Актуальні питання міжнародно-правового регулювання захисту персональних даних працівників

Размещено на http://www.allbest.ru

АКТУАЛЬНІ ПИТАННЯ МІЖНАРОДНО-ПРАВОВОГО РЕГУЛЮВАННЯ ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ ПРАЦІВНИКІВ

Спіцина Г.О.

доктор юридичних наук, професор

Завідувач кафедри права гуманітарно-правового факультету Національного аерокосмічного університету імені М. Є. Жуковського «Харківський авіаційний інститут

Федосенко Н.А.

кандидат юридичних наук, доцент доцент кафедри права Національного аерокосмічного університету імені М. Є. Жуковського «Харківський авіаційний інститут»

У статті розглянуто проблеми захисту персональних даних працівників з початку подачі їх резюме як шукача на посаду до їх звільнення. Авторами статті проаналізовано та розглянуто регламентацію цього питання у Загальному регламенті захисту персональних даних. Під час дослідження теми статті використовувалися методи структурного аналізу і синтезу для поділу отриманої інформації на окремі структурні одиниці та системне поєднання різних сторін інформації в єдину структуровану систему викладення інформації щодо особливостей, які започатковані безпосередньо Загальним регламентом захисту персональних даних. Також особливу увагу приділено законодавству України щодо захисту персональних даних працівників. Тематика захисту персональних даних працівників є актуальною та своєчасною, особливо в епоху цифрової трансформації і зростання використання технологій у робочих процесах. З одного боку, збільшення використання цифрових інструментів полегшує і прискорює роботу працівників, проте це також призводить до збільшення кількості персональних даних, які збираються та обробляються компанією роботодавця. Це може стати проблемою для приватності працівників, які мають право на захист своїх особистих даних. З іншого боку, великі компанії можуть стати метою хакерських атак, які мають на меті вкрасти персональні дані працівників, та призвести до серйозних наслідків, таких як крадіжка ідентифікаційних даних, фінансових даних та інших конфіденційних даних. Авторами статті зроблено висновок про необхідність впровадження окремої незалежної інституції, яка буде виступати гарантом забезпечення безпеки персональних даних.

З метою систематизації та ефективності обробки персональної інформації працівників, в умовах глобалізаційних процесів роботодавці чи працівники відділу кадрів регулярно використовують додатки, програми, веб-сайти з можливості обробки масивів даних, зокрема й персональних даних працівників. Отже, застосування сучасних технологій може нанести неабияку шкоду працівникові. Авторами статті досліджується механізм як саме захистити дані та регламентацію захисту цих даних, як з практичного застосування, так і правова регламентація цього питання.

Ключові слова: працівник, роботодавець, трудовий договір, інформація, захист інформації, персональні дані працівників, інформація, яка подається при прийнятті на роботу, трудові правовідносини, збір та облік документів при прийнятті на роботу.

персональний захист правова регламентація

Spitsyna H., Fedocenko N. Current issues of international legal regulation of the protection of personal data of employees.

The article discusses the problems of protecting personal data of employees from the beginning of submitting their resumes as a job seeker to their dismissal. The authors of the article analyzed and considered the regulation of this issue in the General Regulation of Personal Data Protection. During the study of the topic of the article, the methods of structural analysis and synthesis were used to divide the received information into separate structural units and systematically combine various aspects of the information into a single structured system of presenting information regarding the features that were initiated directly by the General Regulation on the Protection of Personal Data. Special attention was also paid to the legislation of Ukraine on the protection of personal data of employees. The topic of protecting employees' personal data is relevant and timely, especially in the era of digital transformation and the growing use of technology in work processes. On the one hand, the increased use of digital tools makes the work of employees easier and faster, but it also leads to an increase in the amount of personal data that is collected and processed by the employer's company. This can become a problem for the privacy of employees who have the right to protect their personal data. On the other hand, large companies can be the target of hacker attacks that aim to steal the personal data of employees and lead to serious consequences such as the theft of identity data, financial data and other sensitive data. The authors of the article concluded about the need to introduce a separate independent institution that will act as a guarantor of personal data security.

In order to systematize and efficiently process the personal information of employees, in the conditions of globalization processes, employers or employees of the personnel department regularly use applications, programs, websites with the ability to process data arrays, including personal data of employees. Therefore, the use of modern technologies can cause considerable harm to the employee. The authors of the article investigate the mechanism of how to protect data and the regulation of the protection of this data, both from the practical application and the legal regulation of this issue.

Key words: employee, employer, employment contract, information, information protection, personal data of employees, information submitted when hiring, labor relations, collection and accounting of documents when hiring.

Постановка проблеми. Захист персональних даних працівників має важливе значення для забезпечення їх прав та свобод, а також для запобігання можливим порушенням конфіденційності, цілісності та належного використання цих даних. Законодавство багатьох країн, включаючи Україну, передбачає обов'язки зі збору, зберігання та обробки персональних даних, а також встановлює відповідальність за їхнє порушення. Зокрема, згідно зі Законом України «Про захист персональних даних», працівник має право на захист своїх персональних даних від незаконної обробки, в тому числі з боку роботодавця. У світі також існують різні стандарти та рекомендації, спрямовані на забезпечення захисту персональних даних працівників. Наприклад, загальний регламент з охорони персональних даних (GDPR) Європейського Союзу встановлює високі стандарти захисту персональних даних, включаючи дані працівників, та передбачає штрафні санкції за їхнє порушення.

Стан опрацювання проблематики статті. Окремі питання захисту персональних даних працівників в Україні досліджували у своїх наукових працях такі вчені, як В. Венедіков, С. Венедік- тов, В. Головченко, М. Іншин, О. Конопельцева, О. Легка, К. Мельник, Г. Чанишева, О. Ярошенко та ін. Деякі дослідження теоретичних та практичних аспектів захисту прав та інтересів ідентифікованих осіб у ЄС, та міжнародний досвід регулювання забезпечення прав працівників були предметом дослідження таких учених, як В. Брижко, С. Венедіктов, Ю. Крилова, М. Різак, І. Сопілко, Д. Цвірюк, А. Чернобай, І. Яворська, М. Микієвич, О. Шевчук, та багатьох інших. Проте певні аспекти цієї проблеми залишаються поза увагою науковців і потребують детального вивчення.

Мета статті полягає в тому, щоб на підставі системного аналізу правової регламентації розглянути захист персональний даних працівників в умовах цифрової інтеграції. Порівняти чинне законодавство України та висвітлити досвід змін в Євросоюзі після введення в дію Загального регламенту захисту персональних даних.

Виклад основного матеріалу. Право на при- ватність є одним з фундаментальних прав людини, яке закріплюється в різних джерелах права, таких як Загальна декларація прав людини ООН, Міжнародному пакті про громадянські й політичні права, Конвенцією про захист прав людини та основоположних свобод та інших. Конституція України передбачає у ст. 9: «Чинні міжнародні договори, згода на обов'язковість яких надана Верховною Радою України, є частиною національного законодавства України». [1]. З чого випливає, що право на приватність закріплено в чинному законодавстві України. Проте у національному законодавстві та рішеннях Європейського Суду з прав людини немає легального визначення поняття "приватне життя” та чіткого визначення інформації про приватне життя і як ця категорія інформації співвідноситься з персональними даними. [2, с. 122].

Похідним від права на приватність є право на захист персональних даних. Норми щодо захисту особистих прав на персональні дані знаходяться як у національному законодавстві України так і у міжнародно-правових актах, до яких приєдналась Україна. Так, це Закони України «Про захист персональних даних» 2011 р., «Про ратифікацію Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних та Додаткового протоколу до Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних стосовно органів нагляду та транскордонних потоків даних» від 06.07.2010 р. № 2438-VI, Закон України «Про інформацію» від 02.10.1992 р. № 2657-XII, Закон України «Про захист інформації в інформаційно-телекомунікаційних системах» від 05.07.1994 р. № 80/94-ВР, Закон України «Про державну таємницю» від 21.01.1994 р. № 3855-XII та інші. [3, с. 39].

Стаття 2 Закону України «Про захист персональних даних» визначає поняття персональних даних як відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. [4]. Закон не передбачає чіткий перелік даних фізичної особи, які виключно відносяться до персональних даних. Це обумовлено наявністю розрізненої мети збирання та обробки персональних даних, в тому числі використання різних способів збирання та обробки даних.

Розвиток технологій не стоїть на місці. Зокрема активно інтегруються цифрові процеси у різні сфери життя. Створюються різні програми обробки даних, електронні бази даних, CRM - системи, які також збирають данні.

На нашу думку окремо слід розглянути захист прав працівників, оскільки роботодавець вимушений постійно збирати, оброблювати персональні дані.

Зокрема, з обробкою персональних даних роботодавець стикається в перше при проведенні співбесіди з потенційним кандидатом у працівники. Оскільки на етапі отримання резюме роботодавець вже отримує персональні дані, а саме прізвище, ім'я, по батькові, дату народження, відомості про стать, адресу проживання, телефон, дані про освіту й таке інше. Всі ці відомості є даними за якими можна ідентифікувати особу, яка прийшла на співбесіду. При цьому окрім мовчазної згоди при відсилання резюме, жодна згода на збирання, обробку, зберігання персональних даних не отримується потенційним роботодавцем. Кандидату не доводиться мета обробки відповідних даних, строки коли ці дані будуть знищені, що було б дійсно доречним при негативній відповіді на резюме.

Наступним же випадком обробки персональних даних є вже укладання трудового договору, заповнення особової картки та інших документів необхідних при прийнятті на роботу.

Відповідно до роз'яснення Міністерства юстиції України про «Деякі питання практичного застосування Закону України «Про захист персональних даних» від 21.12.2011 року зазначається, відповідно до статті 24 Кодексу законів про працю України (322-08) громадянин при укладенні трудового договору зобов'язаний подати паспорт або інший документ, що посвідчує особу, трудову книжку, а у випадках, передбачених законодавством, - також документ про освіту (спеціальність, кваліфікацію), про стан здоров'я та інші документи. У зв'язку з цим персональні дані працівника, які містяться в паспорті або документі, що посвідчує особу, в трудовій книжці, документі про освіту (спеціальність, кваліфікацію), документі про стан здоров'я та інших документах, які він подав при укладенні трудового договору, обробляються володільцем бази персональних даних на підставі статті 24 Кодексу законів про працю України (322-08) виключно для здійснення повноважень володільця бази персональних даних у сфері правовідносин, які виникли в нього з працівником на підставі трудового договору (контракту). Таким чином, інформація про найманих працівників є базою персональних даних, оскільки, особові справи, трудові книжки, копії паспортів, документів про освіту зберігаються та обробляються роботодавцем. [5].

Обробка вищенаведених даних потрібна роботодавцю, щоб виконувати обов'язки у сфері трудових правовідносин, які встановлює закон, а сам роботодавець забезпечує відповідний захист та надає визначені законом гарантії працівникові.

Не дивлячись на те, що в Законі України «Про захист персональних даних» не зазначається окремо цей випадок обов'язкового збирання персональних даних, то Регламент Європейського Парламенту І Ради (ЄС) 2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв'язку з опрацюванням персональних даних і про вільний рух таких даних, та про скасування Директиви 95/46/ЄС (Загальний регламент про захист даних) передбачає зазначений в законі особливий випадок. Стаття 88 Регламенту передбачає, що Держави-члени можуть, за допомогою закону чи колективних угод, передбачати спеціальні норми для забезпечення захисту прав і свобод у зв'язку з опрацюванням персональних даних працівників у контексті зайнятості, зокрема для цілей працевлаштування, виконання трудового договору, в тому числі, виконання обов'язків, установлених законом або колективними угодами, управління, планування та організації праці, рівності та різноманітності на робочому місці, здоров'я та безпеки на робочому місці, захисту майна працедавців чи споживачів, та для цілей реалізації і користування, індивідуально чи колективно, правами та перевагами, пов'язаними із зайнятістю, а також для цілей припинення трудових відносин.

Такі норми повинні включати відповідні і спеціальні заходи для захисту людської гідності суб'єкта даних, законних інтересів і фундаментальних прав, з особливим урахуванням прозорості опрацювання, передавання персональних даних у межах групи підприємств або групи підприємств, що здійснюють спільну господарську діяльність, та систем моніторингу на робочому місці. [6].

Тобто GDPR надає детальніший виклад цього винятку збирання та обробки персональних даних, а саме в Загальному регламенті вказано, що обробка потрібна для виконання зобов'язань та прав контролера або суб'єкта персональних даних у сфері трудового права, права на соціальне забезпечення та соціальний захист.

Проте це не обмежує працівника від зловживання правами роботодавця, як особи володільця чи розпорядника персональних даних. Показовим є справа Європейського суду з прав людини «Су- ріков проти України», 2017 року.

Роботодавець збирав, зберігав та використовував дані стосовно його психічного здоров'я у зв'язку із заявою останнього про підвищення, а також відкрив ці дані колегам заявника та суду в ході відкритого розгляду справи.

Законодавство дозволяло зберігання даних стосовно здоров'я заявника протягом тривалого часу та дозволяло її оприлюднення та використання для цілей, які не відповідали початковій меті їх збору. ЄСПЛ вказав, що це непропорційне втручання в право заявника, що не було необхідним у демократичному суспільстві, тому є порушення.

Вищенаведене рішення доводить незахищеність працівників від розголошення персональних даних та використання таких даних проти них, зокрема так званих «чутливих» даних.

Останнім етапом обробки даних є процес звільнення. Саме після звільнення персональні дані працівника повинні бути знищені одразу чи через певний строк, який обумовлений згодою, політикою обробки персональних даних роботодавця.

Окреме питання сучасного систематизування, спрощення збирання, обробки персональних даних завдяки створенню відповідних баз даних. Зазвичай такі бази вже створені за допомогою цифрових застосунків чи веб-додатків (сайтів), які надають змогу заповнювати та оброблювати дані в режимі реального часу з будь-якого пристрою.

Тобто, виникає питання захисту персональних даних при використанні наведених ресурсів. Це обумовлено тим, що по володілець персональних даних передає їх третій стороні, яка зі своєї сторони збирає, оброблює та зберігає наявні дані при цьому вона не є розпорядником таких даних на підставі договору, наприклад, а є стороннім ресурсом, який надає інструмент для зручності обробки володільця.

«Саме поняття інформаційної безпеки означає стан інформацій, при якому система нормально функціонує та забезпечується цілісність, конфіденційність та захищеність персональних даних, а також забезпечення доступу до них.

Можна виділити три основні принципи, які відносяться до інформаційної безпеки:

- доступ до конфіденційних даних має бути лише у авторизованих користувачів;

повнота та достовірність інформації означають ії цілісність;

доступність інформації означає, що при виникненні потреби авторизованим користувачам може бути забезпечений доступ до певних ресурсів, на яких розміщена ця інформація.» [7, с. 62].

Україна є державою-учасницею Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних, прийнятою 28 січня 1981 року. В ст. 2 встановлено визначення «автоматизована обробка» включає такі операції, що здійснюються повністю або частково за допомогою автоматизованих засобів: зберігання даних, виконання логічних та (або) арифметичних операцій із цими даними, їхню зміну, знищення, вибірку або поширення. Це дає змогу зробити висновок, що використання будь-яких ресурсів обробки масивів персональних даних в тому числі й цифрових є автоматизованою обробкою. Відповідно до ст. 5 цієї Конвенції «Персональні дані, що піддаються автоматизованій обробці, повинні: а) отримуватися та оброблятися сумлінно та законно; b) зберігатися для визначених і законних цілей та не використовуватися в спосіб, не сумісний із цими цілями; с) бути адекватними, відповідними та ненадмірними стосовно цілей, для яких вони зберігаються; d) бути точними та в разі необхідності оновлюватися; е) зберігатись у формі, яка дозволяє ідентифікацію суб'єктів даних не довше, ніж це необхідно для мети, для якої такі дані зберігаються». [8]. Наведені вимоги у 5 статті до персональних даних підкреслюють обов'язковість законності отримання (збирання) персональних даних. У зв'язку з чим в край важливо мати наступні документи у володільця та розпорядника персональних даних, тобто роботодавця в нашому випадку, а саме:

порядок обробки персональних даних або політика конфіденційності;

повідомлення про обробку персональних даних;

договір між володільцем та розпорядником персональних даних (якщо він не діє на підстав закону, стосується прийняття на роботу державних службовців);

зобов'язання про нерозголошення персональних даних (може бути частиною договору);

план заходів в разі порушення безпеки персональних даних.

Слід також заначити, що у травні 2018 року Рада Європи прийняла Протокол CETS № 223, яким було внесено зміни до Конвенції 108. Модернізована Конвенція 108+ має удосконалений захист, спрямований на вирішення проблем недоторканності приватного життя, що виникають у зв'язку з використанням нових інформаційно-комунікаційних технологій, і на зміцнення механізму виконання положень. Додатковий Протокол передбачає створення незалежного органу за-

хисту персональних даних. Функцію якого зараз виконує Уповноважений Верховний Ради України з прав людини, оскільки Україна ще не ратифікувала цей Протокол.

Висновки

Роботодавець стикається зі збиранням, обробкою та зберіганням персональних 4. даних протягом усього трудового процесу від збирання резюме до звільнення. Наразі законодавство про захист персональних даних не приведено у відповідність до норм Загального Регламенту захисту персональних даних. Питання забезпе- 5. чення безпеки персональних даних у час технології є одним з вкрай важливих. Саме ратифікації Україною модернізованої Конвенції 108+ дасть можливість та необхідність утворення окремої інституції, яка буде виступати гарантом безпеки захисту персональних даних при їх автоматизовані обробці. Слід не забувати, що в умовах цифрової інтеграції та розвитком технології процес обробки 6. персональних даних став легший, швидший проте збільшився ризик їх втрати. Компанії роботодавця повинні розуміти свої обов'язки щодо захисту даних своїх працівників та дотримуватися відповідних норм та стандартів.

Список використаних джерел

Конституція України: Закон від 28.06.1996

№ 254к/96-ВР / Верховна Рада Украї- 7. ни. URL: https://zakon.rada.gov.ua/laws/ show/254к/96-вр#n4194 (дата звернення: 20.04.2023).

Єсімов С. Персональні дані як предмет за

хисту права на недоторканність приватного життя. Вісник Національного університету «Львівська політехніка». Серія: Юридичні науки. Львів, 2017. № 884. С. 120-126. URL: https://ena.lpnu.ua/handle/ntb/44715 (дата звернення 20.04.2023). 8.

Кізлова О. Проблеми цивільного права та процесу. Загальні положення про захист персональних даних у сучасному законодавстві: матеріали науково-практичної конференції, присвяченої світлій пам'яті

Олександра Анатолійовича Пушкіна (28 травня 2019 року). Харків, 2019. С. 3841 URL: https://univd.edu.ua/general/ publishing/konf/24_05_2019/pdf/8.pdf (дата звернення 21.04.2023).

Про захист персональних даних: Закон України від 01.06.2010 № 2297-VI / Верховна Рада України. URL: https://zakon. rada.gov.ua/laws/show/2297-17#Text (дата звернення 20.04.2023)

Роз'яснення Міністерства юстиції України про «Деякі питання практичного застосування Закону України «Про захист персональних даних»: Роз'яснення від 21.12.2011 / Міністерство юстиції України. URL: https://zakon.rada.gov.ua/laws/ show/n0076323-11#Text (дата звернення 20.04.2023).

Регламент Європейського Парламенту І Ради (ЄС) 2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв'язку з опрацюванням персональних даних і про вільний рух таких даних, та про скасування Директиви 95/46/ЄС: Загальний регламент про захист даних. URL:https://zakon. rada.gov.ua/laws/show/984_008-16#n1066 (дата звернення 20.04.2023).

Землянська О.В., Праховнік Н.А., Ковтун А.І., Ковтун М.А. Безпека в Інтернеті та захист персональних даних. Безпека життя і діяльності людини: теорія та практика: матеріали Всеукраїнської науково-практичної конференція (28.04.2022). Полтава, 2022. С. 62-64. URL: https:// ela.kpi.ua/bitstream/123456789/50166/1/ Bezpeka_v_Interneti_2022.pdf (дата звернення 21.04.2023).

Конвенція про захист осіб у зв'язку з автоматизованою обробкою персональних даних: Конвенція від 28.01.1981 / Рада Європи. URL: https://zakon.rada.gov.ua/laws/ show/994_326#o67.

Размещено на Allbest.ru