Пошук

Погода в Полтаві

Головна Нормативні документи Різне Застосування Закону України "Про захист персональних даних"

Застосування Закону України "Про захист персональних даних"


Хто є володільцем бази персональних даних «Члени профспілки»: первинна організація профспілки чи підприємство, на якому діє ця первинна організація?
Згідно зі статтею 1 Закону України "Про професійні спілки та гарантії їх діяльності" (далі — Закон про професійні спілки) первинна організація профспілки — добровільне об’єднання членів профспілки, які, як правило, працюють на одному підприємстві незалежно від форми власності і виду господарювання або у фізичної особи, яка використовує найману працю, або забезпечують себе роботою самостійно, або навчаються в одному навчальному закладі.
Відповідно до статті 2 Закону України "Про захист персональних даних" (далі— Закон про захист персональних даних) володілець бази персональних даних — це фізична або юридична особа, якій законом або за згодою суб’єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом.
Згідно зі статтею 7 Закону про професійні спілки підставою для вступу до профспілки є заява громадянина (працівника), подана в первинну організацію профспілки. Статутом (положенням) профспілки може бути передбачено членство у профспілці осіб, які навчаються у професійно-технічних або вищих навчальних закладах, осіб, які звільнилися з роботи чи служби у зв’язку з виходом на пенсію або які тимчасово не працюють. Разом з цим, роботодавці не можуть бути членами виборних органів профспілки будь-якого рівня.
Для реалізації прав та гарантій членів профспілки, передбачених Законом про професійні спілки, первинна профспілкова організація обробляє, зокрема, такі персональні дані членів профспілки, як прізвище, ім’я, по батькові, посада, склад сім’ї, житлові умови.
З точки зору законодавства про захист персональних даних саме первинна профспілкова організація є володільцем бази персональних даних «Члени профспілки».
Метою обробки персональних даних у цій базі є, насамперед забезпечення реалізації соціально-трудових відносин, а також відносин у сфері бухгалтерського обліку.
Чи вважаються розпорядниками бази члени профкому, які безпосередньо працюють з персональними даними членів профспілки?
Звернімось до Закону про захист персональних даних.
Розпорядник бази персональних даних — фізична чи юридична особа, якій володільцем бази персональних даних або законом надано право обробляти ці дані.
Згідно з пунктом 2 статті 4 Закону про захист персональних даних володільцями та розпорядниками баз персональних даних можуть бути:
• підприємства, установи і організації усіх форм власності,
• органи державної влади чи органи місцевого самоврядування,
• фізичні особи — підприємці, які обробляють персональні дані відповідно до закону.
Володілець бази персональних даних може доручити обробку персональних даних розпоряднику бази персональних даних відповідно до договору в письмовій формі (ст. 11 Закону про захист персональних даниїх).
Отже, як бачимо, вважати розпорядниками бази представників профкому, які працюють з персональними даними членів профспілки, з точки зору законодавства не можна.
Чи можуть взагалі бути розпорядники у такої бази? Так, але в окремих випадках.
Відповідно до статті 35 Закону про професійні спілки, з метою реалізації статутних завдань профспілки, їх об’єднання, які є юридичними особами, можуть здійснювати необхідну господарську та фінансову діяльність шляхом надання безоплатних послуг, робіт, створення в установленому законодавством порядку підприємств, установ або організацій із статусом юридичної особи, формувати відповідні фонди, кредитні спілки.
Первинна профспілкова організація, що має статус юридичної особи, може укласти цивільно-правовий договір з фізичною особою, наприклад, для забезпечення бухгалтерського обліку. У такому разі бухгалтер-підрядник, безумовно, матимемо доступ до персональних даних членів профспілки, працюватимемо з ними, і відповідно вважатиметься розпорядником цієї бази персональних даних відповідно до закону.
Якщо первинна профспілкова організація веде господарську чи фінансову діяльність, у багатьох випадках вона отримуватиме та зберігатиме персональні дані фізичних осіб — контрагентів, підрядників або персональні дані фізичних осіб, що перебувають у трудових відносинах з юридичною особою — підрядником (контрагентом). У такому разі можна виокремити, наприклад, таку базу персональних даних як «Фізичні особи, персональні дані яких обробляються в ході ведення господарської діяльності».

Отже, підсумовуючи наведене, у профспілкових організаціях всіх рівнів можут бути у наявності такі бази персональних даних:
1) База персональних даних "Працівники" (за наявності найманих працівників), до якої належить картотека особових карток (типова форма № П-2), усі особові справи працівників, довідник з відомостями про працівників у програмі 1С.
База персональних даних "Працівники" створюється з метою забезпечення реалізації трудових відносин, адміністративно-правових, податкових відносин та відносин у сфері бухгалтерського обліку.
Посилання на законодавчі акти: Закон України "Про захист персональних даних", Кодекс законів про працю України, Податковий кодекс України, спільний наказ Держкомстату України та Міноборони України від 25.12.2009 № 495/656 "Про затвердження типової форми первинного обліку № П-2 "Особова картка працівника", Статут галузевої профспілки, положення первинної профспілкової організації (у разі наявності).
2) База персональних даних "Фізичні особи, персональні дані яких обробляються у ході ведення господарської діяльності" (у разі коли при провадженні господарської діяльності організація має справу з фізичними особами, які виконують роботи (надають послуги) за цивільно-правовими договорами, укладає договори оренди, купівлі-продажу тощо). До цієї бази вносяться персональні дані фізичних осіб – підрядників, контрагентів або персональні дані фізичних осіб, що перебувають у трудових відносинах з іншою юридичною особою – підрядником, контрагентом (прізвище, ім."я, по батькові, паспортні дані, ідентифікаційний код).
База персональних даних "Фізичні особи, персональні дані яких обробляються у ході ведення господарської діяльності" створюється з метою оформлення з фізичними особами цивільно-правових відносин.
Посилання на законодавчі акти: Закони України "Про захист персональних даних", "Про професійні спілки та гарантії їх діяльності", Цивільний кодекс України, Господарський кодекс України, Податковий кодекс України, Статут відповідної галузевої профспілки, положення первинної профспілкової організації (у разі наявності).
3) База персональних даних "Члени профспілки", до якої включаються персональні дані членів профспілки ( прізвище, ім."я, по батькові, дата та місце народження, посада, склад сім"ї, житлові умови).
База персональних даних "Члени профспілки" створюється з метою забезпечення реалізації відносин у сфері громадської діяльності, соціально-трудових відносин, в тому числі надання матеріальної допомоги, здійснення оздоровлення членів профспілки та їх дітей, представлення до відомчих нагород, відзнак тощо, відносин у сфері бухгалтерського обліку.
Посилання на законодавчі акти: Закони України "Про захист персональних даних", "Про професійні спілки та гарантії їх діяльності", Податковий кодекс України, Житловий кодекс Української РСР, Статут відповідної галузевої профспілки, положення первинної профспілкової організації (у разі наявності).
У профспілкових організаціях вищого рівня може бути :
База персональних даних "Члени первинних профспілкових організацій, які входять до складу (назва) та підтримують з нею постійні контакти у зв'язку з характером їх діяльності". Ціллю обробки цієї бази може бути мета, наведена до бази даних "Члени профспілки", а також посилання на законодавчу базу.
Чи потрібно реєструвати бази персональних даних первинної профспілкової організації?
Відповідно до статті 9 Закону про захист персональних даних бази персональних даних підлягають державній реєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних.
Первинна профспілкова організація, що має статус юридичної особи, має зареєструвати свої бази персональних даних у Державній службі України з питань захисту персональних даних (ДСПЗПД). На кожну з фактично наявних баз слід заповнити окрему заяву.
У разі коли на балансі профспілкової організації знаходиться готель, табір відпочинку, які не є юридичними особами, то у цьому випадку володільцем бази персональних даних є профспілкова організація, а місцем знаходження бази персональних даних є готель, табір відпочинку.
Звертаємо увагу, що реєстрація баз персональних даних здійснюється за заявочним принципом шляхом повідомлення. Безпосередньо бази персональних даних надавати до ДСПЗПД не потрібно.
Заяви заповнюють українською мовою, розбірливими друкованими літерами або на комп'ютері за типовою формою, затвердженою наказом Міністерства юстиції України від 8 липня 2011 р. № 1824/5.
Кожну сторінку заяви має підписати голова профкому та засвідчити печаткою.
Заяви про реєстрацію баз персональних даних рекомендується надсилати до ДСПЗПД поштою (рекомендованим листом з повідомленням про вручення) за адресою: 02660, м. Київ, вул. Марини Раскової, 15.

Яких заходів має вжити профком для приведення процесів обробки персональних даних у відповідність до законодавства?
Визначення мети обробки персональних даних, їх складу та змісту, наявних баз, реєстрація баз — це лише перші кроки щодо запровадження захисту персональних даних у первинній профспілковій організації.
Дії щодо запровадження захисту персональних даних у первинній профспілковій організації, приведення процесів та процедур обробки персональних даних у відповідність до законодавства доцільно винести на розгляд профкому, зафіксувати у протоколі засідання профспілкового комітету.
Для аналізу процесів обробки персональних даних рекомендуємо створити робочу групу з членів профкому.
Розпочинати аналіз процесів обробки рекомендуємо зі складу та змісту персональних даних, враховуючи, що, згідно з пунктами 2 та 3 статті 6 Закону про захист персональних даних, персональні дані, їх склад та зміст мають бути точними, достовірними, відповідними та ненадмірними стосовно визначеної мети їх обробки. Варто проаналізувати, чи всі відомості про членів профспілки, що обробляються у профкомі, дійсно потрібні для реалізації соціально-трудових відносин, забезпечення бухгалтерського обліку, інших визначених цілей обробки даних.
Відповідно до пункту 5 статті 24 Закону про захист персональних даних, профком має визначити відповідальну особу, яка організовуватиме роботу, пов’язану із захистом персональних даних при їх обробці, відповідно до закону. Призначення відповідальної особи також радимо зафіксувати у протоколі засідання профспілкового комітету.
З метою приведення документації профспілки у відповідність до законодавства, від усіх осіб, дані яких обробляються в профкомі починаючи з 1 січня 2011 року (дата набрання чинності Законом про захист персональних даних), слід отримати документовану згоду на обробку персональних даних, наприклад, у формі заяви.
Особи, які лише вступають до профспілки, можуть зазначити згоду на обробку персональних даних у заяві про вступ до профспілки, що відповідно до статті 7 Закону про професійні спілки подається в первинну організацію профспілки.
Отримувати заяви від осіб, які вступили до профспілки у попередні роки, не потрібно, адже закон не має зворотної сили у часі. Вважається, що обробка персональних даних провадиться на підставі вільного волевиявлення сторін відповідно до правовідносин, що виникли до набрання чинності Законом про захист персональних даних. Датою заяви про згоду на обробку персональних даних має бути дата, коли така згода надається суб'єктом персональних даних.
Ще одна вимога Закону про захист персональних даних, яку має дотримати первинна профспілкова організація, стосується письмового повідомлення фізичних осіб про їхні права у сфері захисту персональних даних, мету обробки даних та осіб, яким передаються дані.
Відповідно до статті 12 Закону про захист персональних даних збирання персональних даних є складовою процесу їх обробки, що передбачає дії з підбору чи впорядкування відомостей про фізичну особу та внесення їх до бази персональних даних. Суб’єкта персональних даних протягом десяти робочих днів з дня включення його персональних даних до бази персональних даних необхідно повідомити про його права, визначені цим Законом, мету збору даних та осіб, яким передаються його персональні дані, виключно у письмовій формі.
Зібрані відомості про суб’єкта персональних даних, а також інформація про їх джерела надаються цьому суб’єкту персональних даних за його вимогою, крім випадків, установлених законом.
Отже, наступний крок, який має зробити профком, — повідомити осіб, які вступили до профспілки після 1 січня 2011 року (дати набрання чинності Законом), про права, визначені законодавством у сфері захисту персональних даних, мету обробки персональних даних, осіб, яким передаються дані (за їх наявності). Якщо ж у профкому є можливість повідомити щодо відповідних питань усіх членів профспілки, така ініціативу можна тільки привітати.
Зверніть увагу, що повідомлення слід надавати й фізичним особам, які надають послуги профкому на підставі цивільно-правових договорів.

Щодо реєстрації баз персональних даних первинних профспілкових організацій без статусу юридичної особи, слід зауважити, що на сьогодні Законом про захист персональних даних та іншими нормативними актами це питання поки що не врегульовано. До внесення відповідних змін у нормативно-правові акти рекомендуємо таким організаціям вжити зазначених вище заходів щодо запровадження захисту персональних даних, приведення процесів та процедур обробки персональних даних у відповідність до законодавства.

Голова профспілкової організації та бухгалтер працюють на громадських засадах. Яку необхідно реєструвати базу персональних даних?
Якщо бухгалтер є членом профспілкової організації доцільно зареєструвати одну персональну базу "Члени профспілки".
У разі коли бухгалтер найманий працівник – база персональних даних "працівники", а якщо бухгалтер працює за цивільно-правовим договором – база персональних даних "Фізичні особи, персональні дані яких обробляються у ході ведення господарської діяльності".

Працівники прийняті на роботу в 2011 році і на сьогодні вже звільненні з роботи. Чи необхідно брати від них заяву про згоду на обробку їх персональних даних та повідомляти їм про права у сфері захисту персональних даних мету обробки цих даних та осіб, яким передаються ці дані?
У разі коли прийнятті в 2011 році працівники звільнилися брати заяву про згоду на обробку їх персональних даних не потрібно, але надіслати повідомлення про їхні права необхідно.