Отключить рекламу

Подпишитесь!


Бухгалтер 911, ноябрь, 2015/№47
Печатать

«Пережитки» персональных данных: «жжем мосты»

Михаил Шевчук • налоговый эксперт, m.shevchuk@buhgalter911.com
В свое время вопрос баз персональных данных (далее — ПД) был очень остр. Заимствуя европейскую практику, наш законодатель был поначалу уж очень суров. Владельцы баз ПД в связи с этим обязаны были регистрировать такие базы в Госслужбе по защите ПД. Но потом ВРУ «одумалась», внеся ряд изменений в Закон № 2297*. Многие дела тогда были «заморожены». Сейчас же прольем свет на то, как их окончательно «закрыть».
защищаем персональные данные

* Закон Украины «О защите персональных данных» от 01.06.2010 г. № 2297-VI.

Как сейчас?

С 01.01.2014 г. законодательство в сфере защиты ПД (имеем в виду «библию» в этом вопросе — Закон № 2297) можно смело назвать стабильным, а редкие правки, вносимые в него, — косметическими**. Сейчас функции главного контролера в этой сфере возложены на плечи Уполномоченного ВРУ по правам человека (далее — Уполномоченный). Обязанность уведомлять его об обработке ПД согласно ст. 9 Закона № 2297 возникает только в исключительных случаях, представляющих «особый риск для прав и свобод субъектов персональных данных». В частности, такими случаями согласно п. 1.1 Порядка № 1/02-14*** может считаться обработка ПД о:

** Кстати, с последними изменениями, внесенными в этот Закон, вы могли ознакомиться в статье «Закон об e-commerce: что учесть, где изменить, к чему готовиться?» в журнале «Бухгалтер 911», 2015, № 43.

*** Порядок уведомления Уполномоченного Верховной Рады Украины по правам человека об обработке персональных данных, составляющей особый риск для прав и свобод субъектов персональных данных, о структурном подразделении или ответственном лице, которое организует работу, связанную с защитой персональных данных при их обработке, а также обнародования указанной информации, утвержденный приказом Уполномоченного от 08.01.2014 г. № 1/02-14.

— расовом, этническом и национальном происхождении;

— политических, религиозных или мировоззренческих убеждениях;

— членстве в политических партиях и/или организациях, профсоюзах, религиозных организациях или в общественных организациях мировоззренческой направленности;

— состоянии здоровья;

— половой жизни;

— биометрических данных;

— генетических данных;

— привлечении к административной или уголовной ответственности;

— применении к лицу мер в рамках досудебного расследования;

— применении к лицу мер, предусмотренных Законом Украины «Об оперативно-розыскной деятельности» от 18.02.92 г. № 2135-XII;

— совершении в отношении лица тех или иных видов насилия;

— местонахождении и/или путях передвижения лица.

Механизм уведомления при этом не предусматривает выдачи Уполномоченным какого-либо подтверждения (в качестве которого раньше служили свидетельства). Информацию о сообщении об обработке «особых» ПД он просто обнародует на своем официальном сайте.

Об остальных случаях осуществления обработки ПД уведомлять никого не нужно! Хотя обеспечивать защиту ПД от несанкционированного доступа к такой информации — обязанность всех субъектов.

Открытым, правда, остается вопрос о получении от физлица согласия на обработку его ПД. Считаем, здесь лучше придерживаться осторожного варианта, т. е. заручаться согласием — ведь ст. 11 Закона № 2297 среди оснований для обработки ПД первым называет именно получение такого согласия от субъекта ПД.

Сомнения в этой части продиктованы ч. 6 ст. 6 Закона, в соответствии с которой не допускается обработка данных о физическом лице, которые являются конфиденциальной информацией, без его согласия**** (указание насчет конфиденциальной информации добавили 19.04.2014 г.). На основании этого может возникнуть впечатление (ошибочное, по нашему мнению), что в случае, если инфа такой не является, то и получать согласие от физлица не нужно.

**** Исключение — случаи, определенные законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека.

Но раньше ситуация выглядела и вовсе проблематично…

Краткий экскурс в историю

В прошлом (до 2014 года) Закон № 2297 требовал регистрации в Госслужбе по защите ПД баз ПД. Такая регистрация предусматривала получение от Госслужбы свидетельства*****.

***** На каждую базу ПД была предусмотрена подача отдельного заявления и соответственно получение отдельного свидетельства.

В конце 2012 года заработали изменения в Закон № 2297, позволявшие не регистрировать базы ПД «Сотрудники»/ «Работники». Для многих субъектов такого рода база являлась единственной, с которой приходилось иметь дело.

С 01.01.2014 г. вместо регистрации баз ПД пришла обязанность уведомлять Уполномоченного. В то же время касается она, как вы могли увидеть, значительно меньшего количества субъектов. Но на руках у многих остались старые свидетельства…

Свидетельство получили, но оно не пригодилось

Осуществлять какие-либо активные действия, связанные с полученными свидетельствами, которые по факту оказались никому не нужными, действующее законодательство не требует. То есть можете просто его уничтожить. Нематериальным активом такое свидетельство не является (как и любым другим видом активов) — как минимум, потому, что ожидать получения экономических выгод от его использования в будущем, как вы понимаете, не приходится.

Наказать за его отсутствие вас также не могут: наличия подобного документа ни Закон № 2297, ни какой-либо другой нормативный акт не требуют.******

****** Приказ Минюста «О признании утратившими силу некоторых приказов Министерства юстиции Украины» от 27.09.2013 г. № 2043/5.

Лишнее доказательство ненужности свидетельств — то, что приказ Минюста, которым была утверждена их форма, давно не действует. В то же время документом, «сигнализирующим» о прощании со свидетельствами***, не предусмотрено никаких специальных указаний относительно уничтожения (или, наоборот, дальнейшего хранения) свидетельств. Да и сам механизм их получения давно отжил свое.

Составлять акт на списание такого свидетельства — также, по нашему мнению, пустая трата времени.

Будьте внимательны: отсутствие необходимости регистрировать базы ПД (или уведомлять Уполномоченного) еще не означает, что защищать такие данные не нужно. Наоборот, к этой обязанности необходимо отнестись со всей серьезностью.

Защита ПД: решаем кадровые вопросы

Владельцы или распорядители ПД, осуществляющие их обработку, подлежащую уведомлению (см. в начале статьи), обязаны создать (определить) структурное подразделение или ответственное лицо, которое организовывает работу, связанную с защитой ПД при их обработке. Об этом нужно уведомить Уполномоченного (в соответствии с ч. 2 ст. 24 Закона № 2297).

Впрочем, «простых смертных», как вы понимаете, это не касается. Но защищать ПД согласно ст. 24 Закона № 2297 нужно и им, что подтверждает и сам Уполномоченный (см. п. 4 письма от 03.03.2014 г. № 2/9-227067.14-1/НД-129).

Организация работы, связанной с защитой ПД при их обработке, тех владельцев/распорядителей, которые не обязаны уведомлять о такой обработке, возлагается непосредственно на лиц, осуществляющих обработку ПД. В случае необходимости эти функции могут делегировать отдельным структурным подразделениям или должностным лицам (согласно п. 3.22 Типового порядка № 1/02-14*******).

******* Типовой порядок обработки персональных данных, утвержденный приказом Уполномоченного от 08.01.2014 г. № 1/02-14.

«Обычный» владелец (распорядитель) ведет учет работников, которые имеют доступ к ПД. Он сам определяет уровень доступа указанных работников к таким данным. Каждый из этих работников согласно п. 3.5 Типового порядка № 1/02-14 пользуется доступом только к тем ПД (или их части) субъектов, которые необходимы ему в связи с выполнением своих профессиональных, служебных или трудовых обязанностей.

Работники, имеющие доступ к ПД, в обязательном порядке дают письменное обязательство не разглашать ПД, которые им были доверены или которые стали им известны в связи с выполнением профессиональных/служебных/трудовых обязанностей.

При этом датой предоставления права доступа к ПД считают дату предоставления обязательства соответствующим работником. А вот датой лишения права доступа к ПД — дату увольнения работника или его перевода на должность, исполнение обязанностей по которой не связано с обработкой ПД (пп. 3.8 и 3.9 Типового порядка № 1/02-14).

Потому при увольнении сотрудника, ответственного за защиту ПД, необходимо обратить внимание на такие аспекты. При «прощании» с таким работником (как и при переводе его на другую должность, не предусматривающую работу с ПД) необходимо принять меры по предотвращению доступа такого лица к ПД. Документы и иные носители, содержащие такие данные, во исполнение требований п. 3.10 Типового порядка № 1/02-14 передают другому работнику.

Таким образом, с даты увольнения работник лишается права доступа к ПД. В то же время требования ч. 3 ст. 10 Закона № 2297 обязуют таких экс-работников «держать язык за зубами» (в части ПД) и после прекращения деятельности, связанной с ПД. На всякий случай можете «на прощание» ему это напомнить. В остальном же порядок увольнения таких работников не отличается от общепринятого.

m.shevchuk@buhgalter911.com

Для того, чтоб распечатать текст необходимо авторизоваться или зарегистрироваться