Згода на обробку персональних даних від працівника не потрібна

Закон України “Про захист персональних даних” N 2297-VI від 01.06.2010 р., який набрав чинності ще з початку 2011 р., тільки в останні місяці привернув до себе неабияку увагу. Причиною цьому стало запровадження значних штрафних санкцій за невиконання норм зазначеного нормативно-правового акта, які будуть застосовуватися вже з 1 січня 2012 р.

Саме тому на даний час актуальною проблемою для багатьох підприємств, а також фізичних осіб – суб’єктів підприємницької діяльності, є реєстрація баз персональних даних. Разом з цим, заповнення заяви та подача її на держреєстрацію до Державної служби з питань захисту персональних даних є лише одним пунктом із переліку дій, які мають зробити заявники на шляху до впровадження у себе системи обробки та захисту персональних даних. Володільці баз персональних даних мають розробити внутрішню документацію, отримати згоди від суб’єктів персональних даних, надати останнім у відповідь повідомлення щодо їх прав, взяти з осіб, що мають доступ до персональних даних, зобов’язання щодо нерозголошення інформації, а також забезпечити захист персональних даних у існуючих базах.

На усіх зазначених етапах виникає багато питань, роз’яснити більшість з яких, опираючись лише на норми Закону N 2297-VI, неможливо. Саме тому дуже доречною стала поява роз’яснення Держслужби з питань захисту персональних даних, яке торкнулося низки проблем.

Мабуть, самим довгоочікуваним стало роз’яснення питання щодо підстав для обробки персональних даних працівника. Зразу ж зазначимо, ЗГОДУ на обробку персональних даних від працівників отримувати НЕ ПОТРІБНО. В даному випадку, відомості щодо персоналу будуть оброблюватися на підставі дозволу, наданого відповідно до закону, а саме – ст. 24 КЗпП виключно для здійснення повноважень володільця бази персональних даних у сфері правовідносин, які виникли в нього з працівником на підставі трудового договору (контракту). Нагадаємо, що у статті 24 КЗпП передбачено, що громадянин при укладенні трудового договору зобов’язаний подати паспорт або інший документ, що посвідчує особу, трудову книжку, а у випадках, передбачених законодавством, – також документ про освіту (спеціальність, кваліфікацію), про стан здоров’я та інші документи .

Відмітимо, що таку ж думку ми висловлювали у статті ОТРИМАННЯ ЗГОДИ ОСОБИ НА ОБРОБКУ ЇЇ ПЕРСОНАЛЬНИХ ДАНИХ НЕ ЗАВЖДИ Є ОБОВ’ЯЗКОВИМ – автор Ольга Яковенко.

Увага! Звільнення від необхідності отримання згоди не позбавляє володільця баз персональних даних від обов’язку надання працівнику повідомлення про його права. Нагадаємо, що неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних є однією з підстав для накладення адмінштрафу у розмірі від 5100 до 6800 грн. (повторно протягом року – 6800-11900 грн.) (ст. 18839 КпАП).

Окремої уваги заслуговує пункт роз’яснення, що стосується ВИМОГ ДО ЗГОДИ суб’єкта персональних даних.

Відповідно, до визначення, наданого у ст. 2 Закону N 2297-VI, згодою суб’єкта персональних даних вважається будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки.

При цьому, Держслужба, посилаючись на окремі статті вищезазначеного Закону, зазначає, що згода суб’єкта персональних даних на обробку персональних даних повинна містити інформацію щодо:

- мети та конкретних цілей обробки персональних даних (ст. 2 Закону N 2297-VI ) ;

- обсягу персональних даних (ст. 6 Закону N 2297-VI ) ;

- порядку використання персональних даних (ст. 10 Закону N 2297-VI ) ;

- порядку поширення персональних даних (ст. 14 Закону N 2297-VI ) ;

- порядку доступу до персональних даних третіх осіб (ст. 16 Закону N 2297-VI ) .

Не зайвим є розглянуте у роз’ясненні питання щодо ОФОРМЛЕННЯ ЗАЯВИ про держреєстрацію бази, а також про внесення змін до відомостей Державного реєстру баз персональних даних . Зазначені документи мають містити інформацію про мету обробки персональних даних з визначенням категорії обробки персональних даних.

Метою обробки є забезпечення володільцем бази персональних даних належного здійснення діяльності, визначеної в законах, інших нормативно-правових актах, положеннях, установчих документах, які регулюють його діяльність, та внаслідок якої виникає необхідність у вчиненні будь-якої дії або сукупності дій з обробки персональних даних у базах.

Визначення категорії обробки персональних даних залежить від вимог до обробки персональних даних, які містяться в базах персональних даних заявника. Закон N 2297-VI визначає загальні та особливі вимоги обробки.

Особливі вимоги обробки застосовуються до персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров’я чи статевого життя. Обробка зазначених відомостей дозволена Законом лише у деяких виключних випадках, наприклад, це необхідно для здійснення прав та виконання обов’язків у сфері трудових правовідносин відповідно до закону чи для обґрунтування, задоволення або захисту правової вимоги тощо.

Під загальні вимоги до обробки підпадають у сі наявні у суспільному житті персональні дані особи, окрім вищезазначених.

Відповідно до ЗУ “Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних” (N 3454-VI від 02.06.2011 р.) з 01.01.2012 р. за ухилення від реєстрації бази персональних даних будуть застосовуватися досить значні штрафні санкції – від 8500 грн. до 17000 грн.

Побоюючись відповідальності, володільці баз персональних даних намагаються встигнути до нового року отримати Свідоцтво про держреєстрацію. Поспішаємо повідомити вам приємну новину –достатньо буде лише встигнути подати заяву про реєстрацію бази до 1 січня 2012 р. Сам факт такої подачі вже не буде вважатися ухиленням від держреєстрації .

Що стосується контрольних заходів, а саме проведення перевірок, то Держслужба зазначає, що вони будуть виїзними та безвиїзними, а також плановими і позаплановими. План проведення перевірок (планових) буде розміщуватися на веб-сайті Держслужби ( www.zpd.gov.ua ). А ось позапланові перевірки будуть проводитися лише за скаргами громадян. При цьому Держслужба наголошує, що відповідна скарга має бути підкріплена документами, що підтверджують порушення у сфері захисту персональних даних.

Увага! Перевірки будуть проводитися лише після затвердження відповідного наказу ( “Про затвердження Положення про порядок здійснення Державною службою України з питань захисту персональних даних державного контролю за додержанням законодавства про захист персональних даних”) , проект якого на даний час проходить громадське обговорення. Наступними кроками до затвердження цього документа стануть погодження у Міністерстві економічного розвитку і торгівлі України, а також держреєстрація у Міністерстві юстиції України.

Насамкінець, звернемо вашу увагу на таке повідомлення Держслужби – “Заяви про реєстрацію бази даних Державною службою України з питань захисту персональних даних будуть прийматися також після 1 січня 2012 року” .

———————

Роз’яснення Державної служби України з питань захисту персональних даних від 14.12.2011 р.

http://dinai.com

Стаття опублікована у четвер, 22.12.2011, у категорії Право, суди. Ви можете відслідковувати відповіді на цю статтю за допомогою RSS 2.0.

Написати відповідь


дев'ять + 7 =