Законом України "Про захист персональних даних" від 1 червня 2010 р., який набув чинності з початку нинішнього року, уперше в Україні було запроваджено більш-менш чіткі правила поводження з персональними даними - їхньої обробки, зберігання та використання.

---

Але найбільший резонанс викликала вимога щодо держреєстрації бази персональних даних її володільцем, бо з 1 січня 2012-го до порушників застосовуватимуть штрафні санкції. Тож у цій консультації ми визначимося, що, власне, згаданий закон розуміє під базою персональних даних, кому, з чим і куди звертатися, аби її зареєструвати.


Згідно зі статтею 2 закону база персональних даних - це іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі їхніх картотек. А до останніх належать відомості чи їхня сукупність про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Зокрема, до таких відомостей про людину належать: прізвище, ім’я, по батькові (ПІБ), національність, місце та дата народження, релігійні, політичні переконання, інформація про стан здоров'я, склад сім'ї, майна, місце проживання, стан банківського рахунку, особиста характеристика тощо.

Тобто щось одне із перерахованого вище у поєднанні з ПІБ, або сукупність такої інформації є персональними даними. А іменований комплекс таких відомостей в електронній або письмовій формі є базою персональних даних. Тобто базою є відомості про двох або більше фізичних осіб.

Володільцем бази закон визначає фізичну або юридичну особу, якій згідно з чинним законодавством або за згодою суб'єкта персональних даних надано право на їхню обробку. Володілець затверджує мету обробки персональних даних у базі, встановлює їхній склад та процедури обробки, якщо інше не передбачено законом. Під обробкою персональних даних стаття 2 закону визначає збирання, реєстрацією, накопичення, зберігання, адаптування, зміну, поновлення, використання й поширення (розповсюдження, реалізація, передача), знеособлення, знищення відомостей про фізособу. Більшість із цих дій розписано у статтях 12-15 Закону.

Найтиповішим прикладом володільця бази персональних даних працівників є їхній роботодавець. Оскільки співробітники під час працевлаштування повідомляють йому свої паспортні дані, за допомогою яких можна ідентифікувати людину.

Однак підприємство, установа, організація, фізична особа-підприємець або інша самозайнята особа може виступати володільцем бази не тільки як роботодавець. Наприклад, як володілець бази персональних даних стосовно своїх контрагентів, клієнтів, пацієнтів, а підприємство навіть щодо засновників. Проте під критерії бази персональних даних згідно з законом підпадає лише упорядкована за певною ознакою та поіменована інформація, що стосується тільки фізичних осіб. Тому кожному потенційному володільцю бази варто проаналізувати, чи є персональні дані в його розпорядженні та які сааме і чи можна їх згрупувати за певною ознакою, наприклад, покупці, яким видано дисконтні картки, тощо. Так легше буде визначитися, які бази персональних даних потрібно реєструвати.

Згідно з частиною 1 статті 9 закону база персональних даних підлягає державній реєстрації через внесення відповідного запису уповноваженим державним органом із питань захисту персональних даних до Державного реєстру баз персональних даних.

Наголосимо, що згідно з законом для обробки та використання персональних даних володільцю бази необхідно отримати згоду суб'єктів персональних даних (суб'єктом є фізична особа, щодо якої згідно з законом здійснюється обробка її персональних даних.) Тому отримайня такої згоди є необхідною передумовою для державної реєстрації бази персональних даних (стаття 11). Згода має бути надана у письмовій формі. Дозвіл на обробку персональних даних може бути наданий володільцю на підставі закону лише для здійснення його повноважень. Отже, роботодавцям з метою дотримання вимог закону слід отримати від кожного працівника письмову згоду на обробку його даних. На практиці роботодавець може отримати згоду працівників на обробку їхніх персональних даних за допомогою підписання працівниками заяви приблизно такого змісту:

"Я, Іванов Іван Іванович, паспорт серії XX № 111111, згідно з Законом України "Про захист персональних даних" надаю згоду Приватному підприємству "Ромашка" на обробку та використання моїх персональних даних (паспортні дані, ідентифікаційний номер, дані про освіту, інші персональні дані) виключно з метою та в межах виконання ним вимог законодавства про працю та податкового законодавства України.

Також посвідчую, що повідомлення про включення даних про мене до бази персональних даних працівників Приватного підприємства "Ромашка" отримав, із правами, які я маю згідно зі ст. 8 Закону України "Про захист персональних даних", ознайомлений".

Володілець бази теж зобов'язаний письмово протягом 10 робочих днів повідомити працівника чи іншого суб'єкта персональних даних про його права, мету збору даних про нього та осіб, яким їх передають, у разі внесення його даних до бази персональних даних.

Тож, ,володільцю бази доцільно спочатку видати наказ, затвердити положення чи інший внутрішній документ, яким визначити види баз персональних даних, які будуть створені, форму письмової згоди працівника на обробку його даних і форму повідомлення про права працівника у зв'язку із зарахуванням його даних до бази. Згідно зі статтею 7 закону, особисті немайнові права на персональні дані, які має кожна фізична особа, є невід'ємними і непорушними, тому суб'єкт персональних даних має право: знати про місцезнаходження бази, яка містить його персональні дані, її призначення та найменування, місцезнаходження та/або місце проживання (перебування) володільця чи розпорядника цієї бази або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом; отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані, що містяться у відповідній базі; на доступ до своїх персональних даних, що містяться у відповідній базі персональних даних; отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи зберігаються його персональні дані у відповідній базі, а також отримувати зміст його персональних даних, які зберігаються; пред'являти вмотивовану вимогу із запереченням проти обробки своїх персональних даних органами державної влади, органами місцевого самоврядування при здійсненні їхніх повноважень, передбачених законом; пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником цієї бази, якщо дані обробляються незаконно чи є недостовірними; на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи; звертатися з питань захисту своїх прав щодо персональних даних до органів державної влади, органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних; застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних. Розпорядження персональними даними фізичної особи, обмеженої в цивільній дієздатності або визнаної недієздатною, здійснює її законний представник.

Законом заборонена обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях і професійних спілках, а також даних, що стосуються здоров'я чи статевого життя. Збирання та обробка такої інформації роботодавцем є порушенням закону.

Отримавши згоду працівників та повідомивши їх про права, роботодавець здійснює держреєстрацію БПД.


Реєстрацію бази покладено на Державну службу України з питань захисту персональних даних (ДСПЗД). Для цього потрібно належно оформити заяву про реєстрацію бази персональних даних, затверджену наказом Мін'юсту № 1824/5 від 8 липня 2011 р.. У заяві необхідно вказати: інформацію про володільця бази персональних даних: найменування, резидент/нерезидент, код платника податків згідно з ЄДРПОУ або податковий номер (для резидента), місцезнаходження — для юридичних осіб (зверніть увагу, найменування слід вказувати повністю, без скорочень, так, як записано у свідоцтві про держреєстрацію); прізвище, ім'я та по батькові (за наявності), громадянство, номер, серія паспорта та орган, що його видав, а також для громадян України — реєстраційний номер облікової картки платника податків (не подають фізичні особи, які через релігійні переконання відмовилися від присвоєння реєстраційного номера облікової картки платника податків та офіційно повідомили про це відповідним органам держвлади, що підтверджується відміткою в паспорті), місце проживання — для фізосіб; інформацію про найменування та місцезнаходження бази персональних даних: адресу фактичного розміщення (для баз даних у формі картотек); фактичні адреси зберігання носіїв інформації (для баз даних у електронній формі); інформацію про мету обробки персональних даних у базі персональних даних із посиланням на нормативно-правові акти, положення, установчі чи інші документи, які регулюють діяльність володільця бази персональних даних, у тому числі про їхні категорії та правові підстави такої обробки (тобто потрібно вказати мету обробки персональних даних, наприклад, з метою забезпечення реалізації трудових відносин на підприємстві, які регулює Кодекс законів про працю України, Статут підприємства та інші нормативні документи, категорію персональних даних — паспортні дані, особисті відомості, відомості про місце проживання, освіту, професію, посаду, військовий облік, зображення. Правові підстави для обробки зазначають згідно зі ст. 11 закону. Форму заяви можна скачати із сайт http://www.zpd.gov. ua/indexServices.html.

Заяву потрібно заповнювати українською мовою, розбірливими, друкованими літерами без помарок, закреслень і виправлень. Під час заповнення заяв вибрану заявником ознаку зазначають символом "х".

Дати в заяві заповнюють арабськими цифрами у форматі: день, місяць, рік.

Сторінки заяв нумерують: на кожній з них зазначають її номер та загальну кількість сторінок.

Якщо необхідно заповнити більше ніж один раз розділи, які містять інформацію про володільця, розпорядників, найменування, місцезнаходження бази та мету обробки персональних даних, то відповідні розділи у заяві заповнюють необхідну кількість разів.

До заяви не потрібно додавати саму базу персональних даних чи відомості про фізичних осіб, із яких вона складається. Оскільки реєстрації підлягає лише факт наявності бази, а не її вміст. На кожну базу необхідно подавати окрему заяву. Якщо підприємство має філії, представництва чи інші відокремлені підрозділи, то воно має реєструвати базу. Водночас, якщо назви баз на підприємстві та підрозділі однакові, наприклад, "База персональних даних працівників TOB "Сонце", то в заяві вказують адреси місцезнаходження цих баз. Якщо ж вони різні, то юридична особа змушена зареєструвати кожну таку базу окремо.

Про надходження заяви Державна служба України з питань захисту персональних даних зобов'язана повідомити заявника. У повідомленні має бути зазначена дата звернення за отриманням свідоцтва про держреєстрацію або про відмову в реєстрації. Причиною для відмови в реєстрації бази є надання неповних чи недостовірних відомостей.
Свідоцтво видають на кожну базу, щодо якої подано окрему заяву. Звісно, у разі позитивного рішення, свідоцтво видають заявнику або уповноваженому ним представнику за довіреністю та пред'явленим документом, що посвідчує особу, або надсилають поштою рекомендованим листом із описом вкладення.

Якщо базу зареєстровано та отримано свідоцтво, у разі зміни хоча б однієї із відомостей, які мають зазначатися в заяві про реєстрацію бази, він повинен повідомити Державну службу України з питань захисту персональних даних не пізніше як упродовж десяти робочих днів із дня настання такої зміни (ч. 6 ст. 9 Закону). У цьому випадку заповнюють та подають заяву про внесення змін до відомостей Державного реєстру персональних даних. Окрім того, володілець зобов'язаний протягом десяти робочих днів повідомляти суб'єкта персональних даних про зміну, зниження чи обмеження доступу до цих відомостей.

Останнім часом до КВПУ звернулося багато голів профспілкових організацій щодо необхідності реєстрації баз їхніх даних. У зв’язку з цим юрист КВПУ Сергій Стегура пояснив, що кожному володільцю бези персональних даних варто самостійно проаналізувати, чи є персональні дані в його розпорядженні та які сааме і чи можна їх згрупувати за певною ознакою.