Захист персональних даних працівників у деяких країнах пострадянського простору

Размещено на http://www.allbest.ru

Размещено на http://www.allbest.ru

Захист персональних даних працівників у деяких країнах пострадянського простору

Авраменко А.В.

Авраменко А.В., прокурор Відділ прокуратури м. Києва

Статтю присвячено вивченню іноземного досвіду захисту персональних даних працівника. Досліджено досвід у зазначеній сфері таких країн, як Грузія, Казахстан, Туркменістан, Молдова, Російська Федерація, Киргизія тощо. Охарактеризовано особливості законодавчого регулювання захисту персональних даних працівника в деяких країнах пострадянського простору. Запропоновано заходи щодо вдосконалення інституту захисту персональних даних працівника в Україні.

Ключові слова: персональні дані, працівник, зарубіжний досвід, трудові правовідносини, удосконалення законодавства, захист.

Статья посвящена изучению зарубежного опыта защиты персональных данных работника. Исследован опыт в указанной сфере таких стран, как Грузия, Казахстан, Туркменистан, Молдова, Российская Федерация, Киргизия и другие. Охарактеризованы особенности законодательного регулирования защиты персональных данных работника в некоторых странах постсоветского пространства. Предложены меры по совершенствованию института защиты персональных данных работника в Украине.

Ключевые слова: персональные данные, работник, зарубежный опыт, трудовые правоотношения, совершенствование законодательства, защита.

PROTECTION OF PERSONAL DATA OF EMPLOYEES IN SEVERAL COUNTRIES OF POST-SPACE

The article is devoted to the study of foreign experience in protecting personal data of an employee. In recent years, human rights issues, including the right to privacy, have become more acute. The two-polar concept of the world, which she saw more than 30 years ago, has substantially changed. A central concept came to its place, in which new actors appeared in the international arena, which became separate centers of politics, culture and science. And if most European countries and the US have experience in securing the right to privacy for several decades (including the right to protection of personal data), this experience is only beginning to accumulate in Western Europe and Asia. In connection with this interesting is the generalization of such experience for some post-Soviet countries.The experience in this field of such countries as: Georgia, Kazakhstan, Turkmenistan, Moldova, Russian Federation, Kyrgyzstan and others are researched. The peculiarities of legislative regulation of protection of personal data of an employee in some post-Soviet countries are described. Measures to improve the Institute for the Protection of Personal Data of an Employee in Ukraine are proposed. Thus, based on the analysis, the following measures can be proposed for improving the Institute for the Protection of Personal Data of an Employee in Ukraine based on the experience of some foreign countries: 1) to supplement the draft Labor Code of Ukraine with a norm in which to regulate the information legal relationships that arise between an employer and a potential employee until conclusion of an employment contract, to determine the rights and obligations of the parties in these legal relations; 2) to supplement the draft Labor Code of Ukraine with a separate chapter on the protection of personal data of an employee by including articles on general terms of use of personal data of an employee, rights of an employee in this area, guarantees of protection of personal data of an employee, liability for violations of norms regarding the protection of personal data of an employee; 3) to consolidate in the draft Labor Code of Ukraine the duty of the employer to determine in the local acts - rules of internal labor regulations, collective and labor contracts, special rules for the processing of personal data of the employee, including those relating to the implementation of video surveillance in the workplace, the way of storing personal data an employee, the establishment of operators that protect the personal data in information and communication networks, etc.

Key words: personal data, employee, foreign experience, labor relations, improvement of legislation, protection.

Останніми роками загострилися питання забезпечення прав людини, серед яких і право на приватність. Двополярна концепція Світу, якою вона бачилися ще 30 років тому, суттєво видозмінилися. На її місце прийшла поліцентральна концепція, в рамках якої з'явилися нові суб'єкти на міжнародній арені, що стали окремими центрами політики, культури та науки. І якщо більшість європейських країн і США мають досвід забезпечення права на приватність уже декілька десятиліть (у тому числі право на захист персональних даних), то в країнах Західної Європи та Азії цей досвід тільки починає накопичуватися. У зв'язку з цим цікавим виявляється узагальнення такого досвіду для деяких країн пострадянського простору.

Актуальність теми дослідження підтверджується недостатністю кількості наукових робіт з урахуванням останніх законодавчих змін у нормативно-правовій базі інших країн, присвячених тематиці захисту персональних даних працівників.

Серед вітчизняних науковців питаннями захисту персональних даних займалися такі, як В.М. Брижко, В.С. Вене- діктов, А.М. Новицький, Т.І. Обуховська, В.Г. Пилипчук, М.В. Різак, Р.І. Чанишев та ін. Разом із тим у наявних наукових працях питання дослідження зарубіжного досвіду у сфері захисту персональних даних працівників розглядається фрагментарно, а комплексні дослідження в цій сфері майже відсутні.

Саме тому метою статті є вивчення досвіду деяких іноземних країн щодо захисту персональних даних працівників.

На наш погляд, передусім доцільно дослідити досвід правового регулювання захисту персональних даних працівника в Грузії. Трудовий кодекс цієї держави містить окрему статтю, присвячену відносинам, що виникають до укладення трудової угоди й обміну інформацією.

Так, відповідно до Трудового кодексу Грузії, роботодавець має право отримати ту інформацію про кандидата, яка необхідна для прийняття рішення про його прийом на роботу (працевлаштування). Також установлено, що кандидат зобов'язаний повідомити роботодавця про будь-яку обставину, яка може перешкодити йому у виконанні роботи або поставити під загрозу інтереси роботодавця чи третьої особи.

При цьому роботодавець має право перевірити точність представленої кандидатом інформації. Інформація, отримана роботодавцем про кандидата, й інформація, надана кандидатом, не можуть бути доступні іншим особам без згоди кандидата, крім випадків, передбачених законодавством.

Кандидат має право вимагати повернення поданих ним документів, якщо роботодавець не уклав із ним трудової угоди. Кандидат має право отримати повну інформацію про виконувану роботу, умови праці, своє правове становище в рамках трудових відносин, оплати праці.

Відносини з кандидатом до укладення контракту вважаються завершеними після укладення сторонами трудової угоди або повідомлення про відмову в працевлаштуванні. Роботодавець не зобов'язаний аргументувати своє рішення про відмову в працевлаштуванні [1].

Аналогічні положення доцільно включити до проекту Трудового кодексу України з тим, щоб упорядкувати правовідносини, у тому числі інформаційні, які виникають між роботодавцем і потенційним працівником до укладення трудового договору.

Окремі норми щодо захисту персональних даних працівника містяться також у Законі Грузії «Про персональні дані». Зокрема, відповідно до ст. 6 цього Закону, забороняється обробка даних особливої категорії. Обробка даних може здійснюватися з письмової згоди суб'єкта даних або у випадках: а) обробка даних, пов'язаних із судимістю і станом здоров'я, необхідна виходячи з характеру трудових зобов'язань і відносин, в тому числі для прийняття рішення, що стосується працевлаштування; б) суб'єкт даних оприлюднив дані про себе без явної заборони на їх використання тощо [2].

Наведені правові норми певним чином дають змогу вирішити проблему щодо необхідності надання згоди на обробку персональних даних, які особа сама про себе розмістила у відкритих і загальнодоступних джерелах інформації: за таких обставин спеціальна згода не вимагається, оскільки презюмується добровільність представлення такої інформації про себе у відкритих інформаційних джерелах.

Окремо доцільно зупинитися на правовому регулюванні правовідносин, пов'язаних із захистом персональних даних працівника, деяких постсоціалістичних держав. Із цього приводу передусім варто зазначити, що в більшості країн прийнято нові трудові кодекси, в яких певним чином ураховані (врегульовані) інформаційні права працівників.

Так, у Трудовому кодексі Республіки Казахстан до прав працівника, які визначені в окремій статті, зараховано забезпечення захисту персональних даних, що зберігаються в роботодавця. Відповідно, кореспондуючим є обов'язок роботодавця здійснювати збір, обробку й захист персональних даних працівника відповідно до законодавства Республіки Казахстан про персональні дані та їх захист [3].

Будь-яких інших норм щодо захисту персональних даних працівника Трудовий кодекс Республіки Казахстан не містить. Разом із тим спеціальним законом у цій сфері - законом «Про персональні дані та їх захист» - більш детально регламентовано відповідні правовідносини. Передусім це стосується визначення більш широкої, порівняно з вітчизняним законодавством, системи прав суб'єкта персональних даних.

Зокрема, до прав суб'єкта персональних даних, не характерних для українського законодавства, зараховано право:

- знати про наявність у власника й (або) оператора, а також третьої особи своїх персональних даних, а також отримувати інформацію, що містить:

- підтвердження факту, цілі, джерел, способів збору й обробки персональних даних;

- перелік персональних даних;

- терміни обробки персональних даних, у тому числі терміни їх зберігання;

- відкликати згоду на збір, обробку персональних даних, крім випадків, передбачених пунктом 2 статті 8 цього Закону;

- дати згоду (відмовити) власнику й (або) оператору на поширення своїх персональних даних у загальнодоступних джерелах персональних даних тощо [4]. правовий трудовий працівник персональний

Варто звернути увагу на те, що законодавче закріплення наведених прав суб'єкта персональних даних значною мірою спрощує застосування правового механізму захисту персональних даних, оскільки одним із найбільш проблемних аспектів указаного механізму в Україні, як правило, є те, що отримати інформацію про те, хто є зберігачем персональних даних (власник системи), досить складно. Отже, право особи знати про наявність у власника й (або) оператора його персональних даних спрощує дію механізму захисту персональних даних.

З позитивного боку також варто відмітити закріплення обов'язку оператора отримати згоду суб'єкта персональних даних на розміщення та поширення його даних у відкритих джерелах.

Подібний підхід до регулювання правовідносин, пов'язаних із захистом персональних даних працівника, застосований у законодавстві Республіки Туркменістан. Так, Трудовим кодексом Туркменістану також визначене право працівника на захист його персональних даних; відповідальність за стан захищеності персональної інформації про працівника несе роботодавець [5].

Більш детальна регламентація правовідносин, що виникають у сфері захисту персональних даних працівника, визначаються законом Туркменістану «Про інформацію про особисте життя і її захисту» [6].

У Трудовому кодексі Республіка Киргизія не міститься окремих норм, спрямованих на захист персональних даних працівника [7]. Більше того, серед прав працівника та кореспондуючих ним обов'язків роботодавця не згадується про захист персональних даних працівника.

Деякі особливості містяться в нормах закону Республіки Киргизія «Про інформацію персонального характеру». Зокрема, у вказаному законі окрема стаття присвячена правовому режиму загальнодоступного масиву персональних даних. У цій статті зазначається, що з метою інформаційного забезпечення суспільства можуть створюватися загальнодоступні масиви персональних даних (довідники, телефонні книги, адресні книги тощо).

У загальнодоступні масиви персональних даних із письмової згоди суб'єкта можуть включатися такі персональні дані: прізвище, ім'я по батькові, рік і місце народження, адреса місця проживання, номер контактного телефону, відомості про професію, інші відомості, надані суб'єктом і/або отримані з відкритих джерел, інших загальнодоступних масивів персональних даних, якщо ці джерела сформовані за згодою суб'єкта персональних даних [8].

Отже, отримання роботодавцем відомостей про потенційного працівника з таких відкритих інформаційних джерел не потребуватиме додаткової згоди від суб'єкта персональних даних, що значно полегшує доступ роботодавця до інформації про потенційного працівника.

Разом із тим з метою забезпечення захисту персональних даних у законі Республіки Киргизія «Про інформацію персонального характеру» визначено обов'язки держателя (власника) масиву персональних даних.

Зокрема, зазначається, що при обробці персональних даних держатель (власник) масиву персональних даних та обробник зобов'язані:

- виключити доступ сторонніх осіб до обладнання, що використовується для обробки персональних даних (контроль за доступом);

- перешкоджати самовільному читанню, копіюванню, зміні або виносу носіїв даних (контроль за користуванням носіями даних);

- перешкоджати самовільному запису персональних даних або знищенню записаних персональних даних (контроль за записом) і забезпечувати можливість установлення заднім числом коли, ким і які персональні дані змінені;

- забезпечити безпеку систем обробки даних, призначених для перенесення персональних даних незалежно від засобів передачі даних [8].

Тобто досліджуваним нормативно-правовим актом детально визначено зміст захисту персональних даних, що містяться в комп'ютерних та інших інформаційних системах, який виражається в конкретних діях (виконанні обов'язків) власником системи, а у випадку, коли мова йде про персональні дані працівника, - роботодавцем.

Значну цінність для розроблення пропозицій щодо вдосконалення національного законодавства у сфері захисту персональних даних працівника має досвід таких країн, як Республіка Молдова, Російська Федерація, у яких окремий розділ (глава) трудового кодексу присвячено захисту персональних даних працівника.

Так, глава VI Трудового кодексу Республіки Молдова має назву «Захист персональних даних працівника», у якій визначено загальні вимоги до обробки персональних даних працівника та гарантії їх захисту; порядок передачі персональних даних працівника; права працівника з метою забезпечення захисту персональних даних, що зберігаються в роботодавця; відповідальність роботодавця і третіх осіб за порушення норм, що регулюють збір, зберігання й обробку персональних даних працівника.

Відповідно до Трудового кодексу Республіки Молдова, загальними умовами обробки персональних працівника роботодавцем або третіми особами за дорученням останнього є: а) обробка персональних даних працівника може здійснюватися виключно з метою дотримання положень чинного законодавства, сприяння в працевлаштуванні, навчанні та просуванні по роботі, забезпечення особистої безпеки працівника, контролю кількості та якості виконаної роботи й забезпечення збереження майна підприємства; Ь) при визначенні обсягу та змісту оброблюваних персональних даних працівника роботодавець повинен керуватися чинним законодавством; с) усі персональні дані працівника потрібно отримувати в нього самого або з указаного ним джерела; d) роботодавець не має права отримувати та обробляти персональні дані працівника про його політичні й релігійні переконання, а також про його приватне життя. У випадках, передбачених законом, роботодавець має право запитувати й обробляти дані про приватне життя працівника лише за його письмовою згодою тощо [9].

У статті 93 Трудового кодексу Молдови зазначено, що з метою забезпечення захисту персональних даних, що зберігаються в роботодавця, працівник має право на: а) отримання повної інформації про свої персональні данні та порядок їх обробки; Ь) вільний безкоштовний доступ до своїх персональних даних, включаючи право на отримання копій будь-якого правового акта, що містить його персональні дані, за винятком випадків, передбачених чинним законодавством; с) визначення представників для захисту своїх персональних даних; d) доступ до медичних даних, що стосуються працівника, у тому числі через медичного працівника за його вибором; е) вимагати виключення або виправлення неправильних і/або неповних персональних даних, а також даних, оброблених із порушенням вимог цього кодексу. У разі відмови роботодавця виключити або виправити неправильні персональні дані працівник має право заявити в письмовій формі роботодавцю про свою незгоду, обґрунтувавши його; Г) оскарження в судовому порядку будь-яких неправомірних дій або бездіяльності роботодавця, допущених під час отримання, зберігання, обробки та захисту персональних даних працівника [9].

Варто зазначити, що визначення прав працівника у сфері захисту його персональних даних, а також умов обробки таких даних у трудовому законодавстві підкреслює специфічність інституту захисту персональних даних працівника, свідчить про особливий правовий режим персональних даних працівника, який, з одного боку, спрямований на захист особистих прав працівника, а з іншого - захист прав роботодавця й охорону суспільного інтересу. Отже, вважаємо, що в законодавстві України доцільно врахувати досвід Республіки Молдова щодо зосередження спеціальних норм, присвячених захисту персональних даних працівника, в окремій главі проекту Трудового кодексу України.

Крім того, варто зазначити, що досить ґрунтовним є визначення поняття персональних даних, яке міститься в законі Республіки Молдова «Про захист персональних даних».

Так, персональні дані визначаються як будь-яка інформація, пов'язана з ідентифікаційними даними або даними, за якими може бути ідентифіковано фізичну особу (суб'єкта персональних даних). Далі уточняється, що даними, за якими може бути ідентифіковано особу, є, зокрема, посилання на ідентифікаційний номер або на один або кілька факторів, специфічних для фізичної, фізіологічної, психічної, економічної, культурної чи соціальної ідентичності.

При цьому до особливої категорії персональних даних зазначеним законом зараховані дані, що розкривають расове або етнічне походження особи, політичні переконання, релігійні або філософські погляди, соціальну належність, дані, що стосуються стану здоров'я або статевого життя, а також дані, що стосуються кримінального покарання, примусових процесуальних заходів або санкцій за правопорушення [10]. Для такої категорії персональних даних установлено особливий правовий режим захисту.

У Трудовому кодексі Російської Федерації також міститься окремий розділ, присвячений захисту персональних даних працівника, у якому передбачено, що з метою забезпечення прав і свобод людини та громадянина роботодавець і його представники під час обробки персональних даних працівника зобов'язані дотримуватися таких загальних вимог:

- обробка персональних даних працівника може здійснюватися виключно з метою забезпечення дотримання законів та інших нормативних правових актів, сприяння працівникам у працевлаштуванні, здобутті освіти і просуванні по службі, забезпечення особистої безпеки працівників, контролю кількості та якості виконуваної роботи й забезпечення збереження майна;

- під час визначення обсягу та змісту оброблюваних персональних даних працівника роботодавець повинен керуватися Конституцією Російської Федерації, цим Кодексом та іншими федеральними законами;

- усі персональні дані працівника потрібно отримувати в нього самого. Якщо персональні дані працівника можна отримати тільки в третьої сторони, то працівник повинен бути повідомлений про це заздалегідь і від нього має бути отримана письмова згода. Роботодавець повинен повідомити працівника про цілі, передбачувані джерела та способи отримання персональних даних, а також про характер персональних даних, що підлягають отриманню, і наслідки відмови працівника дати письмову згоду на їх отримання [11].

Тобто загальними вимогами до обробки персональних даних працівника в Російській Федерації є обов'язкове повідомлення працівника про мету майбутньої обробки персональних даних роботодавцем і право останнього здійснювати використання таких даних виключно в цілях, визначних кодексом.

Під час передачі персональних даних працівника роботодавець повинен дотримуватися таких вимог:

- не повідомляти персональні дані працівника третій стороні без письмової згоди працівника, за винятком випадків, коли це необхідно з метою запобігання загрозі життю і здоров'ю працівника, а також в інших випадках, передбачених цим Кодексом або іншими федеральними законами;

- не повідомляти персональні дані працівника в комерційних цілях без його письмової згоди [11]. Відповідні умови забезпечують захист працівника від несанкціонованої передачі інформації про нього третім особам, у тому числі яка здійснюється з комерційною метою.

Характерними особливостями законодавчого регулювання захисту персональних даних працівника в деяких країнах пострадянського простору є такі: 1) включення в більшості держав права на захист персональних даних до загальних трудових прав працівника; 2) виокремлення інституту захисту персональних даних у деяких державах (Республіка Молдова, Російська Федерація тощо) в самостійний інститут трудового права; 3) установлення законодавством загальних умов і вимог щодо збору й обробки персональних даних працівника; встановлення обмеження у використанні персональних даних працівника конкретно визначеною метою (забезпечення працевлаштування, захист безпеки працівника та підприємства, спостереження за результатами виробництва тощо); 4) покладення на роботодавця персонального обов'язку щодо забезпечення захисту безпеки персональних даних, які зберігаються ним чи третіми особами за його дорученням.

Отже, на підставі проведеного аналізу можна запропонувати такі заходи щодо вдосконалення інституту захисту персональних даних працівника в Україні на підставі досвіду деяких зарубіжних країн: 1) доповнити проект Трудового кодексу України нормою, у якій урегулювати інформаційні правовідносини, що виникають між роботодавцем і потенційним працівником до укладення трудового договору, визначити права й обов'язки сторін у цих правовідносинах; 2) доповнити проект Трудового кодексу України окремою главою, присвяченою захисту персональних даних працівника, включивши до неї статті про загальні умови використання персональних даних працівника, права працівника в цій сфері, гарантії захисту персональних даних працівника, відповідальність за порушення норм про захист персональних даних працівника; 3) закріпити в проекті Трудового кодексу України обов'язок роботодавця визначати в локальних актах - правилах внутрішнього трудового розпорядку, колективних і трудових договорах - спеціальні правила обігу персональних даних працівника, у тому числі ті, що стосуються здійснення відеоспостереження на робочому місці, спосіб зберігання персональних даних працівника, встановлення операторів, які здійснюють захист персональних даних в інформаційно-комунікативних мережах, тощо.

Література

1. Трудовой кодекс Грузии: Закон Грузии от 17 декабря 2010 года № 4113-РС. URL: https://www.ilo.org/dyn/natlex/docs/ELECTRONIC/88313/105778/F222634426/GEO88313%20Rus.pdf.

2. О защите персональных данных: Закон Грузии от 28 декабря 2011 года № 5669-вс. URL: https://matsne.gov.ge/ru/document/ download/1561437/3/ru/pdf.

3. Трудовой кодекс Республики Казахстан: Закон Республики Казахстан от 23 ноября 2015 года № 414. URL: https://online.zakon.kz/Document/?doc_id=38910832#pos=4;-232.

4. О персональных данных и их защите: Закон Республики Казахстан от 21 мая 2013 года № 94-М URL: https://online.zakon.kz/Document/?doc_id=31396226#pos=3;-250.

5. Трудовой кодекс Туркменистана: Закон Туркменистана от 18 апреля 2009 года № 29-М URL: http://minjust.gov.tm/ru/mmerkezi/doc_view.php?doc_id=83з4.

6. Об информации о личной жизни и её защите: Закон Туркменистана от 20 марта 2017 года. URL: http://www.parahat.info/law/parahat---0.

7. Трудовой кодекс Кыргызской Республики: Закон Кыргызской Республики от 4 августа 2004 года № 106. URL: http://ud.gov.kg/index. php/ru/news/2-uncategorised/108-trudovoj-kodeks-kyrgyzskoj-respubliki.

8. Об информации персонального характера: Закон Кыргызской Республики от 14 апреля 2008 года № 58. URL: http://cbd.minjust.gov.kg/act/view/ru-ru/202269.

9. Трудовой кодекс Республики Молдова: Закон Республики Молдова от 28 марта 2003 года № 154. URL: http://lex.justice.md/ ш/326757/.

10. О защите персональных данных: Закон Республики Молдова от 08 июля 2011 года № 133. URL: http://lex.justice.md/ru/340495/.

11. Трудовой кодекс Российской Федерации: Закон от 30 декабря 2001 года № 197-ФЗ. URL: http://www.consultant.ru/document/cons_doc_LAW_34683/.

Размещено на Allbest.ru