Регистрация базы персональных данных
Як позбутися необхідності реструвати бази персональних даних.
Отримав цей лист від Клубу підприємців (Сергій Іванов). Цікаві міркування щодо уникнення реєстрації БПД. Представляю на ваш розгляд.
Пропоную розглянути варіанти законного ухилення від реєстрації баз даних. Для цього довелося трохи звернутися до зарубіжного досвіду. Нажаль англомовна частина що хоч якось стосувалася практичних аспектів рясніла більше роз’ясненнями переважно з Великої Британії www.ico.gov.uk Frequently asked questions and answers about relevant filing systems і одне джерело з Польщі [link] [link]
Значение для нас имеет также Рекомендации R (89) 2 Комитета Министров Совета Европы странам-членам по защите персональных данных, используемых для целей, связанных с трудовыми отношениями. Вони містять важливе пояснення – Термин «персональные данные» охватывает любую информацию, относящуюся киндентифицированному или могущему быть идентифицированным лицу. Лицо не должно признаваться могущим быть идентифицированным, если идентификация требует чрезмерного времени, финансовых затрат и усилий. А підбірку документів Ради Європи з цього питання можна знайти за цими ключовими словами Data protection Compilation of Council of Europe texts
Я почну з того, що стосується усіх – персональних даних робітників. Для наочності приведу всі терміни, якими тут доведеться користуватися.
база персональних даних – іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;
володілець бази персональних даних – фізична або юридична особа, якій законом або за згодою суб’єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом;
обробка персональних даних – будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов’язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу;
персональні дані – відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;
Перше питання чи хотів законодавець, приймаючи закон, щоб однакові (ідентичні) за змістом бази даних, володільцями яких є одночасно різні особи, не були зареєстровані? Не хотів. Адже є про це свідчать виключення коли такими володільцями є журналісти, творчі працівники, фізичні особи, оскільки на них закон не поширюється в цій частині. Тобто реєстрація бази даних залежить від мети її використання особою, якій вона належить та можливості ідентифікувати осіб, про який в ній зібрано інформацію за допомогою цієї бази.
Отже база персональних даних вважається такою, що містить персональні дані, якщо за допомогою саме цих даних, розміщених в цій базі особа є ідентифікована або може бути ідентифікована. За допомогою яких саме даних можна конкретно ідентифікувати особу без докладання чрезмерного времени, финансовых затрат и усилий? За допомогою унікальних даних. За допомогою унікальних даних, якими одночасно не можуть бути притаманними іншій особі. Про це писали тут [link]
Це дані розміщені разом в БД – ПІБ і ідентифікаційний номер або ПІБ і серія та номер паспорту, або ПІБ, дата і місце народження особи. Сам лише ідентифікаційний номер не дає можливості ідентифікувати особу, бо для цього треба докласти чрезмерного времени, финансовых затрат и усилий, якщо не мати довідку про його присвоєння при собі.
Отже якщо в розпорядженні будь-якої особи (крім державних установ – пусть помучаются – державу слід розглядати як єдиний організм) відсутні дані (записані на якихось носіях – люди, як носії інформації виключаються, адже ми не можемо достаменно первірити, яку інформацію в собі зберігає людина) про ранішу ідентифікацію людини (ПІБ і ідентифікаційний номер або ПІБ і серія та номер паспорту особи, або ПІБ, дата і місце народження особи), тоді слід вважати, що така особа, якщо вона створила або має базу персональних даних, в якій одночасно відсутні (ПІБ і ідентифікаційний номер або ПІБ і серія та номер паспорту особи, або ПІБ, дата і місце народження особи), не повинна реєструвати базу даних.
Веду це до того, що будь-який роботодавець ідентифікує своїх працівників, перевіряючи їхні паспорти та довідки про надання ідентифікаційного номеру.
Якщо у двох осіб є ідентичні за змістом бази даних, однак одна з них – роботодавець, тих осіб, чиї дані занесені до такої БД, тоді вважатиметься що роботодавець не потребує чрезмерного времени, финансовых затрат и усилий ідентифікації таких осіб, однак та друга особа, яка має таку ж базу даних, але не мала можливості ідентифікувати осіб так, як це робив роботодавець, потребуватиме чрезмерного времени, финансовых затрат и усилий для їх ідентифікації
Я веду до того, що незалежно від того, чи володіє роботодавець даними про своїх робітників, він може передати за згодою звичайно робітників ці дані для формування бази даних іншій особи, яка раніше не проводила ідентифікацію робітників роботодавця і якій доведеться докласти чрезмерного времени, финансовых затрат и усилий для того, щоб це зробити, а самому стати користувачем цієї бази даних, однак на володільцем.
Що ж робити з паперовими носіями інформації і як вони співвідносять з поняттям картотека персональних даних, передбачених законом? У буржуїв це зветься filing systems, manual filing systems чі якось так. Роз’яснення щодо до цього надало британське Відомтсво Комісара з інформації. Їхній переклад нижче
Часті питання та відповіді про відповідні картотеки персональних даних
П1? Вся інформація в мене в архіві зберігається в хронологічному порядку без будь-яких інших індексації або розподілу, то як Закон впливає на мене?
В1 Інформація яку ви тримаєте у паперовій формі не буде вважатися “картотекою персональних даних “, навіть якщо назви папок карток мають імена фізичних осіб, однак окремі самі папки, картки містять різноманітні категорії інформації.
Якщо картки містять тільки одну категорію інформації (про скаргу людини, або його рахунок, або його кадрові записи), вони, скоріш за все є картотекою персональних даних. Більшість організацій тримає окремі паперові файли для окремих та визначених категорій інформації (врегулювання претензій, питань зайнятості, скарг тощо). Це тому, що, як правило,нерозумно, для ділових цілей, скидати в одну купу в одній папці всю інформацію яку ви маєте на конкретну людину, незалежно від того, чого ця інформація стосується.
П2? Чи є правило яке я можу застосувати, щоб встановити чи є у мене картотеки персональних даних?
В2 Так, ви можете застосувати “тест тимчасового помічника з адміністративних питань”. Якщо ви найняли тимчасового помічника з адміністративних питань, чи зможе він отримати докладні відомості про особу з ваших паперових записів без будь-яких особливих знань специфіки вашої роботи або документи, які ви маєте?
“Тест” передбачає, що помічник в цілому достатньо компетентний, і потребує лише короткого інструктажу, пояснення та / або інструкції по експлуатації картотеки персональних даних щоб мати можливість нею користуватися.
Приклад
Джон Сміт є вашим працівником. Він просить надати докладні дані про його відпустки та відсутність на роботи за останні шість місяців. У вас є збірка справ працівників; кожна справа стосується окремого виду інформації:
а) Якщо ви маєте папку під назвою “Співробітники-відпустки”, що містить алфавітні роздільники, помічник не буде мати труднощі в знаходженні записів про відпустки Джона Сміта під літерою “S”. Ця папка є частиною картотеки персональних даних
б) Якщо ви маєте папку під назвою “John Smith”, який містить всі кадрові записи про Джона Сміта, помічник не буде мати труднощі в знаходженні записів про відпустки Джона Сміта. Ця папка є частиною картотеки персональних даних
в) Якщо ви маєте папку під назвою “John Smith” як набір папок, які містять записи про відпустки співробітників. Деталі про відпустки записані у стандартних формах, розміщених в хронологічному порядку в межах окремих папок для кожного співробітника, (хронологічне розміщення). помічник не буде мати труднощі в знаходженні записів про відпустки Джона Сміта. Ця папка є частиною картотеки персональних даних
Ви можете тримати тільки одну збірку паперових папок для всіх записів
(різноманітні категорії інформації), що стосуються приватних осіб. Ці папки, швидше за все, будуть упорядковані в алфавітному порядку, використовуючи імена фізичних осіб, як назву відповідної папки. Якщо всі відомості, якими ви володієте про особу, ім’ям якої названо папку просто додаються до папки в хронологічному порядку (незалежно від того чи стосується це кадрових записів,його скарг, записів про нього як клієнта вашої організації, листів, отриманих від нього і т.д.) така збірка не вважатиметься картотекою персональних даних. Помічнику доведеться обробити всі різні категорії інформації про Джона Сміта щоб знайти потрібну конкретну інформацію.
П3 А якщо частини моєї папки добре структуровані таким чином, що певна інформація, що відноситься до особи, є легко доступною, а вся інша інформація в моїй папці знаходиться в рубриках хронологічно під загальним заголовком «листування» або складена під розподільником “різне”?
В 3 Ключ до відповіді на це питання, полягає в тому щоб подивитися на те, для полегшення доступу до якої інформації призначена Система.
Якщо папку структуровано переважно для доступу до неупорядкованої інформації, то вона навряд чи буде картотекою персональних даних.
Однак, якщо папку структуровано переважно для доступу до однієї категорії інформації про особу (наприклад, інформація про клієнтів або співробітників), то швидше за все, вона буде вважатися по відношенню до цієї категорії інформації картотекою персональних даних, хоча є інша інформація в папці.
Приклад
Ви володієте ексклюзивним магазином дизайнерського одягу. У вас є кілька папок, пов’язаних з вашим клієнтам всі з яких містять загальні категорії інформації під окремими індексами або підкатегоріями про конкретного замовника: контактні дані, вимірювання, вподобання щодо дизайнерів, кольорів, стилів. В деяких з цих папок у вас є додаткова інформація під загальними заголовками – “різне”, “листування”, “інші”. Ваша збірка папок була створена для зберігання анкет клієнтів. Метою структурування папки з використанням конкретних заголовків / вкладок / індексів є надання вам можливості легко отримати доступ до конкретної інформації з анкети кожного клієнта для того, щоб підвищити якість обслуговування замовників. Ви можете отримати додаткову інформацію, яка не підпадає ані під одну із загальних категорій анкети (наприклад, лист подяки від замовника). Анкетні категорії інформації в цих папках стане частиною відповідної картотеки персональних даних.
Коротке керівництво до розуміння картотеки персональних даних
1. Ваша система паперових записів містить інформацію про фізичних осіб?
Так – зайдіть в П. 2.
Ні – у вас немає ” картотеки персональних даних.
2. Чи система паперових записів використовує імена осіб (або інший унікальний ідентифікатор) як ім’я папки?
Так – зайдіть в П. 4.
Ні – перейти до П. 3.
3. Чи система паперових записів використовувати критерії, пов’язані з фізичним особам (наприклад, відсутності через хвороби, пенсії, або кваліфікації) в якості імені папки?
Так – зайдіть в П. 4.
Ні – у вас немає картотеки персональних даних.
4. Чи інформація у ваших папках містилася виключно в хронологічному порядку?
Так – зайдіть в П.5.
Ні – перейти до П. 6.
5. Хоча інформація папках тримається чисто в хронологічному порядку, чи ваша система паперових записів досить добре структурована, щоб дозволити вам швидкий доступ до конкретної інформації про конкретну особу без значого ручного пошуку через набір записів?
Так – у вас є картотека персональних даних. Там, де інформація зберігається як набір паперових записів, які досить добре структуровані щоб забезпечити безперешкодний доступ до конкретної інформації про тих чи інших осіб такий набір записів буде картотека персональних даних для цілей Закону.
Ні – у вас немає картотеки персональних даних. Враховуючи те, що ви не можете легко визначити інформацію про тих чи інших осіб, ви повинні розглянути питання чи такий набір записів є досить добре структурованим для ділових цілей або чи є він просто є неструктурованим архівом паперових записів. Подумайте, чи має сенс / корисно зберегти ці записи в цій формі.
6. Чи зміст ваших папок є досить добре структурованим, проіндексованим або поділеним на категорії, що забезпечує безперешкодний доступ до конкретної інформації про особу?
Так – Ви, ймовірно, маєте картотеку персональних даних. Це той випадок, коли не потрібно багато зусиль для пошуку в певній папці, щоб знайти конкретну інформацію про яку йде мова.
Ні – у вас немає картотеки персональних даних.
Ще одна підстава, яка до 01 січня 2014 року може уберегти деякі компанії від реєстрації баз даних наступна.
14 червня 1994 року Україною було підписано Угоду про партнерство та співробітництво між Європейськими співтовариствами і Україною, яка була ратифікована Верховною Радою України 10 листопада 1994 року та набула для України чинності 01 березня 1998 року.
Відповідно до ст. 6 зазначеної Угоди про партнерство та співробітництво, сторони встановлюють між собою регулярний політичний діалог, який вони мають намір розвивати та поглиблювати. Він супроводжуватиме та зміцнюватиме зближення між Співтовариством та Україною, підтримуватиме політичні та економічні зміни, що відбуваються в цій країні, та сприятиме встановленню нових форм співробітництва.
Згідно з п. b ч. 2 ст. 30 Угоди про партнерство та співробітництво Україна згідно зі своїм законодавством та правилами надає дочірнім компаніям і філіалам компаній Співтовариства, заснованим на її території, режим стосовно їх діяльності, що є не менш сприятливий, ніж той, що надається відповідно її власним компаніям чи філіалам або компаніям чи філіалам будь-якої третьої країни, залежно від того, який з них є кращий. – Это так сказать “нижний предел” режима содействия
Частиною 4 статті 36 Угоди про партнерство та співробітництво передбачено, що якщо нове законодавство чи інші правила, які запроваджено в Україні, можуть спричинити більш обмежені умови для заснування компаній Співтовариства на її території і для функціонування дочірніх компаній і філіалів компаній Співтовариства, заснованих в Україні, ніж ті, що склалися на день підписання Угоди, то такі, відповідні законодавство чи правила не застосовуються протягом трьох років після набуття чинності відповідним законом до тих дочірніх компаній і філіалів, які вже були створені в Україні на момент набуття чинності відповідним актом. А это так “верхний предел” режима содействия.
В цілях цієї Угоди:
a) “компанія Співтовариства” або “компанія України”, відповідно, означають компанію, засновану згідно з законодавством, відповідно, держави-члена або України, яка має зареєстроване службове приміщення або центральну адміністрацію чи головне місце ділової діяльності на території, відповідно, Співтовариства або
України. Проте, якщо компанія, яка була заснована згідно з законодавством, відповідно, держави-члена або України, має тільки зареєстроване службове приміщення на території, відповідно, Співтовариства або України, компанія вважається відповідно компанією Співтовариства або України, якщо її діяльність має реальний і безперервний зв’язок з економікою, відповідно, однієї з держав-членів або України;
b) “дочірня компанія” означає компанію, яка цілком підконтрольна материнській компанії;
c) “філіал” компанії означає місце здійснення підприємницької діяльності за відсутності статусу юридичної особи і має такі ознаки постійності, як продовження діяльності основного органу, має своє керівництво, а також є настільки матеріально підготовленим для здійснення підприємницької діяльності з третіми сторонами, що останні, навіть знаючи про те, що в разі необхідності існуватиме юридичний зв’язок з основним органом, центральне управління якого знаходиться за кордоном, позбавлені необхідності безпосередньо співпрацювати з цим основним органом, а
можуть здійснювати підприємницьку діяльність за місцем знаходження установи продовження діяльності основного органу;
d) “заснування” означає право компаній Співтовариства або України, як зазначено в п. a), розпочинати економічну діяльність шляхом заснування, відповідно, в Україні або в Співтоваристві дочірніх компаній і філіалів;
e) “функціонування” означає здійснення економічної діяльності;
f) “економічна діяльність” означає діяльність виробничого, комерційного і професійного характеру;
Визначення змісту поняття контроль дає положення пункту (п) (статті XXV Ш Генеральної угоди про торгівлю послугами (Додаток 1В до Угоди про СОТ, до якої Україна приєдналась на підставі Протоколу про вступ України до Світової організації торгівлі від 05.02.08р. ратифікованого Законом України № 250-VI від 10 квітня 2008 року), який обумовлює підконтрольність як володіння більш ніж: 50% частки в участі в юридичній особі, або наявності повноважень призначати більшість директорів юридичної особи, чи в інший осіб правомірно керувати діями юридичної особи.
Отже загальний висновок.
1) Треба мати згоду ваших робітників на обробку їхніх персональних даних та здійснення дій, зазначених нижче
2) Роботодавець скоріш за все буде розглядатися як особа, якій не потрібно чрезмерного времени, финансовых затрат и усилий для ідентифікації своїх працівників.
3) Отже паперові персональні дані про працівників слід зберігати навалом.
4) Українським дочірнім компаніям нерезидентів з країн ЄС можна не реєструвати бази до 01 січня 2014 року оскілки закон встановив обмежені умови їх функціонування в частині необхідності реєстрації баз даних у порівнянні з тими, що склалися на день підписання Угоди
5) Будь-яким особам не потрібно реєструвати бази даних, якщо такі бази даних не містять одночасно ПІБ і ідентифікаційний номер або ПІБ і серія та номер паспорту особи, або ПІБ, дату і місце народження особи, и якщо таким володільцям баз даних треба докласти чрезмерного времени, финансовых затрат и усилий для ідентифікації осиб
6) Ці виключення не поширюються на державні установи, бо це все одно одна система під керівництвом Президента і їх легко проти нас боротися.
7) Для обробки даних в автоматичних інформаційних системах слід передавати персональні дані третім особам, які раніше не ідентифікували осіб (в тому числі знищили носії інформації про ідентифікацію), чиї персональні дані їм передаються. Тобто володільцем бази даних повинна бути особа, яка не знає ПІБ і ідентифікаційний номер або ПІБ і серія та номер паспорту особи, або ПІБ, дату і місце народження особи і такому володільцю треба докласти чрезмерного времени, финансовых затрат и усилий для ідентифікації осіб. У такого володільця має бути відсутня можливість співставити дані один з одним для ідентифікації осіб, отже вони мають йому передаватися окремо, для формування різних баз даних, в яких ( в кожній окремо) не буде одночасно розміщатися ПІБ і ідентифікаційний номер або ПІБ і серія та номер паспорту особи, або ПІБ, дату і місце народження особи
8) Мова йде про бази даних “в хмаринках ” і їх розміщення у третіх осіб
9) Вважати юридичну особу, якій легко ідентифікувати фізичну особи, лише ту юридичну особу, яка володіє носіями інформації або має до них доступ, за допомогою яких можна встановити ПІБ і ідентифікаційний номер або ПІБ і серія та номер паспорту особи, або ПІБ, дату і місце народження особи. Не слід вважати такими носіями інформації людей – робітників, підрядників такої юридичної особи, оскілки неможливо встановити, якою інформацію володіють такі особи а також тому, що людина має волю, тобто може приховати або спотворити інформацію.