Асоціація
Українсько-Китайського
співробітництва
  • ОГЛЯДАЧ / АНАЛІТИКА

    НОВЕ У СФЕРІ ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ У ТРУДОВИХ ВІДНОСИНАХ

    2010-11-25

    На сьогодні захист персональних даних в Україні регулюється ст. 32 Конституції України, ст. 23, 31 ЗУ «Про інформацію» та ст. 200, 302 Цивільного кодексу України. Згідно з чинним законодавством, дозволено збирати, обробляти, зберігати та використовувати персональні дані за таких умов:

    • отримана попередня згода заінтересованої особи;
    • особу повідомлено про зміст даних, які збираються, яким чином, ким та з якою метою персональні дані будуть використані у майбутньому.
    1 червня 2010 р. було прийнято ЗУ «Про захист персональних даних» № 2297-VI (далі – Закон), який набуде чинності 1 січня 2011 р. Він регулює питання обробки юридичними особами, а також фізичними особами-підприємцями персональних даних в спеціальних базах даних у зв’язку із здійсненням останніми підприємницької діяльності. Він не поширюється на обробку персональних даних фізичними особами для їх особистих чи побутових потреб або у зв’язку з журналістською чи творчою діяльністю. Закон не застосовується також до обробки даних про юридичних осіб. У контексті трудових відносин Закон буде стосуватись насамперед компаній, які ведуть бази даних працівників, кандидатів на посади, стажерів, позаштатних працівників тощо.

    У 2011 р. Україна також ратифікує Конвенцію про захист осіб у зв’язку з автоматизованою обробкою персональних даних та Додатковий протокол до Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних стосовно органів нагляду та транскордонних потоків даних, після того, як відповідний ратифікаційний Закон від 06.07.2010 № 2438-VI набере чинності 1 січня 2011 р. Ця Конвенція регулює діяльність міжнародних компаній щодо передачі персональних даних за кордон.

    Закон визначає, що персональні дані – це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно встановлена. Поняття персональних даних є досить загальним і може охоплювати будь-яку ідентифікуючу інформацію стосовно особи. Таким чином, якщо певні відомості про особу поєднуються з іменем, вони вважатимуться персональними даними. Додамо, що відповідно до ст. 23 ЗУ «Про інформацію» до основних даних про особу (персональних даних) відносяться національність, освіта, сімейний стан, релігійність, стан здоров’я, а також адреса, дата і місце народження. Згідно із рішенням Конституційного Суду України № 5-зп від 30.10.1997, до персональних даних також віднесені майновий стан та медична інформація (свідчення про стан здоров’я людини, історія її хвороби, мета запропонованих досліджень і лікувальних заходів, прогноз можливого розвитку захворювання, в т. ч. і про наявність ризику для життя і здоров’я).
    Ст. 2 Закону вводить поняття суб’єкт персональних даних – це фізична особа, стосовно якої відповідно до закону здійснюється обробка ЇЇ персональних даних, а також поняття база персональних даних – це іменована сукупність упорядкованих персональних даних, яка існує в електронній формі та/або у формі картотеки. Закон також розкриває термін володілець бази персональних даних – це фізична або юридична особа, якій законом або за згодою суб’єкта персональних даних надано право на обробку цих даних та яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом.

    Зібрана картотека на всіх працівників із вказівкою їхнього віку, дати та місця народження, місця проживання, ідентифікаційного номеру, соціального статусу, який надає пільги згідно закону (одинокі матері, жінки з дітьми віком до трьох років, чорнобильці, неповнолітні) з точки зору Закону вважається базою персональних даних. Аналогічно, список водіїв із вказівкою на категорію водійських прав, водійський стаж, кваліфікаційний клас, відомості про штрафи, або ж список працівників з вказівкою на їх спеціальні кваліфікаційні документи, сертифікати, нагороди або вчене звання також є базами персональних даних.
    Як зазначалося вище, чинне законодавство передбачає отримання згоди від особи на обробку ЇЇ персональних даних. Закон же вводить низку додаткових вимог щодо отримання такої згоди та порядку обробки персональних даних.
    По-перше, ст. 2 Закону вимагає отримання попередньої згоди особи саме у документованому вигляді, тоді як чинне законодавство вимагає лише, щоб згода була попередньою. По-друге, згода на обробку персональних даних надається відповідно до чітко визначеної мети такої обробки, яка має закріплюватись в локальних документах компанії, що здійснює обробку даних. Наприклад, це може бути положення про обробку та захист персональних даних або наказ про збір персональних даних тощо. За змістом ст. 6 Закону у разі зміни мети обробки персональних даних особа повинна надати згоду на обробку ЇЇ даних відповідно до зміненої мети.
    У ст. 2 Закону вводиться розширений перелік форм обробки даних, а саме, обробка персональних даних – це будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) систем! та/або в картотеках персональних даних, які пов’язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу. Зазначимо, що при обробці персональних даних може здійснюватись одна чи декілька із вказаних дій, але вони обов’язково повністю чи частково здійснюються в базі персональних даних.

    Крім того, Законом передбачено ряд додаткових вимог щодо окремих форм обробки персональних даних. Так, поширення персональних даних передбачає їх передачу володільцем бази персональних даних третій особі. При цьому, згідно зі ст. 14 Закону, саме володілець повинен забезпечити режим захисту персональних даних. Водночас третя особа, яка отримує дані, повинна також дотримуватись вимог Закону, зокрема щодо мети обробки та обсягу дозволених форм обробки згідно наданої згоди.

    Про передачу персональних даних третій особі володілець бази повинен повідомити особу протягом 10 робочих днів, якщо цього вимагають умови її згоди або інше не передбачено законом (ст. 21 Закону). Тому з метою уникнення суперечностей рекомендуємо зафіксувати відмову від повідомлення про передачу даних третій особі у тексті згоди на обробку персональних даних.
    Крім того, Закон передбачає, що володілець бази персональних даних може передавати базу іншому суб’єкту – розпоряднику бази – для ЇЇ обробки з метою та в обсязі, визначених у письмовому договорі з володільцем бази. Вказана норма буде регулювати обробку персональних даних сторонніми спеціалізованими компаніями.

    Закон вводить ряд обмежень щодо обробки певних персональних даних. Так, ст. 7 забороняється обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров’я чи статевого життя особи. Водночас вказана заборона не застосовується, якщо обробка персональних даних необхідна, зокрема, для здійснення прав та виконання обов’язків у сфері трудових правовідносин відповідно до закону. Тому ведення підприємством інформаційної бази, наприклад, про профспілкову належність його працівників з огляду на наявність гарантій у членів профспілки, не заборонено.

    Відповідно до ст. 24 Закону, в компаніях визначається структурний підрозділ або відповідальна особа, яка організовує роботу, пов’язану із захистом персональних даних при їх обробці. Рекомендуємо призначити відповідальним працівника, котрий безпосередньо займається обробкою персональних даних, наприклад, спеціаліста відділу кадрів або системного адміністратора.
    Відповідно до нині діючого ЗУ «Про інформацію» (ст. 31), всі організації, які збирають інформацію про громадян, повинні до початку роботи з нею здійснити державну реєстрацію відповідних баз даних у порядку, встановленому Кабінетом Міністрів України. Однак порядок такої реєстрації досі не затверджено.

    Закон встановлює більш детальний порядок реєстрації баз даних. Відповідно до ст. 9, для реєстрації бази персональних даних її володілець подає до органу заяву, яка повинна містити інформацію про: володільця, найменування і місцезнаходження бази, мету обробки даних, інших розпорядників бази, а також підтвердження зобов’язання щодо захисту персональних даних. Реєстрація здійснюється протягом 10 робочих днів уповноваженим державним органом з питань захисту персональних даних в Державному реєстрі баз персональних даних. Цей державний орган ще не створено.

    Таким чином, після введення в дію Закону компанія, що веде базу персональних даних, повинна:
    • закріпити внутрішнім положенням, наказом чи іншим документом мету обробки персональних даних, зміст та обсяг даних, а також процедуру їх обробки;
    • довести до відома заінтересованої особи мету обробки І при цьому отримати від неї попередню письмову згоду, яка буде охоплювати усі форми обробки персональних даних, що можуть здійснюватись у майбутньому;
    • призначити працівника чи підрозділ, які будуть забезпечувати захист персональних даних.

    Незважаючи на те, що Закон набирає чинності 1 січня 2011 р., рекомендуємо заздалегідь розпочати процедуру підготовки та привести діяльність компанії у відповідність з його вимогами.

    Оксана ВОЙНАРОВСЬКА
    Радник АО «ЮФ «Василь Кісіль і партнери»
    Владислав ПОДОЛЯК
    юрист АО «ЮФ «Василь Кісіль і партнери»

    Напишіть відгук

    Your email address will not be published. Required fields are marked *