21 ноября 2011 года Государственная служба Украины по вопросам защиты персональных данных (далее – Госслужба) разместила на своем официальном веб-сайте комментарий к Закону Украины «О защите персональных данных» № 2297-VI от 1 июня 2010 года (далее – Закон). По мнению Госслужбы, каждая компания является владельцем как минимум двух баз персональных данных:
1. базы персональных данных сотрудников (ведется с целью обеспечения требований трудового законодательства, реализации налоговых отношений и отношений в сфере бухгалтерского учета и
аудита);
2. базы персональных данных клиентов или других лиц (ведется с целью обеспечения хозяйственной деятельности).
Более того, Госслужба подчеркивает, что упомянутый Закон не предусматривает исключений из обязанности владельца баз данных зарегистрировать свои базы персональных данных (БПД).
Отношения с физическими лицами
Давайте сравним, насколько сложно на практике исполнить обязанности компании как владельца БПД сотрудников перед своими сотрудниками и как владельца БПД клиентов (контрагентов) перед физическими лицами – клиентами (контрагентами).
Обеспечить требования Закона в отношении сотрудников компании намного проще, чем в отношении клиентов компании, контрагентов, респондентов и прочих внешних субъектов персональных данных. И вот почему.
Два основных шага, которые следует предпринять каждому владельцу БПД в отношении физических лиц, – это (1) получение согласия каждого лица на обработку его персональных данных и (2) уведомление каждого лица о его правах, цели обработки данных и третьих лицах – получателях персональных данных.
Проблемы получения согласия на обработку персональных данных
Итак, согласие лица на обработку его персональных данных нужно получить до начала обработки персональных данных в письменном или электронном виде, в соответствии с определенной целью обработки персональных данных (ст. 2 Закона). В отношении сотрудников получение согласия не составляет труда, поскольку работодатель имеет прямой ежедневный контакт с абсолютным большинством персонала.
Кроме того, согласие работника на обработку его персональных данных не всегда является единственным основанием для обработки таких данных. В некоторых случаях законодательство предусматривает определенный минимум информации, который необходимо получить работодателю от сотрудника для реализации трудовых правоотношений. В этом случае в соответствии с п. 2 ч. 1 ст. 11 Закона основанием возникновения права на использование персональных данных будет разрешение на обработку персональных данных, предоставленное владельцу базы персональных данных в соответствии с законом исключительно для осуществления его полномочий. Например, согласно ч. 2 ст. 24 КЗоТ при заключении трудового договора гражданин обязан подать паспорт или другой документ, удостоверяющий личность, трудовую книжку, а в случаях, предусмотренных законодательством, – также документ об образовании (специальности, квалификации), о состоянии здоровья и другие документы. Иными словами, если работник не дал своего согласия на обработку своих персональных данных, работодатель может продолжать обрабатывать необходимый минимум информации, который предусмотрен трудовым и налоговым законодательством.
В отношении внешних субъектов персональных данных процесс получения согласия на обработку данных может быть затруднен: не все клиенты регулярно контактируют с владельцем БПД, многие вообще заказывают услуги только через Интернет. И данная тенденция дистанционных отношений в современном мире будет только усиливаться. Потребности и технологии диктуют свое: оперативность, автоматизация и дистанционность торговли/услуг и прочих бизнес-процессов.
Поэтому, исходя из нашего практического опыта, зачастую получить согласие лица на обработку его персональных данных возможно только в электронном виде. Оптимальным способом является техническое решение «галочка о согласии» (англ. – check-box), которое препятствует компании собирать персональные данные до момента получения утвердительной отметки на веб-сайте.
Письменное уведомление лица – ключевая проблема для многих компаний
Что касается вышеупомянутого уведомления лица, то в соответствии с ч. 2 ст. 12 Закона субъект персональных данных в течение десяти рабочих дней со дня включения его персональных данных в базу персональных данных уведомляется о своих правах, определенных настоящим Законом, цели сбора данных и лицах, которым передаются его персональные данные, исключительно в письменной форме. Уведомить сотрудников в письменной форме не является проблематичным, а вот как быть с клиентами, с которыми нет прямого или регулярного контакта. Наверное, вы скажете «отправить письменное уведомление по почте» и будете правы.
Но остается нерешенным вопрос, что делать, если местонахождение физического лица или его почтовый адрес неизвестен? И таких примеров можно привести огромное количество: рекрутинговая компания получила резюме по электронной почте, где нет данных о фактическом адресе соискателя работы; клиент заказал товар в интернет-магазине, но выдача товара будет на складе курьерской службы; лицо заполнило анкету участника конкурса, который проводится онлайн; участник социальной (профессиональной) сети зарегистрировал свою персональную страничку/блог/профайл.
В каждом отдельном случае следует более подробно разработать юридическую стратегию защиты интересов владельца БПД, включая возможные способы защиты от недобросовестных субъектов персональных данных и от привлечения к административной ответственности в виде штрафа (до 6800 грн.). К сожалению, письменное уведомление не является обязательным только в одном случае – когда сбор информации производится из общедоступных источников (ч. 3 ст. 12 Закона). Задача правоприменительной практики – определить, что следует подразумевать под такими источниками. Призыв к законодателю – пересмотреть формулировку ч. 2 ст. 12 Закона, устанавливающую только письменную форму уведомления, поскольку данная норма не вписывается в рамки современной жизни и потребностей бизнеса.
Комплексный подход к защите персональных данных не ограничивается регистрацией БПД
Статья 9 Закона требует провести регистрацию базы персональных данных. Регистрация проводится в соответствии с постановлением Кабинета Министров Украины от 25.05.2011 г. № 616, которым утверждено Положение о государственном реестре баз персональных данных и порядке его ведения, и приказом Министерства юстиции Украины от 08.07.2011 г. № 1824/5, которым утверждены формы заявлений о регистрации базы персональных данных и о внесении изменений в ведомости Государственного реестра баз персональных данных, а также утвержден порядок их подачи.
Еще одной основополагающей задачей каждого предприятия является формирование цели обработки персональных данных.
Кроме вышеупомянутых действий, каждое предприятие должно письменно сформулировать и утвердить цель обработки персональных данных в своих внутренних документах (ч. 1 ст. 6 Закона). В случае если компания имеет несколько баз данных, то каждая из них предполагает наличие отдельной цели обработки персональных данных.
Наш практический опыт подсказывает, что локальный акт компании относительно защиты персональных данных должен отображать не только вопрос о цели обработки данных, но и более подробно регламентировать сами процедуры обработки и защиты данных. С принятым локальным актом рекомендуем ознакомить сотрудников, чья работа связана с обработкой персональных данных. Считаем, что это повысит их уровень осведомленности об указанных информационных правоотношениях, равно как и степень ответственности при работе с доступными им персональными данными.
Согласно ч. 5 ст. 24 Закона на предприятиях всех форм собственности определяется структурное подразделение или ответственное лицо, организующее работу, связанную с защитой персональных данных при их обработке, в соответствии с законом. Назначить конкретно работника или уполномочить специальный отдел заниматься вопросами защиты персональных данных можно принятием приказа. По нашему мнению, такие функции целесообразно возложить на IT-отдел или кадровую службу.
ВЫВОД: Изложенный комплексный подход позволит обеспечить защищенность компании от возможных притязаний как со стороны субъектов персональных данных, так и со стороны Государственной службы Украины по вопросам защиты персональных данных.
1. базы персональных данных сотрудников (ведется с целью обеспечения требований трудового законодательства, реализации налоговых отношений и отношений в сфере бухгалтерского учета и
аудита);
2. базы персональных данных клиентов или других лиц (ведется с целью обеспечения хозяйственной деятельности).
Более того, Госслужба подчеркивает, что упомянутый Закон не предусматривает исключений из обязанности владельца баз данных зарегистрировать свои базы персональных данных (БПД).
Отношения с физическими лицами
Давайте сравним, насколько сложно на практике исполнить обязанности компании как владельца БПД сотрудников перед своими сотрудниками и как владельца БПД клиентов (контрагентов) перед физическими лицами – клиентами (контрагентами).
Обеспечить требования Закона в отношении сотрудников компании намного проще, чем в отношении клиентов компании, контрагентов, респондентов и прочих внешних субъектов персональных данных. И вот почему.
Два основных шага, которые следует предпринять каждому владельцу БПД в отношении физических лиц, – это (1) получение согласия каждого лица на обработку его персональных данных и (2) уведомление каждого лица о его правах, цели обработки данных и третьих лицах – получателях персональных данных.
Проблемы получения согласия на обработку персональных данных
Итак, согласие лица на обработку его персональных данных нужно получить до начала обработки персональных данных в письменном или электронном виде, в соответствии с определенной целью обработки персональных данных (ст. 2 Закона). В отношении сотрудников получение согласия не составляет труда, поскольку работодатель имеет прямой ежедневный контакт с абсолютным большинством персонала.
Кроме того, согласие работника на обработку его персональных данных не всегда является единственным основанием для обработки таких данных. В некоторых случаях законодательство предусматривает определенный минимум информации, который необходимо получить работодателю от сотрудника для реализации трудовых правоотношений. В этом случае в соответствии с п. 2 ч. 1 ст. 11 Закона основанием возникновения права на использование персональных данных будет разрешение на обработку персональных данных, предоставленное владельцу базы персональных данных в соответствии с законом исключительно для осуществления его полномочий. Например, согласно ч. 2 ст. 24 КЗоТ при заключении трудового договора гражданин обязан подать паспорт или другой документ, удостоверяющий личность, трудовую книжку, а в случаях, предусмотренных законодательством, – также документ об образовании (специальности, квалификации), о состоянии здоровья и другие документы. Иными словами, если работник не дал своего согласия на обработку своих персональных данных, работодатель может продолжать обрабатывать необходимый минимум информации, который предусмотрен трудовым и налоговым законодательством.
В отношении внешних субъектов персональных данных процесс получения согласия на обработку данных может быть затруднен: не все клиенты регулярно контактируют с владельцем БПД, многие вообще заказывают услуги только через Интернет. И данная тенденция дистанционных отношений в современном мире будет только усиливаться. Потребности и технологии диктуют свое: оперативность, автоматизация и дистанционность торговли/услуг и прочих бизнес-процессов.
Поэтому, исходя из нашего практического опыта, зачастую получить согласие лица на обработку его персональных данных возможно только в электронном виде. Оптимальным способом является техническое решение «галочка о согласии» (англ. – check-box), которое препятствует компании собирать персональные данные до момента получения утвердительной отметки на веб-сайте.
Письменное уведомление лица – ключевая проблема для многих компаний
Что касается вышеупомянутого уведомления лица, то в соответствии с ч. 2 ст. 12 Закона субъект персональных данных в течение десяти рабочих дней со дня включения его персональных данных в базу персональных данных уведомляется о своих правах, определенных настоящим Законом, цели сбора данных и лицах, которым передаются его персональные данные, исключительно в письменной форме. Уведомить сотрудников в письменной форме не является проблематичным, а вот как быть с клиентами, с которыми нет прямого или регулярного контакта. Наверное, вы скажете «отправить письменное уведомление по почте» и будете правы.
Но остается нерешенным вопрос, что делать, если местонахождение физического лица или его почтовый адрес неизвестен? И таких примеров можно привести огромное количество: рекрутинговая компания получила резюме по электронной почте, где нет данных о фактическом адресе соискателя работы; клиент заказал товар в интернет-магазине, но выдача товара будет на складе курьерской службы; лицо заполнило анкету участника конкурса, который проводится онлайн; участник социальной (профессиональной) сети зарегистрировал свою персональную страничку/блог/профайл.
В каждом отдельном случае следует более подробно разработать юридическую стратегию защиты интересов владельца БПД, включая возможные способы защиты от недобросовестных субъектов персональных данных и от привлечения к административной ответственности в виде штрафа (до 6800 грн.). К сожалению, письменное уведомление не является обязательным только в одном случае – когда сбор информации производится из общедоступных источников (ч. 3 ст. 12 Закона). Задача правоприменительной практики – определить, что следует подразумевать под такими источниками. Призыв к законодателю – пересмотреть формулировку ч. 2 ст. 12 Закона, устанавливающую только письменную форму уведомления, поскольку данная норма не вписывается в рамки современной жизни и потребностей бизнеса.
Комплексный подход к защите персональных данных не ограничивается регистрацией БПД
Статья 9 Закона требует провести регистрацию базы персональных данных. Регистрация проводится в соответствии с постановлением Кабинета Министров Украины от 25.05.2011 г. № 616, которым утверждено Положение о государственном реестре баз персональных данных и порядке его ведения, и приказом Министерства юстиции Украины от 08.07.2011 г. № 1824/5, которым утверждены формы заявлений о регистрации базы персональных данных и о внесении изменений в ведомости Государственного реестра баз персональных данных, а также утвержден порядок их подачи.
Еще одной основополагающей задачей каждого предприятия является формирование цели обработки персональных данных.
Кроме вышеупомянутых действий, каждое предприятие должно письменно сформулировать и утвердить цель обработки персональных данных в своих внутренних документах (ч. 1 ст. 6 Закона). В случае если компания имеет несколько баз данных, то каждая из них предполагает наличие отдельной цели обработки персональных данных.
Наш практический опыт подсказывает, что локальный акт компании относительно защиты персональных данных должен отображать не только вопрос о цели обработки данных, но и более подробно регламентировать сами процедуры обработки и защиты данных. С принятым локальным актом рекомендуем ознакомить сотрудников, чья работа связана с обработкой персональных данных. Считаем, что это повысит их уровень осведомленности об указанных информационных правоотношениях, равно как и степень ответственности при работе с доступными им персональными данными.
Согласно ч. 5 ст. 24 Закона на предприятиях всех форм собственности определяется структурное подразделение или ответственное лицо, организующее работу, связанную с защитой персональных данных при их обработке, в соответствии с законом. Назначить конкретно работника или уполномочить специальный отдел заниматься вопросами защиты персональных данных можно принятием приказа. По нашему мнению, такие функции целесообразно возложить на IT-отдел или кадровую службу.
ВЫВОД: Изложенный комплексный подход позволит обеспечить защищенность компании от возможных притязаний как со стороны субъектов персональных данных, так и со стороны Государственной службы Украины по вопросам защиты персональных данных.