Рекомендації щодо застосування Закону України «Про захист персональних даних» та документів, прийнятих на його виконання

1.                       Що відбулося?

1.1               Закон України «Про захист персональних даних» набув чинності 1 січня 2011 р.

http://zakon.rada.gov.ua/cgi-bin/laws/main.cgi?nreg=2297-17

Ключові поняття:

·  персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована; (із сайту Державної служби з питань захисту персональних даних http://www.zpd.gov.ua/indexDovidkaInfo.html)

·  база персональних даних - іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних.

Тобто,  бази даних - це фактично будь-яка сукупність відомостей про фізичних осіб на підприємстві, які дозволять їх ідентифікувати, включаючи бази даних працівників.

З сайту Державної служби з питань захисту персональних даних:

«Документація підприємств, установ та організацій в електронній формі  та/або  у  формі  картотек що містить певним чином структуровані персональні дані найманих працівників підпадає під визначення «база персональних даних» відповідно до статті 2 Закону України «Про захист персональних даних». 

·  обробка персональних даних - будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов'язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу.

NB! Бази персональних даних підлягають обов’язковій реєстрації

1.2               Положення про Державний реєстр баз персональних даних та порядок його ведення, затверджене Постановою КМУ від 25 травня 2011 р. № 616 (надалі – «Постанова КМУ 616») – визначає обов’язкову реєстрацію баз персональних даних з 1 липня 2011 р. (станом на 8 липня 2011 року Службою зареєстровано 3 бази персональних даних).

2.                       Що робити?

2.1               Підприємства, установи, організації та особи, які здійснюють незалежну професійну діяльність, повинні привести свої процеси та процедури обробки ПД у відповідність до Закону України «Про захист персональних даних» (процес організації обробки персональних даних можна здійснити відповідно до  проекту Типового порядку обробки персональних даних у базах персональних даних http://www.zpd.gov.ua/indexDovidkaInfo.html )

2.2               Збирати згоду своїх працівників на обробку їх персональних даних (якщо цього не було зроблено раніше).

Якщо згода була отримана раніше, повторно її брати не треба. З сайту Державної служби з питань захисту персональних даних

З сайту Державної служби з питань захисту персональних даних:

 «Згода суб’єкта персональних даних на обробку його персональних даних повторно не надається, якщо володілець продовжує обробляти персональні дані суб’єкта, відповідно до правовідносин на основі вільного волевиявлення фізичної особи, які виникли до набрання чинності Законом.»

Згода має бути отримана письмово. Варіанти отримання згоди:

·                          Підписання окремого документу;

·                          Внесення змін до трудового договору;

·                          Розробка окремої політики про обробку персональних даних (у цьому разі необхідно зібрати підписи всіх працівників про ознайомлення та згоду з умовами політики).

Варіант змін до трудового договору (варіант тексту відповідного додаткового пункту):

«Працівник цим надає свою згоду на обробку Роботодавцем будь-яких персональних даних Працівника, які стали відомими Роботодавцю в результаті трудових відносин з Працівником, включаючи за цим Договором. Обробка включає, але не обмежується, збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (включаючи передачу), знеособленням, знищенням персональних даних. Метою обробки персональних даних Працівника Роботодавцем є ведення бази даних працівників та виконання обов’язків, покладених на роботодавців чинним законодавством. Працівник погоджується, що термін обробки його/її персональних даних становить весь період його працевлаштування.»

Якщо роботодавець має афілійовані особи (або акціонерів), яким можуть передаватися персональні дані працівників, можна до наведеного вище додати наступне:

«Працівник, шляхом укладення цього Договору, надає свою безумовну згоду на передачу Роботодавцем його/її персональних даних, які обробляються Роботодавцем, до будь-якої особи, пов’язаної з Роботодавцем відносинами контролю, включаючи закордон, з метою ведення глобальної бази даних працівників (тобто бази даних всіх працівників, які працюють у певних або всіх особах, пов’язаних з Роботодавцем відносинами контролю). Працівник погоджується, що Роботодавець не має отримувати жодної додаткової згоди Працівника для передачі персональних даних Працівника до будь-якої особи, пов’язаної з Роботодавцем відносинами контролю. Працівник цим надає свою згоду на обробку своїх персональних даних особами, пов’язаними з Роботодавцем відносинами контролю, з метою ведення глобальної бази даних працівників, як описано вище у цьому пункті [номер пункту]»

2.3               Реєструвати бази персональних даних у Державній службі з питань захисту персональних даних. Для цього необхідно подати заяву та додаткові документи, визначені у Постанові КМУ № 616.

Контактна інформація Держслужби для подання заяви:

тел: (044)517-68-00

e.mail: register@zpd.gov.ua

Поштова адреса: 02660, м. Київ, вул. М. Раскової, 15, каб.1205

Сайт Держслужби:

http://www.zpd.gov.ua/index.html.

2.4               Повідомляти Державну службу з питань захисту персональних даних про  кожну зміну відомостей, необхідних для реєстрації відповідної бази даних. (cт. 9 Закону України «Про захист персональних даних»

2.5               У разі зміни мети обробки персональних даних працівників – отримати окрему згоду працівників.

3.                       Відповідальність

З 1 січня 2012 р. вступає в силу Закон України «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних».

Відповідно до цього закону встановлені високі штрафні санкції за невиконання вимог Закону «Про захист персональних даних». Наприклад:

·         За ухилення від державної реєстрації бази персональних даних – штраф до 17 тисяч гривень (на посадових осіб);

·         За неповідомлення або несвоєчасне повідомлення Держслужби про зміну відомостей, що подаються для державної реєстрації бази персональних даних – штраф до 6 800 гривень (на посадових осіб);

·         За незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації – відповідальність аж до обмеженням волі на строк до трьох років.