публікації

Аудит компанії у сфері захисту персональних даних

21/06/2012

З наближенням 01 липня 2012 року питання захисту персональних даних компаніями набирає все більшої гостроти. Ця проблема потрапила у фокус уваги не випадково: саме з 01 липня 2012 року набирає чинності закон, яким вводиться адміністративна відповідальність та посилюється кримінальна відповідальність за порушення у сфері захисту персональних даних. Так, за ухилення від реєстрації бази персональних даних в Державній службі України з питань захисту персональних даних (далі – Держслужба) компанія ризикує сплатити штраф у розмірі від 8500 до 17000 гривень. А у разі, якщо компанія не повідомить Держслужбу про зміну інформації відносно зареєстрованої бази даних (наприклад, зміни назви компанії, її місцезнаходження, місцезнаходження бази персональних даних, залучення в порядку аутсорсингу розпорядника бази тощо), то на неї може накладатись штраф в межах від 3400 до 6800 грн. Ризикують сплатити штрафи компанії й за інші порушення, зокрема неповідомлення суб’єктів персональних даних про їх права, невжиття заходів захисту, що спричинило незаконний доступ до бази даних, невиконання вимог Держслужби тощо.

Для уникнення штрафів компаніям рекомендується провести ретельний внутрішній аудит на предмет відповідності їх діяльності вимогам законодавства у сфері захисту персональних даних.

Обробляємо персональні дані: які та навіщо?

Якщо компанія лише стала на шлях приведення своїх бізнес-процесів у відповідність до вимог Закону України «Про захист персональних даних» (далі – «Закон»), то насамперед слід проаналізувати, чи обробляє компанія персональні дані взагалі, які саме персональні дані обробляються та з якою метою.

Відповівши на дане запитання, компанія матиме точне уявлення про те, володільцем скількох баз персональних даних вона є та скільки баз персональних даних їй необхідно зареєструвати у Держслужбі. Держслужба має власне узагальнення з приводу ведення баз персональних даних та їх кількості. Так, ще 21 листопада 2011 року Держслужба розмістила на своєму офіційному сайті окремі коментарі до Закону. На думку Держслужби, кожна компанія є володільцем принаймні двох баз персональних даних:

• Бази персональних даних працівників (компанія веде цю базу з метою забезпечення вимог трудового законодавства, реалізації податкових відносин та відносин у сфері бухгалтерського обліку й аудиту);
• Бази персональних даних клієнтів та інших осіб (компанія обробляє ці дані в ході своєї господарської діяльності).

Більш того, Держслужба підкреслює, що згаданий Закон не містить винятків, і обов’язок реєструвати базу поширюється на всіх. Іншими словами, практично кожна компанія тепер має зареєструвати у Держслужбі принаймні дві бази персональних даних - своїх працівників та своїх приватних клієнтів (контрагентів).

Ведення «Бази персональних даних клієнтів та інших осіб» особливо актуальне для банків, ломбардів, страхових компаній, магазинів, клубів дозвілля, готелів, ресторанів, медичних установ, навчальних закладів, туристичних та кадрових агентств та інших компаній у форматі В2С. Є також ряд компаній, які співпрацюють з фізичними особами-підприємцями, на яких також поширюються гарантії Закону. Саме для керівників цих компаній дана інформація має першочергове значення.

Крім того, Закон передбачає, що дані, які обробляються компанією, повинні бути не надмірними у співвідношенні з метою обробки таких даних. Тому на первинному етапі «аудиту» кожній компанії рекомендується чесно відповісти на питання необхідності та доцільності обробки тих чи інших категорій персональних даних, з огляду на їх відповідність меті такої обробки.

Розпорядник vs. володілець бази персональних даних: who is who?

Отримавши розуміння про кількість та змістовне наповнення баз персональних даних, компанії рекомендується визначитися з тим, чи здійснює вона обробку даних у такій базі самостійно, чи залучає до цього процесу третіх осіб. В якості розпорядників баз персональних даних компаніями можуть залучатися ІТ компанії, маркетингові компанії, ассистанс-компанії тощо.

Для того, аби чітко розмежувати ролі володільця та розпорядника бази персональних даних, слід визначитися з тим, хто є кінцевим користувачем такої бази, для чиїх потреб персональні дані збираються, обробляються та упорядковуються певним чином.

У випадку, якщо персональні дані обробляються компанією не самостійно, а із залученням третьої особи – розпорядника, обов’язковим кроком в цьому разі є укладення з таким розпорядником бази даних письмового договору щодо мети і умов обробки та захисту персональних даних або внесення відповідних змін в уже існуючий договір про послуги.

Є база? Повідомте Держслужбу!

Визначившись з питанням кількості та наповнення баз персональних даних, а також з питанням залучення розпорядників до процесу обробки персональних даних, компаніям рекомендується переходити до їх реєстрації у Держслужбі. Реєстрація баз даних проводиться Держслужбою безкоштовно на основі заповненої компанією заяви. Форма заяви про реєстрацію бази даних офіційно затверджена Наказом Міністерства юстиції України від 08.07.2011 N 1824/5. Заповнити та подати її до Держслужби можна трьома способами:

1. безпосередньо до Держслужби у паперовому форматі;
2. надіславши електронною поштою на адресу [email protected] [якщо компанія має електронний цифровий підпис];
3. заповнивши заяву на веб-сторінці: https://rbpd.informjust.ua/declarant/declaration/registerdb.aspx?decid=-1 [якщо компанія має електронний цифровий підпис].

Проте реєстрація бази персональних даних – це, скажімо, проміжний етап в реалізації цілого комплексу заходів по організації захисту персональних даних в рамках компанії. Крім цього, паралельно з роботою по реєстрації бази персональних даних, слід подбати ще про цілий ряд питань.

Кадрові питання

Ст. 5 ст. 24 Закону вимагає, щоб кожна компанія визначилася із структурним підрозділом або особою, яка буде відповідальною за організацію роботи, пов’язаної із захистом персональних даних. Рекомендується, що питання призначення відповідальних осіб компанії за організацію захисту персональних даних здійснювалося за наказом керівника такої компанії. На нашу думку, відповідні функції доцільно покласти на ІТ відділ або кадрову службу.

Немає згоди – немає бази

За загальним правилом кожна компанія для того, щоб отримати можливість включити та обробляти певні персональні дані у базі персональних даних, повинна спочатку отримати згоду на це у суб’єкта персональних даних – особи, якої такі персональні дані стосуються. Така згода повинна бути документованою та надаватися на обробку її персональних даних з метою, що відповідає меті обробки персональних даних у базі.

Під документованою згодою розуміється не лише письмова, але й електронна форма згоди. Остання часто більш зручна, особливо якщо особа самостійно через Інтернет повідомляє про свої персональні дані, наприклад, направляючи своє резюме рекрутинговій компанії чи реєструючись для участі у певній акції на сайті магазину. У будь-якому разі рекомендується, щоб кожна компанія розробила певну типову форму згоди суб’єкта персональних даних на обробку таких даних у базі, як це буде описано далі.

Окрім згоди Закон також вимагає від кожної компанії вимагається повідомлення особи у зв'язку з включенням її персональних даних до бази даних про її права як суб’єкта персональних даних, мету обробки даних та осіб, яким передаються персональні дані.

Внутрішні політики

Для успішного дотримання вимог законодавства у сфері захисту персональних даних кожній компанії рекомендується розробити цілий ряд внутрішніх, у т.ч. типових, документів.

Так, кожній компанії рекомендується розробити внутрішнє положення про порядок обробки персональних даних компанією. Таке положення може затверджуватися наказом керівника компанії. Кожна компанія самостійно визначає зміст вказаного положення, оскільки Закон, окрім необхідності закріпити мету обробки персональних даних, інших вимог до компаній не висуває. В той же час, у процесі підготовки компаніям слід орієнтуватися на Типовий порядок обробки персональних даних у базах персональних даних, затверджений наказом Мін’юсту від 30 грудня 2011 року № 3659/5. Серед рекомендованих питань, які, на нашу думку, потребують висвітлення у положенні, слід, зокрема, віднести:

1. Загальні засади: основні терміни та сфера застосування положення;
2. Порядок обробки персональних даних: отримання згоди особи; повідомлення про права і дії з персональними даними особами;
3. Мета обробки персональних даних;
4. Місцезнаходження бази персональних даних: адреса, адреса розпорядника бази (за наявності);
5. Умови розкриття інформації про персональні дані третім особам;
6. Захищеність даних: способи захисту; працівники, відповідальні за захист; дані про дітей; строк зберігання даних;
7. Права суб’єкта персональних даних;
8. Порядок роботи із запитами суб’єктів персональних даних;
9. Державна реєстрація баз персональних даних.

З положенням варто ознайомити працівників, чия робота безпосередньо пов’язана з обробкою персональних даних. Це підвищить рівень їхньої обізнаності та ступінь відповідальності під час роботи з доступними їм персональними даними.

Крім того, для оптимізації процесу збору персональних даних рекомендуємо затвердити текст (шаблон) згоди особи на обробку його персональних даних, яку необхідно відбирати у особи. Також слід розробити текст повідомлення (пам’ятки), в якому викласти інформацію про права суб’єкта персональних даних, мету обробки даних та осіб, яким передаються персональні дані. Враховуючи зміст ч. 2 ст. 12 Закону таке повідомлення необхідно вручати/направляти особі в письмовому вигляді після включення його персональних даних в базу даних. Ми не виключаємо можливості, з метою економії часу, вручати таку пам'ятку суб’єкту персональних даних одразу після отримання згоди на обробку персональних даних, тобто до того, як дані фізично будуть включені в базу даних.

Можливим є також розроблення посадових інструкцій для працівників, призначених відповідальними за захист персональних даних в компанії.

***

Звісно, покладення на компанії додаткових юридичних зобов’язань у цілком новій для України сфері породжує та породжуватиме на практиці різні проблемні ситуації. Разом з тим, нам відомі непоодинокі випадки, коли захист персональних даних є вимогою не тільки Закону, але й іноземних контрагентів, які замовляють послуги в українських провайдерів послуг, насамперед ІТ сектору. Крім того, деякі компанії публічно інформують про реєстрацію своїх баз даних, як ще один доказ прозорості своєї діяльності та надійного захисту приватної інформації, яку їм довірили їхні клієнти. 

ЮРИСТ&ЗАКОН
19.06.2012 – 21.06.2012, № 35

Автор: Владислав Подоляк, Валерія Савчук

Що нового?

Найважливіша аналітика у вашій пошті.

більше аналітики

13/01/2016

(Стаття доступна тільки в російській версії) Одним із основних і, напевно, самих очікуваних змін у трудовому законодавстві у 2016 році є прийняття нового Трудового кодексу України...

Валерія Савчук

14/08/2015

1 вересня 2015 року набирає чинності Закон, яким буде суттєво збільшено ставки та внесено інші зміни у порядок сплати судового збору. Передбачається, що запропоновані Законом нововведення дозволять збільшити дохід державного бюджету за рахунок судового збору та розвантажити судову систему.

Андрій Стельмащук, Валерія Савчук