Персональні дані працівника та їх захист

Размещено на http://www.allbest.ru

Размещено на http://www.allbest.ru

З кінця 20-го століття людство вступило в нову епоху інформаційного суспільства. На сьогоднішній день досить важко уявити собі життя особи без надання інформації про себе іншим членам суспільства, державним органам, організаціям, роботодавцеві.

Надання своїх персональних даних особою найчастіше пов'язане із вступом у певні правовідносини (в нашому випадку трудові). Зрозуміло, що надання отримання, зберігання, обробка та використання таких даних, враховуючи їх специфічний характер, повинно мати, по-перше, чітке визначення окремих понять та категорій, а, по-друге, бути регламентовано нормативно-правовими актами. Актуальність теми дослідження полягає саме у з'ясуванні окремих положень нормативно-правового регулювання та захисту персональних даних працівників задля забезпечення основоположних прав і свобод людини, як фундаментальної складової сучасного прогресивного суспільства.

На сьогоднішній день як для трудового права, так і для права загалом інформаційна складова є особливо важливою. Значення інформації у наші часи зростає з кожним днем і вона визначається як найвища цінність з точки зору матеріального наповнення. Саме до такої категорії як інформація відносяться персональні дані особи. І одними з чи не найактуальніших питань є саме питання, пов'язані з визначенням поняття персональних даних, їх обробкою та захистом.

Досліджуючи ці питання, насамперед, потрібно звернути увагу на основоположні міжнародні та національні нормативно-правові акти, які містять у собі фундаментальні поняття про персональні дані, серед яких акти ООН, МОП, Ради Європи, Європейського Союзу. Так, у ст. 12 Загальної декларації прав людини передбачено, що ніхто не може зазнавати довільного втручання в особисте і сімейне життя, довільно посягати на його честь та репутацію [1]. Кожен має право на захист закону від такого втручання. Стаття 17 Міжнародного пакту про громадянські та політичні права проголошує заборону на втручання в особисте і сімейне життя та незаконне посягання на честь і репутацію [2]. Важливе значення мали ст. 8 і ст. 10 Європейської конвенції про захист прав людини і основних свобод, ратифікованої Україною [3]. На відміну від положень Загальної декларації 1948 року в Європейській конвенції зазначається, що право на невтручання в особисте життя не є абсолютним, а може бути обмежено у визначених випадках: коли таке втручання передбачене законом і є необхідним у демократичному суспільстві в інтересах національної безпеки і громадського порядку, економічного благополуччя країни, в цілях запобігання заворушень або злочинів, для охорони здоров'я або моральності чи захисту прав і свобод інших осіб.

Відтак, і в нашій країні статтею 32 Конституції України проголошено право людини на невтручання в її особисте життя. Крім того, не допускається збирання, зберігання, використання поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини [4].

З метою конкретизації права людини, гарантованого статтею 32 Конституції України, та визначення механізмів його реалізації 1 червня 201 року Верховною Радою України було прийнято Закон України «Про захист персональних даних», який набрав чинності з 1 січня 2010 року [5]. Предметом правового регулювання даного закону є правовідносини, пов'язані із захистом і обробкою персональних даних.

Визначення поняття «персональні дані» наводиться в абзаці восьмому статті 2 вищезазначеного закону, відповідно до якого персональними даними є відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована [5].

Але законодавством України, як відзначає І.М. Сопілко, не встановлено і не може бути встановлено чіткого переліку відомостей про фізичну особу, які є персональними даними, задля можливості застосування положень Закону України «Про захист персональних даних» до різноманітних ситуацій, в тому числі при обробці персональних даних в інформаційних (автоматизованих) базах та картотеках персональних даних, що можуть виникнути у майбутньому, у зв'язку зі зміною в технологічній, соціальній, економічній та інших сферах суспільного життя [6, с. 941].

Для глибшого розуміння питання про накопичення і зберігання персональних даних потрібно з'ясувати поняття «база персональних даних», яке визначене абзацом другим статті 2 Закону України «Про захист персональних даних», відповідно до якого база персональних даних іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних [5]. Відповідно, персональні дані одночасно можуть бути упорядковані і в електронній формі, і в формі картотек.

Враховуючи зазначене, Міністерство юстиції України пояснило, що база персональних даних є упорядкованою сукупністю логічно пов'язаних даних про фізичних осіб: 1) що зберігаються та обробляються відповідним програмним забезпеченням, є базою персональних даних в електронній формі; 2) що зберігаються та обробляються на паперових носіях інформації, є базою персональних даних у формі картотек [7].

Такі дані мають бути структуровані за визначеними критеріями, що стосуються фізичних осіб, щоб забезпечити легкий доступ до відповідних персональних даних [7].

Як уже зазначалося вище, відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована, є персональними даними. Первинними джерелами відомостей про фізичну особу є: видані на її ім'я документи; підписані нею документи; відомості, які особа надає про себе.

Таким чином, відомості про працівників, відображені в кадрових документах, зокрема про вік, дату і місце народження, місце проживання, ідентифікаційний номер, соціальний статус, пільги відповідно до законодавства (одинокі матері, жінки з дітьми віком до трьох років, «чорнобильці», неповнолітні, пенсіонери тощо), з точки зору Закону України «Про захист персональних даних», вважаються персональними даними, які у своїй сукупності складають базу персональних даних або її частину [8, с. 139].

Крім того, документація підприємств, установ та організацій в електронній формі та/або у формі картотек, що містить певним чином структуровані персональні дані найманих працівників, також вважається базою персональних даних або її частиною.

Персональні дані працівника потрібно розглядати як будь-яку інформацію, яка стосується конкретного працівника та необхідна роботодавцю у зв'язку з використанням праці цього працівника на підставі трудового договору. Це може бути тільки така інформація, яка необхідна роботодавцю у зв'язку з трудовими правовідносинами. Відповідно, поняття персональних даних працівника вужче поняття персональних даних про особу, оскільки йдеться не про всі відомості (факти, події, обставини життя фізичної особи), а тільки про такі обставини, що можуть характеризувати фізичну особу як працівника [9, с. 9].

Законними підставами, які зобов'язують роботодавця володіти певними персональними даними найманих працівників, можуть бути такі акти: 1) КЗпП України [10]; 2) пункти 2-4 постанови Кабінету Міністрів України «Про трудові книжки працівників»; 3) пункти 1.3 та 1.4 Інструкції про порядок ведення трудових книжок працівників, затвердженої наказом Міністерства праці України, Міністерства юстиції України, Міністерства соціального захисту населення України від 29 липня 1993 року № 58; 4) акти законодавства, якими встановлені обмеження, гарантії, компенсації, пільги у сфері трудових та соціальних правовідносин.

Фактично, будь-яка кадрова документація, статистична, податкова та інша звітність в електронній формі та/або у формі картотек, яка обробляється роботодавцем і містить персональні дані працівників, може вважатися базою персональних даних чи складовою частиною бази персональних даних.

Наступним актуальним питанням є обробка персональних даних у сфері трудових відносин. Ведення бази даних працівників підприємства, що пов'язане зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичних осіб, є обробкою персональних даних [8, с. 154].

Здійснення дій з обробки персональних даних передбачає наявність правових підстав такої обробки: згода суб'єкта персональних даних на обробку його персональних даних; дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень; укладення та виконання правочину, стороною якого є суб'єкт персональних даних або який укладено на користь суб'єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб'єкта персональних даних; захист життєво важливих інтересів суб'єкта персональних даних; необхідність виконання обов'язку володільця персональних даних, який передбачений законом; необхідність захисту законних інтересів володільця персональних даних або третьої особи, якій передаються персональні дані, крім випадків, коли потреби захисту основоположних прав і свобод суб'єкта персональних даних у зв'язку з обробкою його даних переважають такі інтереси [5].

Як бачимо, для обробки персональних даних працівників потрібно отримати згоду від самих працівників. Такою згодою відповідно до статті 2 Закону України «Про захист персональних даних» може бути добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди [5]. Така згода, зокрема, може надаватися окремим документом або шляхом вказівки про це у заяві про прийняття на роботу із зазначенням мети обробки, на яку надається згода.

Аналіз чинного законодавства дає підстави стверджувати, що обробка персональних даних у базах персональних даних при реалізації повноважень роботодавця у сфері трудових відносин може здійснюватися за умов: 1) визначення роботодавцем як володільцем персональних даних мети та підстави обробки персональних даних відповідно до законодавства у сфері трудових відносин; 2) встановлення складу персональних даних та процедур їх обробки; 3) отримання згоди суб'єктів персональних даних на обробку їх персональних даних відповідно до визначеної мети або права на обробку персональних даних, наданого володільцю персональних даних відповідно до закону; 4) забезпечення захисту персональних даних, спрямованих на запобігання їх випадкових втрати або знищення, незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних [11].

Слід звернути увагу на те, що забороняється обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров'я чи статевого життя, біометричних або генетичних даних. Зазначене положення не застосовується, якщо, зокрема, обробка персональних даних необхідна для здійснення прав та виконання обов'язків володільця у сфері трудових правовідносин відповідно до закону із забезпеченням відповідного захисту. Так, з метою створення умов для дотримання вимог КЗпП роботодавець має право на обробку, наприклад, персональних даних щодо членства у професійних спілках, даних, що стосуються здоров'я працівника.

Відповідальність за порушення вимог законодавства про захист персональних даних є наступним не менш важливим питанням. Використання персональних даних працівниками кадрової служби, пов'язаних із персональними даними, повинно здійснюватися лише відповідно до їхніх професійних чи службових або трудових обов'язків. Ці працівники зобов'язані не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв'язку з виконанням професійних чи службових або трудових обов'язків.

Відповідно до ст. 28 Закону України «Про захист персональних даних», порушення законодавства про захист персональних даних тягне за собою відповідальність, встановлену законом.

Як відомо, з 1 січня 2012 року набув чинності Закон України «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» від 2 червня 2011 року № 3454-VI, яким передбачена адміністративна та кримінальна відповідальність за порушення посадовими особами підприємств законодавства у сфері захисту персональних даних [12].

Зокрема, згідно зі ст. 188-39 КУпАП адміністративна відповідальність настає за: 1) неповідомлення або несвоєчасне повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних або про зміну відомостей, які підлягають повідомленню згідно із законом, повідомлення неповних чи недостовірних відомостей; 2) невиконання законних вимог (приписів) Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб секретаріату Уповноваженого Верховної Ради України з прав людини щодо запобігання або усунення порушень законодавства про захист персональних даних; 3) недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних, що призвело до незаконного доступу до них або порушення прав суб'єкта персональних даних [13].

Щодо кримінальної відповідальності, то вона передбачена ст. 182 КК України і настає за незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про працівника або незаконну зміну такої інформації, крім випадків, передбачених іншими статтями Кримінального кодексу України [14].

Що ж стосується трудового законодавства, то чинним КЗпП не встановлені норми про захист персональних даних працівника, і, відповідно, залишається неврегульованою відповідальність за порушення порядку захисту зазначених даних.

На думку Г.І. Чанишевої та Р.І. Чанишева, за порушення роботодавцем норм про захист персональних даних працівника не можна застосовувати матеріальну відповідальність, оскільки чинним КЗпП матеріальна відповідальність роботодавця за таке порушення не передбачена. Водночас працівники підприємства (установи, організації), які не забезпечили зберігання персональних даних працівника, можуть бути притягнуті роботодавцем до обмеженої матеріальної відповідальності на підставі ст. 132 КЗпП. Притягнення винного працівника до повної матеріальної відповідальності в цьому випадку не можливе, оскільки ст. 134 КЗпП встановлений вичерпний перелік випадків повної матеріальної відповідальності працівників [15, с. 252].

Крім цього, звільнення за порушення порядку захисту персональних даних працівника не допускається, оскільки в чинному КЗпП така підстава розірвання трудового договору, як розголошення охоронюваної законом таємниці (зокрема персональних даних іншого працівника), відсутня. До винного працівника в цьому разі можливе застосування тільки одного з передбачених частиною першою ст. 147 КЗпП дисциплінарного стягнення догани [15, с. 252-253]. персональний правовий роботодавець найманий

Разом з тим, ч. 1 ст. 237-1 КЗпП визначає, що відшкодування власником або уповноваженим ним органом моральної шкоди працівнику провадиться в разі, якщо порушення його законних прав призвели до моральних страждань, втрати нормальних життєвих зв'язків і вимагають від нього додаткових зусиль для організації свого життя [5]. Наявність такої норми виключає можливість застосування цивільного законодавства до відшкодування моральної шкоди в трудових правовідносинах, оскільки визначає інші підстави її відшкодування, ніж ті, що визначені ст. 1167 ЦК України. Тому вести мову про обов'язок роботодавця з відшкодування завданої працівникові моральної шкоди внаслідок порушення законодавства про захист персональних даних можна лише в тому випадку, коли моральні страждання працівника чи втрата ним нормальних життєвих зв'язків або необхідність додаткових зусиль для організації свого життя стали наслідком порушення законних прав працівника.

Отже, на підставі вищевикладеного можна зробити висновок, що персональними даними працівника є відомості чи сукупність відомостей про працівника, відображені в кадрових документах. Поняття персональних даних працівника вужче поняття персональних даних про особу, оскільки йдеться не про всі відомості (факти, події, обставини життя фізичної особи), а тільки про такі обставини, що можуть характеризувати фізичну особу як працівника, що працює на підставі трудового договору з роботодавцем.

Література

1. Загальна декларація прав людини: прийнята і проголошена резолюцією 217 A (III) Генеральної Асамблеї ООН, 10 грудня 1948 р.

2. Міжнародний пакт про громадянські та політичні права: прийнято і проголошено Генеральною Асамблеєю ООН, 16 грудня 1966 р.

3. Конвенція про захист прав людини і основних свобод: прийнята і проголошена Радою Європи, 4 листопада 1950 р.

4. Конституція України: Закон України від 28 червня 1996 р № 254к/96-ВР // Відомості Верховної Ради України 1996. № 30. Ст. 141.

5. Про захист персональних даних: Закон України від 1 червня 2010 р. № 2297-VI // Відомості Верховної Ради України. 2010. № 34. Ст. 481.

6. Сопілко І.М. Щодо вдосконалення системи захисту персональних даних в процесі їх обробки / І.М. Сопілко // Форум права. 2013. № 1. С. 939-945.

7. Деякі питання практичного застосування Закону України «Про захист персональних даних: роз'яснення Міністерства юстиції України від 21 грудня 2011 р.

8. Чанишева Г.І. Право на інформацію за трудовим законодавством України: моногр. / Г.І. Чанишева, Р.І. Чанишев. Одеса: Фенікс, 2012. 196 с.

9. Чернобай А.М. Правові засоби захисту персональних даних працівника: автореф. дис. ...канд. юрид. наук: 12.00.05 / А.М. Чернобай / Одеська національна юридична академія. Одеса, 2006. 20 с.

10. Кодекс законів про працю України: від 10 грудня 1971 р. № 322-VIII // Відомості Верховної Ради України. 1971. Додаток до № 50. Ст. 375.

11. Типовий порядок обробки персональних даних: затверджено Наказом Уповноваженого Верховної Ради України з прав людини від 8 січня 2014 р. № 1/02-14.

12. Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних: Закон України від 2 червня 2011 року № 3454-VI // Відомості Верховної Ради України. 2011. № 50. Ст. 549.

13. Кодекс України про адміністративні правопорушення від 7 грудня 1984 р. № 8073-X.

14. Кримінальний кодекс України від 5 квітня 2001 р. № 2341-III // Відомості Верховної Ради України. 2001. № 25. Ст. 131.

15. Чанишева Г.І. Відповідальність за порушення порядку захисту персональних даних працівника / Г.І. Чанишева, Р.І. Чанишев // Південноукраїнський правничий часопис. 2014. № 4. С. 251-254.

Размещено на Allbest.ru