Почта редакции. Использование персональных данных работника: какой датой оформить согласие?

В избранном В избранное
Печать
Редакция НиБУ
Налоги и бухгалтерский учет Декабрь, 2011/№ 99
Ответы на вопросы

Использование персональных данных работника: какой датой оформить согласие?

 

Нашим предприятием 5 декабря 2011 года направлена заявка на регистрацию базы персональных данных «Работники». Сейчас собираем заявления от работников о согласии на использование их персональных данных в деятельности предприятия. Каким числом должны быть датированы такие заявления?

(г. Харьков)

 

Регистрация баз персональных данных — одна из наиболее горячих тем последних нескольких недель. Ситуация усложняется достаточно общими формулировками самого Закона Украины «О защите персональных данных» от 01.06.2010 г. № 2297-VI (далее — Закон о защите персональных данных), а также отсутствием официальных разъяснений со стороны Государственной службы по вопросам защиты персональных данных. Те же разъяснения, которые размещены на сайте Госслужбы, не дают ответов на все возникающие вопросы.

О том, каким должен быть алгоритм действий субъектов хозяйствования в связи с необходимостью регистрации баз персональных данных, мы уже сообщали дважды (см. «Налоги и бухгалтерский учет», 2011, № 90, с. 45 и № 97, с. 26). Напомним, что он в себя включает такие организационные действия:

получение согласия физических лиц, персональными сведениями которых владеет субъект хозяйствования (как юридическое лицо, так и физлицо-предприниматель), для использования информации о них в своей деятельности;

составление положения о защите персональных данных на предприятии;

издание приказа, которым руководитель утверждает положение о защите персональных данных и назначает ответственное лицо либо указывает структурное подразделение, на которое возлагаются функции по организации работы, связанной с защитой персональных данных, обеспечением государственной регистрации баз используемых в работе субъекта хозяйствования персональных данных;

регистрация базы персональных данных.

Что касается согласия физического лица, то, как мы уже указывали в своих предыдущих публикациях, с необходимостью его получения в принципе можно спорить. В самом определении владельца базы персональных данных, приведенном в ст. 2 Закона о защите персональных данных, сказано, что это физическое либо юридическое лицо, которому законом или по согласию субъекта персональных данных предоставлено право на обработку этих данных.

Поэтому, повторимся, работодатель вполне мог бы сослаться на отсутствие необходимости получения согласия работников на использование их персональных данных, тем более что реализовывать требования трудового, налогового и других актов законодательства без таких данных в принципе невозможно.

Но к сожалению, есть угроза того, что контролирующие органы будут подходить к данному вопросу куда более формально. Об этом свидетельствует и одна из консультаций Государственной службы по вопросам защиты персональных данных, размещенная на ее сайте (www.zpd.gov.ua). В ней Госслужба говорит о необходимости получения работодателем согласия работников на использование их персональных данных при выполнении требований действующего законодательства. Исключение сделано лишь в отношении тех из сотрудников, с которыми трудовые отношения возникли до 01.01.2011 г. Госслужба аргументов в пользу такой своей позиции не приводит. Мы со своей стороны готовы поддержать такой подход, обосновывая его общим запретом на придание нормативным актам обратного действия. На тот момент, когда работодатель начинал использование персональных данных работника (если он был принят на работу до 01.01.2011 г.), законодательство не требовало от него получения каким-либо специальным образом оформленного согласия на использование персональных данных. Предполагается, что добровольно предоставляя сведения о себе, работник заранее соглашается с правомерностью их использования в предусмотренных законодательством порядке и формах.

Но как быть с теми работниками, которые принимаются на работу после указанной даты? Как было сказано выше, Госслужба настаивает на необходимости получения письменного согласия от таких работников на использование их персональных данных.

Мы бы делали акцент не столько на необходимости получения согласия на использование персональных данных работника, сколько на появившейся у него со вступлением в силу Закона обязанности уведомить работника о предоставленных ему в этой связи правах. Тем более, что и ответственность Кодексом об административных правонарушениях предусмотрена не за отсутствие согласия работника, а за «неуведомление либо несвоевременное уведомление о его правах в связи с включением его персональных данных в базу персональных данных, цели сбора этих данных и о лицах, которым эти данные передаются».

Чтобы решить сразу две проблемы (и уведомить работников, и избежать претензий со стороны Госслужбы), можно объединить в одном документе и согласие работника на использование его данных, и подтверждение им, что он был уведомлен о предоставленных ему правах (пример заявления о согласии физлица на использование его персональных данных и об ознакомлении с предоставленными ему законодательством правами приведен в газете «Налоги и бухгалтерский учет», 2011, № 97, с. 28).

Вот и возникает вопрос, когда такое согласие необходимо получить: еще до регистрации базы данных или можно и после? Поскольку Закон о защите персональных данных называет согласие субъекта персональных данных на использование сведений о нем одним из условий правомерности такого использования, из этого следует, что получение согласия должно предшествовать самому началу использования таких данных. Следовательно, наиболее оптимальный вариант оформления отношений — получить подписанное физическим лицом заявление о его согласии на использование персональных данных одновременно с оформлением трудовых отношений с ним.

Наиболее проблемным в этом отношении является 2011 год. Вариант оформления подобного заявления задним числом мы рассматривать не будем, хотя следует признать, он в такой ситуации выглядит наиболее безболезненным.

Но предположим, что предприятие соберет соответствующие заявления у своих сотрудников только сейчас, в конце года. Чем это может грозить? На наш взгляд, ничем. Дело в том, что санкции за нарушение требований законодательства о защите персональных данных заработают только с 01.01.2012 г. (об этом также см. «Налоги и бухгалтерский учет», 2011, № 97, с. 26). Среди них штраф за неуведомление или несвоевременное уведомление субъекта персональных данных (в том числе работника) о его правах в связи с включением его персональных данных в базу персональных данных, цели сбора этих данных и лицах, которым эти данные передаются, который может быть наложен на должностных лиц предприятия либо на физлиц-предпринимателей в размере от 300 до 400 не облагаемых минимумов доходов граждан (т. е. от 5100 до 6800 грн.), на физлиц-работодателей, не имеющих статуса предпринимателя, — от 200 до 300 ннмдг (от 3400 до 5100 грн.). Поскольку в 2011 году использование базы персональных данных без соответствующего уведомления субъекта таких данных уже было нарушением требований, но за него не была предусмотрена ответственность, если субъект хозяйствования успеет устранить это нарушение до окончания 2011 года, т. е. на момент вступления в силу норм, устанавливающих штрафы за такие нарушения, то оснований для применения штрафов не будет.

 

Елена Уварова

Оформи подписку и читай все Подписаться на журнал

Похоже, что вы используете блокировщик рекламы :(

Чтобы пользоваться всеми функциями сайта, добавьте нас в исключения!

Как отключить