Гарантії захисту персональних даних працівників в Україні: законодавче забезпечення

Размещено на http://www.allbest.ru/

Гарантії захисту персональних даних працівників в Україні: законодавче забезпечення

Михайлик А.С.

аспірант кафедри трудового права

Національний юридичний університет

імені Ярослава Мудрого

Анотація

захист персональний дані

В умовах сьогодення особливо гостро постає проблема захисту персональних даних працівників, оскільки значний прогрес у розвитку інформаційних технологій, а саме практично повсюдне запровадження інформаційно-комп'ютерних технологій і телекомунікаційних мереж, пов'язане з цим збільшення обсягів і напрямів використання персональних даних у різних сферах суспільного життя, їх передача новітніми комунікаційними засобами істотно поширили можливості роботодавців щодо збирання, зберігання і обробки інформації щодо працівників, що може призвести до ущемлення їх прав та законних інтересів, заподіяти матеріальну або моральну шкоду працівникам. Метою статті є дослідження гарантій захисту персональних даних працівників в Україні та їх законодавче забезпечення. Оскільки головна проблема у сфері захисту персональних даних в Україні полягає у відсутності законодавчих актів, які б забезпечували належний рівень захисту персональних даних в Україні у відповідності до оновлених міжнародних стандартів у цій сфері. Зроблено висновок, що законодавче забезпечення сфери захисту персональних даних у загальному розумінні відповідає встановленим принципам і нормам міжнародного права, але не повною мірою та потребує вдосконалення, оскільки рівень захисту персональних даних в Україні значно нижчий порівняно з вимогами, котрі ставляться Загальним регламентом про захист даних (GDPR). Зокрема, законодавством із захисту персональних даних мають бути забезпечені найважливіші сфери суспільного життя, особливо трудові правовідносини. Тому ініціативу законодавця ухвалити новий закон, покликаний привести сферу захисту персональних даних до вимог європейського законодавства і практики ЄСПЛ, можна вважати позитивною. Оскільки його прийняття створить сприятливі умови для роботи вітчизняних компаній на міжнародному ринку та наблизить Україну до отримання статусу держави, яка забезпечує належний захист персональних даних, що у свою чергу пришвидшить та полегшить входження нашої держави до Єдиного цифрового ринку Європейського Союзу.

Ключові слова: держава, роботодавець, працівник, інформація, персональні дані, захист, законодавче забезпечення.

Mykhailyk A.S.

Guarantees of protection of personal data of employees in Ukraine: legislative support

Summary

In today's conditions, the problem of personal data protection is particularly acute, as significant progress in the development of information technology, namely the widespread use of information and computer technology and telecommunications networks, associated with increasing the volume and use of personal data in various fields public life, their transfer by the latest means of communication have significantly expanded the ability of employers to collect, store and process information about employees, which can lead to infringement of their rights and legitimate interests, cause material or moral damage to employees. The aim of the article is to study the guarantees of personal data protection of employees in Ukraine and their legislative support. Because the main problem in the field of personal data protection in Ukraine is the lack of legislation that would ensure an adequate level of personal data protection in Ukraine in accordance with updated international standards in this area. It is concluded that the legislative provision of personal data protection in the general sense corresponds to the established principles and norms of international law, but not fully and needs to be improved, as the level of personal data protection in Ukraine is much lower than the General Data Protection Regulations. GDPR). In particular, the legislation on personal data protection should provide the most important spheres of public life, especially labor relations. Therefore, the initiative of the legislator to adopt a new law aimed at bringing the field of personal data protection to the requirements of European law and practice of the ECtHR, can be considered positive. As its adoption will create favorable conditions for domestic companies to operate in the international market and bring Ukraine closer to the status of a state that provides adequate protection of personal data, which in turn will speed up and facilitate our country's entry into the European Digital Single Market.

Key words: state, employer, employee, information, personal data, protection, legislative support.

Основною тенденцією розвитку трудового права України є становлення та зміцнення в ньому одного з найважливіших принципів - принципу поваги до прав людини у сфері праці. Сучасне трудове право бере на себе охорону гідності особистості, недоторканості приватного життя, особистої та сімейної таємниці, а також інших нематеріальних благ. Норми трудового права покликані доповнити та поглибити захист особистих немайнових прав та інших нематеріальних благ, що здійснюється цивільним правом з урахуванням особливостей трудових відносин, забезпечувати права та свободи людини у сфері праці. Сьогодні особливо гостро постає проблема захисту персональних даних працівників, оскільки значний прогрес у розвитку інформаційних технологій, а саме практично повсюдне запровадження інформаційно-комп'ютерних технологій і телекомунікаційних мереж, пов'язане з цим збільшення обсягів і напрямів використання персональних даних у різних сферах суспільного життя, їх передача новітніми комунікаційними засобами істотно поширили можливості роботодавців щодо збирання, зберігання і обробки інформації відносно окремих працівників, а також швидке отримання даних з інших джерел. В умовах широкого використання автоматизованих систем та їх технологій інформація про будь-якого працівника може стати тією чи іншою мірою відкритою і призвести до ущемлення його прав та законних інтересів, заподіяти працівникові матеріальну або моральну шкоду [1].

Нині забезпечення розумного рівня захисту персональних даних працівників постало перед новими викликами, котрі диктує науково-технічний прогрес. Більшість людей значну частину свого часу проводять на роботі, де оточені різноманітними пристроями та засобами, які в той чи інший спосіб можуть фіксувати їх дії чи бездіяльність. З огляду на це цифрові технології, що пропонують нові можливості для покращення продуктивності трудових процесів та дистанційної праці, можуть одночасно призвести до розмивання меж між робочим та приватним життям, створюючи значні проблеми для приватного життя працівника. Тому виникає необхідність у проведенні дослідження гарантій захисту персональних даних працівників та розробленні пропозицій щодо їх закріплення в трудовому законодавстві України, оскільки чинне трудове законодавство України не містить спеціальних гарантій захисту персональних даних працівників.

Окремі аспекти проблеми визначення гарантій захисту персональних даних досліджували такі вчені, як: Є. Білозьоров, Л. Борисова, С. Венедіктов, С. Гуцу, М. Іншин, К. Мельник, Т. Обуховська, О. Оніщенко, В. Тулупов, О. Ярошенко, та ін. Проте сучасних наукових розробок, присвячених дослідженню гарантій захисту персональних даних працівників у трудовому законодавстві України, бракує, що зумовлює своєчасність та важливість запропонованої проблематики.

Метою статті є дослідження гарантій захисту персональних даних працівників в Україні та їх законодавчого забезпечення.

Ведучи мову про гарантії захисту персональних даних працівників, необхідно погодитися з думкою І.М. Сопілко про те, що захист персональних даних - це вміння балансувати між інформаційною відкритістю та закритістю, між двома прагненнями: максимально розширити доступ громадян до невтаємниченої публічної інформації (державної, наукової, освітньої, персональної тощо) і водночас максимально захистити інформацію приватного змісту [2, с. 69]. Як зазначає С. Єсімов, захист персональних даних має конституційну природу, є елементом права громадян на повагу до особистого життя, а також правові норми, які регламентують питання захисту персональних даних, охоплюють більшість галузей права [3]. Так, відповідно до ст. 32 Конституції України [4] «ніхто не може зазнавати втручання в його особисте і сімейне життя, крім випадків, передбачених Конституцією України». Також гарантується недопущення «збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом». Ця конституційна норма в цілому відповідає стандартам, які містяться в Міжнародному Пакті про громадянські та політичні права 1996 року і Європейській конвенції прав людини 1950 року.

Натомість аналізуючи Закон України «Про захист персональних даних» [5], який хоча і містить основні положення (такі як необхідність отримання згоди суб'єкта персональних даних на їх обробку, загальні та особливі вимоги до обробки персональних даних, права суб'єкта персональних даних (в тому числі на отримання інформації про обробку його даних), правила транскордонної передачі персональних даних та ін.), проте дієвого механізму належного захисту персональних так і не створив.

Відповідно до ст. 22 Закону контроль за додержанням законодавства про захист персональних даних здійснюють Уповноважений Верховної Ради України з прав людини та суди. Так, відповідно до ст. 23 Закону Уповноважений Верховної Ради України з прав людини має такі повноваження у сфері захисту персональних даних: 1) отримувати пропозиції, скарги та інші звернення фізичних і юридичних осіб з питань захисту персональних даних та приймати рішення за результатами їх розгляду; 2) проводити на підставі звернень або за власною ініціативою виїзні та безвиїзні, планові, позапланові перевірки володільців або розпорядників персональних даних в порядку, визначеному Уповноваженим, із забезпеченням відповідно до закону доступу до приміщень, де здійснюється обробка персональних даних; 3) отримувати на свою вимогу та мати доступ до будь-якої інформації (документів) володільців або розпорядників персональних даних, які необхідні для здійснення контролю за забезпеченням захисту персональних даних, у тому числі доступ до персональних даних, відповідних баз даних чи картотек, інформації з обмеженим доступом; 4) складати протоколи про притягнення до адміністративної відповідальності та направляти їх до суду у випадках, передбачених законом; тощо. Нажаль, зазначені органи так і не змогли створити ефективну систему захисту. Не в останню чергу це пояснюється недостатнім рівнем відповідальності за порушення у сфері поводження з персональними даними (зокрема, основний вид відповідальності - це відносно незначні штрафи, передбачені ст. 188-39 КпАП, максимальний розмір яких наразі - 34 тис. грн. І хоча ст. 182 КК України також передбачена кримінальна відповідальність за незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації, практика її застосування неоднозначна та й загрожує тільки фізичним особам, а не юридичним [6].

Підписавши Угоду про асоціацію з Європейським Союзом, Україна погодилась на співробітництво з ЄС з метою забезпечення належного рівня захисту персональних даних відповідно до найвищих європейських та міжнародних стандартів, зокрема відповідних документів Ради Європи, як це передбачено статтею 15 Угоди. Так, відповідно до ст. 11 Угоди про співробітництво між Україною та Європейською організацією з питань юстиції [7] кожна її сторона гарантує рівень захисту персональних даних, наданих іншою стороною, принаймні еквівалентний тому, що випливає із застосування принципів, що містяться у Конвенції Ради Європи про захист осіб у зв'язку з автоматизованою обробкою персональних даних від 28 січня 1981 року і наступних змін до неї, а також принципів, закладених у Рішенні щодо Євроюсту та у Регламенті Євроюсту щодо захисту даних.

Важливим документом у напрямі захисту персональних даних став прийнятий в Європейському Союзі 26 квітня 2016 р., який набув чинності 25 травня 2018 р. Загальний регламент із захисту персональних даних (General Data Protection Regulation - GDPR) [8], який не тільки суттєво підняв планку захисту персональних даних у державах-членах ЄС, а й передбачив можливість застосування встановлених ним санкцій до бізнесу поза межами ЄС, в тому числі українського. Тобто, незважаючи на те, що Україна не є державою-учасницею Європейського Союзу, правила, закріплені в GDPR, можуть стосуватися безпосередньо суб'єктів, що належать до її юрисдикції. Оскільки відповідно до ст. 3 Загального регламенту «територіальна сфера дії GDPR має екстратериторіальну дію, то його норми поширюються не лише на держави-члени ЄС, а й на фізичних та юридичних осіб інших країн у конкретних випадках, передбачених GDPR». Зокрема, основними його положеннями є: забезпечення законної, справедливої та прозорої обробки персональних даних; обмеження цілей обробки даних, їх обсягу та зберігання; наявність широких прав у суб'єктів персональних даних; встановлення вимог щодо чіткості згоди на обробку персональних даних; забезпечення організаційних та технічних механізмів для захисту персональних даних при розробці нових систем та процесів; необхідність виконання процедури оцінки впливу тих чи інших дій або змін на захист персональних даних; встановлення відповідальності контролера персональних даних за забезпечення захисту персональних даних і дотримання вимог GDPR, навіть якщо обробка даних здійснюється третьою стороною; призначення співробітника з питань захисту даних; інформування працівників про вимоги GDPR. Тобто, згідно Регламенту збір інформації щодо працівника повинен обмежуватись даними, котрі є необхідними та доречними з огляду на обсяг трудових прав та обов'язків особи. Отже, обробку персональних даних працівників як складника їх приватності роботодавець може здійснювати лише в разі фактичної необхідності та за наявності достатніх правових підстав.

Відповідно до вітчизняного законодавства, зокрема ст. 24 КЗпП України [9] при укладенні трудового договору громадянин зобов'язаний подати паспорт або інший документ, що посвідчує особу, трудову книжку, а у випадках, передбачених законодавством, - також документ про освіту (спеціальність, кваліфікацію), про стан здоров'я та інші документи. При цьому міститься заборона на вимагання відомості про їх партійну і національну приналежність, походження, реєстрацію місця проживання чи перебування та документи, подання яких не передбачено законодавством. Виходячи з цього положення роботодавець не має право вимагати персональні дані від працівника, які не є надмірними щодо мети їх обробки. Оскільки у Законі України «Про захист персональних даних» зазначено, що склад та зміст персональних даних мають бути відповідними, адекватними та ненадмірними стосовно визначеної мети їх обробки. Водночас, працюючи на підприємстві, працівник самостійно може надавати різні відомості, документи для отримання додаткових гарантій у сфері праці (приміром, відомостей про стан здоров'я, документи для підтвердження статусу одинокої матері і т.п.).

Наразі головна проблема у сфері захисту персональних даних в Україні полягає у відсутності законодавчих актів, які б забезпечували належний рівень захисту персональних даних в Україні у відповідності до оновлених міжнародних стандартів у цій сфері. Оскільки брак законодавства, яке б відповідало сучасним міжнародним стандартам у цій сфері та рівню технологічного розвитку, не тільки призводить до незадовільного рівня захисту конституційного права на повагу до приватного життя в Україні, а й призведе до визнання на міжнародному рівні України як держави, яка не забезпечує належний рівень захисту персональних даних. Це в свою чергу призведе до ризику відмови інших держав у передачі персональних даних в першу чергу органам влади України, особливо при обміні даних правоохоронними органами, та ускладнення у підтримці торгівельних зв'язків в секторі міжнародної підприємницької діяльності як з ЄС, так і іншими країнами, які мають належний рівень захисту персональних даних.

Тому відповідно до п. 11 Плану заходів щодо імплементації Угоди про асоціацію між Україною та ЄС, затвердженого 25 жовтня 2017 р. Україна має вдосконалити законодавство про захист персональних даних з метою приведення його у відповідність до GDPR. Як зазначає О. Легка, одним із головних завдань держави на такому етапі розвитку є визначення напрямів правового регулювання та створення правових гарантій, необхідних для самореалізації суб'єктів в інформаційній сфері. Із цією метою, на думку вченої, необхідно систематизувати та кодифікувати національне законодавство відповідно до норм європейського законодавства та міжнародного права; розробити єдиний нормативно-правовий акт, який на законодавчому рівні врегулював би збір, обробку, захист та передачу інформації за прикладом GDPR; привести понятійний апарат у відповідність до міжнародного законодавства; передбачити обов'язкову сертифікацію на захист інформації; розробити технології криптографії/кодування; посилити відповідальність за порушення захисту інформації про персональні дані [10, c. 78].

До речі, нині у цьому напрямку вже зроблено певні кроки. Так, 7 червня 2021 р. було подано до Верховної Ради України проєкт Закону про захист персональних даних за № 5628 [11], метою якого є виконання Україною своїх зобов'язань за Угодою про асоціацію між ЄС та Україною щодо приведення у відповідність українського законодавства до стандартів ЄС (у тому числі GDPR); підвищення довіри інвесторів та залучення інвестицій до української економіки, особливо в сектори ІТ та телекомунікацій. Більшість положень проєкту засновані на положеннях GDPR, а також окремих судових рішеннях та кращих практиках ЄС. Зокрема, проєкт передбачає: надання можливості суб'єктам персональних даних контролювати обробку їх персональних даних, зокрема, через наділення громадян такими правами, як право бути забутим, право на портативність даних та право бути поінформованим про порушення персональних даних; посилення прав та обов'язків тих, хто відповідає за обробку персональних даних, і наділяє їх відповідними повноваженнями для моніторингу та забезпечення дотримання правил із захисту персональних даних, і застосування санкцій до порушників; встановлення чітких обов'язків контролера та оператора даних дотримуватися вимог Закону та заохочення користувачів даних запровадити внутрішні заходи, які дозволяють їм, як контролерам даних, довести факт виконання нормативних вимог; впровадження суворіших санкцій, що підлягають застосуванню у випадку порушення законодавства в сфера захисту персональних даних. На думку розробників, прийняття цього проєкту створить сприятливі умови для роботи вітчизняних компаній на ІТ ринку Європейського Союзу та Світу і, як наслідок надходження іноземних інвестицій; наблизить Україну до отримання статусу держави, яка забезпечує належний захист персональних даних, що у свою чергу пришвидшить та полегшить входження нашої держави до Єдиного цифрового ринку Європейського Союзу.

Висновки

Підсумовуючи вищевикладене, можна дійти висновку, що законодавче забезпечення сфери захисту персональних даних у загальному розумінні відповідає встановленим принципам і нормам міжнародного права, але не повною мірою та потребує вдосконалення, оскільки рівень захисту персональних даних в Україні значно нижчий порівняно з вимогами, котрі ставляться Загальним регламентом. Вітчизняні експерти давно наголошують на необхідності привести законодавство у сфері захисту персональних даних в Україні у відповідність до вимог Загального регламенту про захист даних (GDPR), який діє в усіх 27 країнах Європейського Союзу, зокрема, законодавством із захисту персональних даних мають бути забезпечені найважливіші сфери суспільного життя, особливо трудові правовідносини. Тому ініціативу законодавця ухвалити новий закон, покликаний привести сферу захисту персональних даних до вимог європейського законодавства і практики ЄСПЛ, можна вважати позитивною. Оскільки його прийняття створить сприятливі умови для роботи вітчизняних компаній на міжнародному ринку та наблизить Україну до отримання статусу держави, яка забезпечує належний захист персональних даних, що у свою чергу пришвидшить та полегшить входження нашої держави до Єдиного цифрового ринку Європейського Союзу.

Список використаних джерел

1. Чернобай А.М. Правові засоби захисту персональних даних працівника: автореф. дис. ... канд. юрид. наук: 12.00.05. Одеса, 2006. 21 с.

2. Сопілко І.М. Механізм захисту персональних даних: проблеми та перспективи. Юридичний вісник. 2013. № 2(27). С. 66-70.

3. Єсімов С.С. Захист персональних даних у контексті розвитку динамічних інформаційних систем. URL: http://www2.lvduvs.edu.ua/documents_pdf/visnyky/nvsy/03_2013/13yessdis.pdf.

4. Конституція України: Закон України від 28.06.1996 № 254к/96-ВР. Відомості Верховної Ради України. 1996. № 30. Ст. 141.

5. Про захист персональних даних: Закон України від 01.06.2010 № 2297-VI. Відомості Верховної Ради України. 2010. № 34. Ст. 481.

6. Як відбувається реформа законодавства про захист персональних даних в Україні. URL: https://biz.ligazakon.net/news/207564_yak-vdbuvatsya-reforma-zakonodavstva-pro-zakhist-personalnikh-danikh-v-ukran.

7. Угоди про співробітництво між Україною та Європейською організацією з питань юстиції від 27.06.2016. URL: https://zakon.rada.gov.ua/laws/show/984_024-16#n2.

8. Загальний регламент із захисту персональних даних Європейського Союзу (GDPR) № 2018/1725. URL: http://aphd.ua/gdpr-ofitsiinyi-ukranskyi-pereklad.

9. Кодекс законів про працю України від 10.12.1971 № 322-VIII. URL: https://zakon.rada.gov.ua.

10. Легка О.В. Актуальні питання захисту персональних даних: вітчизняний та міжнародний досвід. Правова позиція. 2021. № 2 (31). С. 74-79.

11. Проєкт Закону України про захист персональних даних від 02.06.2021 р. № 5628. URL: http://search.ligazakon.ua/l_doc2.nsf/link1/JI05379I.html.

Размещено на Allbest.ru