Особенности обеспечения защиты персональных данных иностранными представительствами в Украине

Яна Карцева, Юрист ЮК «Правовий Альянс»,

Лідія Санжаровська-Гурлач, Юрист ЮК «Правовий Альянс»

Опубліковано: Юридичний журнал

Як відомо, Закон України «Про захист персональних даних» передбачає обов’язок володільців баз персональних даних здійснити заходи щодо їх державної реєстрації за заявочним принципом. Це означає, що кожне підприємство, установа, організація, фізична особа – підприємець, самозайнята особа, кожний громадянин і не тільки мають встановити чи здійснюють вони обробку персональних даних для професійних цілей у базах, визначити кількість та особливості кожної з баз та звернутися до Державної служби України з питань захисту персональних даних з відповідними Завами про реєстрацію.

При цьому, така вимога поширюється не тільки на юридичних, фізичних осіб – резидентів, але й на іноземні компанії, що діють та обробляють персональні дані на території України через свої представництва.

У якості допомоги в реєстрації іноземними представництвами баз персональних даних працівників, Дирекцією «Інпредкадри» (структурний підрозділ КП «ГДІП»), як органом, який забезпечує кадрове діловодство усіх іноземних представництв, на офіційному сайті (http://inpredkadry.kiev.ua/ukr/conf) було розміщено, зокрема, проекти заповненої Заяви про реєстрацію, згоди на обробку персональних даних та повідомлення про внесення даних до бази.

З огляду на викладене, у іноземних представництв могло скластись хибне враження, що вони мають звернутись до уповноваженого державного органу виключно з Заявою про реєстрацію бази персональних даних «Працівники». Проте, це не так.

Якщо формально підходити по визначення поняття «володілець бази персональних даних», то відповідно до закону ним може бути лише підприємець, фізична або юридична особа. Представництво іноземної компанії не є юридичною особою, однак, фактично виступає фізичною особою – головою представництва, який діє на підставі довіреності, виданої материнською компанією. В свою чергу, трудові відносини у працівників виникають саме з представництвом, а не материнською компанією як юридичною особою. У зв’язку з цим, видається логічним, що представництво розглядається у якості володільця бази персональних даних «Працівники».

Однак, зважаючи на те, що представництво не може виступати стороною договору, таке оформлення з юридичної точки зору не відповідає формальному визначенню поняття «володілець бази персональних даних». Тому, доцільно реєструвати володільцем бази персональних даних саме материнську компанію, яка є юридичною особою, а базу назвати «Працівники Представництва».

Крім того, у разі поділу баз персональних даних за критерієм «суб’єкти персональних даних», іноземні компанії, що діють через свої представництва в Україні мають виділити та здійснити заходи з реєстрації не тільки бази персональних даних «Працівники», але й «Контрагенти», «Кандидати у працівники», «Потенційні контрагенти» (якщо такі дані обробляються). З огляду на специфіку діяльності іноземні представництва можуть створювати й бази даних «Медичні спеціалісти» (для представництв фармацевтичних компаній), «Консультанти» (для представництв косметичних компаній) тощо.

Орієнтуючись на запропоновані Дирекцією «Інпредкадри» проекти документів при підготовці власних Заяв про реєстрацію баз, отриманні Згод на обробку даних, надісланні повідомлень про внесення даних до баз, представництва мають усвідомлювати, що розміщені на сайті КП «ГДІП» документи не є офіційно затвердженими, «ідеальними», у багатьох своїх частинах протирічать чинному законодавству України про захист персональних даних.

Так, у Розділі І Заяви про реєстрацію бази персональних даних володільцем зазначено представництво, що не відповідає вимогам абз. 8 ч. 1 ст. 2, ч. 2 ст. 4 та ч. 2-3 ст. 11 Закону України «Про захист персональних даних», ст. 95 Цивільного кодексу України та ст. 64 Господарського кодексу України. Разом з цим, незважаючи на позначення «нерезидент» у відомостях про володільця бази персональних даних, у графі «Код ЄДРПОУ» зазначається код представництва в Україні, що є не досить логічним. Запропонований проект документу також не містить повний та коректний перелік розпорядників бази персональних даних, оскільки, з огляду на зазначене вище, представництво не може виступати стороною договору, і, таким чином, укладати у письмовій формі договори про розпорядження базами персональних даних.

Варто зазначити, що на сьогоднішній день склалася неоднозначна практика Державної служби з питань захисту персональних даних щодо реєстрації представництв іноземних компаній у якості володільців чи розпорядників баз персональних даних. Так, за інформацією з офіційного сайту Державного реєстру баз персональних даних (https://rbpd.informjust.ua/) деякі представництва зареєстровані в якості володільців баз персональних даних, що прямо суперечить визначенню, наданому у ст. 2 та ст. 4 Закону України «Про захист персональних даних».

Запропонований Дирекцією «Інпредкадри» проект згоди на обробку персональних даних у формі відповідної Заяви містить одночасно дані про надання дозволу та інформацію про те, що суб’єкт персональних даних вже повідомлений про внесення його даних до бази, що не відповідає ч. 2 ст. 12 Закону України «Про захист персональних даних».

Зміст запропонованого проекту повідомлення про включення персональних даних до бази не містить інформації про осіб, яким такі дані передаються, що протирічить ч. 2 ст. 12 Закону України «Про захист персональних даних» та може мати наслідком настання адміністративної відповідальності за ч. 1 ст. 188-39 Кодексу України про адміністративні правопорушення, зокрема штрафу у розмірі 5100,00 – 6800,00 грн.

Наданий Дирекцією «Інпредкадри» для заповнення Додаток до Договору з КП «ГДІП» не містить визначення, з якою саме метою розпоряднику дозволяється обробка персональних даних, що не відповідає вимогам ч. 2 ст. 11 Закону України «Про захист персональних даних». Крім того, стороною у такому Додатку зазначено компанію, тоді як володільцем, який має укладати договір на розпорядження базою персональних даних, визначено представництво.

Отже, як бачимо, до розміщених у мережі Інтернет документів, включаючи ті, що розміщені на сайті Дирекції «Інпредкадри», необхідно ставитись з обережністю.

Крім того, при очевидній недосконалості запропонованихформ документів Дирекція «Інпредкадри» також не надає повного пакету документації, що вимагається Законом України «Про захист персональних даних» при створенні бази персональних даних та організації роботи з захисту даних, внесених до бази.

Так, відповідно до абз. 2 ч. 1 ст. 2 Закону України «Про захист персональних даних» володілець бази персональних даних має затверджувати мету обробки персональних даних у базі даних, встановлювати склад цих даних та процедури їх обробки. Одночасно, з ч. 1 ст. 6 Закону України «Про захист персональних даних» видно, що мета, а за логікою й склад та процедура обробки даних у базі, мають бути сформульовані, зокрема, у положеннях, установчих чи інших документах, які регулюють діяльність володільця бази персональних даних.

З метою деталізації, зокрема, наведених положень та на виконання ч.10 ст.6 Закону України «Про захист персональних даних» Міністерство юстиції України наказом від 30.12.2011р. N 3659/5 затвердило Типовий порядок обробки персональних даних у базах персональних даних, який набрав чинності з 20.12.2012 р.

Затверджений Порядок, зокрема, встановлює, що саме має визначити володілець бази персональних даних у процесі обробки персональних даних.

Так, у першу чергу, затверджуватисьмета обробки, склад персональних даних у базі персональних даних та її місцезнаходження, що також випливає зіст.2 Закону України «Про захист персональних даних».

Крім того, наголошується на необхідності визначення володільцем порядку внесення, зміни, поновлення, використання, поширення, знеособлення, знищення персональних даних у базі тапорядку захисту персональних даних, в тому числі від незаконної обробки та незаконного доступу до них.

Разом з цим, не потрібно забувати про законодавчу вимогу щодо призначення відповідальної особи або структурного підрозділу для забезпечення організації роботи, пов'язаної із захистом персональних даних при їх обробці. Затвердженим Порядком, серед іншого, визначено перелік обов’язків, які покладаються на відповідальну особу або структурний підрозділ, зокрема забезпечення ознайомлення працівниківволодільця та розпорядника бази персональних даних з вимогами законодавства про захист персональних даних, зокрема, щодо їхнього обов'язку не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали їм відомі у зв'язку з виконанням професійних, службових чи трудових обов'язків;забезпечення організації обробки персональних даних працівниками володільця та розпорядника бази персональних даних відповідно до їх професійних, службових чи трудових обов'язків в обсязі, необхідному для виконання таких обов'язків; забезпечення організаціїроботиз обробки запитівщодо доступу до персональних даних суб'єктів відносин, пов'язаних з обробкою персональних даних;забезпечення доступу суб'єктів персональних даних до власних персональних даних;інформування керівника володільця та розпорядника бази персональних даних про заходи, яких необхідно вжити для приведення складу персональних даних та процедур їх обробки у відповідність до закону, та про порушення встановлених процедур з обробки персональних даних.

Також, Порядок встановлює обов’язок володільця бази персональних вести облік фактів надання та позбавлення працівників права доступу до персональних даних та їх обробки, спроб та фактів несанкціонованих та/або незаконних дій з обробки персональних даних.

У зв’язку з цим, для виконання вимог Закону України «Про захист персональних даних» іноземним компаніям, що діють через свої представництва в Україні, рекомендовано розробити та затвердити Кодекс поведінки у сфері обігу та обробки персональних даних, в якому передбачити порядок обробки персональних даних в базах персональних даних та доступу до них, внутрішній облік та контроль дій у сфері обігу та обробки персональних даних, порядок забезпечення захисту персональних даних в базах персональних даних, відповідальність за порушення у сфері обігу та обробки персональних даних баз персональних даних, та порядок обігу і обробки персональних даних, не включених до баз персональних даних.

Разом з Кодексом поведінки доцільно розробити та затвердити Положення про обробку персональних даних у базі, з метою виконання законодавчих вимог та можливості закріпити в єдиному документі всю інформацію, необхідну для державної реєстрації такої бази персональних даних, зокрема, відомості про найменування бази (повне та скорочене), назву володільця бази, мету (цілі) обробки персональних даних, підстави виникнення права на обробку персональних даних, строк обробки персональних даних, категорії суб’єктів персональних даних, відомості про яких включені до бази персональних даних, склад персональних даних, включених до бази персональних даних, способи обробки персональних даних, форму обробки персональних даних, додаткові засоби обробки персональних даних, перелік осіб, відповідальних за наповнення бази персональних даних та осіб, повноважних використовувати персональні дані бази персональних даних, а також заходи безпеки персональних даних в базі персональних даних.

Таким чином, іноземні компанії, що діють через свої представництва в Україні, повинні не тільки визначити повний перелік наявних баз персональних даних та підготувати належним чином заповнені Заяви про їх реєстрацію, але й розробити належного змісту форми Згоди на обробку персональних даних, повідомлення про включення даних до бази, Положення про обробку персональних даних у конкретній базі, типові положення до договорів з розпорядниками баз персональних даних та локальний кодекс поведінки у сфері обігу та обробки персональних даних який буде загальною основою поведінки у сфері обігу та обробки персональних даних для представництва в Україні.