Как должна поступать администрация и кадровая служба предприятия при отказе работника от предоставления согласия на сбор и обработку персональных данных:

1. Если работник принят на работу в 2011 году?
2. Если работник принят на работу в период до 1 января 2011 года?
3. Если работник, работающий на предприятии по состоянию на 1 января 2011 года, предъявляет требование уничтожить свои персональные данные и возражает против их обработки?

1. Согласно статье 2 Закона Украины «О защите персональных данных» от 1 июня 2010 года № 2297-VI (далее — Закон № 2297) согласием субъекта персональных данных является любое документированное, в частности письменное, добровольное волеизъявление физического лица о предоставлении разрешения на обработку его персональных данных в соответствии со сформулированной целью их обработки. Следовательно, согласие на обработку персональных данных должно даваться в соответствии со сформулированной целью их обработки.

Обращаем внимание, что в соответствии с частью 1 статьи 6 Закона № 2297 цель обработки персональных данных должна быть сформулирована в законах, других нормативно-правовых актах, положениях, учредительных или иных документах, регулирующих деятельность владельца базы персональных данных, и соответствовать законодательству о защите персональных данных.

Так, Кодекс законов о труде Украины определяет правовые принципы и гарантии осуществления гражданами Украины права распоряжаться своими способностями к продуктивному и творческому труду и регулирует трудовые отношения всех работников. Кроме этого, Кодексом установлена обязанность работодателя получить от работника определенные документы: «При заключении трудового договора гражданин обязан предоставить паспорт или другой документ, удостоверяющий личность, трудовую книжку, а в случаях, предусмотренных законодательством, — также документ об образовании (специальности, квалификации), о состоянии здоровья и другие документы» (ст. 24 КЗоТ).

Стоит подчеркнуть, что обработка персональных данных осуществляется для конкретных и законных целей, определенных по согласию субъекта персональных данных, или в случаях, предусмотренных законами Украины, в порядке, установленном законодательством (ч. 5 ст. 6 Закона № 2297). Однако если процедуры обработки персональных данных работника выходят за пределы разрешения, предоставленного владельцу в соответствии с трудовым законодательством только для осуществления его полномочий, необходимо получить согласие от работника. Например, если к работодателю обращается страховая компания с просьбой предоставить сведения о работниках предприятия с целью предложить им услуги по страхованию здоровья и жизни и т. д.

В вышеуказанных случаях Государственная служба Украины по вопросам защиты персональных данных рекомендует при сборе персональных данных лиц путем заполнения бумажного документа (трудового договора, заявления) предусмотреть в нем соответствующий пункт (графу) о предоставлении субъектом согласия на обработку его персональных данных.

Кроме того, рекомендуем кадровым службам объяснять работнику, что его данные будут обрабатываться лишь в пределах трудового законодательства с соблюдением требований Закона № 2297, ведь обработка данных о физическом лице без его согласия не допускается, кроме случаев, определенных законом, и только в интересах национальной безопасности, экономического благополучия и прав человека (ч. 6 ст. 6 Закона № 2297).

2. Согласие субъекта персональных данных на обработку этих данных не предоставляется, если владелец продолжает обрабатывать персональные данные субъекта в соответствии с правоотношениями на основе свободного волеизъявления физического лица, сложившимися до вступления в силу Законом № 2297.

Если работник отказывается предоставлять согласие на обработку его персональных данных, Государственная служба Украины по вопросам защиты персональных данных рекомендует обрабатывать его данные в пределах, определенных трудовым законодательством. Если действия владельца по обработке персональных данных работника выходят за пределы трудового законодательства, должно быть получено согласие от работника, т. е. любое документированное, в частности письменное, добровольное волеизъявление работника о предоставлении разрешения на обработку его персональных данных в соответствии со сформулированной целью их обработки.

3. В базах персональных данных уничтожению подлежат персональные данные в случаях, определенных статьей 15 Закона № 2297 (в частности, истечения срока хранения данных, определенного согласием субъекта персональных данных на обработку этих данных или законом; прекращения правоотношений между субъектом персональных данных и владельцем или распорядителем базы, если иное не предусмотрено законом; вступления в законную силу решения суда об изъятии данных о физическом лице из базы персональных данных и др.), и в порядке, установленном в соответствии с требованиями закона.

Следует помнить, что состав и содержание персональных данных работника должны быть не больше по отношению к определенной цели их обработки и не должны храниться дольше, чем это необходимо в соответствии с их законным назначением.

Вместе с тем в соответствии с Перечнем типовых документов, которые образуются в деятельности органов государственной власти и местного самоуправления, других предприятий, учреждений и организаций, с указанием сроков хранения документов, утвержденным приказом Главного архивного управления при Кабинете Министров Украины от 20 июля 1998 года № 41, личные дела работников, а также дела, содержащие личные карточки работников предприятия, и некоторые другие кадровые документы, хранятся 75 лет – «В».

Кадровым службам стоило бы объяснить работнику, требующему уничтожить его персональные данные, что хранение персональных данных необходимо для того, чтобы при потребности работник мог получить архивные справки, копии документов, содержащих сведения о нем, которые могут быть использованы при оформлении пенсии, для подтверждения трудового стажа и т. д.

Кроме того, субъект персональных данных согласно статье 8 Закона № 2297 имеет право предъявлять мотивированное требование относительно изменения или уничтожения своих персональных данных любым владельцем и распорядителем этой базы, если эти данные обрабатываются незаконно или являются недостоверными.

Татьяна Степаненко
По материалам «Справочник кадровика»