Персональные данные: ответственность и проверки
Проверки Госслужбы по вопросам защиты персональных данных
Проводит ли Госслужба проверки соблюдения субъектами хозяйствования законодательства по защите БПД? Если да, то в каком порядке?
Первое, что вынуждены отметить: Закон Украины «Об основных принципах государственного надзора (контроля) в сфере хозяйственной деятельности» от 05.04.2007 г. № 877-V на осуществление мер по контролю в сфере защиты персональных данных вряд ли можно распространить, поскольку данная сфера отношений не является видом хозяйственной деятельности.
На сегодня законодательное регулирование порядка проведения проверок в сфере защиты персональных данных ограничивается одной статьей Закона № 2297 (согласно ст. 22 контроль за соблюдением законодательства о защите персональных данных в пределах полномочий, предусмотренных законом, осуществляет уполномоченный государственный орган по вопросам защиты персональных данных) и несколькими предписаниями в Положении № 390. Так, в частности, Положением предусмотрено, что Госслужба осуществляет госнадзор и контроль за соблюдением законодательства о защите персональных данных, разрабатывает и утверждает планы проверок владельцев баз персональных данных, проводит в пределах своих полномочий выездные и невыездные проверки, выдает обязательные для выполнения предписания по устранению нарушений законодательства о защите персональных данных, составляет админпротоколы о выявленных нарушениях законодательства.
Следует обратить внимание на то, что и Закон № 2297, и Положение № 390 указывают на необходимость установления надзорных полномочий на уровне закона. Пока порядка проведения проверок нет не только в законе, но и в подзаконных нормативных актах. Впрочем, это не помешало Госслужбе утвердить план проведения проверок на IV квартал 2011 года (в него вошло только 9 субъектов хозяйствования), а в последующем и на I квартал 2012 года (в него «посчастливилось» попасть трем субъектам хозяйствования). Следует сказать, что на сегодня правомерность проведения проверок Государственной службой по вопросам защиты персональных данных в условиях отсутствия порядка их осуществления вызывает вопросы. Однако в силу их немногочисленности данный вопрос, скорее всего, остро так и не станет.
Сегодня существует разработанный Госслужбой по вопросам защиты персональных данных проект порядка проведения проверок. Им предусмотрен «стандартный» набор проверок: плановые и внеплановые, выездные и невыздные. Интересно, что уведомление о проверке направляется субъекту хозяйствования не менее чем за 10 дней независимо от того, какая проверка будет проводиться — плановая или внеплановая. При этом срок проведения проверки не может превышать 10 рабочих дней. Правда, возможно продление проверки, но не более чем на 5 рабочих дней.
Проектом предусмотрено распределение субъектов хозяйствования по степени риска осуществляемой ими деятельности на три категории, в зависимости от которых определяется периодичность плановых проверок. К примеру, к высокой степени риска предлагается относить деятельность в сфере административного и вспомогательного обслуживания, финансовую и страховую деятельность, здравоохранение (проверки планируется проводить на чаще чем раз в три года). Деятельность в сфере телекоммуникаций попадет в группу со средней степенью риска (частота проверок — раз в четыре года). Наибольшее количество видов деятельности попало в категорию незначительной степени риска. Это, к примеру, оптовая и розничная торговля, транспорт, временное размещение и организация питания и т. п. (проверки могут проводиться не чаще чем раз в пять лет). Те виды деятельности, которые ни в одну из групп не попали, судя по всему, плановыми проверками охватываться не будут.
Вопросы, которые возникают у проверяющих в ходе проверки
На что в первую очередь обращают внимание проверяющие при проведении проверки соблюдения законодательства по защите персональных данных?
Базовый перечень вопросов для проверки работниками Государственной службы Украины по вопросам защиты персональных данных соблюдения субъектами проверок требований законодательства о защите персональных данных включает в себя следующие пункты:
1. Наличие у субъекта проверки факта обработки персональных данных: выяснение сферы деятельности, категорий субъектов персональных данных и состава персональных данных, которые обрабатываются.
2. Наличие документов, регламентирующих деятельность субъекта проверки:
— для органов государственной власти: Указ Президента Украины о создании и об утверждении соответствующих Положений; свидетельства о государственной регистрации других нормативных документов, регулирующих деятельность;
— для субъектов предпринимательской деятельности: выписка из ЕГР либо другой документ, подтверждающий госрегистрацию, учредительные документы и свидетельство об уплате единого налога (если лицо является плательщиком единого налога).
3. Статус субъекта проверки: принадлежность к владельцам/распорядителям базы персональных данных или к третьему лицу.
4. В случае наличия у распорядителя базы персональных данных, владельцем которой является орган государственной власти или орган местного самоуправления, — проверка его принадлежности к государственной или коммунальной форме собственности, которая относится к сфере управления этого органа.
5. Наличие у субъекта проверки документов, подтверждающих регистрацию баз персональных данных или копий документов касательно их отправки для регистрации в Гослужбу.
6. Правовые основания для осуществления обработки персональных данных в базе персональных данных:
— на основании разрешения, предоставленного в соответствии с законодательством Украины исключительно для осуществления полномочий;
— на основании согласия, предоставленного субъектом персональных данных, на обработку его персональных данных.
7. Разрешение на обработку персональных данных, предоставленное субъекту хозяйствования в соответствии с законом исключительно для осуществления его полномочий, проверяется на соответствие конкретным положениям каждого акта (пункт, часть, статья), которые предусматривают право на обработку персональных данных физических лиц. Также проверяется соответствие процедур обработки персональных данных положениям акта, которым было предусмотрено право на обработку персональных данных.
8. При наличии согласия субъекта персональных данных как правового основания для обработки персональных данных проверяется и определяется полнота охвата предоставленным согласием всех установленных субъектом проверки процессов обработки персональных данных.
9. Наличие нормативно-правового акта, учредительного или иного документа, регулирующего деятельность субъекта проверки, который содержит или утверждает цель обработки персональных данных.
10. Проверка соответствия цели обработки персональных данных целям, установленным нормативно-правовыми актами, учредительными или другими документами, а также цели, которая была указана субъектом проверки в заявлении на регистрацию базы персональных данных.
11. Проверка соответствия определенной или установленной цели состава и содержания персональных данных, содержащихся в соответствующей базе персональных данных.
12. Установление источников получения сведений о физическом лице (первичные источники в виде подписанных физическим лицом документов, сведений, которые физическое лицо предоставляет о себе или общедоступные источники, предусмотренные законодательством).
13. Наличие у субъекта проверки персональных данных, по которым установлены особые требования для их обработки, а также проверка наличия соответствующих правовых оснований для их обработки.
14. Наличие однозначно предоставленного согласия субъекта персональных данных на обработку персональных данных, по которым установлены особые требования для их обработки.
15. Законность осуществления субъектом проверки обработки персональных данных в соответствии с законодательством:
— уведомление субъекта персональных данных в течение десяти рабочих дней со дня включения его персональных данных в соответствующую базу персональных данных;
— обеспечение субъектом проверки целостности персональных данных и соответствующего режима доступа к ним;
— проверка сроков обработки персональных данных в форме, допускающей идентификацию физического лица и правовые основания для установления именно таких сроков обработки персональных данных;
— наличие и законность процедур распространения персональных данных (правовые основания, обеспечение защиты персональных данных при их передаче, выполнение стороной, которой осуществлялась передача персональных данных, соответствующих гарантий выполнения требований законодательства);
— законность процедур уничтожения персональных данных;
— наличие уведомления субъекта персональных данных о включении в базу персональных данных, о его правах, определенных Законом, цели сбора данных и лица, которым передаются его персональные данные;
— соответствие данных и сведений, представленных субъектом проверки для регистрации баз персональных данных, фактическому состоянию обработки персональных данных у субъекта проверки;
— законность установленного субъектам проверки порядка доступа к персональным данным.
16. Наличие у субъекта проверки документов, устанавливающих процедуры обработки персональных данных и связанных со сбором, регистрацией, накоплением, хранением, адаптацией, изменением, обновлением, использованием и распространением (реализацией, передачей), обезличением, уничтожением сведений о физическом лице.
17. Установление субъектом проверки:
— порядка внесения, изменения, обновления, использования, распространения, обезличивания, уничтожения персональных данных в базе персональных данных;
— порядка защиты персональных данных, в том числе от незаконной обработки и незаконного доступа к ним;
— распространение на все действия субъекта проверки требований по защите персональных данных от незаконной обработки, а также от незаконного доступа к ним.
18. Наличие у субъекта проверки — владельца базы персональных данных распорядителя базы. В случае наличия распорядителя проверяются:
— документальное подтверждение факта заключения договора в письменной форме между владельцем и распорядителем баз персональных данных;
— соответствие условий обработки распорядителем базы персональных данных условиям, которые определены в соответствующем договоре с владельцем баз персональных данных (в частности, соответствие целям, составу, содержанию, объему и т. д.). А также выяснение, не предоставлено ли распорядителю базы персональных данных больше полномочий по обработке персональных данных, чем у владельца.
19. Порядок доступа к персональным данным, которые обрабатываются субъектом проверки, со стороны третьих лиц.
20. Наличие передачи персональных данных иностранным субъектам. В случае наличия — установление соответствующих процедур.
21. Наличие документа об определении структурного подразделения или ответственного лица, которые организуют работу, связанную с защитой персональных данных при их обработке, а также документов, регламентирующих их деятельность.
22. Выполнение структурным подразделением или ответственным лицом задач по организации работы, связанной с защитой персональных данных при их обработке.
23. Ведение субъектом проверки учета фактов предоставления и лишения работников права доступа к персональным данным и их обработки, а также попыток и фактов несанкционированных и/или незаконных действий по обработке персональных данных.
24. Разграничение режимов доступа сотрудников к обработке персональных данных в базе персональных данных в соответствии с их профессиональными, трудовыми или служебными обязанностями.
25. Организация обработки субъектом проверки персональных данных в составе информационной (автоматизированной) системы, в которой обеспечивается защита персональных данных в соответствии с законодательством.
26. Выполнение субъектом проверки требований по внедрению организационных и технических мер защиты персональных данных при их обработке в форме картотек.
Ответственность за нарушения в сфере защиты персональных данных
Какие предусмотрены штрафы за нарушения в сфере защиты ПД? В каком порядке и кем они налагаются?
Самому предприятию ничего не грозит. А вот его должностным лицам есть чего опасаться. Размеры штрафов более чем внушительные:
— за неуведомление или несвоевременное уведомление субъекта персональных данных (в том числе работника) о его правах в связи с включением его персональных данных в базу персональных данных, цели сбора этих данных и лицах, которым эти данные передаются, может быть наложен штраф на должностных лиц, физлиц-предпринимателей — от 300 до 400 не облагаемых минимумов доходов граждан (т. е. от 5100 до 6800 грн.), на физлиц-работодателей, не имеющих статуса предпринимателя, — от 200 до 300 ннмдг (от 3400 до 5100 грн.);
— за неуведомление или несвоевременное уведомление Госслужбы об изменении сведений, которые подаются для государственной регистрации базы персональных данных на должностных лиц предприятия либо на физлицо-предпринимателя может быть наложен штраф от 200 до 400 ннмдг (от 3400 до 6800 грн.), на физлиц-работодателей, не имеющих статуса предпринимателя, — от 100 до 200 ннмдг (от 1700 до 3400 грн.);
— за уклонение от государственной регистрации базы персональных данных предусмотрен штраф на граждан, не имеющих статуса предпринимателя, от 300 до 500 ннмдг (от 5100 до 8500 грн.), на должностных лиц, физлиц-предпринимателей — от 500 до 1000 ннмдг (от 8500 до 17000 грн.).
На составление админпротоколов уполномочены должностные лица Государственной службы по защите персональных данных. Рассматривают дела и налагают штрафы суды.
Уголовная ответственность будет наступать за незаконные сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о работнике или незаконное изменение такой информации в виде штрафа от 500 до 1000 ннмдг (от 8500 до 17000 грн.) либо исправительных работ на срок до двух лет, либо в виде ареста на срок до шести месяцев, либо ограничения свободы на срок до трех лет.
Напомним, нормы об ответственности заработают с 1 июля 2012 года. При этом Госслужба признает, что направление ей заявления о регистрации БПД является достаточным для того, чтобы должностные лица субъекта хозяйствования либо предприниматель не были привлечены к ответственности за уклонение от регистрации (http://zpd.gov.ua/dszpd/uk/publish/article/36511). Такой вывод Госслужбы взяли на вооружение и другие государственные органы. К примеру, Минздравоохранения в Методрекомендациях от 01.12.2011 г. № 11-02-09/10-299 предписало пребывающим в сфере его управления учреждениям предпринять меры по регистрации баз данных до вступления в силу норм об ответственности, что позволит избежать штрафов.
Последствия неподачи заявления о регистрации БПД до 01.07.2012 г.
Если заявление так и не будет подано до 01.07.2012 г., неизбежно ли наступит ответственность в этом случае?
Скажем прямо, шансов быть оштрафованными у должностных лиц субъекта хозяйствования и в этом случае немного. Объясним, почему.
На данный момент все усилия Госслужбы, как мы уже сказали, направлены на регистрацию уже поступивших заявлений. Более того, до сих пор нет механизма осуществления проверок: порядок их проведения есть лишь в виде проекта, территориальных органов у Госслужбы нет. Поэтому с проверкой соблюдения требований законодательства о защите персональных данных на предприятие если и придут, то очень нескоро.
Так что у тех субъектов хозяйствования, которые собираются регистрировать БПД, но до 01.07.2012 г. сделать это не успеют, некоторое время еще есть. Предположим, заявление будет подано в ГСЗПД 25.07.2012 г. Дальше происходит следующее. До 25.07.2012 г. должностные лица субъекта хозяйствования либо физлицо-предприниматель считаются совершающими такое длящееся нарушение как уклонение от регистрации БПД. С момента подачи заявления о регистрации нарушение считается прекратившимся, а поскольку налагать штрафы за его совершение уполномочены суды (на основании составленных ГСЗПД протоколов), то согласно ст. 38 Кодекса об административных правонарушениях срок давности составляет три месяца. Это означает, что до 26.10.2012 г. не только должна быть проведена проверка, составлен и направлен в суд протокол об админправонарушении, но и суд должен успеть рассмотреть дело и вынести постановление о наложении штрафа.
Такой вариант развития событий сегодня выглядит маловероятным.
Приложение 1
Памятка субъекту хозяйствования,
регистрирующему БПД
1. На каждую БПД составляется и подается отдельное заявление о регистрации.
2. Сами данные, составляющие БПД (к примеру, Ф. И. О., паспортные данные, ИНН, место проживания, семейное положение, образование, квалификация, контактные данные и прочие сведения о физлице, которыми владеет субъект хозяйствования), вносить в заявление не нужно. В заявлении о регистрации БПД указывается минимум требуемой информации.
3. Регистрировать в Госслужбе изменения в БПД, если меняются сведения о физлице (фамилия, место проживания и т. д.), не надо. Регистрации подлежат только те изменения, которые касаются изначально заявленных данных (название базы персональных данных, ее местонахождение, цели использования и т. п.).
4. Санкции за нарушение законодательства о защите персональных данных должны начать работать с 01.07.2012 г. Те субъекты хозяйствования, которые подали заявление о регистрации до этой даты, могут чувствовать себя спокойно, даже если сама база еще не зарегистрирована. Обвинить их в уклонении от регистрации никто не сможет.
5. Указывать распорядителем в заявлении бухгалтера юрлица или другое должностное лицо предприятия не надо, владелец базы — юрлицо либо физлицо-предприниматель (либо физлицо без статуса предпринимателя — работодатель). От имени владельца могут действовать его уполномоченные должностные лица. Они не считаются третьим лицом и обрабатывают данные в пределах своих трудовых отношений с владельцем базы.
6. Если название базы персональных данных, которые используются головным предприятием, и базы персональных данных, которая ведется подразделением, совпадают (например, и там, и там есть база «Контрагенти»), то соответствующая база персональных данных регистрируется только головным предприятием. При этом предприятие на стр. 4 заявления указывает повторно название базы, а в качестве местонахождения указывает место нахождения филиала. Если у головного предприятия и обособленного подразделения базы данных разные (у головного «Контрагенти», а у филиала — отдельно «Контрагенти-резиденти» и «Контрагенти-нерезиденти») головное предприятие отдельно подает заявку на свою базу данных, отдельно — на базы данных филиала. Владельцем базы указывается головное предприятие, в качестве местонахождения базы — место нахождения филиала.
7. Регистрация БПД осуществляется бесплатно.
Приложение 2
Примерная форма Положения об обработке
и защите персональных данных
УТВЕРЖДЕНО
Положение
об обработке и защите персональных данных
1. ОБЩИЕ ПОНЯТИЯ И ОБЛАСТЬ ПРИМЕНЕНИЯ
1.1. Положение об обработке и защите персональных данных (далее — Положение) определяет комплекс организационных и технических мероприятий для обеспечения защиты персональных данных, используемых _____________________________ (указать название субъекта хозяйствования) (далее — Владелец) от несанкционированного доступа, утечки информации, неправомерного использования или утраты при обработке.
1.2. Положение разработано на основании Закона Украины «О защите персональных данных» от 01.06.2010 № 2297-VI (далее — Закон № 2297) и Типового порядка обработки персональных данных в базах персональных данных, утвержденного приказом Министерства юстиции Украины от 30.12.2011 № 3659/5, зарегистрированным в Минюсте 03.01.2012 под № 1/20314 (далее — Типовой порядок).
1.3. Положение является обязательным для выполнения всеми лицами, которые имеют доступ к персональным данным, используемым Владельцем, и обрабатывают персональные данные.
1.4. Все термины в настоящем Положении определяются согласно Закону № 2297 и Типовому порядку.
2. ПЕРЕЧЕНЬ БАЗ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. В деятельности Владельца используются следующие базы персональных данных:
— «Работники»;
— «_______________________» (указать название базы персональных данных, если Владелец систематизирует и использует информацию о физических лицах, кроме своих работников);
— «_______________________».
2.2. Базы персональных данных регистрируются в Государственном реестре баз персональных данных, при этом Владелец уведомляет Государственную службу Украины по вопросам защиты персональных данных о каждом изменении сведений, необходимых для регистрации базы персональных данных, не позднее чем в течение десяти рабочих дней со дня наступления такого изменения путем подачи соответствующего заявления (по формам и в порядке, определенным приказом Минюста от 08.07.2011 № 1824/5).
2.3. Для баз персональных данных третьими лицами являются: государственные органы, которым персональные данные передаются согласно требованиям законодательства (органы Пенсионного фонда, государственная налоговая служба, центры занятости и т. п.), банковские учреждения (в частности, в случае предоставления Владельцу услуг по зарплатному карточному проекту), другие юридические и физические лица, обращающиеся с запросом о доступе к персональным данным работникам.
3. ЦЕЛЬ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Целью обработки персональных данных в Базе персональных данных «Работники» является обеспечение реализации трудовых отношений, административно-правовых, налоговых отношений и отношений в сфере бухгалтерского учета, отношений в сфере управления человеческими ресурсами, в частности кадровым потенциалом согласно Кодексу законов о труде Украины, Налоговому кодексу Украины, Закону Украины «О бухгалтерском учете и финансовой отчетности в Украине», Закону Украины «О занятости населения», Закону Украины «Об отпусках», Закону Украины «Об оплате труда» и другим актам законодательства, коллективному договору, а также учредительным документам организации.
Обработка персональных данных работников необходима для ведения кадрового делопроизводства; подготовки определенной законодательством статистической и другой отчетности; документационного обеспечения определенных в пункте 3.1 отношений.
3.2. Целью обработки персональных данных в Базе персональных данных «___________» являются
(указать цель обработки других баз персональных данных, если такие есть у Владельца; например, это может быть база персональных данных «Клиенты», целью обработки данных в которой может выступать реализация договорных отношений с физическим лицом — клиентом, накопление информации о заказах, сделанных им в магазинах и других пунктах продажи Владельца, информирование клиента об акциях, проводимых Владельцем, и т. п.).
4. СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ В БАЗАХ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Согласно определенной цели обработки, нормативно-правовым актам в базе персональных данных «Работники» обрабатываются следующие персональные данные:
фамилия, имя, отчество;
дата и место рождения;
паспортные данные;
номер учетной карточки плательщика налогов;
сведения из военного билета (приписного свидетельства) (для военнообязанных и лиц призывного возраста), в объеме, необходимом для ведения военного учета;
сведения о трудовой деятельности, содержащиеся в трудовой книжке;
другие персональные данные, необходимость обработки которых определена нормативно-правовыми актами или связана с квалификационными требованиями к должности и/или спецификой деятельности Владельца, в частности:
сведения об образовании, наличии специальных знаний или подготовки (при необходимости, в зависимости от квалификационных требований к должности);
сведения о наличии квалификационной категории (разряда, класса и т. п.);
сведения о состоянии здоровья (обрабатываются в соответствии со статьей 24 Кодекса законов о труде Украины в объеме, необходимом для реализации трудовых отношений и для обеспечения требований законодательства в сфере охраны труда);
биографические данные;
сведения о деловых и личных качествах, в частности, указанные в поданном при трудоустройстве резюме (в том числе касающиеся черт характера, личных увлечений, привычек);
сведения о семейном положении, членах семьи в объеме, необходимом для реализации трудовых отношений;
сведения о фактическом месте проживания, номерах телефонов, адресе личной электронной почты;
сведения о членстве в профессиональных союзах;
сведения, подтверждающие право на льготы и компенсации в соответствии с законодательством (установление инвалидности, принадлежность к категории пострадавших от аварии на ЧАЭС, получение пенсии по возрасту, статус одинокой матери, опекуна, попечителя, усыновление ребенка и т. п.);
фотоизображение;
видеоизображение (если видеонаблюдение установлено у Владельца).
4.2. В базе персональных данных «____________» обрабатываются следующие персональные данные:
(например, фамилия, имя, отчество клиента, дата рождения, даты осуществления им заказов и их цена и т. п.).
4.3. Владелец не обрабатывает сведения о расовом или этническом происхождении работников, их политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях, сведения, касающиеся половой жизни.
5. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Субъект персональныхданных имеет право:
знать о местонахождении базы персональных данных, содержащей его персональные данные, ее назначении и наименовании, местонахождении и/или месте проживания (пребывания) владельца или распорядителя этой базы или дать соответствующее поручение о получения этой информации уполномоченным им лицам, кроме случаев, установленных законом;
получать информацию об условиях предоставления доступа к персональным данным, в частности информацию о третьих лицах, которым передаются его персональные данные, содержащиеся в соответствующей базе персональных данных;
на доступ к своим персональным данным, содержащимся в соответствующей базе персональных данных;
получать не позднее чем за тридцать календарных дней со дня поступления запроса, кроме случаев, предусмотренных законом, ответ о том, хранятся ли его персональные данные в соответствующей базе персональных данных, а также получать содержание его хранящихся персональных данных;
предъявлять мотивированное требование с возражением против обработки своих персональных данных органами государственной власти, органами местного самоуправления при осуществлении их полномочий, предусмотренных законом;
предъявлять мотивированное требование об изменении или уничтожении своих персональных данных любым владельцем и распорядителем этой базы, если эти данные обрабатываются незаконно или являются недостоверными;
на защиту своих персональных данных от незаконной обработки и случайной утраты, уничтожения, повреждения в связи с умышленным сокрытием, непредоставлением или несвоевременным их предоставлением, а также на защиту от предоставления сведений, являющихся недостоверными или позорящими честь, достоинство и деловую репутацию физического лица;
обращаться по вопросам защиты своих прав относительно персональных данных в органы государственной власти, органы местного самоуправления, к полномочиям которых относится осуществление защиты персональных данных;
применять средства правовой защиты в случае нарушения законодательства о защите персональных данных.
6. СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Персональные данные в базах персональных данных обрабатываются на бумажных носителях и с помощью автоматизированной системы (указать название автоматизированной системы (систем), например, 1С, «Парус», «Кадры»), а также других программных продуктов (Excel, Word и т. п.).
7. ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Обработка персональных данных требует получения соответствующего согласия субъекта персональных данных. Такое согласие должно быть документированным, в частности письменным, добровольным волеизъявлением физического лица относительно предоставления разрешения на обработку его персональных данных согласно сформулированной цели их обработки.
7.2. Согласие субъекта персональных данных должно быть предоставлено путем подписания субъектом персональных данных утвержденного приказом руководителя Владельца текста согласия (или иным способом, удобным для Владельца, позволяющим зафиксировать волеизъявление физического лица на согласие относительно обработки его персональных данных).
7.3. Согласие составляется в двух экземплярах, один из которых после подписания субъектом персональных данных остается у него, а другой хранится Владельцем в течение всего времени обработки персональных данных указанного субъекта персональных данных, но не менее 3 лет.
7.4. Обработка персональных данных о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, а также данных, касающихся здоровья или половой жизни (особые категории данных), запрещается.
7.5. Работники Владельца, обрабатывающие персональные данные, обязаны:
— быть проинформированы о требованиях Закона № 2297 и других нормативно-правовых актов в сфере защиты персональных данных;
— предотвращать утрату персональных данных или их неправомерное использование;
— не разглашать персональные данные, которые им были доверены или которые стали известны в связи с исполнением должностных обязанностей, при этом такое обязательство действует после прекращения ими деятельности, связанной с персональными данными, кроме случаев, установленных законом;
— срочно сообщать Ответственному лицу в случае утраты или умышленного уничтожения носителей информации с персональными данными; утраты ими ключей от помещений, сейфов, шкафов, где хранятся персональные данные; выявление попытки несанкционированного доступа к персональным данным;
— при увольнении с работы или переводе на другую должность своевременно передать руководителю структурного подразделения или другому работнику, определенному руководством Владельца, носители информации, содержащие сведения о персональных данных, которые были получены или созданы лично либо совместно с другими работниками при исполнении должностных обязанностей.
7.6. Доступ к персональным данным, внесенным в Автоматизированную систему и картотеки персональных данных, имеют работники бухгалтерии и отдела кадров, а также директор Владельца, его заместители, юрисконсульт Владельца, администратор системы согласно должностным обязанностям в объеме, необходимом для исполнения таких обязанностей.
7.7. Работники Владельца и другие допущенные им лица к обработке и использованию персональных данных, включенных в базы персональных данных Владельца, дают письменное обязательство о неразглашении персональных данных, которые им были доверены или которые стали известны в связи с исполнением должностных обязанностей. Право доступа к персональным данным возникает только после подписания обязательства о неразглашении персональных данных.
7.8. Дела «Документы по вопросам обработки персональных данных (заявления о предоставлении согласия на обработку персональных данных, уведомления о цели обработки персональных данных и т.д.» включаются в номенклатуру дел Владельца.
8. МЕСТОНАХОЖДЕНИЕ БАЗЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. База персональных данных «Работники» размещена в отделе кадров и бухгалтерии Владельца (указать адрес размещения).
8.2. База персональных данных «______________» (указать название базы персональных данных, если таковая имеется) размещена в ____________________ (указать название структурного подразделения, где находится база персональных данных) по адресу ___________________ (указать адрес размещения).
9. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Приказом руководителя Владельца назначается лицо, ответственное за защиту персональных данных.
9.2. Ответственное лицо организует работу, связанную с защитой персональных данных при их обработке, согласно закону.
Обязанности ответственного лица по организации работы, связанной с защитой персональных данных при их обработке, указываются в должностной инструкции.
9.3. Ответственное лицо обязано:
знать законодательство Украины в сфере защиты персональных данных;
разработать процедуры доступа к персональным данным работникам согласно их профессиональным или служебным или трудовым обязанностям;
обеспечить выполнение работниками Владельца требований законодательства Украины в сфере защиты персональных данных и внутренних локальных правовых актов и документов по обработке и защите персональных данных в базах персональных данных;
сообщать руководство Владельца о фактах нарушений работниками требований законодательства Украины в сфере защиты персональных данных и внутренних локальных правовых актов и документов по обработке и защите персональных данных в базах персональных данных в срок не позднее одного рабочего дня с момента выявления таких нарушений;
обеспечить хранение документов, подтверждающих предоставление субъектом персональных данных согласия на обработку своих персональных данных, и уведомление указанного субъекта о его правах.
9.4. С целью исполнения своих обязанностей ответственное лицо имеет право:
получать от работников Владельца необходимые документы, в том числе приказы и другие распорядительные документы, связанные с обработкой персональных данных;
делать копии с полученных документов, в том числе копии файлов, любых записей, хранящихся в локальных вычислительных сетях и автономных компьютерных системах;
доступа во все помещения, к документам, средствам телекоммуникации Владельца;
принимать участие в обсуждении исполняемых им обязанностей организации работы, связанной с защитой персональных данных при их обработке;
осуществлять взаимодействие с другими работниками Владельца при исполнении своих обязанностей по организации работы, связанной с защитой персональных данных при их обработке.
9.5. Право доступа к персональным данным (в картотеках или в Автоматизированной системе) предоставляется работникам Владельца, в должностных инструкциях которых предусмотрены функции по их обработке и которые предоставили письменное обязательство по неразглашению персональных данных.
9.6. Работники Владельца допускаются к обработке персональных данных только после их идентификации (идентификация в Автоматизированной системе может осуществляться через логин, пароль).
9.7. Автоматизированная система в обязательном порядке обеспечивается антивирусной защитой и средствами бесперебойного питания элементов системы. Соответствующие меры обеспечивает администратор системы.
9.8. При переводе на другую должность, не предусматривающую обработку персональных данных, или увольнении работника, имевшего право на обработку персональных данных в Автоматизированной системе, его идентификационные данные (логин, пароль) изымаются из системы.
9.9. Двери в помещение, где хранятся картотеки персональных данных, оборудуются замками.
9.10. Картотеки хранятся в шкафах и сейфах, которые надежно закрываются (с учетом требований нормативно-правовых актов, регламентирующих ведение соответствующих картотек).
9.11. Факты нарушений режима защиты персональных данных фиксируются актами.
9.12. При необходимости по фактам нарушений режима защиты персональных данных директором Владельца назначается служебное расследование.
9.13. По результатам служебного расследования на работников, виновных в нарушениях, могут быть наложены дисциплинарные взыскания.
10. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Передача персональных данных третьим лицам определяется условиями согласия субъекта персональных данных на обработку его персональных данных или согласно требованиям закона.
10.2. Передача персональных данных третьим лицам допускается в минимально необходимых объемах и только с целью выполнения задач, соответствующих объективной причине сбора соответствующих данных.
10.3. Доступ к персональным данным третьему лицу не предоставляется, если указанное лицо отказывается принять на себя обязательство по обеспечению выполнения требований Закона № 2297 или не в состоянии их обеспечить.
10.4. Персональные данные работника передаются банковскому учреждению исключительно для реализации карточного зарплатного проекта в соответствии с согласием работника на обработку его персональных данных.
10.5. Без согласия субъекта персональных данных его персональные данные могут передаваться в случаях:
— когда передача персональных данных прямо предусмотрена законодательством Украины;
— получения запроса от органов государственной власти и местного самоуправления, действующих в рамках полномочий, предоставленных законодательством Украины.
10.6. В иных, нежели указанные в пункте 10.5, случаях доступ к персональным данным субъекта персональных данных предоставляется третьим лицам только при его письменном согласии по каждому запросу отдельно в порядке, определенном пунктами 3— 5 статьи 10 Закона № 2297.
10.7. Запрещается передача персональных данных работников третьим лицам по телефону или факсу.
10.8. Субъект персональных данных имеет право на получение любых сведений о себе, содержащихся в базе персональных данных Владельца, без указания цели запроса.
10.9. В случае смерти субъекта персональных данных его персональные данные могут быть предоставлены наследникам первой очереди (согласно законодательству Украины) по письменному запросу после предоставления оригинала свидетельства о смерти.
11. ХРАНЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1. Персональные данные работников хранятся в срок не больший, чем это необходимо согласно цели их обработки, если иное не предусмотрено законодательством в сфере архивного дела и делопроизводства.
11.2. Отбор документов с персональными данными, сроки хранения которых закончились, для уничтожения осуществляется экспертной комиссией, состав которой определяется приказом руководителя Владельца.
12. ПОРЯДОК РАБОТЫ С ЗАПРОСАМИ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ
12.1. Субъект персональных данных имеет право на получение любых сведений о себе у любого субъекта отношений, связанных с персональными данными, без указания цели запроса, кроме случаев, установленных законом.
12.2. Доступ субъекта персональных данных к данным о себе осуществляется бесплатно.
12.3. Субъект персональных данных подает запрос о доступе к персональным данным Владельцу базы персональных данных. В запросе указываются:
фамилия, имя и отчество, место проживания (пребывания) и реквизиты документа, удостоверяющего личность субъекта персональных данных;
другие сведения, позволяющие идентифицировать личность субъекта персональных данных;
сведения о базе персональных данных, по которой подается запрос, или сведения о владельце или распорядителе этой базы;
перечень запрашиваемых персональных данных.
12.4. Срок изучения запроса на предмет его удовлетворения не может превышать десяти рабочих дней со дня его поступления. В течение этого срока владелец базы персональных данных сообщает субъекту персональных данных, что запрос будет удовлетворен или соответствующие персональные данные не подлежат предоставлению, с указанием основания, определенного в соответствующем нормативно-правовом акте.
12.5. Запрос удовлетворяется в течение тридцати календарных дней со дня его поступления, если иное не предусмотрено законом.
12.6. Запрашиваемая информация предоставляется субъекту персональных данных в письменной форме (письмо).
13. УСЛОВИЯ РАСКРЫТИЯ ИНФОРМАЦИИ О ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ
13.1. Порядок доступа к персональным данным третьих лиц определяется условиями согласия субъекта персональных данных, предоставленного Владельцу базы персональных данных на обработку этих данных, или согласно требованиям закона.
13.2. Доступ к персональным данным третьему лицу не предоставляется, если указанное лицо отказывается принять на себя обязательство по обеспечению выполнения требований Закона № 2297 или не в состоянии их обеспечить.
13.3. Субъект отношений, связанных с персональными данными, подает запрос о доступе к персональным данным владельцу базы персональных данных. В запросе указываются:
фамилия, имя и отчество, место проживания (пребывания) и реквизиты документа, удостоверяющего физическое лицо, которое подает запрос (для физического лица — заявителя);
наименование, местонахождение юридического лица, которое подает запрос, должность, фамилия, имя и отчество лица, удостоверяющего запрос; подтверждение того, что содержание запроса соответствует полномочиям юридического лица (для юридического лица — заявителя);
фамилия, имя и отчество, а также другие сведения, позволяющие идентифицировать физическое лицо, в отношении которого делается запрос;
сведения о базе персональных данных, по которой подается запрос, или сведения о владельце или распорядителе этой базы;
перечень запрашиваемых персональных данных;
цель запроса.
13.4. Срок изучения запроса на предмет его удовлетворения не может превышать десяти рабочих дней со дня его поступления. В течение этого срока Владелец базы персональных данных сообщает лицу, которое подает запрос, что запрос будет удовлетворен или соответствующие персональные данные не подлежат предоставлению, с указанием основания, определенного в соответствующем нормативно-правовом акте.
13.5. Запрос удовлетворяется в течение тридцати календарных дней со дня его поступления, если иное не предусмотрено законом.
13.6. Отсрочка доступа к персональным данным третьих лиц допускается в случае, если необходимые данные не могут быть предоставлены в течение тридцати календарных дней со дня поступления запроса. При этом общий срок решения вопросов, затронутых в запросе, не может превышать сорока пяти календарных дней.
13.7. Уведомление об отсрочке доводится до сведения третьего лица, подавшего запрос, в письменной форме с разъяснением порядка обжалования такого решения. В уведомлении об отсрочке указываются:
фамилия, имя и отчество должностного лица;
дата отправления уведомления;
причина отсрочки;
срок, в течение которого будет удовлетворен запрос.
13.8. Отказ в доступе к персональным данным допускается, если доступ к ним запрещен согласно закону.
13.9. В уведомлении об отказе указываются:
фамилия, имя, отчество должностного лица, которое отказывает в доступе;
дата отправления уведомления;
причина отказа.
13.10. Решение об отсрочке или отказе в доступе к персональным данным может быть обжаловано в уполномоченный государственный орган по вопросам защиты персональных данных, других органов государственной власти и органов местного самоуправления, к полномочиям которых относится осуществление защиты персональных данных, или в суд.
14. ГОСУДАРСТВЕННАЯ РЕГИСТРАЦИЯ БАЗЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
14.1. Государственная регистрация баз персональных данных осуществляется согласно статье 9 Закона № 2297.
Приложение 3
Примерная форма приказа о назначении лица,
ответственного за организацию
защиты персональных данных
УТВЕРЖДЕН
ПРИКАЗ
о назначении лица,
ответственного за организацию
защиты персональных данных
Назначить ________________________ (фамилия, имя, отчество), который(ая) занимает должность ___________________ (указать должность, которую занимает такое лицо), ответственным за организацию работы, связанной с защитой персональных данных в __________________________ (указать название предприятия, являющегося владельцем персональных данных) (далее — Владелец).
На ответственное лицо возложить полномочия по:
— организации обработки персональных данных работниками Владельца согласно их должностным обязанностям в объеме, необходимом для исполнения таких обязанностей;
— проведению анализа цели, с которой обрабатываются персональные данные, правовых оснований для обработки персональных данных, осуществлению оценки, не является ли избыточным перечень персональных данных согласно определенной цели их обработки;
— определению наличия баз персональных данных, подлежащих государственной регистрации;
— подаче заявления о государственной регистрации баз персональных данных, внесению изменений в сведения Государственного реестра баз персональных данных (при необходимости);
— ознакомлению руководителей структурных подразделений и работников Владельца с требованиями законодательства о защите персональных данных и изменениями к нему, в частности относительно обязательства не допускать разглашения любым способом персональных данных, которые были доверены или которые стали известны в связи с исполнением должностных обязанностей;
— организации обработки запросов третьих лиц относительно доступа к персональным данным.
Ответственное лицо в рамках предоставленных полномочий:
— способствует доступу субъектов персональных данных к собственным персональным данным;
— при необходимости готовит проекты изменений и дополнений к Положению об обработке и защите персональных данных, подает указанные проекты на рассмотрение руководителю Владельца;
— согласовывает проекты положений о структурных подразделениях, работниками которых обрабатываются персональные данные, и должностных инструкций работников, которые обрабатывают персональные данные или имеют доступ к ним, при необходимости инициирует внесение необходимых изменений и дополнений в положения о структурных подразделениях и должностные инструкции;
— информирует руководителя Владельца о мерах, которые необходимо принять для приведения состава персональных данных и процедур их обработки в соответствие с законом;
— фиксирует факты нарушений режима защиты персональных данных.
Приложение 4
Примерная форма Согласия на сбор
и обработку персональных данных
СОГЛАСИЕ
на сбор и обработку персональных данных
Я ___________________________________________________________________ (фамилия, имя, отчество),
родился(лась) «___» __________ ____ года, паспорт серии ___ № _________, путем подписания настоящего текста даю согласие (название Владельца базы персональных данных) на сбор и использование информации обо мне с ограниченным доступом с целью обеспечения требований трудового законодательства, в административно-правовых отношениях (в том числе отношениях в сфере государственного управления), налоговых отношениях и отношениях в сфере бухгалтерского учета; отношениях в сфере управления человеческими ресурсами, в частности кадрами; других отношениях, требующих обработки персональных данных.
Подтверждаю предоставление согласия на осуществление обработки следующих персональных данных, касающихся меня:
1) идентификационные данные: фамилия, имя и отчество; индивидуальный налоговый номер;
2) личные сведения: возраст, пол, семейное положение, состав семьи;
3) сведения об образовании, профессии, специальности, квалификации;
4) данные о наличии или отсутствии льгот, установленных законодательством о труде и налоговым законодательством;
5) данные об установлении инвалидности и состоянии здоровья;
6) данные о приеме, увольнении, переводе и отпусках.
«___» _________ ______ г., ____________ (_____________________)
Личность и подпись __________________________________ проверены.
Руководитель кадрового подразделения ________________ (_____________________)
М. П.
Приложение 5
Примерная форма
Уведомления о включении
предоставленных сведений
в Базу персональных данных
Уведомление
о включении предоставленных сведений
в Базу персональных данных
Сообщаем, что предоставленные Вами сведения включены в базу персональных данных «__________» (указать название базы персональных данных), владельцем которой является __________________________ (указать название предприятия или данные о физическом лице — предпринимателе) с целью __________________________ (указать цель обработки персональных данных, которая указывается в заявлении на регистрацию такой базы персональных данных).
Информируем Вас также, что согласно ст. 8 Закона Украины «О защите персональных данных» субъект персональных данных имеет право:
1) знать о местонахождении базы данных, содержащей его персональные данные, ее назначение и наименование, местонахождение ее владельца или распорядителя;
2) получать информацию об условиях предоставления доступа к персональным данным, в частности информацию о третьих лицах, которым передаются его персональные данные, содержащиеся в базе персональных данных;
3) на доступ к своим персональным данным, содержащимся в соответствующей базе персональных данных;
4) получать не позднее чем за 30 календарных дней со дня поступления запроса, кроме случаев, предусмотренных законом, ответ о том, хранятся ли его персональные данные в соответствующей базе персональных данных, а также получать содержание его хранящихся персональных данных;
5) предъявлять мотивированное требование с возражением против обработки своих персональных данных органами государственной власти, органами местного самоуправления при осуществлении их полномочий, предусмотренных законом;
6) предъявлять мотивированное требование об изменении или уничтожении своих персональных данных любым владельцем и распорядителем этой базы, если эти данные обрабатываются незаконно или являются недостоверными;
7) на защиту своих персональных данных от незаконной обработки и случайной утраты, уничтожения, повреждения в связи с умышленным сокрытием, непредоставлением или несвоевременным их предоставлением, а также на защиту от предоставления сведений, которые являются недостоверными или позорят честь, достоинство и деловую репутацию физического лица;
8) обращаться по вопросам защиты своих прав относительно персональных данных в органы государственной власти, органы местного самоуправления, к полномочиям которых относится осуществление защиты персональных данных;
9) применять средства правовой защиты в случае нарушения законодательства о защите персональных данных.
Я _________________________ (указать фамилию, имя, отчество субъекта персональных данных), удостоверяю, что получил уведомление о включении информации обо мне в базу персональных данных (указать название базы персональных данных), владельцем которой является __________________________ (указать название предприятия или данные о физическом лице — предпринимателе), а также сведения о моих правах, определенных Законом Украины «О защите персональных данных».
«___» _________ ______ г., ____________ (____________________)