asyan.org
добавить свой файл
1 2
Захист персональних даних

Журнал "Довідник кадровика" №10, 2011

Сергій СТЕПАНЕНКО, головний спеціаліст управління реєстрації баз персональних даних Державної служби України з питань захисту персональних даних 
Тетяна СТЕПАНЕНКОпровідний спеціаліст управління юридичного забезпечення Державної служби України з питань захисту персональних даних 
Володимир ЛОСЬзаступник директора департаменту по роботі з персоналом НАК «Нафтогаз України»

Закон України «Про захист персональних даних» від 1 червня 2010 року № 2297-VI (далі — Закон № 2297) набув чинності 1 січня 2011 року. А з 1 липня цього року спеціально створений центральний орган виконавчої влади —Державна служба України з питань захисту персональних даних — розпочав реєстрацію баз персональних даних у Державному реєстрі баз персональних даних.  

^ ЩО ТАКЕ «БАЗА ПЕРСОНАЛЬНИХ ДАНИХ»

У статті 2 Закону № 2297 дано визначення термінів, які вживаються у такому значенні:

«база персональних даних — іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;

володілець бази персональних даних — фізична або юридична особа, якій законом або за згодою суб’єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом;

Державний реєстр баз персональних даних — єдина державна інформаційна система збору, накопичення та обробки відомостей про зареєстровані бази персональних даних;

згода суб’єкта персональних даних — будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки;

знеособлення персональних даних — вилучення відомостей, які дають змогу ідентифікувати особу;

обробка персональних даних — будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов’язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу;

персональні дані — відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;

розпорядник бази персональних даних — фізична чи юридична особа, якій володільцем бази персональних даних або законом надано право обробляти ці дані;

суб’єкт персональних даних — фізична особа, стосовно якої відповідно до закону здійснюється обробка її персональних даних;

третя особа — будь-яка особа, за винятком суб’єкта персональних даних, володільця чи розпорядника бази персональних даних та уповноваженого державного органу з питань захисту персональних даних, якій володільцем чи розпорядником бази персональних даних здійснюється передача персональних даних відповідно до закону».

^ КАДРОВА ДОКУМЕНТАЦІЯ ЯК БАЗА ПЕРСОНАЛЬНИХ ДАНИХ

Як уже зазначалося вище, відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована, є персональними даними. Первинними джерелами відомостей про фізичну особу є: видані на її ім’я документи; підписані нею документи; відомості, які особа надає про себе.

Таким чином, відомості про працівників, відображені в кадрових документах, зокрема про вік, дату і місце народження, місце проживання, ідентифікаційний номер, соціальний статус, пільги відповідно до закону (одинокі матері, жінки з дітьми віком до трьох років, «чорнобильці», неповнолітні, пенсіонери тощо) з точки зору Закону № 2297 вважаються персональними даними, які у своїй сукупності складають базу персональних даних або її частину.

Крім того, документація підприємств, установ та організацій в електронній формі та/або у формі картотек, що містить певним чином структуровані персональні дані найманих працівників також вважається базою персональних даних або її частиною.

Так само до бази персональних даних або її частини можна віднести упорядкований список водіїв, де вказано категорію водійських прав, водійський стаж, кваліфікаційний клас, відомості про штрафи, або ж список працівників із вказівкою на їх спеціальні кваліфікаційні документи, сертифікати, нагороди або вчене звання; список працівників та інших громадян в інформаційних базах осіб, які мають право доступу чи допуску на підприємство (перепустки), електронні чи паперові інформаційні бази даних із зазначенням персональних даних працівників та їх посад, номерів телефонів, кабінетів; список клієнтів, передплатників тощо.

Законними підставами, які зобов’язують роботодавця володіти певними персональними даними найманих працівників можуть бути такі акти:

  • - стаття 24 КЗпП України;

  • - пункти 2–4 постанови Кабінету Міністрів України «Про трудові книжки працівників» від 27 квітня 1993 року № 301;

  • - пункти 1.3 та 1.4 Інструкції про порядок ведення трудових книжок працівників, затвердженої наказом Міністерства праці України, Міністерства юстиції України, Міністерства соціального захисту населення України від 29 липня 1993 року № 58;

  • - наказ Державного комітету статистики України та Міністерства оборони України «Про затвердження типової форми первинного обліку № П-2 «Особова картка працівника» від 25 грудня 2009 року № 495/656;

  • - наказ Міністерства статистики України «Про затвердження форми первинного обліку № П-2ДС та Інструкції по її заповненню» від 26 грудня 1995 року № 343;

  • - акти законодавства, якими встановлені обмеження, гарантії, компенсації, пільги у сфері трудових та соціальних правовідносин.

Державна служба України з питань захисту персональних даних (ДСЗПД) рекомендує розглядати кадровудокументацію, статистичну, податкову та іншу звітність в електронній формі та/або у формі картотек, яка обробляється роботодавцем і містить персональні дані працівників базою персональних даних чи складовоючастиною бази персональних даних.

Яскравим прикладом бази персональних даних працівників чи її складової частини, сформованої роботодавцем у формі копій заповнених звітів, є звіти, що подаються роботодавцями місцевим органам Державної служби зайнятості (виконавчої дирекції Фонду загальнообов’язкового державного соціального страхування України на випадок безробіття). Зокрема, звіт форми № 5-ПН, затвердженої наказом Міністерства соціальної політики України «Про затвердження форми звітності № 5-ПН «Звіт про прийнятих працівників» та інструкції щодо її заповнення» від 14 липня 2011 року № 279, звіти форми № 4-ПН (план) та № 4-ПН (факт), затверджені наказом Міністерства праці та соціальної політики України «Про затвердження форм звітності та інструкцій щодо їх заповнення» від 19 грудня 2005 року № 420. Відповідно, ці ж звіти мають бути окремо зареєстровані органами державної служби зайнятості як окремі бази персональних даних.

^ ОБРОБКА ПЕРСОНАЛЬНИХ ДАНИХ У СФЕРІ ТРУДОВИХ ВІДНОСИН

Ведення бази даних працівників підприємства, що пов’язане зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичних осіб є обробкою персональних даних.

Здійснення дій з обробки персональних даних передбачає наявність правових підстав такої обробки: згоди суб’єкта персональних даних на обробку персональних даних; права на обробку персональних даних, надане володільцю бази персональних даних відповідно до закону у порядку, визначеному законодавством України і виключно в інтересах національної безпеки, економічного добробуту та прав людини.
Як бачимо, для обробки персональних даних працівників потрібно отримати згоду від них. Такою згодою відповідно до статті 2 Закону № 2297 може бути будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки.

ДСЗПД рекомендує отримувати від працівників письмову згоду на обробку їх персональних даних. Така згода, зокрема, може надаватися окремим документом або шляхом зазначення про це у заяві про прийняття на роботу із зазначенням цілей обробки, на яку надається згода.

Крім того, ДСЗПД рекомендує обробку персональних даних у базах персональних даних при реалізації повноважень роботодавця у сфері трудових відносин здійснювати за умов:

- визначення роботодавцем як володільцем бази персональних даних мети обробки персональних даних відповідно до законодавства у сфері трудових відносин;

- встановлення складу персональних даних та процедур їх обробки;

- отримання згоди суб’єктів персональних даних на обробку їх персональних даних відповідно до визначеної мети або права на обробку персональних даних наданого володільцю бази персональних даних відповідно до закону;

- забезпечення захисту персональних даних у базі персональних даних від незаконної обробки і незаконного доступу до них;

- реєстрації баз персональних даних у Державному реєстрі баз персональних даних.

Мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця бази персональних даних, та відповідати законодавству про захист персональних даних (ст. 6 Закону № 2297).

Не зайвим буде, якщо володілець баз персональних даних (роботодавець) прийме локальний нормативний акт(видасть наказ чи інший документ), яким обумовить кількість баз персональних даних, що будуть сформовані на підприємстві, мету обробки цих даних, їх зміст і обсяг, а також процедуру обробки, доведе до відома суб’єкта персональних даних мету обробки персональних даних, отримає від суб’єкта персональних даних попередню письмову згоду про обробку даних, що можуть здійснюватися в майбутньому, а також призначить працівника — відповідальну особу, яка забезпечуватиме захист персональних даних.

Персональні дані мають бути точними, достовірними, у разі необхідності — оновлюватися.

Склад і зміст персональних даних мають бути відповідними і ненадмірними стосовно визначеної мети їх обробки.

Звернути увагу 
Забороняється обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров’я чи статевого життя.
Зазначене положення не застосовується, якщо, зокрема, обробка персональних даних необхідна для здійснення прав та виконання обов’язків у сфері трудових правовідносин відповідно до закону. Так, з метою створення умов для дотримання вимог статті 43 КЗпП роботодавець має право на обробку персональних даних щодо членства у професійних спілках, для дотримання вимог частини шостої статті 24, статей 169 та 191 КЗпП роботодавець має право на обробку персональних даних, що стосуються здоров’я працівника.

Суб’єкт персональних даних має право:

- знати про місцезнаходження бази персональних даних, яка містить його персональні дані, її призначення та найменування, місцезнаходження та/або місце проживання (перебування) володільця чи розпорядника цієї бази або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, установлених законом;

- отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані, що містяться у відповідній базі персональних даних;

- на доступ до своїх персональних даних, що містяться у відповідній базі персональних даних;

- отримувати не пізніш як за 30 календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи зберігаються його персональні дані у відповідній базі персональних даних, а також отримувати зміст його персональних даних, які зберігаються;

- пред’являти вмотивовану вимогу із запереченням проти обробки своїх персональних даних органами державної влади, органами місцевого самоврядування при здійсненні їхніх повноважень, передбачених законом;

- пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником цієї бази, якщо ці дані обробляються незаконно чи є недостовірними;

- на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;

- звертатися з питань захисту своїх прав щодо персональних даних до органів державної влади, органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних;

- застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних.

Суб’єкт персональних даних протягом десяти днів з дня включення його персональних даних до бази персональних даних має бути повідомлений про його права, мету збору даних та осіб, яким передаються його письмові дані, виключно в письмовій формі. Повідомлення можна оформити на тому ж аркуші, на якому оформлено згоду працівника на обробку його даних (додаток 1).



следующая страница >>