Защита персональных данных в жилищно-коммунальной сфере: базы, нарушения и рекомендации

Очередной материал, подготовленный для ЮРЛИГИ председателем Госслужбы по вопросам защиты персональных данных Алексеем Мервинским, касается типичных нарушений законодательства по вопросам защиты персональных данных в жилищно-коммунальной сфере, а также предоставляет рекомендации по устранению таких нарушений и рассказывает о типичных БПД в данной сфере (публикуется на языке оригинала). У ході перевірок додержання вимог законодавства про захист персональних даних, що проводилися працівниками Державної служби України з питань захисту персональних даних, було виявлено низку типових порушень законодавства про захист персональних даних організаціями та підприємствами житлово-експлуатаційної сфери, а саме: 1. Відсутність затвердженої мети обробки персональних даних, їх складу та змісту, чим порушуються вимоги ч.1 ст. 6 Закону. Адміністративна чи кримінальна відповідальність за це порушення не передбачена. Проте, таке порушення є підставою для винесення працівниками ДСЗПД Припису про усунення порушень законодавства про захист персональних даних. У свою чергу, невиконання, у встановлений термін, винесеного припису є підставою для притягнення до відповідальності передбаченої статтю 18840 Кодексу України про адміністративні правопорушення щодо невиконання законних вимог посадових осіб спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних (ДСЗПД). 2. Відсутність затверджених процедур обробки персональних даних (наприклад, процедур щодо збору, зберігання, використання, поширення персональних даних; встановлення осіб, які мають до них доступ і в якій мірі тощо). За дане правопорушення, як і за попереднє, адміністративна чи кримінальна відповідальність не передбачена, але воно також є підставою для винесення працівниками ДСЗПД Припису про усунення порушень законодавства про захист персональних даних. 3. Відсутність належних правових підстав обробки персональних даних (наприклад, відсутність документованої, зокрема письмової, згоди суб’єкта на обробку його персональних даних, або якщо згода на обробку персональних даних, отримана від суб’єкта, не охоплює всі встановлені володільцем або розпорядником бази процеси обробки персональних даних, у тому числі процеси, що здійснюються розпорядниками баз персональних даних). Наслідками цього правопорушення може бути винесення працівниками ДСЗПД Припису про усунення, а у деяких випадках, якщо вони заподіяли істотну шкоду охоронюваним законом правам, свободам та інтересам особи, можливо розгляд питання щодо притягнення до відповідальності за статтею 182 Кримінального кодексу України «Порушення недоторканності приватного життя». 4. Неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних про його права у зв’язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються. Слід звернути увагу на те, що усі суб’єкти, чиї персональні дані були внесені до бази персональних даних з моменту вступу в силу Закону (1 січня 2011 року) повинні бути своєчасно повідомлені про його права у зв’язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються виключно у письмовій формі. Така вимога встановлена пунктом 2 статті 12 Закону, а за її невиконання передбачена відповідальність 18839 Кодексу України про адміністративні правопорушення. 5. Відсутність належно оформлених письмових договорів володільців з розпорядниками баз персональних даних, в яких чітко врегульовано відносини, пов’язані з обробкою персональних даних, визначено мету та обсяги обробки персональних даних розпорядником. Вимога, стосовно оформлення відносин між володільцем та розпорядником виключно письмовим договором встановлена частиною 2 статті 11 Закону. Невиконання цієї вимоги може мати наслідком: - для володільця бази персональних даних - винесення працівниками ДСЗПД Припису про усунення порушень законодавства про захист персональних даних; - для розпорядника - працівниками ДСЗПД може бути порушено питання про обробку персональних даних розпорядником без належних правових підстав, з усіма витікаючими з цього наслідками. 6. Відсутність підтвердження факту направлення до ДСЗПД заяви на реєстрацію баз персональних даних, чим порушуються вимоги статті 9 Закону. Відповідальність за це порушення передбачена статтею 18839 Кодексу України про адміністративні правопорушення Санкції за порушення законодавства про захист персональних даних будуть впроваджені з 01.07.2012 р. згідно із Законом України від 02.06.2011 р. N 3454-VI, враховуючи зміни, внесені Законом України від 13.01.2012 р. N 4343-VI). У той же час, з метою уникнення зазначених порушень рекомендується: 1. Провести аналіз процесів обробки персональних даних відповідно до основних завдань, функцій, мети та предмету діяльності організації житлово-експлуатаційної сфери стосовно: - складу, змісту та категорій персональних даних, що обробляються; - категорій суб’єктів, персональні дані яких обробляються; - мети (цілей) обробки персональних. 2. На основі проведеного аналізу визначити: - перелік процесів обробки персональних даних; - чи охоплює всі процеси обробки згода на обробку персональних даних, отримана від суб’єкта або дозвіл, наданий відповідно до закону; - кількість баз персональних даних у яких здійснюється обробка персональних даних; - статус організації житлово-експлуатаційної сфери, як суб’єкта пов’язаного із захистом персональних даних (відповідно до статті 4 Закону): стосовно яких баз персональних даних організація житлово-експлуатаційної сфери є володільцем; стосовно яких баз персональних даних організація житлово-експлуатаційної сфери є розпорядником. 3. Щодо баз персональних даних, стосовно яких організація житлово-експлуатаційної сфери є володільцем: 3.1. Затвердити, для кожної бази персональних даних, володільцем якої є організація житлово-експлуатаційної сфери окремо, мету (цілі) обробки, склад, зміст та категорії персональних даних, а також категорії суб’єктів, персональні дані яких обробляються. (Це можна зробити шляхом розробки та затвердження Порядку обробки персональних даних). 3.2. Привести процеси обробки персональних даних у відповідність до правових підстав обробки: 3.2.1. При здійсненні обробки персональних даних на підставі отриманої письмової згоди суб’єкта: Отримати від суб’єктів персональних даних згоду на обробку їх персональних даних, яка охоплює всі процеси обробки, що здійснюються. Здійснювати обробку персональних даних лише у межах наданої згоди. 3.2.2. При здійсненні обробки персональних даних на підставі дозволу, наданого відповідно до закону - здійснювати обробку персональних даних лише у межах визначених законом. 3.3. Встановити режим доступу до персональних даних, що обробляються, відповідно до функціональних обов’язків працівників. 3.4. Зареєструвати такі бази персональних даних, у порядку встановленому статтею 9 Закону України «Про захист персональних даних», постановою КМУ від 25 травня 2011 р. N 616 «Про затвердження Положення про Державний реєстр баз персональних даних та порядок його ведення» та наказом Міністерства юстиції України від 08.07.2011 № 1824/5 «Про затвердження Порядку подання заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних»; 3.5. У письмовій формі повідомляти суб’єкта персональних даних протягом десяти робочих днів з дня включення його персональних даних до бази персональних даних про його права, визначені Законом України «Про захист персональних даних», мету збору даних та осіб, яким передаються його персональні дані. 3.6. Стосовно баз персональних даних, персональні дані у яких обробляються розпорядниками, необхідно укласти письмові договори з розпорядниками баз персональних даних. У таких договорах повинно бути чітко визначено мету та обсяги обробки персональних даних розпорядником, вказано, кому саме та в яких межах розпорядник може передавати отриману за договором інформацію. Крім того, згода, надана суб’єктами персональних даних, повинна передбачати усі дії з обробки персональних даних які планує здійснювати розпорядник. 4. Щодо баз персональних даних, стосовно яких організація житлово-експлуатаційної сфери є розпорядником: - встановити на яких правових підставах здійснюється обробка даних у цих базах, відповідно до статей 2 та 11 Закону: право на обробку персональних даних, надане володільцем відповідної бази персональних даних відповідно до договору в письмовій формі; право на обробку персональних даних, надане законом; - процеси обробки у таких базах персональних даних привести у відповідність до договору з володільцем відповідної бази персональних даних або до закону, яким надано право обробляти персональні дані. Крім того, необхідно визначити структурний підрозділ або відповідальну особу, яка організовує роботу, пов’язану із захистом персональних даних при їх обробці в організація житлово-експлуатаційної сфери. Спираючись на досвід проведених перевірок та аналіз галузевого законодавства, можна окреслити типові цілі обробки, а також орієнтовний склад та зміст персональних даних, що обробляються у базах персональних даних організацій та підприємств житлово-комунальної сфери. Типовими базами персональних даних організації житлово-експлуатаційної сфери є: - база персональних даних споживачів житлово-комунальних послуг; - база персональних даних співробітників (кадрового та бухгалтерського обліку); - база персональних даних контрагентів. Типовою метою обробки персональних даних в базі персональних даних споживачів житлово-комунальних послуг є надання житлово-комунальних послуг та нарахування оплати за надані послуги. Типовою метою обробки персональних даних в базі персональних даних співробітників (кадрового та бухгалтерського обліку) є забезпечення реалізації трудових відносин на підприємстві, кадрового діловодства, бухгалтерського обліку та фінансової звітності, дотримання вимог законодавства про працю, охорону здоров’я, соціального захисту, військову службу та військовий облік, пенсійне забезпечення, податкового законодавства тощо. Типовою метою обробки персональних даних в базі персональних даних контрагентів є надання та отримання послуг з утримання будинків і споруд та прибудинкової території, виконання ремонтних робіт та іншої роботи по обслуговуванню житлового фонду, отримання і здійснення оплати за надані та спожиті послуги. Орієнтовний склад та зміст персональних даних, що обробляються у базах персональних даних підприємства житлово-комунальної сфери може бути таким. У базі кадрового діловодства та бухгалтерського обліку працівників підприємства: паспортні дані; реєстраційний номер облікової картки платника податків (ідентифікаційний номер); освіта; особисті відомості (вік, стать , сімейний стан, стаж роботи, попередні місця роботи тощо); дані свідоцтва про народження; склад сім’ї; професія; фінансова інформація; стан здоров’я; відомості про отримання пенсії; відомості про військовий облік; дані про оплату за комунальні послуги; відомості про нарахування заробітної плати; інші відомості згідно діючих нормативно-правових актів. У базі споживачів комунальних послуг: паспортні дані; дані про склад сім’ї; дані про право власності та інші права на нерухоме майно; відомості про нарахування та оплату комунальних послуг; відомості про житлове приміщення споживача; відомості про фінансовий стан особистих рахунків; дані щодо стану здоров’я, соціального стану, дієздатності. У базі контрагентів підприємства: паспортні дані; реєстраційний номер облікової картки платника податків (ідентифікаційний номер); дані свідоцтва про реєстрацію суб’єкта господарювання; дані свідоцтва платника податку; відомості про фінансовий стан особистих рахунків. Одним з найбільш проблемних питань, що виникають в житлово-комунальної сфері, є небажання споживачів послуг надавати згоду на обробку своїх персональних даних. Однак, отримання такої згоди не завжди є обов’язковою умовою. Так, статтею 16 Закону «Про житлово-комунальні послуги» передбачено, що порядок надання житлово-комунальних послуг, їх якісні та кількісні показники мають відповідати умовам договору та вимогам законодавства. Відповідно до статті 19 згаданого Закону відносини між учасниками договірних відносин у сфері житлово-комунальних послуг здійснюються виключно на договірних засадах. Учасниками відносин у сфері житлово-комунальних послуг є: власник, споживач, виконавець, виробник. Виробник послуг може бути їх виконавцем.Особливими учасниками відносин у сфері житлово-комунальних послуг є балансоутримувач та управитель, які залежно від цивільно-правових угод можуть бути споживачем, виконавцем або виробником. В свою чергу, відповідно до положень частини третьої статті 20 та частини першої статті 26 Закону «Про житлово-комунальні послуги», споживач зобов’язаний укласти договір на надання житлово-комунальних послуг, підготовлений виконавцем на основі типового договору, з урахуванням усіх істотних умов. У разі відмови споживача оплачувати споживання комунальних послуг заборгованість повинна стягуватися в судовому порядку. Статтею 3 Цивільного процесуального кодексу України передбачено, що кожна особа має право в порядку, встановленому Кодексом, звернутися до суду за захистом своїх порушених, невизнаних або оспорюваних прав, свобод чи інтересів. У випадках, встановлених законом, до суду можуть звертатися органи та особи, яким надано право захищати права, свободи та інтереси інших осіб, або державні чи суспільні інтереси. Відмова від права на звернення до суду за захистом є недійсною. Відповідно до статті 119 Кодексу позовна заява повинна містити ім’я (найменування) позивача і відповідача, а також ім’я представника позивача, якщо позовна заява подається представником, їх місце проживання (перебування) або місцезнаходження, поштовий індекс, номери засобів зв’язку, якщо такі відомі. Слід зауважити, що форма типового договору «Про надання послуг з централізованого опалення, постачання холодної та гарячої води і водовідведення», затверджена постановою Кабінету Міністрів України від 21.07.2005 № 630 (в редакції постанови Кабінету Міністрів України від 03.09.2009 № 933), передбачає наявність усіх необхідних реквізитів сторін, необхідних для зазначенні у судовому позові. Отже, виходячи з вищенаведеного, отримання від суб’єкта персональних даних письмової згоди на обробку його персональних даних в процесі споживання таким суб’єктом житлово-комунальних послуг не завжди є обов’язковою умовою, оскільки дозвіл на обробку його персональних даних виконавцем або виробником відповідних послуг наданий Законом. Проте, при здійсненні обробки персональних даних на підставі «дозволу, наданого законом», слід надзвичайно уважно проаналізувати мету обробки персональних даних, їх склад, зміст та процедури обробки та здійснювати обробку персональних даних виключно у межах визначених законом. Олексій Мервінський, голова Державної служби України з питань захисту персональних даних. Источник: www.ligazakon.ua