Яна Карцева, юрист ЮК «Правовой Альянс»

Лидия Санжаровская-Гурлач, Юрист ЮК «Правовой Альянс»

Опубликованно:  Медицинская практика: организационные и правовые аспекты, № 1_2012

Як допомога в реєстрації іноземними представництвами БПД працівників Дирекцією «Інпредкадри» (структурний підрозділ КП «ГДІП») як органом, що забезпечує кадрове діловодство всіх іноземних представництв, на офіційному сайті (http://inpredkadry.kiev.ua/ukr/conf) були розміщені проекти заповненої Заяви про реєстрацію, згоди на обробку персональних даних та повідомлення про внесення даних до бази.

Однак маємо визнати, що запропоновані Дирекцією «Інпредкадри» документи не є ідеальними та породжують низку питань під час їх правового аналізу.

Перш за все постає питання щодо можливості визначення володільцем БПД саме представництво іноземної компанії в Україні. Формально, наведене у Законі України «Про захист персональних даних» від 1 червня 2010 р. № 2297-VI (далі — Закон № 2297) поняття «володілець бази персональних даних» передбачає, що володіти базою може лише підприємець, фізична або юридична особа. Як відомо, представництво іноземної компанії не є юридичною особою, однак на практиці його можливо розглядати якфізичну особу— голову представництва, який діє на підставі довіреності, виданої материнською компанією. У свою чергу, трудові відносини у працівників виникають саме з представництвом, а не материнською компанією як юридичною особою. У зв'язку з цим начебто логічно розглядати представництво володільцем БПД «Працівники». Проте така позиція є юридично неграмотною. Доцільно реєструвати володільцем БПД саме материнську компанію, яка є юридичною особою, а базу називати «Працівники Представництва».

При цьому на сьогоднішній день склалася неоднозначна практика Державної служби України з питань захисту персональних даних щодо реєстрації представництв іноземних компаній як володільців чи розпорядників БПД. Так, за інформацією з офіційного сайту Державного реєстру баз персональних даних (https://rbpd.informjust.ua/) деякі представництва зареєстровані як володільці БПД, що прямо суперечить визначенню, наданому у статтях2 та 4 Закону № 2297.

Поруч із наведеним не менш важливим, є питання щодо кількості БПД, які мають бути зареєстровані іноземною компанією через її представництво в Україні. Так, при вивченні запропонованих Дирекцією «Інпредкадри» документів у іноземних представництв могло скластись хибне враження, що вони мають звернутись до уповноваженого державного органу виключно із Заявою про реєстрацію бази персональних даних «Працівники». Проте, це не так.

У разі поділу БПД за критерієм «суб'єкти персональних даних» іноземні компанії, що діють через свої представництва в Україні, мають здійснити заходи із реєстрації не лише БПД «Працівники», але й «Контрагенти», «Кандидати у працівники», «Потенційні контрагенти» (якщо такі дані обробляються). З огляду на специфіку діяльності іноземні представництва можуть створювати й бази даних «Медичні спеціалісти» (для представництв фармацевтичних, медичних компаній), «Консультанти» (для представництв косметичних компаній) тощо.

Крім того, орієнтуючись на розміщені Дирекцією «Інпредкадри» проекти документів при підготовці власних Заяв про реєстрацію баз, отриманні Згод на обробку даних, направленні повідомлень про внесення даних до баз, представництва мають усвідомлювати недосконалість запропонованих проектів.

Так, у Розділі І Заяви про реєстрацію бази персональних даних володільцем зазначено представництво, що не відповідає вимогам статті 2 частини 1 абзацу 8, статті 4 частини 2 та статті 11 частини 2-3 Закону № 2297, статті 95 Цивільного кодексу України та статті 64 Господарського кодексу України. Разом із цим, незважаючи на позначення «нерезидент» у відомостях про володільця БПД, у графі «Код ЄДРПОУ» зазначається код представництва в Україні, що є не досить логічним. Запропонований проект документа також не містить повного та коректного переліку розпорядників БПД, оскільки, з огляду на зазначене вище, представництво не може виступати стороною договору, і, таким чином, укладати у письмовій формі договори про розпорядження БПД.

Запропонований Дирекцією «Інпредкадри» проект згоди на обробку  персональних даних у формі відповідної Заяви містить одночасно дані про надання дозволу та інформацію про те, що суб'єкта персональних даних уже повідомили про внесення його даних до бази, що не відповідає статті 12 частини 2 Закону № 2297.

Зміст запропонованого проекту повідомлення про включення персональних даних до бази не містить інформації про осіб, яким такі дані передаються, що суперечить статті 12 частині2 Закону № 2297 та може мати наслідком настання адміністративної відповідальності за статтею 188-39 частиною 1 Кодексу України про адміністративні правопорушення, зокрема штрафу в розмірі 5100–6800 грн.

Наданий Дирекцією «Інпредкадри» для заповнення додаток до договору з КП «ГДІП» не містить визначення, з якою саме метою розпоряднику дозволяється обробка персональних даних, що не відповідає вимогам статті 11 частини 2 Закону № 2297. Крім того, стороною у такому додатку зазначено компанію, тоді як володільцем, який має укладати договір на розпорядження БПД, визначено представництво.

Отже, як бачимо, до поширених через мережу Інтернет документів, включно з тими, які розміщено на сайті Дирекції «Інпредкадри», необхідно ставитись із осторогою.

Крім того, при очевидній недосконалості запропонованих даним органом форм документів Дирекція «Інпредкадри» також не надає повного пакета документації, що вимагається Законом № 2297при створенні БПД та організації роботи з захисту даних, внесених до бази. 

Так, відповідно до статті 2 частини 1 абзацу 2 Закону № 2297 володілець БПД має затверджувати мету обробки персональних даних у базі даних, встановлювати склад цих даних та процедури їх обробки. Одночасно зі статті 6 частини 1 Закону № 2297слідує, що мета, а за логікою й склад та процедура обробки даних у базі мають бути сформульовані, зокрема, у положеннях, установчих чи інших документах, які регулюють діяльність володільця БПД.

З метою деталізації, зокрема наведених положень та на виконання статті 6 частини10 Закону № 2297, Міністерством юстиції України затверджений Типовий порядок обробки персональних даних у базах персональних даних (наказ від 30 грудня 2011 р. № 3659/5, який набрав чинності з 20січня 2012 року; далі — Порядок).

Затверджений Порядок, конкретизує, що саме має визначити володілець БПД у процесі обробки персональних даних.

Так, у першу чергу, має бути затверджена мета обробки, склад персональних даних у БПД та її місцезнаходження, що також слідує зі статті 2Закону № 2297.

Крім того, наголошується на необхідності визначення володільцем порядку внесення, зміни, поновлення, використання, поширення, знеособлення, знищення персональних даних у базі персональних даних та порядку захисту персональних даних, у т.ч. від незаконної обробки та незаконного доступу до них.

Разом із цим не слід забувати про законодавчу вимогу щодо призначення відповідальної особи або структурного підрозділу для забезпечення організації роботи, пов'язаної із захистом персональних даних при їх обробці. Затвердженим Порядком також визначений перелік обов'язків, які покладаються на відповідальну особу або структурний підрозділ, зокрема забезпечення ознайомлення працівників володільця та розпорядника БПД із вимогами законодавства про захист персональних даних, зокрема щодо їх обов'язку не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали їм відомі у зв'язку з виконанням професійних, службових чи трудових обов'язків;забезпечення організації обробки персональних даних працівниками володільця та розпорядника бази персональних даних відповідно до їх професійних, службових чи трудових обов'язків в обсязі, необхідному для виконання таких обов'язків; забезпечення організації роботи з обробки запитів щодо доступу до персональних даних суб'єктів відносин, пов'язаних з обробкою персональних даних;забезпечення доступу суб'єктів персональних даних до власних персональних даних;інформування керівника володільця та розпорядника БПД про заходи, яких необхідно вжити для приведення складу персональних даних та процедур їх обробки у відповідність до Закону № 2297та про порушення встановлених процедур з обробки персональних даних.

Також Порядок встановлює обов'язок володільця БПД щодо ведення обліку фактів надання та позбавлення працівників права доступу до персональних даних та їх обробки, спробі фактів несанкціонованих та/або незаконних дій з обробки персональних даних.

У зв'язку з цим для виконання вимог Закону № 2297 іноземним компаніям, що діють через свої представництва в Україні, рекомендовано розробити та затвердити Кодекс поведінки у сфері обігу та обробки персональних даних, у якому передбачити порядок обробки персональних даних в БПД та доступу до них, внутрішній облік та контроль дій у сфері обігу та обробки персональних даних, порядок забезпечення захисту персональних даних в БПД, відповідальність за порушення у сфері обігу та обробки персональних даних БПД та порядок обігу та обробки персональних даних, не включених до БПД.

Разом із Кодексом поведінки доцільно розробити та затвердити Положення про обробку персональних даних у базі з метою виконання законодавчих вимог та можливості закріплення в єдиному документі всієї інформації, необхідної для державної реєстрації такої БПД, зокрема відомості про найменування бази (повне та скорочене), назву володільця бази, мету (цілі) обробки персональних даних, підстави виникнення права на обробку персональних даних, строк обробки персональних даних, категорії суб'єктів персональних даних, відомості про яких включено до БПД, склад персональних даних, включених до БПД, способи обробки персональних даних, форму обробки персональних даних, додаткові засоби обробки персональних даних, перелік осіб, відповідальних за наповнення БПД та осіб, повноважних використовувати персональні дані БПД, а також заходи безпеки персональних даних у БПД.

Таким чином, іноземні компанії, що діють через свої представництва в Україні, повинні не лише визначити повний перелік наявних БПД та підготувати належним чином заповнені Заяви про їх реєстрацію, але й розробити належного змісту форми Згоди на обробку персональних даних, повідомлення про включення даних до бази, Положення про обробку персональних даних у конкретній базі, типові положення до договорів із розпорядниками БПД та локальний кодекс поведінки у сфері обігу та обробки персональних даних, який буде загальною основою поведінки у сфері обігу та обробки персональних даних для представництва в Україні.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.