Перечитав содержимое темы хочется подвести черту:

1) Консультация НиБУ № 90/2011

Персональные данные: вопросы работодателя

Нужно ли предприятию регистрировать сведения, которыми оно владеет в отношении своих работников? Нужно ли на это получать согласие самих работников?

(г. Одесса)

С 1 января 2011 года действует Закон Украины «О защите персональных данных» от 01.06.2010 г. № 2297-VI, руководствуясь положениями которого с 01.07.2011 г. Государственная служба Украины по вопросам защиты персональных данных начала регистрацию баз персональных данных в Госреестре баз персональных данных.

Давайте попробуем разобраться, что понимает законодатель под персональными данными и в каких случаях возлагает на работодателя обязанность зарегистрировать базу персональных данных.

Согласно ст. 2 Закона № 2297 персональные данные — это сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано, база персональных данных — именуемая совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных. Источниками сведений о физическом лице являются: выданные на его имя документы; подписанные им документы; сведения, которые лицо предоставляет о себе (ч. 4 ст. 6 Закона № 2297).

Работодатель, который в своей деятельности не может не использовать сведения о физических лицах, пребывающих с ним в трудовых отношениях (это, в частности, сведения о возрасте, дате и месте рождения, месте жительства, регистрационном номере учетной карточки, социальном статусе, наличии права на предоставляемые законодательством льготы, например для инвалидов, беременных женщин и женщин с детьми в возрасте до трех лет, несовершеннолетних, автобиографии, характеристики, данные о прохождении аттестации и т.д.), подпадает под определение владельца базы персональных данных, а значит — на нем лежит обязанность по установлению состава персональных данных и процедуры их обработки. В связи с этим Государственная служба Украины по вопросам защиты персональных данных (далее — ГСЗПД) рекомендует рассматривать кадровую документацию, статистическую, налоговую и другую отчетность в электронной форме и/или в форме картотек, которая обрабатывается работодателем и содержит персональные данные работников базой персональных данных или составной частью базы персональных данных.

Статья 11 Закона № 2297 называет основания возникновения права на использование персональных данных:

1) согласие субъекта персональных данных (в нашем случае — работника) на обработку его персональных данных. Субъект персональных данных имеет право при предоставлении согласия внести оговорку в отношении ограничения права на обработку своих персональных данных;

2) разрешение на обработку персональных данных, предоставленное владельцу базы персональных данных согласно закону исключительно для осуществления своих полномочий.

По нашему мнению, работодатель вполне может воспользоваться вторым из приведенных оснований и настаивать на отсутствии необходимости получения отдельного согласия работников на использование предоставляемых ими данных для целей, предусмотренных законодательством. Ссылаться при этом работодатель может на то, что есть целый ряд законодательных положений, обязывающих работодателей владеть определенными персональными данными наемных работников. Это, в частности, ст. 24 КЗоТ, пункты 2 — 4 постановления Кабмина «О трудовых книжках работников» от 27.04.93 г. № 301, п. 1.3 и п. 1.4 Инструкции о порядке ведения трудовых книжек работников, утвержденной приказом Минтруда, Минюста, Минсоцзащиты от 29.07.93 г. № 58, приказ Госкомстатистики и Минобороны «Об утверждении типовой формы первичного учета № П-2 «Личная карточка работника» от 25.12.2009 г. № 495/656, приказ Минстатистики «Об утверждении формы первичного учета № П-2ДС и Инструкции по ее заполнению» от 26.12.95 г. № 343, акты законодательства, которыми установлены ограничения, гарантии, компенсации, льготы в сфере трудовых и социальных правоотношений.

Однако этот вариант аргументации рекомендуем оставить «на крайний случай». Более уверенно будут себя чувствовать те из работодателей, которые получат письменное согласие работника на использование его персональных данных. Именно так рекомендуют поступить специалисты ГСЗПД*. Единственное исключение, которое они готовы сделать: согласие субъекта персональных данных на обработку его персональных данных повторно не предоставляется, если владелец продолжает обрабатывать персональные данные субъекта в рамках правоотношений на основании свободного волеизъявления физического лица, которые возникли до вступления в силу Закона № 2297. Другими словами, специалисты ГСЗПД признают, что если трудовые отношения возникли до 01.01.2011 г., то после этой даты получать отдельное согласие работника на использование его персональных данных нет необходимости. Получить согласие нужно только от тех работников, которые были приняты на работу в 2011 году и будут приниматься в последующем. Согласие, в частности, может предоставляться отдельным документом, составленным в произвольной форме, или путем указания об этом в заявлении о приеме на работу.

* Соответствующие консультации размещены на официальном сайте службы http://www.zpd.gov.ua. Там же размещен типовой порядок обработки персональных данных в базах персональных данных (http://www.zpd.gov.ua/zpd_14.pdf), который ГСЗПД рекомендует взять за основу и разработать внутреннее положение на предприятии.

Как мы указали выше, кадровая документация, статистическая, налоговая и другая отчетность, другие сведения о работниках, используемые работодателем, ГСЗПД рекомендует рассматривать в качестве базы персональных данных или в качестве составной части базы персональных данных, которая, в свою очередь, подлежит регистрации.

Порядок регистрации баз персональных данных регулируется Законом № 2297 и Положением о Государственном реестре баз персональных данных и порядке его ведения, утвержденным постановлением Кабмина от 25.05.2011 г. № 616. База персональных данных подлежит государственной регистрации путем внесения соответствующей записи ГСЗПД в Государственный реестр баз персональных данных на основании заявления, поданного владельцем такой базы или уполномоченным им лицом по форме и в порядке, утвержденным приказом Минюста «Об утверждении форм заявлений о регистрации базы персональных данных и о внесении изменений в сведения Государственного реестра баз персональных данных и порядок их представления» от 08.07.2011 г. № 1824/5.

Заявление должно содержать:

1) обращение о внесении базы персональных данных в Реестр;

2) информацию о владельце базы персональных данных, в частности:

— наименование (указывается полное название юридического лица без сокращений в соответствии с учредительными документами и/или свидетельством о государственной регистрации юридического лица), резидент/нерезидент, код налогоплательщика согласно ЕГРПОУ или налоговый номер (для резидента), место нахождения — для юридических лиц;

— фамилию, имя и отчество (при наличии), гражданство, номер, серию паспорта и выдавший его орган, а также для граждан Украины регистрационный номер учетной карточки налогоплательщика (не подается физическими лицами, которые по своим религиозным убеждениям отказались от присвоения регистрационного номера учетной карточки налогоплательщика и официально известили об этом соответствующие органы государственной власти, что подтверждается отметкой в паспорте), место жительства — для физических лиц;

3) информацию о наименовании и месте нахождения базы персональных данных:

— адрес фактического размещения — для баз данных в форме картотек;

— фактические адреса хранения носителей информации — для баз данных в электронной форме;

4) информацию о цели обработки персональных данных в базе персональных данных со ссылкой на нормативно-правовые акты, положения, учредительные или другие документы, регулирующие деятельность владельца базы персональных данных, в том числе об их категориях (перечень данных о физическом лице, которые обрабатываются в базе, например, Ф. И. О., паспортные данные, регистрационный номер учетной карточки налогоплательщика, данные об образовании, стаже работы, навыках и пр.) и правовых основаниях такой обработки;

5) информацию о распорядителях баз персональных данных (при их наличии):

— наименование, резидент/нерезидент, код налогоплательщика согласно ЕГРПОУ или налоговый номер (для резидента), место нахождения — для юридических лиц;

— фамилия, имя и отчество (при наличии), гражданство, номер, серия паспорта и орган, который его выдал, а также для граждан Украины регистрационный номер учетной карточки налогоплательщика (не подается физлицами, которые по своим религиозным убеждениям отказались от присвоения регистрационного номера учетной карточки налогоплательщика и официально известили об этом соответствующие органы государственной власти, что подтверждается отметкой в паспорте), место жительства — для физических лиц;

6) информацию о заявителе;

7) документ, подтверждающий обязательство относительно выполнения требований законодательства по защите персональных данных (в заявлении проставляется отметка в разделе подтверждения обязательства).

Заявления заполняются и подаются в бумажной или электронной форме.  При  представлении заявлений в бумажной форме заявитель подписывает каждую страницу заявления и скрепляет ее печатью (при наличии). В электронной форме заявления подаются в соответствии с требованиями законов Украины «Об электронной цифровой подписи» от 22.05.2003 г. № 852-IV и «Об электронных документах и электронном документообороте» от 22.05.2003 г. № 851-IV.

Заявления заполняются на государственном языке, разборчивыми печатными буквами. Они не должны содержать помарки, зачеркивания и исправления.

При заполнении заявлений выбранный заявителем признак отмечается символом «х». Даты в заявлениях заполняются арабскими цифрами в формате — день, месяц, год.

Страницы заявлений нумеруются, на каждой странице заявления указываются номер страницы и общее количество страниц.

Заявление в бумажной форме подается через курьера или отправляется по адресу:

02660 г. Киев, ул. Марины Расковой, 15, каб.1205

телефон: (044)517-81-68, e.mail: register@zpd.gov.ua

 или в форме электронного документа отправляется по электронному адресу Государственной службы Украины по вопросам защиты персональных данных (register@zpd.gov.ua). Также заполнить и предоставить заявление в электронном виде можно непосредственно на сайте Государственного реестра баз персональных данных (https://rbpd.informjust.ua/default.aspx).

Если субъект хозяйствования имеет обособленные структурные подразделения, руководители которых наделены полномочиями по заключению и расторжению трудовых договоров с работниками этих обособленных структурных подразделений и эти подразделения ведут собственное кадровое делопроизводство, то в заявлении о регистрации базы персональных данных работников в разделе ІІ необходимо указывать адреса места нахождения базы персональных данных работников предприятия и каждого обособленного структурного подразделения.

ГСЗПД уведомляет заявителя не позже следующего рабочего дня со дня поступления заявления о его получении. В уведомлении указываются регистрационный номер и дата получения заявления, а также срок принятия решения относительно регистрации базы персональных данных в Реестре. В течение 10 рабочих дней со дня поступления соответствующего заявления ГСЗПД принимает решение о регистрации базы персональных данных путем выдачи его владельцу свидетельства о государственной регистрации базы персональных данных или уведомления об отказе в регистрации, о чем вносит запись в Реестр. Владелец базы персональных данных обязан уведомлять ГСЗПД о каждом изменении сведений, необходимых для регистрации соответствующей базы, не позднее чем в течение десяти рабочих дней со дня наступления такого изменения путем предоставления заявления о внесении изменений в сведения Государственного реестра баз персональных данных. К указанным сведениям относятся: изменения информации о владельце и распорядителях базы персональных данных, наименовании и месте нахождения базы персональных данных и изменении цели обработки персональных данных.

За нарушение требований законодательства о защите персональных данных может наступать административная либо даже уголовная ответственность. Соответствующие нормы вступят в силу с 01.01.2012 г. (согласно Закону Украины «О внесении изменений в некоторые законодательные акты Украины по усилению ответственности за нарушение законодательства о защите персональных данных» от 02.06.2011 г. № 3454-VI). Так, административная ответственность будет наступать за:

— неуведомление или несвоевременное уведомление субъекта персональных данных (в том числе работника) о его правах в связи с включением его персональных данных в базу персональных данных, цели сбора этих данных и лицах, которым эти данные передаются в виде штрафа на должностных лиц, физлиц-предпринимателей — от 300 до 400 не облагаемых минимумов доходов граждан (т.е. от 5100 до 6800 грн.), на физлиц-работодателей, не имеющих статуса предпринимателя, — от 200 до 300 ннмдг (от 3400 до 5100 грн.);

— неуведомление или несвоевременное уведомление ГСЗПД об изменении сведений, которые подаются для государственной регистрации базы персональных данных в виде штрафа на должностных лиц, физлиц-предпринимателей от 200 до 400 ннмдг (от 3400 до 6800 грн.), на физлиц-работодателей, не имеющих статуса предпринимателя, — от 100 до 200 ннмдг (от 1700 до 3400 грн.);

— за уклонение от государственной регистрации базы персональных данных в виде штрафа на граждан, не имеющих статуса предпринимателя, от 300 до 500 ннмдг (от 5100 до 8500 грн.), на должностных лиц, физлиц-предпринимателей — от 500 до 1000 ннмдг (от 8500 до 17000 грн.).

Уголовная ответственность будет наступать за незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о работнике или незаконное изменение такой информации в виде штрафа от 500 до 1000 ннмдг (от 8500 до 17000 грн.) либо исправительных работ на срок до двух лет, либо в виде ареста на срок до шести месяцев, либо ограничения свободы на срок до трех лет.

Вот как ручками сдают... с форума Кадровика...

http://www.kadrovik01.com.ua/forum/viewtopic.php?p=74133#74133

Доброго дня, дорогі форумчани!

Поділюся інформацією.

Вчора мали "честь" спілкуватися з ДСЗПД. Приїхали, бац, табличка з графіком - "Заяви на реєстрацію БПД приймаються виключно впродовж останніх 15 хвилин, кожної робочої години" , далі графік прийняття заяв:

09:45-10:00, 10:45-11:00, 11:45-12:00...

Вийшла до нас -, а зібралося близько 15 осіб, 9 з Києва, а 6 приїхали з різних міст України, і таких далеко віддалених як Львів, Тернопіль, Харків (адже територіальних відділень ДСЗПД в регіонах - не передбачено, а надсилати поштою рекомендованого листа, не всі організації ризикнули, бо штрафи солідні за не реєстрацію вчасно, отож і відправили "ходаків" до столиці...)

- співробітниця ДСЗПД , років 30-ти з дуже незадоволеним виразом обличчя і, ні не привіталася з нами, а заявила з порогу -"Ужас, чего это вас так много здесь собралось...". на що представник одного із далеких регіонів відповів -"Та ось приїхали виконати вимоги чинного законодавства України...". Далі стало "весело", державна служителька з наростаючим незадоволенням почала приймати заяви, - за 15 хвилин встигає переглянути у 3-х представників, потім 45 хвилин - іде працювати в кабінет., через 45 хвилин виходить - знову встигає переглянути 3-и заяви і знову зникає на 45 хвилин. Представників підприємств приймають у коридорі, і сама державна служителька теж стоячи переглядає заяви... Дійшла черга до нас, тобто до трійки за чергою, ми в трійці останні, але вже стоїмо і спостерігаємо як державна служителька приймає : "А где ваше положение о защите ПД?" - "Так чекаємо доки ваш(ДСЗПД) Порядок з проекту в чинний документ перетвориться, тоді на підставі нього і своє Положення розробимо" - "Вы не умничяйте , я могу вообще у вас ничего не принять, но с положением понятно...согласна...". "А почему у вас одна база "Працівники ", нужно две "Бухгалтерия" и "Персонал", відповідаємо, -"Ми реєструємо три бази "Працівники", "Контрагенти", "Засновники". База "Працівники" містить всі дані про персонал компанії, володілець підприємство, а працюють з базою (мають доступ на отримання даних, обробку, і інше) і відділ кадрів і бухгалтерія, але база одна спільна" , - державна служниця відповіла "Мне сказали что должно быть две", запитали "Хто сказав, яким нормативним актом це визначено ?", «Я не знаю, мне так сказали, я не должна знать на пямять все...". З нами був юрист, який заявив -"Добре Ви нам відповляєте, тоді прошу видати відповідно до вимог НАУ ...письмову офіційну відмову у прийнятті заяви , з вказівкою причин відмови і посиланням на НАУ (нормативний акт України)", відповідь "Ну хороше, я приму у вас, вы меня уже утомили...".

Далі, ми і представники далеких регіонів, запитали " Ми привезли заяви у двох примірниках, один Вам, а на другому поставте вхідний та штамп Вашої установи, щоб ми мали змогу доповісти керівництву про подання і надати підтвердження ", відповідь "Что вы здесь выдумываете и голову мне морочите, никаких штампов у меня нет и входящего нет. Все что могу для вас-это , если уж так хотите, я поставлю свою подпись и дату на вашем экземпляре...". Що вона і зробила, при цьому , навіть не захотіла написати посаду і прізвище, тільки карлючка і дата. Все. Представники регіонів особливо засмутилися і хотіли ще запитати, але настала чергова 45-хвилинна перерва в процесі прийняття заяв...

Ми, все ж таки, зачекали ще 45 хвилин і на черговій хвилі 15-хвилинного приймання, запитали - "А коли буде інформація про згоду чи відмову у реєстрації, і коли буде свідоцтво про реєстрацію баз ?" Державна служителька відповіла - "Значит так, вас много, нас мало, сейчас уже целая куча заявлений и все несут и несут. Не раньше чем через месяц перезвоните и мы сообщим отказано вам или нет в регистрации, а вот сами свидетельства будут готовы не раньше чем через 3(три) месяца с момента получения согласия на регистрацию (т.е. самой регистрации) от ГСЗПД".

Тут я пригадав, що ми щомісячно подаємо пакети анкет на виготовлення новим працівникам, які не мають, свідоцтва про обов'язкове державне соціальне страхування і через 6(шість) місяців отримуємо самі свідоцтва, то у випадку з ЗБПД, де такі вагомі штрафи, зараз подадуть мільйон заяв і коли ми ті свідоцтва про реєстрацію отримаємо, одному Богу і відомо.

А ще, шановні колеги, мені дуже прикро, що намагання керівництва країни до початку "Євро 2012" підігнати максимально законодавство під європейські стандарти, позбавляє можливості законодавців видавати "на гора" якісний, проаналізований, перевірений експертами, продукт.

Примітка: Шановний Адміністратор, не відразу видаляйте мій пост, дайте змогу прочитати колегам. Дякую.

Ваш LUKAS

Захист персональних даних — це абсолютно новий напрям у законодавстві.

І він безпосередньо зачипає кадрову службу, оскільки саме вона опікуватиметься питаннями захисту персональних даних працівників.

Є три речі, які має зробити кожна кадрова служба до кінця 2011 року:

1. отримати згоду на обробку персональних даних від усіх працівників, прийнятих після 1 січня 2011 року (і надалі отримувати таку згоду при кожному прийнятті на роботу від нового працівника)
2. зареєструвати базу персональних даних
3. надати працівникам, прийнятим з 1 січня 2011 року, письмові повідомлення про мету обробки їх персональних даних та права працівників у сфері захисту персональних даних, а також про розпорядників бази персональних даних працівників

...О том, как выполнять закон, как защищать персональные данные и как будут проводиться проверки, рассказал заместитель главы Государственной службы по защите персональных данных Владимир Козак.

- Мне хотелось бы развеять устоявшийся стереотип о том, что регистрация баз ПД для компании – самая главная часть работы. Основная работа проводится "до", а регистрация – это просто подведение некоей черты. Ведь, чтобы правильно зарегистрировать свои базы данных, компании необходимо, согласно ст.2 Закона, утвердить цель обработки ПД, установить состав ПД, процедуру их обработки и уже потом регистрировать базу. За несколькими словами скрывается огромный массив работы.

Поясню на примере. Классическая организация имеет как минимум две базы данных: собственных работников и клиентов. Клиентами могут быть также юрлица, со своими базами ПД. В большой организации есть при этом несколько информационных систем, есть данные, которые обрабатываются только в бумажном виде, например, данные о сотрудниках в 1С:Бухгалтерии и 1С: Кадрах. Эти базы могут находиться на одном сервере или на разных. Но цель обработки, и значит, количество баз устанавливает сама компания. При этом, ведь можно найти ПД, которые, грубо говоря, в работе не нужны, и проще от них отказаться, чем отдельно прописывать под них процедуры обработки. Количество баз ПД зависит от особенности организации бизнес-процессов на предприятии.

Кроме того, закон определяет, чтобы за защиту ПД в компании отвечало должностное лицо или отдел. В Европе или США есть Security Director или заместитель IT-директора, отвечающий за защиту данных по всей организации. Но на практике, дополнительно, за каждую базу ПД должно отвечать отдельное должностное лицо, за базу данных бухгалтерии не может отвечать кадровик. И должно быть назначено лицо, отвечающее за защиту от незаконного доступа, уже упомянутый IT-специалист.

Организация, как минимум, должна назначить ответственных и написать документ о порядке обработки ПД, где все это будет расписано. Без состава ПД, цели и процедур их обработки регистрация имеет мало смысла. Хочу особенно отметить, что у нас на сайте есть целый раздел, посвященный европейскому законодательству, в частности, директивам ЕС, там же приводятся решения судов по правам человека, международные стандарты по защите ПД Европейского комитета стандартизации (CWA), рекомендации рабочей группы, созданной по ст. 29 директивы 95/46/ЕС. Это все – практика более чем 30-летнего европейского опыта в сфере защиты ПД...