Исполнение требований Закона «О защите персональных данных»

21 ноября 2011 года Государственная служба Украины по вопросам защиты персональных данных (далее – Госслужба) разместила на своем официальном веб-сайте комментарий к Закону Украины «О защите персональных данных» № 2297-VI от 1 июня 2010 года (далее – Закон). По мнению Госслужбы, каждая компания является владельцем как минимум двух баз персональных данных:

1. базы персональных данных сотрудников (ведется с целью обеспечения требований трудового законодательства, реализации налоговых отношений и отношений в сфере бухгалтерского учета и
аудита);

2. базы персональных данных клиентов или других лиц (ведется с целью обеспечения хозяйственной деятельности).

Более того, Госслужба подчеркивает, что упомянутый Закон не предусматривает исключений из обязанности владельца баз данных зарегистрировать свои базы персональных данных (БПД).

Отношения с физическими лицами

Давайте сравним, насколько сложно на практике исполнить обязанности компании как владельца БПД сотрудников перед своими сотрудниками и как владельца БПД клиентов (контрагентов) перед физическими лицами – клиентами (контрагентами).

Обеспечить требования Закона в отношении сотрудников компании намного проще, чем в отношении клиентов компании, контрагентов, респондентов и прочих внешних субъектов персональных данных. И вот почему.

Два основных шага, которые следует предпринять каждому владельцу БПД в отношении физических лиц, – это (1) получение согласия каждого лица на обработку его персональных данных и (2) уведомление каждого лица о его правах, цели обработки данных и третьих лицах – получателях персональных данных.

Проблемы получения согласия на обработку персональных данных

Итак, согласие лица на обработку его персональных данных нужно получить до начала обработки персональных данных в письменном или электронном виде, в соответствии с определенной целью обработки персональных данных (ст. 2 Закона). В отношении сотрудников получение согласия не составляет труда, поскольку работодатель имеет прямой ежедневный контакт с абсолютным большинством персонала.

Кроме того, согласие работника на обработку его персональных данных не всегда является единственным основанием для обработки таких данных. В некоторых случаях законодательство предусматривает определенный минимум информации, который необходимо получить работодателю от сотрудника для реализации трудовых правоотношений. В этом случае в соответствии с п. 2 ч. 1 ст. 11 Закона основанием возникновения права на использование персональных данных будет разрешение на обработку персональных данных, предоставленное владельцу базы персональных данных в соответствии с законом исключительно для осуществления его полномочий. Например, согласно ч. 2 ст. 24 КЗоТ при заключении трудового договора гражданин обязан подать паспорт или другой документ, удостоверяющий личность, трудовую книжку, а в случаях, предусмотренных законодательством, – также документ об образовании (специальности, квалификации), о состоянии здоровья и другие документы. Иными словами, если работник не дал своего согласия на обработку своих персональных данных, работодатель может продолжать обрабатывать необходимый минимум информации, который предусмотрен трудовым и налоговым законодательством.

В отношении внешних субъектов персональных данных процесс получения согласия на обработку данных может быть затруднен: не все клиенты регулярно контактируют с владельцем БПД, многие вообще заказывают услуги только через Интернет. И данная тенденция дистанционных отношений в современном мире будет только усиливаться. Потребности и технологии диктуют свое: оперативность, автоматизация и дистанционность торговли/услуг и прочих бизнес-процессов.

Поэтому, исходя из нашего практического опыта, зачастую получить согласие лица на обработку его персональных данных возможно только в электронном виде. Оптимальным способом является техническое решение «галочка о согласии» (англ. – check-box), которое препятствует компании собирать персональные данные до момента получения утвердительной отметки на веб-сайте.

Письменное уведомление лица – ключевая проблема для многих компаний

Что касается вышеупомянутого уведомления лица, то в соответствии с ч. 2 ст. 12 Закона субъект персональных данных в течение десяти рабочих дней со дня включения его персональных данных в базу персональных данных уведомляется о своих правах, определенных настоящим Законом, цели сбора данных и лицах, которым передаются его персональные данные, исключительно в письменной форме. Уведомить сотрудников в письменной форме не является проблематичным, а вот как быть с клиентами, с которыми нет прямого или регулярного контакта. Наверное, вы скажете «отправить письменное уведомление по почте» и будете правы.

Но остается нерешенным вопрос, что делать, если местонахождение физического лица или его почтовый адрес неизвестен? И таких примеров можно привести огромное количество: рекрутинговая компания получила резюме по электронной почте, где нет данных о фактическом адресе соискателя работы; клиент заказал товар в интернет-магазине, но выдача товара будет на складе курьерской службы; лицо заполнило анкету участника конкурса, который проводится онлайн; участник социальной (профессиональной) сети зарегистрировал свою персональную страничку/блог/профайл.

В каждом отдельном случае следует более подробно разработать юридическую стратегию защиты интересов владельца БПД, включая возможные способы защиты от недобросовестных субъектов персональных данных и от привлечения к административной ответственности в виде штрафа (до 6800 грн.). К сожалению, письменное уведомление не является обязательным только в одном случае – когда сбор информации производится из общедоступных источников (ч. 3 ст. 12 Закона). Задача правоприменительной практики – определить, что следует подразумевать под такими источниками. Призыв к законодателю – пересмотреть формулировку ч. 2 ст. 12 Закона, устанавливающую только письменную форму уведомления, поскольку данная норма не вписывается в рамки современной жизни и потребностей бизнеса.

Комплексный подход к защите персональных данных не ограничивается регистрацией БПД

Статья 9 Закона требует провести регистрацию базы персональных данных. Регистрация проводится в соответствии с постановлением Кабинета Министров Украины от 25.05.2011 г. № 616, которым утверждено Положение о государственном реестре баз персональных данных и порядке его ведения, и приказом Министерства юстиции Украины от 08.07.2011 г. № 1824/5, которым утверждены формы заявлений о регистрации базы персональных данных и о внесении изменений в ведомости Государственного реестра баз персональных данных, а также утвержден порядок их подачи.

Еще одной основополагающей задачей каждого предприятия является формирование цели обработки персональных данных.

Кроме вышеупомянутых действий, каждое предприятие должно письменно сформулировать и утвердить цель обработки персональных данных в своих внутренних документах (ч. 1 ст. 6 Закона). В случае если компания имеет несколько баз данных, то каждая из них предполагает наличие отдельной цели обработки персональных данных.

Наш практический опыт подсказывает, что локальный акт компании относительно защиты персональных данных должен отображать не только вопрос о цели обработки данных, но и более подробно регламентировать сами процедуры обработки и защиты данных. С принятым локальным актом рекомендуем ознакомить сотрудников, чья работа связана с обработкой персональных данных. Считаем, что это повысит их уровень осведомленности об указанных информационных правоотношениях, равно как и степень ответственности при работе с доступными им персональными данными.

Согласно ч. 5 ст. 24 Закона на предприятиях всех форм собственности определяется структурное подразделение или ответственное лицо, организующее работу, связанную с защитой персональных данных при их обработке, в соответствии с законом. Назначить конкретно работника или уполномочить специальный отдел заниматься вопросами защиты персональных данных можно принятием приказа. По нашему мнению, такие функции целесообразно возложить на IT-отдел или кадровую службу.

ВЫВОД: Изложенный комплексный подход позволит обеспечить защищенность компании от возможных притязаний как со стороны субъектов персональных данных, так и со стороны Государственной службы Украины по вопросам защиты персональных данных.

Вернуться к списку

Защита персональных данных: насколько вы подготовлены

25 мая в Европе вступает в силу Общий регламент по защите персональных данных (GDPR). Как не подставить компанию под удар и проверить, готовы ли вы к нему?

В полном непредвиденных ситуаций мире для достижения долгосрочного успеха компаниям необходимо выстраивать инфраструктуру, обеспечивающую чувствительность и устойчивость к рискам. Соблюдение требований законодательства по защите персональных данных является неотъемлемой частью комплаенса, поскольку способствует своевременному выявлению регуляторных рисков и принятию соответствующих решений по их минимизации.

25 мая 2018 года вступает в силу Общий регламент по защите персональных данных (Регламент, GDPR). Действие Регламента направлено на защиту персональных данных физических лиц и требует принятия дополнительных мер для обеспечения их безопасности.

Многие концепции GDPR основываются на положениях действующей Директивы (Data Protection Directive), поэтому если вы придерживаетесь действующего законодательства, то большинство из подходов останутся неизменными и станут основой для внедрения соответствующих изменений. Но все же Регламент содержит и нововведения, среди которых крупные штрафы за нарушение законодательства.

Итак, с чего начать? В первую очередь необходимо определить, применяется ли Регламент к вашей компании. Затем проанализируйте, какие данные вы обрабатываете, какие системы сбора, хранения и обработки персональных данных вы используете. Исходя из этого, оцените риски и обозначьте для себя ваши проблемные точки (red flags) . Следующий шаг — это разработка и внедрение внутренних политик по защите персональных данных, что включает в себя: разработку внутренних документов, назначение уполномоченного лица и информирование сотрудников о порядке обращения с персональными данными (ознакомление с внутренними процедурами, проведение плановых тренингов, пр.).

Регламент уже вызвал много противоречий и поднял ряд вопросов, и один из самых важных — это, безусловно, какие документы необходимы для соблюдения требований GDPR.

Если вы используете социальные сети и мессенджеры, то уже наверняка видели всплывающие окна с уведомлениями о смене правил компании и запросами на ваше согласие. Но достаточно ли таких уведомлений для выполнения требований нового законодательства?

В соответствии с Регламентом в компании должен быть утвержден ряд документов, регулирующий внутренние процессы в части защиты персональных данных. Политика по защите персональных данных является основным внутренним документом компании. Её наличие является огромным преимуществом, поскольку позволяет сотрудникам вашей компании быть осведомлёнными и надлежащим образом выполнять требования Регламента. Политика регулирует процесс обработки персональных данных и содержит основные элементы такие, как:

  • цель (т.е. для чего предназначена настоящая политика в компании);
  • основные термины (например, персональные данные и их категории);
  • принципы и цель обработки (часть политики, отвечающая на вопрос, в рамках какой деятельности компании осуществляется сбор и обработка персональных данных);
  • ответственные и их обязанности (например, назначение ответственного сотрудника или же передача функционала на аутсорсинг);
  • контроль по соблюдению политики (устанавливает необходимые меры, принимающиеся компанией для соблюдения законодательства).

Не менее значимым является согласие на обработку персональных данных. В соответствии с пунктом 11 статьи 4 Регламента согласие субъекта персональных данных означает любое предоставленное по своему усмотрению, конкретное и однозначное указание желания субъекта персональных данных, посредством которого он или она заявляет или четким утвердительным действием дает согласие на обработку своих персональных данных.

Еще один документ — это уведомление о конфиденциальности, например, сообщение, публикуемое на вашем сайте, которое простыми словами объясняет, каким образом вы обрабатываете персональные данные ваших клиентов и третьих лиц.

Среди остальных обязательных документов Регламент предусматривает: уведомление о конфиденциальности для сотрудников, политика о хранении персональных данных (описывает процесс хранения данных, сроки и каким образом данные будут удалены); реестр персональных данных, уведомление о нарушении и пр.

Законодатель также устанавливает перечень документов, необходимых при определенных обстоятельствах, например, стандартные договорные положения для передачи персональных данных контролеру/процессору (обязательно при условии передачи данных контролеру/процессору за пределы Европейской Экономической Зоны).

Следует обратить внимание и на инструменты, не предусмотренные GDPR, но полезные для эффективного внедрения системы по защите персональных данных в вашей компании. К таким можно отнести: политику по защите персональных данных для сотрудников (аналогично общей политике по защите персональных данных, но основное внимание уделяется сотрудникам), реестр уведомлений о конфиденциальности (целесообразно в случае, если вы публикуете такие уведомления во многих местах и хотите контролировать процесс их размещения/внесения изменений), проектный план по соблюдению требований GDPR (в случае, если вы являетесь крупной компанией и делегируете обязанности аффилированным лицам, подразделениям); чек-листы с целью проведения внутренних проверок на предмет соответствия законодательству, форму отзыва согласия на обработку (в случае если субъект персональных данных отзывает свое согласие) и другие.

На сегодня Регламент является удобным механизмом, который существенно повышает уровень защиты персональных данных физических лиц. Важной особенностью GDPR является то, что он имеет экстерриториальное действие, и не ограничивается Европейским Союзом. Среди украинских компаний, которые могут попасть под действие GDPR, речь идет о компаниях, которые экспортируют свои товары или услуги физическим лицам на территории ЕС, в том числе онлайн-магазины, туроператоры, транспортные компании, а также компании, которые в ходе осуществления своей деятельности получают доступ к персональным данным субъектов в ЕС (IT, финансовые, фармацевтические и медиакомпании). Украинскому бизнесу также стоит принять во внимание новые требования GDPR и его инновационные положения.

Персональные данные: как работать по закону?

Персональные данные в организации есть всегда. Порой работодатель даже не представляет, как много информации о сотрудниках обрабатывается с нарушением закона. Как правильно организовать работу с персональными данными, как составить внутренние документы, что можно упустить, а что учесть обязательно? Читайте консультацию-памятку от эксперта трудового права Анны Никурадзе.

Ошибки в работе с персональными данными чаще всего случаются по незнанию, а не из-за попытки обойти нормативные требования. Вот самый распространенный пример: будущий работник подает пакет документов по списку, куда входит ИНН или справка о составе семьи. Принимая такие документы, работодатели не берут согласия на их обработку, поскольку думают, что в этом нет необходимости, чем невольно нарушают закон. Но если вы вооружены достаточными знаниями, административных рисков можно избежать.

Для начала разберемся, какие сведения о работниках считаются персональными данными: любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Такое определение дано в п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее Закон N 152-ФЗ):

То есть, к персональным данным относят:

  • фамилию, имя, отчество, дату и место рождения;
  • сведения об образовании (в том числе послевузовском профессиональном) — номера дипломов, названия образовательных организаций, квалификацию, присвоенную гражданину, ученую степень и пр.;
  • семейное, социальное и имущественное положение работника;
  • профессию и места работы;
  • любые документы, которые содержат вышеперечисленные данные;
  • документы, содержащие сведения о членах семьи и иных третьих лицах;

Кроме этого, персональные данные содержатся в документах, обязательно предъявляемых при трудоустройстве. Их перечень указан в ст. 65 Трудового кодекса РФ и эта статья позволяет работодателю принимать и обрабатывать перечисленные в ней документы без предварительного согласия.

Некоторые работодатели (видимо, по старой привычке) до сих пор требуют фото для вклеивания в личную карточку Т2, однако не спрашивают официального согласия работника. Есть мнение, что фотография не относится к персональным данным, но с этим можно поспорить. Ведь законодатель говорит, что персональными данными считаются любые сведения , позволяющие идентифицировать определенного человека, даже без использования его имени, фамилии и даты рождения. Таким образом, если специалист запрашивает фото работника, об этом обязательно надо упомянуть в письменном согласии на обработку персональных данных, с указанием целей обработки.

Возможно, прочитав предыдущие утверждения, вы сделали вывод, что персональные данные — это вся информация, которую человек предоставляет о себе, и обрабатывать ее можно только с его письменного разрешения.

Однако мы помним, что законодатель все же идет навстречу оператору и оговаривает возможность не брать согласие на обработку сведений, перечисленных в ст. 65 ТК РФ. Но в этот список не входят справки о составе семьи, ИНН, справки о состояния здоровья.

Так, в момент приема на работу некоторые компании запрашивают ИНН сотрудника, поскольку он понадобится для отчетности и закон периодически требует включать их в отчетные формы. Для того чтобы оформить человека на должность, и в дальнейшем поддерживать с ним трудовые отношения, ИНН не требуется. Поэтому если организации все-таки нужны эти данные, обязательно следует получить письменное согласие работнику.

Что еще должен делать работодатель при обработке персональных данных?

Согласно п. 7 ст. 86 Трудового кодекса РФ, работодатель обязан обеспечить за счет своих средств защиту персональных данных работника от неправомерного использования или утраты, а также выполнять установленный законом порядок их использования и хранения.

Исходя из указанных требований, работодатель издает локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного использования или утраты. Этот документ должен содержать:

  • описание внешнего и внутреннего доступа к персональным данным;
  • перечень лиц, которым предоставлен такой доступ;
  • ответственность за разглашение сведений;
  • порядок работы с персональными данными;
  • регламент защиты персональных данных (включая защиту от третьих лиц).

С соответствующими положениями и своими правами работники должны ознакомиться под роспись.

Обычно в организации таким локальным нормативным актом признается отдельное Положение о защите персональных данных. Структура его может быть следующей:

1) «Общие положения» – в данном разделе прописываются общие моменты, цели создания документа и сфера его распространения;

2) «Основные понятия» – указываются используемые определения;

3) «Перечень персональных данных и цели обработки» – здесь перечисляется, какие сведения могут быть использованы оператором

4) «Обработка персональных данных» – в этом разделе следует указать, какие условия должны быть соблюдены при обработке персональных данных работника;

5) «Передача персональных данных» – тут необходимо отразить порядок передачи персональных данных работников внутри организации, а также сторонним лицам и государственным органам;

6) «Доступ к персональным данным» — в указанном разделе будет прописан порядок доступа к персональным данным – внешний (передача информации третьим лицам) и внутренний (обработка персональных данных внутри компании);

7) «Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных» — здесь будет расписана дисциплинарная и материальная ответственность лиц, работающих с персональными данными;

8) «Угрозы безопасности» – в этом разделе описывается модель и степень угрозы, а также что предпринимается для защиты персональных данных;

8) «Заключительные положения» – сюда включаются положения о вступлении в силу акта, длительность его действия, и порядок его изменения.

Как защитить персональные данные сотрудников

Работодатель обязан создать все условия для защиты персональных данных: систему, которая обеспечивает конфиденциальность, недоступность, а также целостность и безопасность информации в процессе деятельности компании.

Закон предусматривает внутреннюю и внешнюю защиту.

  • Для обеспечения внешней защиты персональных данных работников компания может, например, ввести пропускной режим для посетителей и использовать программно-технический комплекс защиты информации на электронных носителях.
  • Для обеспечения внутренней защиты персональных данных компания может установить регламент состава работников, чьи функциональные обязанности требуют доступа к персональным данным других работников. При этом следует избирательно и обоснованно распределить документы и информацию, содержащую персональные данные, между лицами, уполномоченными на работу с такими данными, и оборудовать рабочие места таким образом, чтобы не было возможности беспрепятственно проникнуть и «подсмотреть» информацию, и так далее.

Комплекс защитных мер зависит от уровня угрозы безопасности. Чем уровень выше, тем больше действий необходимо предпринимать.

Выделяют три типа угроз, которые создают актуальную опасность несанкционированного доступа к персональным данным при их обработке в информационной системе. Тип угрозы, характерный для информационной системы, работодатель определяет самостоятельно. Исходя из этого, применяется один из четырех уровней защиты.

Состав и содержание мер по обеспечению безопасности персональных данных для каждого уровня защиты определены Приказом ФСТЭК России от 18.02.2013 N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Обеспечение достойного уровня безопасности включает множество различных требований, которые надо строго соблюдать.

Так, чтобы обеспечить минимальный (четвертый) уровень защиты персональных данных работников, необходимо:

  • обезопасить от неконтролируемого проникновения помещения, в которых установлена информационная система;
  • обеспечить сохранность носителей персональных данных;
  • защитить информацию с помощью средств, прошедших процедуру оценки соответствия;
  • издать приказ (распоряжение) в произвольной форме с перечнем работников, имеющих в силу трудовых обязанностей доступ к персональным данным в информационной системе.

Персональные данные потенциальных сотрудников: как поступать с кандидатами

Еще один интересный вопрос связан с персональными данными соискателей: какие действия разрешены работодателю, когда люди приходят на собеседования?

Резюме считается общедоступной информацией, и при его использовании не нужно письменное согласие. Но если соискатель заполняет анкету с указанием личных данных и специалист службы персонала снимает копии с документов (паспорт, диплом и т.п.), письменное согласие брать обязательно.

В заключение хотелось бы подчеркнуть, что работа с персональными данными — это высочайший уровень ответственности. Не стоит пренебрегать правилами и недооценивать важность получения согласия и формирования защиты. Кроме того помните, что сейчас трудовая инспекция особенно строго следит за соблюдением трудового законодательства довольно тщательно и не упускает ни одну из нормативных сфер. Один короткий документ, полученный от работника или кандидата, обезопасит вас от административной ответственности.

Анна Никурадзе, старший юрист Департамента трудового права Института профессионального кадровика

Персональные данные сотрудников: что важно знать кадровику

08.01.2015 17013 0 0

Из этой статьи вы узнаете: какие обязанности возложены на работодателя, у которого хранятся персональные данные его сотрудников, и что ему грозит в случае утечки этой информации.

Что можно сделать на практике. Пользуясь нашей консультацией, разработать и внедрить на предприятии ряд документов, касающихся защиты персональных данных работников предприятия.

Нормативная база

С 1 января 2014 года для большинства субъектов хозяйствования работа с персональными данными физлиц существенно упростилась – благодаря изменениям, внесенным в законодательство. Тем не менее требования о защите персональных данных остались. Их несоблюдение грозит довольно серьезными санкциями. В консультации мы рассмотрим, как работодатель должен «обращаться» с персональными данными наемных работников.

Какими документами следует руководствоваться при работе с персональными данными сотрудников предприятия?

Главный документ – это Закон от 01.06.10 г. № 2297-VI «О защите персональных данных» (далее – Закон № 2297). Также надо учитывать требования нескольких документов, утвержденных Уполномоченным Верховной Рады по правам человека (далее – Уполномоченный) приказом от 08.01.14 г. № 1/02-14 (далее – Приказ № 1/02-14), в частности Типового порядка обработки персональных данных (далее – Типовой порядок).

Также рекомендуем вам обратить внимание:

  • на разъяснения Уполномоченного от 08.01.14 г. к документам, утвержденным Приказом № 1/02-14;
  • письмо Уполномоченного от 03.03.14 г. № 2/9-227067.14-1/НД-129 (далее – Письмо № 129 ).

Напомним, что с января 2014 года все полномочия по контролю в сфере защиты персональных данных переданы Уполномоченному. А раньше вопросами защиты персональных данных занималась Государственная служба по вопросам защиты персональных данных, которая теперь ликвидирована (постановление КМУ от 10.09.14 г. № 442).

Что считается обработкой персональных данных?

В ст. 2 Закона № 2297 сказано, что это любое действие или совокупность действий, таких как сбор, регистрация, накопление, хранение, адаптирование, изменение, восстановление, использование и распространение (реализация, передача), обез-личивание, уничтожение персональных данных, в том числе с использованием информационных (автоматизированных) систем. Исходя из этого определения можно заключить, что при выполнении функций работодателя также происходит обработка персональных данных наемных работников.

Действия работодателя

Рассмотрим, какие требования существуют в сфере защиты персональных данных, и расскажем, что именно обязаны делать работодатели, а чего они могут и не делать.

Должен ли работодатель получать разрешение сотрудника на обработку его персональных данных?

На сегодня нет необходимости получать такое разрешение, если работодатель использует персональные данные работников для выполнения своих обязанностей в сфере трудовых правоотношений и обеспечивает защиту таких данных (п. 2 ч. 2 ст. 7, п. 5 ч. 1 ст. 11 Закона № 2297).

В частности, работодатель обязан начислять и вы-плачивать зарплату работникам, начислять на зарплату и удерживать из нее налоги и другие обязательные платежи, составлять и подавать обязательную отчетность, в том числе и в службу занятости. При этом он использует персональные данные работников (фамилия, имя-отчество, должность, семейное положение, наличие детей, их возраст, в определенных случаях – дата рождения самого работника).

Однако учтите, что необходимо получать письменное согласие сотрудника на обработку его персональных данных, касающихся (ч. 1 и п. 1 ч. 2 ст. 7 Закона № 2297):

  • расового или этнического происхождения;
  • политических, религиозных или мировоззренческих убеждений;
  • членства в политических партиях и профессиональных союзах;
  • привлечения к уголовной ответственности;
  • состояния здоровья, половой жизни, биометрических или генетических данных.

Однако при обычном выполнении функций работодателя нет нужды в сборе и обработке таких сведений.

Должен ли работодатель регистрировать свои базы персональных данных?

Сейчас базы персональных данных не регистрируются, но нужно уведомить Уполномоченного об имеющихся базах. Причем не обо всех, а только о тех, что представляют особый риск для прав и свобод субъектов персональных данных (ст. 9 Закона № 2297). Перечень «особо рискованных» данных можно найти в п. 1.2 Порядка уведомления Уполномоченного Верховной Рады Украины по правам человека об обработке персональных данных, представляющих особый риск для прав и свобод субъектов персональных данных, о структурном подразделении или ответственном лице, организующем работу, связанную с защитой персональных данных при их обработке, а также разглашении указанной информации, утвержденного Приказом № 1/02-14.

Как правило, персональные данные сотрудников, которые нужны работодателю для выполнения его обязанностей, касающихся оплаты труда и кадрового делопроизводства, не попадают в этот «рискованный» перечень. Получается, что Уполномоченного уведомлять не нужно.

Но, возможно, персональные данные сотрудников, которые вы используете в своей деятельности, попадают в указанный перечень? Тогда, согласно ст. 9 Закона № 2297, вам необходимо в течение 30 дней с начала использования «рискованных» персональных данных уведомить об этом Уполномоченного. Формы уведомления утверждены Приказом № 1/02-14.

Что должен сделать работодатель, чтобы в соответствии с законом обеспечить защиту персональных данных работников?

Во-первых, приказом утвердить список лиц, которые имеют право доступа к персональным данным сотрудников. В приказе надо определить, какие именно лица из этого списка и для каких целей могут использовать персональные данные работников. То есть четко указать, кто и зачем. Каждый сотрудник имеет доступ лишь к тем персональным данным, которые необходимы ему в связи с выполнением должностных (служебных) обязанностей).

Во-вторых, разработать форму под названием «Обязательство о неразглашении персональных данных». Согласно ч. 3 ст. 10 Закона № 2297, эту форму должны подписать все сотрудники, которые имеют доступ к персональным данным работников предприятия (например, сотрудники бухгалтерии, отдела кадров, члены комиссии по социальному страхованию и т. д.). Срок действия такого обязательства не прекращается даже после прекращения работы с персональными данными (это может быть как увольнение, так и перевод в другое структурное подразделение предприятия, где не придется работать с персональными данными других сотрудников) – ч. 3 ст. 10 Закона № 2297.

Форму надо давать работнику на подпись во время приема на работу (либо перевода из другого отдела, где нет доступа к персональным данным). Датой получения доступа к персональным данным считается дата подписания сотрудником обязательства, а датой лишения такого права считается дата его увольнения (перевода на другую должность, где не будет доступа к персональным данным) – п. 3.8, 3.9 Типового порядка.

Вот как может выглядеть такое обязательство (см. образец 1).

Директору ООО «Снег»Луценко В. Н.
Инспектора по кадрам Ромашкиной М. К.

Обязательство

Я, инспектор по кадрам ООО «Снег» Ромашкина Мария Кирилловна, обязуюсь не разглашать персональные данные сотрудников, которые стали мне известны в связи с выполнением мною должностных обязанностей.

17.11.14 г. (подпись) М. К. Ромашкина

Согласно п. 3.5 Типового порядка, работодатель обязан вести учет работников, имеющих доступ к персональным данным. Для этих целей можно вести на предприятии журнал учета таких работников. Законодательно не установлена форма такого журнала, поэтому заводим его в произвольной форме (например, см. образец 2).

Журнал учета сотрудников, имеющих доступ к персональным данным.

Защита персональных данных: как соблюсти требования закона?

1 января 2011 г. вступил в силу Закон Украины от 01.06.2010 г. № 2297-VI «О защите персональных данных» (далее — закон), в соответствии с которым под понятие «персональные данные» подпадают сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано с их помощью, в том числе домашний и электронный адрес, номера телефонов (мобильного и домашнего) и т.д.

Термин «база персональных данных» также представлен достаточно широко. Это именная совокупность упорядоченных персональных данных в электронной форме и/или в форме карточек персональных данных. В соответствии с определением, к ней могут быть отнесены базы данных сотрудников, клиентов, партнеров предприятия. «Даже визитница и корпоративный телефон подходят под это понятие», — отметил И. Костин. Именно потому этот закон затрагивает каждое предприятие и каждого его сотрудника. Однако для того, чтобы воплотить его положения в жизнь, нужно принять еще много подзаконных нормативно-правовых актов, которые, по мнению докладчика, будут изданы уже во второй половине 2011 г.

И. Костин отметил, что законом запрещена обработка персональных данных о расовом или этническом происхождении; политических, религиозных или мировоззренческих убеждениях; членстве в политических партиях и профессиональных союзах; данных, которые касаются здоровья или половой жизни. Однако эти положения не применяются в ряде исключений, например: если обработка персональных данных совершается при условии предоставления субъек­том персональных данных однозначного согласия на их обработку; необходима в целях здравоохранения, для обеспечения заботы или лечения при условии, что такие данные обрабатываются медицинским работником или другим лицом учреждения здравоохранения, на которого возложены обязанности относительно обеспечения защиты персональных данных; если такие данные были обнародованы самим субъектом.

Законом предусмотрено, что база персональных данных подлежит обязательной регистрации путем направления уведомления уполномоченному органу. При этом срок ее регистрации составляет 10 рабочих дней. Заявление о регистрации базы персональных данных должно содержать такие сведения:

  • обращение о регистрации;
  • информация о владельце;
  • наименование и местонахождение базы персональных данных;
  • цель обработки персональных данных;
  • информация о распорядителях базы персональных данных;
  • подтверждение обязательства обеспечивать защиту персональных данных.

Важно обратить внимание на то, что в случае изменения сведений, необходимых для регистрации соответствующей базы (информация о распорядителях, изменение цели обработки персональных данных и т.п.), ее владелец должен в течение 10 рабочих дней уведомить уполномоченный государственный орган.

Сегодня регистрация базы персональных данных невозможна до того момента, пока не будут приняты и вступят в силу нормативные подзаконные акты.

Государственная служба защиты персональных данных — новый центральный орган исполнительной власти, созданный в соответствии с Указом Президента Украины от 09.12.2010 г. № 1085/2010 «Об оптимизации системы центральных органов исполнительной власти», деятельность которого направляет и координирует КМУ через министра юстиции Украины.

Указом Президент Украины от 28.12.2010 г. № 1270 Алексей Мервинский назначен председателем Государственной службы защиты персональных данных, а Указами Президента Украины от 17.01.2011 г. № 88/2011 и № 89/2011 его первым заместителем назначен Олег Фролов; заместителем — Владимир Козак.

Особый интерес для фармацевтического бизнеса представляют положения закона, регулирую­щие обработку персональных данных, которая осуществляется в базах таких данных. Нормами закона предусматривается обязательное получение письменного документированного согласия на такую обработку от лиц, чьи данные составляют такие базы, уведомление лица о его правах, целях сбора персональных данных и лицах, которым передаются эти данные в течение 10 рабочих дней (кроме сбора из открытых источников), а также в связи с изменением (уничтожением, ограничением) доступа к персональным данным.

Письменное согласие на использование персональных данных должно содержать волеизъявление относительно разрешения на обработку персональных данных; цель их обработки; объе­м персональных данных, которые можно обрабатывать; разрешение на их передачу; условия доступа (распорядителей, третьих лиц); срок обработки; права субъекта персональных данных (в письменной форме).

Что же касается цели обработки персональных данных, докладчик отметил, что она определяется в согласии субъекта персональных данных; фиксируется в заявлении на регистрацию базы персональных данных; сформулирована в законах, иных нормативных актах, положениях, учредительных или иных документах, которые регулируют деятельность владельца базы персональных данных. В случае изменения цели обработки, необходимо получить согласование субъек­та персональных данных.

И. Костин отдельно обратил внимание присутствующих на то, что использование персональных данных сотрудниками субъектов право­отношений осуществляется исключительно в соответствии с их профессиональными или трудовыми обязательствами, и они не должны допускать разглашения персональных данных.

Базы персональных данных, полученных из открытых источников, также регистрируются. Уведомление субъекта о включении его персональных данных в базу не осуществляется; реализуется только уведомление о передаче, изменении, уничтожении, ограничении доступа к персональным данным. При передаче персональных данных третьим лицам получение согласия субъекта персональных данных также является необходимым.

Закон определяет исключительно открытый режим доступа к персональным данным, если это:

  • обезличенные данные;
  • данные категорий лиц, определенных законодательными актами;
  • данные физических лиц, которые претендуют занять или занимают выборные должности (в представительских органах) или должность государственного служащего первой категории.

Докладчик отметил, что сегодня законодательство Украины не содержит специальных норм, которые устанавливают ответственность за несоблюдение закона в сфере защиты персональных данных.

Ответственность отдельных физических лиц относительно нарушения неприкасаемости частной жизни установлена Уголовным кодексом Украины (ст. 182), Гражданским кодексом Украины (моральный вред).

Однако 03.02.2011 г. в первом чтении принят законопроект от 11.11.2010 г. № 7355 «О внесении изменений в некоторые законодательные акты Украины относительно нарушения законодательства о защите персональных данных», которым предусмотрена административная и уголовная ответственность за нарушение закона, а именно:

  • за уклонение от регистрации предусматривае­тся штраф от 300 до 500 необлагаемых минимумов доходов граждан (от 5100 до 8500 грн.);
  • за передачу персональных данных третьим лицам — штраф от 500 до 1000 необлагаемых минимумов доходов граждан (от 8500 до 17000 грн.) или исправительные работы до 2 лет, или арест сроком до 3 мес;
  • за нарушение установленных законом требований к защите информации о лице, которое привело к несанкционированному распространению или искажению этой информации и нанесло значительный вред лицу, предусмотрен штраф от 800 до 2000 необлагаемых минимумов доходов граждан (от 13 600 до 34 000 грн.) или исправительные работы на срок до 2 лет, или арест сроком до 6 мес, или ограничение свободы сроком до 2 лет.

По мнению докладчика, для того чтобы закон начал работать КМУ необходимо разработать такие нормативные акты:

  • типовой порядок работы с базами персональных данных;
  • порядок обработки персональных данных, которые относятся к банковской тайне;
  • положение о Государственном реестре персональных данных и порядок его ведения;
  • документ, определяющий размер оплаты за услуги предоставления доступа к персональным данным государственными органами.

И. Костин отдельно рассмотрел слабые стороны закона, среди которых:

  • необходимость регистрировать абсолютно все базы персональных данных;
  • сложность соблюдения формы согласия субъекта персональных данных;
  • необходимость предоставления большого количества уведомлений относительно изменений в базе персональных данных;
  • неясность относительно формулировки цели обработки персональных данных в документах, регулирующих деятельность владельца базы;
  • неадекватность правового регулирования обработки персональных данных, полученных из открытых источников;
  • необходимость получения согласия на обработку любых персональных данных.

Адвокат рекомендовал владельцам (распорядителям) базы персональных данных уже начинать разрабатывать необходимые документы, среди которых:

  • положение, регулирующее цель обработки персональных данных, требования к порядку обработки, порядку регистрации персональных данных и ответственных лиц, порядку направления письменных уведомлений, и, опять же, ответственных лиц; условия хранения и доступ к базам персональных данных и т.д. С этой целью необходимо привести внутренние документы корпоративной политики в отношении автоматизированных систем и доступа к ним в соответствие с законом; провести инвентаризацию баз персональных данных и четко установить их местонахождение в офисе (для контролирующих органов), указав это в документах;
  • образцы согласия и уведомлений субъекта персональных данных, при этом внеся изменения и дополнения в договора с физическими лицами (в том числе сотрудниками), чьи данные обрабатываются (кадры, бухгалтерия, поставщики), а также предусматривая получение согласия на доступ к персональным данным без необходимости дальнейшего уведомления о доступе (ст. 21) и т.д.;
  • образцы уведомления уполномоченного органа;
  • договор с субъектами, которые обрабатывают базы персональных данных;
  • порядок работы с запросами субъектов персональных данных, третьих лиц;
  • порядок отношений с распорядителем (для владельца) баз персональных данных.

Подводя итоги, И. Костин привел высказывание Шарля Луи Монтескье, французского писателя, правоведа и философа: «Жестокость законов препятствует их соблюдению». К сожалению, положения закона не дают полного представления о том, как именно следует их выполнять, чем руководствоваться и на что обращать внимание, а также с чего начинать приведение собственного бизнеса в соответствие с его нормами, особенно если в распоряжении компании находятся многотысячные электронные базы данных и картотеки, содержащие сведения о врачах, пациентах, сотрудниках, подрядчиках, партнерах и т.д.

Адвокат также проинформировал присутствующих, что 8 апреля 2011 г. в конференц-зале гостиницы «Русь» (Киев) состоится I Ежегодный форум по фармацевтическому праву, организатором которого выступил Комитет по фармацевтическому праву Ассоциации юристов Украи­ны, а генеральным информационным партнером — «Еженедельник АПТЕКА».

К участию в мероприятии приглашаются юристы, практикующие в сфере фармацевтического права (штатные юристы фармацевтических компаний, юристы частной практики или работающие в юридических фирмах, обслуживающих отрасль), а также представители компаний — производителей лекарственных средств, которых интересуют вопросы правового регулирования различных сфер фармацевтического бизнеса.