Правове регулювання захисту персональних даних працівника

Размещено на http://www.allbest.ru/

Стаття з теми:

Правове регулювання захисту персональних даних працівника

Коляда Т.А., Національний фармацевтичний університет

Анотація

В статті охарактеризовано стан правового регулювання захисту персональних даних працівника. Зосереджено увагу як на міжнародних нормативно-правових актах, так і на національних. Виокремлено проблеми, що існують під здійснення захисту персональних даних особи. Наголошено на ототожненні категорій «персональні дані» та «конфіденційна інформація про особу». Проаналізовано існуючі випадки витоку даних що є конфідеційною інформацією. Наголошено на наявності суттєвих прогалин у правовому регулюванні захисту персональних даних працівників. Так у трудовому законодавстві не закріплено дефініції «персональні дані працівника», а також не відображено чіткого переліку відомостей, що входить до категорії персональних даних, та не передбачено механізму захисту персональних даних працівників. Запропоновано на законодавчому рівні закріпити правову категорію «персональні дані працівника» як будь-яку документовану інформацію щодо ділових якостей і професійної кваліфікації конкретного працівника, що збирається, накопичується, зберігається і використовується роботодавцем у сфері трудових відносин. Сформульовано авторські пропозиції стосовно удосконалення нормативно-правового регулювання захисту персональних даних працівника.

Ключові слова: правове регулювання, інформація, персональні дані, згода на використання персональних даних, конфіденційна інформація про особу.

Summary

персональний данні працівник захист

The article describes the state of legal regulation of employees' personal data protection. The focus is on both international and national legal acts. The problems that exist in the protection of personal data are highlighted. Emphasis is placed on identifying the categories as "personal data" and "confidential personal information". Existing cases of a leakage of data that is a confidential information are analyzed. The modern labor practice is analyzed and it is found that now there is an urgent need to unite the efforts of the scientific community to improve existing labor legislation in terms of the employee personal data protection, because in a developed information society the employer has the opportunity to collect, store and use information about the employee personal data. Emphasis is placed on the existence of significant gaps in the legal regulation of personal data protection of employees. Thus, the labor legislation does not establish a definition of the "employees' personal data", nor does it reflect a clear list of information that falls into the category of personal data, and does not provide a mechanism for protecting the employee personal data. It is proposed to establish the legal category of the "employee's personal data" at the legislative level as any documented information about the business qualities and professional qualifications of a particular employee, which is collected, accumulated, stored and used by the employer in the field of labor relations. The author's proposals on improving the legal regulation of employees' personal data protection are formulated, namely: development and approval of internal regulations according to the established procedure for employees' personal data protection; normative stipulation of the obligation to inform employees on the purpose of collection, processing, storage and use of personal data by the employer, as well as obtaining written consent from employees for all forms of personal data processing related to their labor activity; assigning the function of control to the trade union committee or to the person elected by the labor collective to be authorized to protect personal data. In general, the author studies the state of legal regulation of personal data protection in Ukraine, identifies existing legal conflicts and organizational problems, as well as articulates proposals for the prospects of amending domestic legislation in the field of employee's personal data protection.

Keywords: legal regulation, information, personal data, permission to the processing of personal data, confidential information about the person.

Постановка проблеми

Одним з безумовних пріоритетів демократичної, правової та соціальної держави визнано захист персональних даних як важливої складової реалізації права на приватність (прайвесі). Питанням захисту персональних даних працівника останнім часом приділяється значна увага вітчизняними та зарубіжними фахівцями у галузі трудового права, що об'єктивно зумовлено прагненням створити належні умови для захисту інформації про працівника та унеможливити порушення його прав і законних інтересів у сфері трудових відносин. Як свідчить аналіз трудової практики, наразі назріла нагальна необхідність об'єднання зусиль наукового співтовари-ства з метою вдосконалення чинного трудового законодавства у частині захисту персональних даних працівника, оскільки в умовах розвиненого інформаційного суспільства роботодавець має можливість з використанням різних джерел збирати, зберігати і використовувати інформацію про особисті дані працівника. Як наслідок, все частіше в Україні фіксуються випадки нелегітимного використання інформації роботодавцями, внаслідок чого порушуються права і законні інтереси працівників.

Аналіз останніх досліджень і публікацій. Дослідженням захисту персональних даних у вітчизняній юридичній вже приділялась увага. Так, вищезазначеними питаннями займались А. Баранов, В. Брижко, Ю. Базанов, М. Мікуліна, О. Оніщенко та інш., однак, деякі питання захисту персональних даних потребують додаткового вивчення.

Виділення невирішених раніше частин загальної проблеми. Першочергове значення в сучасних умовах набуває осмислення таких проблем: збільшення кількості фактів щодо витоку інформації з баз даних; безальтернативність згоди на обробку персональних даних; непропорціональність обсягу персональних даних та повноваження на їх обробку; незахищеність окремих персональних даних, що сприяє недобросовісному поширенню та використанню.

Мета статті. Метою статті є дослідження стану правового регулювання захисту персональних даних працівника в Україні, виявлення існуючих правових колізій і організаційних проблем, а також артикуляція пропозицій щодо перспектив новелізації вітчизняного законодавства в сфері захисту персональних данихпрацівника.

Виклад основного матеріалу дослідження

Станом на теперішній час в Україні у цілому створено розвинену нормативно-правову базу, що регулює захист персональних даних. Зокрема, Закони України «Про інформацію» [1] та «Про захист персональних даних» [2], Верховною Радою України ратифіковано низку міжнародно-правових актів, а саме: Кодекс практики з захисту особистих даних про працівника, розроблений експертами Міжнародної організації праці та схвалений Адміністративною радою у 1996 році; Конвенцію Ради Європи про захист осіб стосовно автоматизованої обробки даних особистого характеру від 28.01.1981 № 108; Директиву 95/46/ЄС про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних від 24 жовтня 1995 р.; Регламент (ЄС) про захист фізичних осіб при обробці персональних даних установами та органами Співтовариства та про вільне переміщення таких даних від 17.12.2000 № 45/2001 тощо. Значною мірою ураховано положення ухваленого Міжпарламентською Асамблеєю держав-учасниць СНД модельного закону «Про захист персональних даних».

Також, в Україні розроблено низку підзаконних нормативно-правових актів: Типовий порядок обробки персональних даних; Порядок здійснення Уповноваженим Верховної Ради України з прав людини контролю за додержанням законодавства про захист персональних даних; Порядок повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних, яка становить особливий ризик для прав і свобод суб'єктів персональних даних, про структурний підрозділ або відповідальну особу, що організовує роботу, пов'язану із захистом персональних даних при їх обробці, а також оприлюднення вказаної інформації [3].

Відповідно до ст. 11 Закону України «Про інформацію», інформацію про фізичну особу (персональні дані) визначено як відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована [1].

У законодавстві фактично ототожнюються категорії «персональні дані» та «конфіденційна інформація про особу», тому існує необхідність їх розмежування.

Так, до конфіденційної інформації про особу віднесено дані про її національність, освіту, сімейний стан, релігійні переконання, стан здоров'я, а також адреса, дата і місце народження.

І основними персональними даними є: національність, освіта, сімейний стан, релігійність, стан здоров'я, а також адреса, дата і місце народження.

Принагідно зазначимо, що згідно з Рішенням Конституційного Суду України від 30.10.1997 № 5-зп до персональних даних також належить інформація про стан здоров'я особи (історія хвороби, мета запропонованих досліджень і лікувальних заходів, прогноз можливого розвитку захворювання, у тому числі інформація про наявність ризику для життя і здоров'я) [4].

Відповідно ж до рішення Конституційного Суду України, інформація про особисте та сімейне життя особи (персональні дані про неї) -- це будь-які відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована, а саме: національність, освіта, сімейний стан, релігійні переконання, стан здоров'я, матеріальний стан, адреса, дата і місце народження, місце проживання та перебування тощо, дані про особисті майнові та немайнові відносини цієї особи з іншими особами, зокрема членами сім'ї, а також відомості про події та явища, що відбувалися або відбуваються у побутовому, інтимному, товариському, професійному, діловому та інших сферах життя особи, за винятком даних стосовно виконання повноважень особою, яка займає посаду, пов'язану зі здійсненням функцій держави або органів місцевого самоврядування. Така інформація про фізичну особу та членів її сім'ї є конфіденційною і може бути поширена тільки за їх згодою, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини [5].

Важливим нормативно-правовим актом в сфері захисту персональних даних є Закон України «Про захист персональних даних». Так, відповідно до статті 2 персональні дані визначено як відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Натомість п. 4 ст. 6 того ж закону встановлює джерела відомостей про фізичну особу, до яких належать: видані на її ім'я документи; підписані нею документи; відомості, які особа надає про себе. Також закріплено вимоги щодо складу та змісту персональних даних [2].

Наразі дефініцію «захист персональних даних» Законом України «Про захист персональних даних» не передбачено. Однак, серед переліку прав суб'єкта персональних даних закріплено право на захист персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи [2]. При цьому у володільців баз даних немає обов'язку повідомляти про факти витоку даних. В Україні відомі деякі випадки випадків витоку. Так, у 2018 року у засобах масової інформації було поширене повідомлення щодо витоку баз даних суб'єкта господарювання «Нова пошта», а саме паспортні дані клієнтів. Однак, позапланова перевірка Уповноваженого Верховної Ради з прав людини не змогла підтвердити таку інформацію.

Також, існування вимоги закону про підписання згоди на обробку персональних даних не заважає недобросовісному поширенню персональних даних. У публічному доступі безперешкодно циркулюють «телефонні довідники», в яких можна знайти повне ім'я, адресу, телефон та дату народження фактично будь-якого громадянина України. Залишається актуальною проблемою розсилка небажаних повідомлень (sms-повідомлення, електронні листи, поштові листи).

Водночас наголосимо, що у цій площині існує низка неурегульованих питань. Так, наприклад, відповідно до ст. 24 Кодексу законів про працю України громадянин при укладенні трудового договору зобов'язаний подати паспорт або інший документ, що посвідчує особу, трудову книжку, а у випадках, передбачених законодавством, -- також документ про освіту (спеціальність, кваліфікацію), про стан здоров'я та інші документи [6]. У зв'язку з цим персональні дані працівника, які містяться в паспорті або документі, що посвідчує особу, в трудовій книжці, документі про освіту (спеціальність, кваліфікацію), документі про стан здоров'я та інших документах, які він подав при укладенні трудового договору, обробляються володільцем бази персональних даних на підставі статті 24 Кодексу законів про працю України виключно для здійснення повноважень володільця бази персональних даних у сфері трудових правовідносин, які виникли в нього з працівником на підставі трудового договору (контракту). Таким чином, інформація про найманих працівників є базою персональних даних, оскільки, особові справи, трудові книжки, копії паспортів, документів про освіту обробляються зберігаються та використовуються роботодавцем для власних потреб. На нашу думку, подібна практика не корелюється з положеннями ст. 7 Закону України «Про захист персональних даних», де заборонена обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також дані, що стосуються здоров'я або статевого життя. Заборона не поширюється на випадки, коли обробка здійснюється за умови надання суб'єктом персональних даних однозначної згоди на обробку таких даних та якщо така обробка необхідна для здійснення прав і виконання обов'язків у сфері трудових правовідносин. Для з'ясування легітимності використання персональних даних роботодавцем суттєвим є положення, закріплене у ч. 4 ст. 10 вищезгаданого Закону, де однозначно встановлено, що відомості про особисте життя фізичної особи не можуть використовуватися для підтвердження чи спростування її ділових якостей.

Вважаємо, що є вагомі підстави констатувати наявність суттєвих прогалин у правовому регулюванні захисту персональних даних працівників. Так, у чинному Кодексі законів про працю України та проекті Трудового кодексу України не закріплено дефініції «персональні дані працівника», а також не відображено чіткого переліку відомостей, що входить до категорії персональних даних, та не передбачено механізму захисту персональних даних працівників.

Зважаючи на необхідність удосконалення чинного трудового законодавства України у частині захисту персональних даних працівників, пропонуємо на законодавчому рівні закріпити правову категорію «персональні дані працівника» як будь-яку документовану інформацію щодо ділових якостей і професійної кваліфікації конкретного працівника, що збирається, накопичується, зберігається і використовується роботодавцем у сфері трудових відносин. До складу персональних даних працівника доцільно віднести таку інформацію: анкетні і біографічні дані; освіта; фах; відомості про стаж роботи; відомості про склад сім'ї; паспортні дані; відомості щодо військового обліку; відомості про заробітну плату; відомості про наявність пільг; посаду, яку займає працівник; наявність судимості; адреса проживання; номер домашнього та мобільного телефонів; електронну адресу; зміст трудового договору; особові справи та трудові книжки; відомості щодо підвищення кваліфікації, перепідготовки та атестації працівника.

Висновки

Підсумовуючи, зазначимо, що в Україні створена розвинена нормативно-правова база з метою забезпечення захисту персональних даних працівників від несанкціонованого доступу, неправомірного використання або втрати відповідних документів на підприємствах, в установах та організаціях пропонуємо розробляти і затверджувати в установленому порядку внутрішні положення про захист персональних даних працівників, де повинні вичерпно визначатися мета збору, обробки, зберігання і використання персональних даних, зміст та обсяг даних, процедура обробки персональних даних. Також вважаємо доцільним нормативно передбачити обов'язковість доведення до відома працівників мети збору, обробки, зберігання і використання персональних даних роботодавцем, а також отримання від працівників письмової згоди на усі форми обробки персональних даних, що стосуються їх трудової діяльності. Оскільки робота з персональними даними має відчутну специфіку і тягне певні юридичні наслідки для роботодавця, то існує необхідність визначення підрозділу або призначення посадової особи, уповноважених на забезпечення захисту персональних даних персоналу. Функцію незалежної контролюючої інституції у цій сфері може виконувати профспілковий комітет або ж навіть обраний трудовим колективом уповноважений (своєрідний омбудсман, який має виконувати ці функції на громадських засадах безоплатно).

Список літератури

1. Про інформацію: Закон України від 02 жовтня 1992 року № 2657--ХІІ / Верховна Рада України.

2. Про захист персональних даних: Закон України від 01 червня 2010 року № 2297--VI / Верховна Рада України.

3. Про затвердження документів у сфері захисту персональних даних: Наказ Уповноваженого Верховної Ради України з прав людини від 08 січня 2014 року № 1/02--14 / Уповноважений Верховної Ради України з прав людини.

4. У справі щодо офіційного тлумачення статей 3, 23, 31, 47, 48 Закону України «Про інформацію» та статті 12 Закону України «Про прокуратуру» (справа К.Г. Устименка): Рішення Конституційного Суду України від 30 жовтня 1997 року № 5-зп. Справа № 18/203--97.

5. У справі за конституційним поданням Жашківської районної ради Черкаської області щодо офіційного тлумачення положень частин першої, другої статті 32, частин другої, третьої статті 34 Конституції України: Рішення Конституційного Суду України від 20 січня 2012 року № 2-рп/2012. Справа № 1-9/2012.

6. Кодекс Законів про працю України: Закон України від 10 грудня 1971 року № 322-VIII/ Верховна Рада України.

7. Pro informaciyu [About information]: Zakon Ukrayini vid 02 zhovtnya 1992 roku № 2657--ХІІ.

8. Pro zahist personalnih danih [On approval of documents in the field od personal data protection]: Zakon Ukrayini vid 01 chervnya 2010 roku № 2297--VI.

9. Pro zatverdzhennya dokumentiv u sferi zahistu personalnih danih [On approval of documents in the field of personal data protection]: Nakaz Upovnovazhenogo Verhovnoyi Radi Ukrayini z prav lyudini vid 08 sichnya 2014 roku № 1/02-14.

10. U spravi shodo oficijnogo tlumachennya statej 3, 23, 31, 47, 48 Zakonu Ukrayini «Pro informaciyu» ta statti 12 Zakonu Ukrayini «Pro prokuraturu» (sprava K.G. Ustimenka) [In the case of official interpretation of Articles 3, 23, 31, 47, 48 of the Law of Ukraine "On Information" and Article 12 of the Law of Ukraine "On the Prosecutor's Office]: Rishennya Konstitucijnogo Sudu Ukrayini vid 30 zhovtnya 1997 roku № 5-zp. Sprava № 18/203-97.

11. U spravi za konstitucijnim podannyam Zhashkivskoyi rajonnoyi radi Cherkaskoyi oblasti shodo oficijnogo tlumachennya polozhen chastin pershoyi, drugoyi statti 32, chastin drugoyi, tretoyi statti 34 Konstituciyi Ukrayini [In the case of the constitutional petition of Zhashkiv District Council of Cherkasy Region regarding the official interpretation of the provisions of parts one, two of Article 32, parts two, three of Article 34 of the Constitution of Ukraine]: Rishennya Konstitucijnogo Sudu Ukrayini vid 20 sichnya 2012 roku № 2-rp/2012. Sprava № 1-9/2012.

12. Kodeks Zakoniv pro pracyu Ukrayini [Labor Code of Ukraine]: Zakon Ukrayini vid 10 grudnya 1971 roku № 322-VIII.

Размещено на Allbest.ru