Персональные данные наемных работников: как защитить
Новини
01.11.2011
Персональные данные наемных работников: как защитить
1 января 2011 г. вступил в силу Закон № 2297, вызывающий большой интерес у руководителей предприятий, учреждений и организаций, использующих наемный труд работников. Данный Закон регулирует отношения, связанные с защитой персональных данных во время их обработки. Действие Закона не распространяется на физических лиц, деятельность которых связана с созданием персональных данных и обработкой персональных данных в этой базе, на профессионально-творческих работников — для осуществления творческой деятельности, также не распространяется на журналистов — в связи с выполнением ими служебных или профессиональных обязанностей.
Ст. 2 Закона № 2297 содержит в себе некоторые понятия, необходимые для уяснения смысла самого Закона:
база персональных данных — именуемая совокупность упорядоченных персональных данных в электронной форме и (или) в форме картотек персональных данных;
владелец базы персональных данных — физическое или юридическое лицо, которому законом или при согласии субъекта персональных данных предоставлено право на обработку этих данных, которое утверждает цель обработки персональных данных в этой базе данных, устанавливает состав этих данных и процедуры их обработки, если другое не определенно законом;
Государственный реестр баз персональных данных — единая государственная информационная система сбора, накопления и обработки сведений о зарегистрированных базах персональных данных;
согласие субъекта персональных данных — любое документируемое, в частности письменное, добровольное волеизъявление физического лица относительно предоставления разрешения на обработку его персональных данных в соответствии со сформулированной целью их обработки;
обезличение персональных данных — исключения сведений, которые дают возможность идентифицировать лицо;
обработка персональных данных — любое действие или совокупность действий, осуществленных полностью или частично в информационной (автоматизированной) системе и/или в картотеках персональных данных, которые связаны со сбором, регистрацией, накоплением, хранением, адаптацией, изменением, возобновлением, использованием и расширением (распространением, реализацией, передачей), обезличением, уничтожением сведений о физическом лице;
персональные данные — сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано;
распорядитель базы персональных данных — физическое или юридическое лицо, которому владельцем базы персональных данных или законом предоставлено право на обработку этих данных;
субъект персональных данных — физическое лицо, относительно которого в соответствии с законом осуществляется обработка его персональных данных;
третье лицо — любое лицо, за исключением субъекта персональных данных, владельца или распорядителя базы персональных данных и уполномоченного государственного органа по вопросам защиты персональных данных, которому владельцем или распорядителем базы персональных данных осуществляется передача персональных данных в соответствии с законом.
Согласно п. 2 ст. 4 Закона № 2297 владельцем или распорядителем базы персональных данных могут быть предприятия, учреждения и организации всех форм собственности, органы государственной власти или органы местного самоуправления, физические лица — предприниматели, которые обрабатывают персональные данные в соответствии с законом.
Ст. 5 Закона № 2297 предусмотрено, что персональные данные являются объектами защиты, а персональные данные, кроме обезличенных персональных данных, являются информацией с ограниченным доступом. Персональные данные физического лица, которое претендует занять или занимает выборную должность (в представительских органах) или должность государственного служащего первой категории, не принадлежат к информации с ограниченным допуском, за исключением информации, определенной как такова в соответствии с законом.
Персональные данные составляются с учетом целей их создания и должны им соответствовать, однако более обширное их содержание не может быть получено большим, чем это предусматривает цель создания такой базы.
Следует отметить, что объем персональных данных, которые могут быть включены в базу персональных данных, определяется условиями согласия субъекта персональных данных или в соответствии с законом.
Однако практика сбора персональных данных некоторыми ее владельцами показывает, что не все юридические лица выполняют требования Закона № 2297.
Например, банки, оформляя пластиковые карточки «Виза» или социальные карточки, а также карточки физлиц, не связанных с предпринимательской деятельностью, предлагают своим будущим клиентам заполнить анкеты, в которых предусмотрено много различной информации, не связанной с открытием данных карточек (принадлежность заполняющего анкету к каким-то партиям или общественным организациям, наличие движимого и недвижимого имущества, наличие лица, осуществляющего контроль за финансовой деятельностью и др.).
Данный факт является нарушением Закона № 2297 и при отказе физического лица заполнить приведенные графы, не имеющие вообще никакого отношения к открытию данной пластиковой карточки, не могут быть использованы банками как причина отказа открытия ему пластиковой карточки.
П. 1 ст. 7 Закона № 2297 запрещается обработка персональных данных о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членство в политических партиях и профессиональных союзах, а также данных, которые касаются здоровья или половой жизни.
Закон № 2297 не допускает обработку данных о физическом лице без его согласия, кроме случаев, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека (п. 6 ст. 6)
Если обработка персональных данных является необходимой для защиты жизненно важных интересов субъекта персональных данных, обрабатывать персональные данные без его согласия можно до времени, когда получение согласия станет возможным.
Следует обратить внимание на содержание ст. 7 Закона № 2297, которое в некоторой степени противоречит КЗоТ. Например, не запрещается обработка персональных данных без согласия субъекта персональных данных (работника) в случае, когда обработка персональных данных необходима для осуществления прав и выполнения обязанностей в сфере трудовых правоотношений в соответствии с законом.
Однако в соответствии с ч. 2. ст. 24 КЗоТ при заключении трудового договора гражданин обязан подать паспорт или другой документ, удостоверяющий личность, а в случаях, предусмотренных законодательством, также документ об образовании, специальности или квалификации и документ о медицинском состоянии для некоторых категорий работников. Например, сварщик должен пройти медосмотр на право выполнения вредной работы — сварки, работник-инвалид должен предоставить удостоверение инвалида и заключение МСЭК с рекомендациями по использованию труда инвалида.
Других документов, необходимых для оформления трудовых отношений, а также для оформления перевода (если нет медицинских показаний) и увольнения трудовое законодательство не предусматривает.
Кроме этого, до введения в действие Закона № 2297 на протяжении нескольких десятилетий работниками отдела кадров различных форм собственности предприятий, учреждений и организаций использовались различные персональные данные наемных работников, которые предоставлялись последними. Эти данные заносились в личные листки (для инженерно-технических работников) и личные карточки, оформляемые на все категории работников, состоящих с юридическим лицом в трудовых отношениях.
Итак, персональные данные работников ранее отражались и сейчас отражаются в вышеупомянутых личных карточках по ф. П-2.
В связи с этим обращаем внимание: дальнейшее использование персональных данных наемных работников, а также использование таких данных при их отражении в личных карточках работников после введения в действие Закона № 2297 следует проводить только с учетом требований данного Закона.
Не требуется согласие субъекта персональных данных на сбор и изменение его данных, если это:
необходимо для защиты интересов субъекта персональных данных или другого лица в случае недееспособности или ограничения гражданской дееспособности субъекта персональных данных;
осуществляется религиозной организацией, общественной организацией мировоззренческой направленности, политической партией или профессиональным союзом, которые созданы в соответствии с законом, при условии, что обработка касается исключительно персональных данных членов этих объединений или лиц, поддерживающих постоянные контакты с ними в связи с характером их деятельности, и персональные данные не передаются третьему лицу без согласия субъектов персональных данных;
необходимо для обоснования, удовлетворения или защиты правового требования;
необходимо в целях здравоохранения, для обеспечения заботы или лечения при условии, что такие данные обрабатываются медицинским работником или другим лицом заведения здравоохранения, на которого возложены обязанности относительно обеспечения защиты персональных данных;
касается обвинений в совершении преступлений, приговоров суда, осуществления государственным органом полномочий, определенных законом, относительно выполнения заданий оперативно-розыскной или контрразведывательной деятельности, борьбы с терроризмом;
касается данных, которые были обнародованы субъектом персональных данных.
Ст. 8 Закона № 2297 дает такие права субъекту персональных данных (например, работнику предприятия, учреждения или организации):
знать о местонахождении базы персональных данных, которая содержит его персональные данные, ее назначение и наименование, местонахождение и/или местожительство (пребывание) владельца или распорядителя этой базы или даты соответствующего поручения относительно получения этой информации уполномоченным им лицам, кроме случаев, установленных законом;
получать информацию об условиях предоставления доступа к персональным данным, в частности информацию о третьих лицах, которым передаются его персональные данные, содержащиеся в соответствующей базе персональных данных;
на доступ к своим персональным данным, содержащихся в соответствующей базе персональных данных;
получать не позднее чем за 30 календарных дней со дня поступления запроса, кроме случаев, предусмотренных законом, ответ о том, сохраняются ли его персональные данные в соответствующей базе персональных данных, а также получать содержание его персональных данных, которые сохраняются;
предъявлять мотивируемое требование с запретом против обработки своих персональных данных органами государственной власти, органами местного самоуправления при осуществлении их полномочий, предусмотренных законом;
предъявлять мотивируемое требование относительно изменения или уничтожения своих персональных данных любым владельцем и распорядителем этой базы, если данные обрабатываются незаконно или являются недостоверными;
на защиту своих персональных данных от незаконной обработки и случайной потери, уничтожения, повреждения в связи с преднамеренным укрывательством, непредоставлением или несвоевременным их предоставлением, а также на защиту от предоставления сведений, которые являются недостоверными или позорят честь, достоинство и деловую репутацию физического лица;
обращаться по вопросам защиты своих прав относительно персональных данных в органы государственной власти, органы местного самоуправления, к полномочиям которых относится осуществление защиты персональных данных;
применять средства правовой защиты в случае нарушения законодательства о защите персональных данных.
Доступ субъекта персональных данных к данным о себе осуществляется безвозмездно.
В соответствии с требованием ст. 9 Закона № 2297 база персональных данных подлежит государственной регистрации путем внесения соответствующей записи уполномоченным государственным органом по вопросам защиты персональных данных в Государственный реестр баз персональных данных. Заявление о регистрации базы персональных данных подается владельцем базы персональных данных уполномоченному государственному органу по вопросам защиты персональных данных.
Заявление должно содержать:
обращение о внесении базы персональных данных в Государственный реестр баз персональных данных;
информацию о владельце базы персональных данных;
информацию о наименовании и местонахождении базы персональных данных;
информацию о цели обработки персональных данных в базе персональных данных, сформулированную в соответствии с требованиями статей 6 и 7 Закона № 2297;
информацию о других распорядителях базы персональных данных;
подтверждение обязательства относительно выполнения требований защиты персональных данных, установленных законодательством о защите персональных данных.
Руководителям предприятий, учреждений и организаций, включая банки, следует знать, что согласно ст. 11 Закона № 2297 основаниями возникновения права на использование персональных данных является:
1) согласие субъекта персональных данных на обработку его персональных данных. Субъект персональных данных имеет право при предоставлении согласия внести предупреждение относительно ограничения права на обработку своих персональных данных;
2) разрешение на обработку персональных данных, предоставленное владельцу базы персональных данных в соответствии с законом исключительно для осуществления его полномочий.
Особое внимание следует обратить на вопрос распространения персональных данных. Распространение персональных данных предусматривает действия относительно передачи сведений о физическом лице из баз персональных данных при согласии субъекта персональных данных. Распространение персональных данных без согласия субъекта персональных данных или уполномоченного им лица допускается в случаях, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека. Выполнение требований установленного режима защиты персональных данных обеспечивает сторона, распространяющая эти данные. Сторона, которой передаются персональные данные, должна предварительно принять меры относительно обеспечения требований Закона № 2297.
Хранящиеся в базах персональные данные подлежат на основании ст. 15 Закона № 2297 уничтожению в случае:
окончания срока хранения данных, определенного согласием субъекта персональных данных на обработку этих данных или законом;
прекращения правоотношений между субъектом персональных данных и владельцем или распорядителем базы, если иное не предусмотрено законом;
вступления в законную силу решениям суда относительно исключения данных о физическом лице из базы персональных данных.
Персональные данные, собранные с нарушением требований Закона № 2297, подлежат уничтожению в базах персональных данных в установленном законодательством порядке.
Запрос удовлетворяется в течение 30 календарных дней со дня его поступления, если иное не предусмотрено законом.
Субъект персональных данных имеет право на получение любых сведений о себе у любого субъекта отношений, связанных с персональными данными, без указания цели запроса, кроме случаев, установленных законом.
На основании ст. 20 Закона № 2297 владельцы или распорядители баз персональных данных обязаны вносить изменения в персональные данные на основании мотивированного письменного требования субъекта персональных данных. Позволяется внесение изменений в персональные данные по обращению других субъектов отношений, связанных с персональными данными, если на это есть согласие субъекта персональных данных или соответствующее изменение осуществляется по решению суда, вступившего в законную силу. Изменение персональных данных, которые не отвечают действительности, проводится безотлагательно с момента установления несоответствия.
Субъекты отношений, связанных с персональными данными, обязаны обеспечить защиту этих данных от незаконной обработки, а также от незаконного доступа к ним. Обеспечение защиты персональных данных в базе персональных данных полагается на владельца этой базы. Владелец базы персональных данных в электронной форме обеспечивает ее защиту в соответствии с законом. В органах государственной власти и органах местного самоуправления, организациях, учреждениях и на предприятиях всех форм собственности определяется структурное подразделение или ответственное лицо, которое организовывает работу, связанную с защитой персональных данных при их обработке, в соответствии с законом.
На основании вышеизложенного можно сделать вывод: все граждане Украины имеют право на защиту своих персональных данных, на доступ к ним и на их изменение, а также на запрет их использования.
Однако Законом № 2297 прямо не предусмотрена защита собственника персональных данных в случаях, когда он не дает право какому-то распорядителю базы персональных данных на использование его персональных данных. Например, когда в банке отказываются оформить карточку, если физическое лицо не дает согласие на отражение в анкетах второстепенных его личных сведений, не имеющих отношения к открытию пластиковой карточки.
С учетом требований Закона № 2297 рекомендуем всем физическим и юридическим лицам, которые будут использовать или уже используют персональные данные субъекта персональных данных, получить письменное согласие (заявление) на право использования персональных данных.
Обращаем внимание читателей на следующее: если субъект персональных данных не дает свое право на использование его персональных данных, кроме особых случаев, предусмотренных Законом № 2297, то использование его данных является противозаконным.