Нормативна база та термінологія у сфері захисту персональних даних

957
Захист персональних даних — нова для вітчизняної правової системи сфера. Розпочинати роботу із запровадження захисту персональних даних на підприємстві, в установі, організації варто з ознайомлення з нормативно-правовими актами, що діють у цій сфері.

Нормативна база захисту персональних даних

Правові відносини, пов’язані із захистом і обробкою персональних даних регулює Закон України «Про захист персональних даних» від 01.06.2010 № 2297-VI (далі — Закон № 2297).

Цей Закон регулює правові відносини, пов’язані із захистом і обробкою персональних даних, і спрямований на захист основоположних прав і свобод людини і громадянина, зокрема права на невтручання в особисте життя, у зв’язку з обробкою персональних даних.

Цей Закон поширюється на діяльність з обробки персональних даних, яка здійснюється повністю або частково із застосуванням автоматизованих засобів, а також на обробку персональних даних, що містяться у картотеці чи призначені до внесення до картотеки, із застосуванням неавтоматизованих засобів.

Закон № 2297 набрав чинності 1 січня 2011 року. За час його функціонування було виявлено деякі недоліки, неточності та неузгодженості, які потребували правового вдосконалення, зокрема, приведення у відповідність до Конвенції Ради Європи про захист осіб у зв’язку з автоматизованою обробкою персональних даних та Додаткового протоколу до неї щодо органів нагляду та транскордонних потоків даних, ратифікованих Законом України від 06.07.2010 № 2438-VI.

Наприкінці 2012 року до Закону № 2297 було внесено суттєві зміни, зокрема, розширено перелік підстав для обробки персональних даних, введено законодавчі підстави для обробки персональних даних контрагентів.

Із 1 січня 2014 року діє нова (по суті третя) редакція Закону № 2297, згідно з якою функції контролю за дотриманням законодавства у сфері захисту персональних даних покладено на Уповноваженого Верховної Ради України з прав людини, при цьому під особливим контролем Уповноваженого перебуватиме обробка персональних даних, яка становитиме ризик для прав і свобод громадян (наприклад, обробка даних про стан здоров’я, статеве життя, біометричних та генетичних даних та ін.).

Для реалізації норм законодавства у сфері захисту персональних даних, визначених Законом № 2297, наказом Уповноваженого Верховної Ради України з прав людини від 08.01.2014 № 1/02-14 затверджені:

  • Типовий порядок обробки персональних даних ;
  • Порядок здійснення Уповноваженим Верховної Ради України з прав людини контролю за додержанням законодавства про захист персональних даних ;
  • Порядок повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, про структурний підрозділ або відповідальну особу, що організовує роботу, пов’язану із захистом персональних даних при їх обробці, а також оприлюднення вказаної інформації .

Персональні дані та їх обробка

Персональні дані — це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована (ст. 2 Закону № 2297).

Законодавство у сфері захисту персональних даних не містить вичерпного переліку відомостей, які належать до персональних даних. Разом з цим, Конституційний Суд України, даючи офіційне тлумачення частин першої, другої статті 32 Конституції України, вважає, що інформація про особисте та сімейне життя особи (персональні дані про неї) — це будь-які відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована, а саме: національність, освіта, сімейний стан, релігійні переконання, стан здоров’я, матеріальний стан, адреса, дата і місце народження, місце проживання та перебування тощо, дані про особисті майнові та немайнові відносини цієї особи з іншими особами, зокрема членами сім’ї, а також відомості про події та явища, що відбувалися або відбуваються у побутовому, інтимному, товариському, професійному, діловому та інших сферах життя особи, за винятком даних стосовно виконання повноважень особою, яка займає посаду, пов’язану зі здійсненням функцій держави або органів місцевого самоврядування. Така інформація про фізичну особу та членів її сім’ї є конфіденційною і може бути поширена тільки за їх згодою, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини (Рішення Конституційного Суду України у справі за конституційним поданням Жашківської районної ради Черкаської області щодо офіційного тлумачення положень частин першої, другої статті 32, частин другої, третьої статті 34 Конституції України від 20.01.2012 № 2рп/2012 ).

Для цілей Закону № 2297 використовується термін «обробка персональних даних» — це будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у т. ч. з використанням інформаційних (автоматизованих) систем.

Приклад

Приймаючи особу на роботу або укладаючи цивільно-правовий договір на виконання робіт (надання послуг), організація отримує від особи паспортні дані, ідентифікаційний код, у необхідних випадках — документи про освіту, як передбачено трудовим або господарським законодавством. У цьому контексті отримання відомостей — це і є збирання персональних даних.

Відомості про працівників систематизуємо та зберігаємо в особових картках (типова форма № П-2), в особових справах, інколи — в інформаційних базах бухгалтерських чи кадрових програм. Отже, говоримо про накопичення персональних даних та їх зберігання. При цьому зберігання персональних даних передбачає дії щодо забезпечення їх цілісності та відповідного режиму доступу до них (ст. 13 Закону № 2297; зокрема, маємо обмежити доступ до місць зберігання персональних даних, а у випадках електронних баз — розмежувати доступ відповідно до повноважень посадових осіб, забезпечити захист інформації в інформаційних системах).

Працівниця вийшла заміж, змінила прізвище, змінилися паспортні дані... Вносимо зміни до особової картки, особової справи, трудової книжки, інших облікових документів — і говоримо про зміну персональних даних.

Персональні дані є об’єктами захисту (ст. 5 Закону № 2297).

Володілець та розпорядник персональних даних

Суб’єктами відносин, пов’язаних із персональними даними, є:

  • суб’єкт персональних даних;
  • володілець персональних даних;
  • розпорядник персональних даних;
  • третя особа;
  • Уповноважений Верховної Ради України з прав людини (ст. 4 Закону № 2297).

Фізична особа, персональні дані якої обробляються, вважається суб’єктом персональних даних.

Фізична або юридична особа, яка визначає мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки (якщо інше не визначено законом), вважається володільцем персональних даних (ст. 2 Закону № 2297).

Приклад

З метою реалізації трудових відносин будь-яке підприємство, установа, організація (далі — організація) збирає, опрацьовує, зберігає певні відомості про своїх працівників, отже, з точки зору Закону № 2297 будь-яка організація є володільцем персональних даних працівників.

Ведення господарської діяльності, як правило, пов’язане з необхідністю обробки певних відомостей про фізичних осіб, які надають послуги організації або є отримувачами послуг згідно з укладеними цивільно-правовими договорами (контрагенти). У цьому разі можемо говорити, що організація є володільцем персональних даних контрагентів.

Фізична чи юридична особа, якій володільцем персональних даних або законом надано право обробляти ці дані від імені володільця, визначається статтею 2 Закону № 2297 як розпорядник персональних даних. Володілець персональних даних може доручити обробку персональних даних розпоряднику персональних даних відповідно до договору, укладеного в письмовій формі. Розпорядник персональних даних може обробляти персональні дані лише з метою і в обсязі, визначених у договорі (ст. 4 Закону № 2297).

Розпорядники є не завжди, але можна виділити ситуації, коли розпорядники присутні.

Приклад

Якщо в організації немає відділу кадрів, а кадрове діловодство ведеться сторонньою консалтинговою фірмою, з якою організація уклала відповідний договір, ця фірма може вважатися розпорядником персональних даних працівників, адже вона діє від імені організації — володільця персональних даних.

Володільцем чи розпорядником персональних даних можуть бути підприємства, установи і організації усіх форм власності, органи державної влади чи органи місцевого самоврядування, фізичні особи — підприємці, які обробляють персональні дані відповідно до закону. Розпорядником персональних даних, володільцем яких є орган державної влади чи орган місцевого самоврядування, крім цих органів, може бути лише підприємство державної або комунальної форми власності, що належить до сфери управління цього органу (ст. 4 Закону № 2297).

Треті особи у сфері захисту персональних даних

Згідно зі статтею 2 Закону № 2297 третя особа — це будь-яка особа, за винятком суб’єкта персональних даних, володільця чи розпорядника персональних даних та Уповноваженого Верховної Ради України з прав людини, якій володільцем чи розпорядником персональних даних здійснюється передача персональних даних.

Приклад

Третіми особами у контексті Закону № 2297 можуть вважатися, наприклад, органи Пенсійного фонду, військові комісаріати, органи прокуратури та ін.

Припустимо, до організації надійшов запит про надання певних персональних даних працівника (від адвоката, органу прокуратури, суду). З погляду Закону № 2297 і адвокат, і орган прокуратури, і суд — є третіми особами відносно організації (володільця персональних даних) і працівника (суб’єкта персональних даних).

База персональних даних

Фіксуючи персональні дані у певному порядку в картотеці, файлі, впритул підходимо до терміну «база персональних даних».

Важливо розуміти, що база персональних даних — це умовне абстрактне поняття. Закон № 2297 визначає цей термін як «іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних».

При цьому картотекою вважаються будь-які структуровані персональні дані, доступні за визначеними критеріями, незалежно від того, чи такі дані централізовані, децентралізовані або розділені за функціональними чи географічними принципами (ст. 2 Закону № 2297).

Термін «база персональних даних» був введений першою редакцією Закону № 2297 (яка набрала чинності 01.01.2011), насамперед, для практичної реалізації такої процедури як «реєстрація баз персональних даних».

З часом у результаті вдосконалення законодавства у сфері захисту персональних даних та його практичної апробації законодавець практично відмовився від використання цього терміну, а процедуру реєстрації баз персональних даних взагалі було скасовано (бази персональних даних підлягали державній реєстрації з 01.01.2011 до 31.12.2013, скасування реєстрації баз передбачено Законом України від 03.07.2013 № 383-VII).

На сьогодні в Законі № 2297 міститься лише визначення терміну «база персональних даних». Практичного значення цей термін вже не має.

Увага!

Перша редакція Закону № 2297 оперувала термінами «володілець бази персональних даних», «розпорядник бази персональних даних».

Законом України від 20.11.2012 № 5491-VI внесено зміни до Закону № 2297. Тепер Закон № 2297 оперує термінами «володілець персональних даних», «розпорядник персональних даних» без прив’язки до певної бази персональних даних

Мета обробки персональних даних

На шляху запровадження захисту персональних даних володілець персональних даних має чітко визначити, з якою метою обробляються персональні дані. Це необхідно для правильної організації роботи з персональними даними.

Відповідно до частини першої статті 6 Закону № 2297 мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця персональних даних, та відповідати законодавству про захист персональних даних. Так, наприклад, мету обробки персональних даних обов’язково визначають у локальному акті, відповідно до якого провадиться робота із захисту персональних даних в організації (таким актом може бути Положення про порядок обробки та захисту персональних даних).

Приклад

Лікарня оброблятиме дані пацієнтів для забезпечення реалізації відносин у сфері охорони здоров’я.

Торгова мережа, яка пропонує покупцям заповнити анкету і отримати дисконтну картку, оброблятиме відповідні персональні дані з метою забезпечення реалізації відносин у сфері реклами та збору персональних даних у комерційних цілях (до цього можна додати й «для реалізації маркетингових досліджень»).

Персональні дані студентів обробляються з метою забезпечення відносин у сфері освіти.

Персональні дані працівників ми обробляємо з метою забезпечення реалізації трудових відносин (пригадайте ст. 24 Кодексу законів про працю України, відповідно до якої при прийнятті на роботу особа повинна надати паспорт та інші документи), соціально-трудових, податкових відносин. І звісно відносин у сфері бухгалтерського обліку.

На практиці термін «мета обробки персональних даних» (або «цілі обробки персональних даних») ми застосовуємо насамперед під час збирання персональних даних. Так, відповідно до статті 12 Закону № 2297 збирання персональних даних є складовою процесу їх обробки, що передбачає дії з підбору чи впорядкування відомостей про фізичну особу. При цьому, суб’єкт персональних даних має бути повідомлений про володільця персональних даних, склад та зміст зібраних персональних даних, свої права, визначені цим Законом, мету збору персональних даних та осіб, яким передаються його персональні дані:

  • в момент збору персональних даних, якщо персональні дані збираються у суб’єкта персональних даних;
  • в інших випадках протягом тридцяти робочих днів з дня збору персональних даних.

Приклад

При прийнятті на роботу, отримуючи від майбутнього працівника передбачені законодавством документи (паспорт, трудова книжка, ідентифікаційний код, страхове свідоцтво, військовий квиток та ін.), ми фактично збираємо його персональні дані. Отже, відповідно до статті 12 Закону № 2297 маємо повідомити людину про те, що з точки зору законодавства про захист персональних даних наша організація вважатиметься володільцем його персональних даних, які саме персональні дані ми будемо зберігати та опрацьовувати, з якою метою будемо це робити. Маємо ознайомити працівника і з його правами у сфері захисту персональних даних (вони визначаються статтею 8 Закону № 2297). Якщо персональні дані передаватимуться третім особам (банку, де реалізовано зарплатний банківський проект, організації — органу вищого рівня, страховій компанії, що реалізує програму корпоративного медичного страхування, та ін.), працівник також має про це дізнатися.



Підписка на найактуальніші статті

Підпишіться на розсилку, аби не пропустити жодної важливої та цікавої статті. Це БЕЗПЛАТНО. Ми триматимемо вас у курсі всіх кадрових подій!

Освітні заходи

Освітні заходи

Перевірте знання та здобудьте нові

Взяти участь

Інтернет-магазин

Самое выгодное предложение

Скористайтеся найвигіднішими пропозиціями щодо передплати і станьте нашим читачем просто зараз

Живе спілкування з редакцією






© Кадровик-01, 2017. Усі права захищено
Повне або часткове копіювання будь-яких матеріалів сайту, цитування, публікація їх анотованих оглядів допускаються лише з письмового дозволу редакції сайту

Свідоцтво про державну реєстрацію
КВ 18746-7546 ПР від 02.03.2012


  • Ми в соцмережах
Якщо я скачаю файл без реєстрації, чи стану я Піратом?

Ми б на Вашому місці так не ризикували!

Витратіть на РЕЄСТРАЦІЮ лише 57 секунд і СКАЧУЙТЕ шпаргалки кадровика, форми, зразки та бланки кадрових документів без обмежень.



У мене є пароль
нагадати
Пароль надіслано на пошту
Ввести
Я тут вперше
І продовжуйте скачування!
Введіть ел. пошту або логін
Неправильний логін або пароль
Неправильний пароль
Введіть пароль
Що? Вже йдете? І не дочитаєте?



Щоб повернутися до статті, ЗАРЕЄСТРУЙТЕСЯ НА ПОРТАЛІ. Це займе не більше 1 хв — натомість надалі читатимете ще більше статей, запитаннь та відповідей.

У мене є пароль
нагадати
Пароль надіслано на пошту
Ввести
Я тут вперше
І не відволікайтеся!
Введіть ел. пошту або логін
Неправильний логін або пароль
Неправильний пароль
Введіть пароль