персональных данных»)*.
О каждом изменении сведений владелец базы персональных данных обязан не позже чем в течение десяти рабочих дней со дня наступления такого изменения уведомлять уполномоченный государственный орган по вопросам защиты персональных данных путем подачи заявления о внесении изменений в сведения Государственного реестра баз персональных данных. Таким образом, уведомлять ГСЗПД нужно не об изменении самого наполнения базы (например, если предприятие вступило в трудовые отношения с Петровым и обрабатывает его данные или прекратило отношения с Ивановым), а об изменении той информации, которая касается самой базы: названия, местонахождения, цели, владельце/распорядителе базы данных и т. п.
Заявление подается на государственном языке в бумажной форме (желательно с предоставлением электронной копии) или в форме электронного документа в соответствии с требованиями Законов «Об электронных документах и электронном документообороте» и «Об электронной цифровой подписи».
ГСЗПД рассматривает заявление и принимает решение в течение 10 дней с момента получения заявления. Владельцу базы персональных данных выдается документ установленного образца о регистрации базы персональных данных в Государственном реестре баз персональных данных - свидетельство о регистрации. На каждую базу данных выдается отдельное свидетельство о регистрации.
ГСЗПД отказывает в регистрации базы персональных данных, если заявление о регистрации не соответствует требованиям ч. 3 ст. 9 Закона Украины «О защите персональных данных» или в случае, когда представленные в соответствии с п. 7 Положения сведения являются неполными или недостоверными.
3. Обеспечение системы зашиты персональных данных
Для обеспечения исполнения требования о защите персональных данных субъект предпринимательской деятельности должен:
1) создать действенную систему управления персональными данными и организовать их обработку в соответствии с Законом.
Для этого владельцу данных следует:
- определить структурное подразделение или ответственное лицо, которое будет организовывать работу, связанную с защитой персональных данных при их обработке, в соответствии с законодательством Украины, регулирующим его деятельность, и/или его учредительными документами. При этом физические лица обеспечивают защиту персональных данных в базах персональных данных, которыми они владеют, лично;
- принять внутренние документы относительно организации системы управления обработкой данных на предприятии, порядка обработки персональных данных (проект Типового порядка предусматривает, что владельцу персональных данных следует утвердить процедуры (методические рекомендации и правила и т. п.) и в отношении системы защиты персональных данных);
2) провести подробный анализ угроз персональным данным и других факторов, влияющих на уровень риска. А уже на основании анализа рисков решить, какой уровень защищенности базы персональных данных является необходимым для создания условий защиты персональных данных. Так, к условиям защиты персональных данных в электронном виде можно отнести введение конфиденциальных ключей доступа, установление специальных программ и т. п. К условиям защиты персональных данных, содержащихся в картотеках, можно отнести установление сейфов для хранения картотек, передачу картотек персональных данных на хранение в сейфы банков, нотариусам и т. п.
Кроме того, внутренними документами следует регламентировать использование персональных данных, доступ к персональным данным третьих лиц, передачу персональных данных третьим лицам. Необходимо внести изменения в должностные инструкции лиц, которые обрабатывают персональные данные физических лиц, относительно возложения на них ответственности за надлежащую обработку персональных данных в соответствии с целью и относительно неразглашения персональных данных третьим лицам без разрешения субъекта персональных данных.
Советуем утвердить эти должностные инструкции в новой редакции, но не будет ошибочным и внесение определенных изменений в существующие должностные инструкции.
В связи с появлением новых законодательных требований кадровая и другие службы приобретают новые обязанности и ответственность, которые вводятся с целью приведения порядка обработки персональных данных и документации учреждения в полное соответствие с требованиями Закона «О защите персональных данных».
Подытожим все вышесказанное. Алгоритм внедрения субъектом предпринимательской деятельности требований Закона должен выглядеть приблизительно так:
1) издание приказа по предприятию относительно приведения процессов и процедур обработки персональных данных в соответствие с требованиями законодательства;
2) создание специального отдела или назначение лица, которое будет организовывать работу, связанную с защитой персональных данных, утверждение внутренних документов, которые будут регламентировать работу отдела или ответственного лица;
3) утверждение Положения о порядке обработки и защиты персональных данных на предприятии. Указанное Положение на усмотрение владельца баз персональных данных может быть разработано по каждой из баз данных, которая существует на предприятии и представлена на регистрацию; в то же время может быть разработано общее Положение (обо всех базах персональных данных). В таком случае в Положении необходимо привести перечень баз персональных данных на предприятии, а по каждой из них указать:
I. цель и правовые основания для обработки персональных данных;
II. распорядителя (при наличии) и третьих лиц;
III. перечень персональных данных, которые будут обрабатываться, их составляющие (при наличии) и первичные источники сведений о физическом лице (ч. 4 ст. 6 Закона);
IV. порядок обработки персональных данных: сбора, накопления, периодичности обновления, хранения, использования, распространения, обезличивания и уничтожения персональных данных (с учетом требований ст. 10-15 Закона);
V. перечень должностей, исполнение профессиональных обязанностей по которым связано с обработкой определенных персональных данных, определить порядок их доступа к персональным данным (с учетом требований ст. 16 Закона);
4) получение документированного согласия на обработку персональных данных от работников, принятых на работу в учреждение после 01.01.2011 г., и, по возможности, у физконтрагентов. Подчеркиваем, что дата получения согласия физических лиц должна предшествовать дате регистрации указанной базы данных в Реестре, а в дальнейшем - совпадать с датой приема физлица на работу / заключения договора;
5) письменное уведомление физических лиц об их правах относительно защиты персональных данных, предусмотренных ч. 2 ст. 8 Закона;
6) регистрация баз персональных данных предприятия в ГСЗПД;
7) получение письменных обязательств работников, связанных с обработкой персональных данных, относительно недопущения каким-либо образом разглашения персональных данных, которые им были доверены или которые стали известны в связи с исполнением профессиональных или служебных либо трудовых обязанностей;
8) внесение изменений в должностные инструкции работников, исполнение профессиональных обязанностей которых связано с обработкой персональных данных;
9) внесение изменений в Номенклатуру дел предприятия. Принимая во внимание то, что личные дела ведутся не на всех работников, а также то, что приобщение согласий и уведомлений субъектов персональных данных к личным делам не предусмотрено основным нормативно-правовым актом, регламентирующим ведение личных дел работников (то есть Правилами работы архивных подразделений органов государственной власти, местного самоуправления, предприятий, учреждений, организаций, утвержденными приказом Государственного комитета архивов Украины от 16.03.2001 N 16, с изменениями и дополнениями), рекомендуем сформировать отдельные дела относительно хранения вышеназванных документов:
- согласия субъектов персональных данных на обработку их персональных данных;
- уведомления субъектов персональных данных об их правах относительно защиты персональных данных. По решению руководителя учреждения или на предприятиях с небольшой численностью работающих эти дела могут быть объединены;
- письменные обязательства работников, связанных с обработкой персональных данных, относительно недопущения разглашения персональных данных;
- свидетельства о государственной регистрации баз персональных данных и изменений к ним.
Срок хранения этих документов советуем обозначить так: «Пока не отпадет необходимость»**. Обращаем внимание на то, что п. 3 ст. 15 Закона гласит:
«Персональные данные, собранные с нарушением требований настоящего Закона, подлежат уничтожению в базах персональных данных в установленном законодательством порядке».
В общем, цели и средства понятны; за защиту, товарищи!
___________________
* В п. 7 Положения о Государственном реестре баз персональных данных и порядке его ведения, утвержденного Постановлением Кабинета Министров Украины от 25.05.2011 N 616, указано, что заявление должно содержать:
- обращение о внесении базы персональных данных в Реестр;
- информацию о владельце базы персональных данных: (наименование, резидент/нерезидент, код плательщика налогов согласно ЕГРПОУ или налоговый номер (для резидента), местонахождение - для юридических лиц; фамилию, имя и отчество (при наличии), гражданство, номер, серия паспорта и орган, который его выдал, а также для граждан Украины регистрационный номер учетной карточки плательщика налогов (не представляется физическими лицами, которые по своим религиозным убеждениям отказались от присвоения регистрационного номера учетной карточки плательщика налогов и официально уведомили об этом соответствующие органы государственной власти, что подтверждается отметкой в паспорте), местожительство - для физических лиц);
- информацию о наименовании и местонахождении базы персональных данных (адрес фактического размещения - для баз данных в форме картотек; фактические адреса хранения носителей информации - для баз данных в электронной форме);
- информацию о цели обработки персональных данных в базе персональных данных со ссылкой на нормативно-правовые акты, положения, учредительные или другие документы, регулирующие деятельность владельца базы персональных данных, в том числе об их категориях и правовых основаниях такой обработки;
- информацию о других распорядителях баз персональных данных (наименование, резидент/ нерезидент, код плательщика налогов согласно ЕГРПОУ или налоговый номер (для резидента), местонахождение - для юридических лиц; фамилия, имя и отчество (при наличии), гражданство, номер, серия паспорта и орган, который его выдал, а также для граждан Украины регистрационный номер учетной карточки плательщика налогов (не представляется физическими лицами, которые по своим религиозным убеждениям отказались от присвоения регистрационного номера учетной карточки плательщика налогов и официально уведомили об этом соответствующие органы государственной власти, что подтверждается отметкой в паспорте), местожительство - для физических лиц);
- документ, подтверждающий обязательство по исполнению требований законодательства относительно защиты персональных данных.
** «Доки не мине потреба».
"Бухгалтер" N 47, декабрь (III) 2011 г.
Подписной индекс 74201