Пошта редакції. Використання персональних даних працівника: якою датою оформити згоду?

Використання персональних даних працівника: якою датою оформити згоду?

Реєстрація баз персональних даних — одна з найбільш гарячих тем останніх декількох тижнів. Ситуація ускладнюється доволі загальними формулюваннями самого Закону України «Про захист персональних даних» від 01.06.2010 р. № 2297-VI (далі — Закон про захист персональних даних), а також відсутністю офіційних роз'яснень з боку Державної служби з питань захисту персональних даних. Ті ж роз'яснення, які розміщені на сайті Держслужби, не дають відповідей на всі запитання, що виникають.

Про те, яким має бути алгоритм дій суб'єктів господарювання у зв'язку з необхідністю реєстрації баз персональних даних, ми вже повідомляли двічі (див. «Податки та бухгалтерський облік», 2011, № 90, с. 45 і № 97, с. 26). Нагадаємо, він уключає такі організаційні дії:

— отримання згоди фізичних осіб, персональними відомостями яких володіє суб'єкт господарювання (як юридична особа, так і фізособа-підприємець), на використання інформації про них у своїй діяльності;

— розробка положення про захист персональних даних на підприємстві;

— видання наказу, яким керівник затверджує Положення про захист персональних даних та призначає відповідальну особу або вказує структурний підрозділ, на який покладаються функції з організації роботи, пов'язаної із захистом персональних даних, забезпеченням державної реєстрації баз персональних даних, що використовуються в роботі суб'єкта господарювання;

— реєстрація бази персональних даних.

Що стосується згоди фізичної особи, то, як ми вже вказували у своїх попередніх публікаціях, з необхідністю її отримання у принципі можна спорити. У самому визначенні власника бази персональних даних, наведеному у ст. 2 Закону про захист персональних даних, зазначено, що це фізична або юридична особа, якій законом або за згодою суб'єкта персональних даних надано право на обробку цих даних. Тому, повторимося, роботодавець цілком міг би послатися на відсутність необхідності отримання згоди працівників на використання їх персональних даних, тим більше, що реалізовувати вимоги трудового, податкового та інших актів законодавства без таких даних у принципі неможливо.

Але, на жаль, є загроза того, що контролюючі органи підходитимуть до цього питання формально. Про це свідчить і одна з консультацій Державної служби з питань захисту персональних даних, розміщена на її сайті (www.zpd.gov.ua). У ній Держслужба вказує на необхідність отримання роботодавцем згоди працівників на використання їх персональних даних при виконанні вимог чинного законодавства. Виняток зроблено лише щодо тих працівників, з якими трудові відносини виникли до 01.01.2011 р. Держслужба аргументів на користь такої своєї позиції не наводить. Ми, зі свого боку, готові підтримати такий підхід, обґрунтовуючи його загальною забороною на надання нормативним актам зворотної дії. На той момент, коли роботодавець починав використання персональних даних працівника (якщо його було прийнято на роботу до 01.01.2011 р.), законодавство не вимагало від нього отримання в будь-який спеціальний спосіб оформленої згоди на використання персональних даних. Передбачається, що добровільно надаючи відомості про себе, працівник заздалегідь погоджується з правомірністю їх використання в передбачених законодавством порядку та формах.

Але як бути з тими працівниками, яких приймають на роботу після зазначеної дати? Як уже зазначалося, Держслужба наполягає на необхідності отримання письмової згоди від таких працівників на використання їх персональних даних.

Ми б робили акцент не стільки на необхідності отримання згоди на використання персональних даних працівника, скільки на обов'язку роботодавця, що з'явився в нього з набуттям Законом чинності, повідомити працівника про надані йому у зв'язку з цим права. Тим більше, що і відповідальність Кодексом про адміністративні правопорушення передбачена не за відсутність згоди працівника, а за «неповідомлення або несвоєчасне повідомлення про його права у зв'язку з включенням його персональних даних до бази персональних даних, мету збору цих даних та про осіб, яким ці дані передаються».

Щоб вирішити відразу дві проблеми (і повідомити працівників, і уникнути претензій з боку Держслужби), можна об'єднати в одному документі і згоду працівника на використання його даних, і підтвердження ним, що його було повідомлено про надані йому права (приклад заяви про згоду фізособи на використання її персональних даних та про ознайомлення з наданими їй законодавством правами наведено в газеті «Податки та бухгалтерський облік», 2011, № 97, с. 28).

От і виникає запитання, коли таку згоду необхідно отримати: ще до реєстрації бази даних чи можна і після? Оскільки Закон про захист персональних даних називає згоду суб'єкта персональних даних на використання відомостей про нього однією з умов правомірності такого використання, з цього випливає, що отримання згоди має передувати самому початку використання таких даних. Отже, найбільш оптимальний варіант оформлення відносин — отримати підписану фізичною особою заяву про її згоду на використання персональних даних одночасно з оформленням трудових відносин з нею.

Найбільш проблемним у цьому відношенні є 2011 рік. Варіант оформлення подібної заяви «заднім числом» ми не розглядатимемо, хоча, слід визнати, він у такій ситуації виглядає найбільш безболісним.

Але припустимо, що підприємство збере відповідні заяви у своїх працівників тільки зараз, наприкінці року. Чим це може загрожувати? На наш погляд, нічим. Річ у тім, що санкції за порушення вимог законодавства про захист персональних даних запрацюють тільки з 01.01.2012 р. (про це також див. «Податки та бухгалтерський облік», 2011, № 97, с. 26). Серед них штраф за неповідомлення або несвоєчасне повідомлення суб'єкта персональних даних (у тому числі працівника) про його права у зв'язку з уключенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються, що може бути накладено на посадових осіб підприємства або на фізосіб-підприємців у розмірі від 300 до 400 неоподатковуваних мінімумів доходів громадян (тобто від 5100 до 6800 грн.), на фізосіб-роботодавців, які не мають статусу підприємця, — від 200 до 300 нмдг (від 3400 до 5100 грн.). У 2011 році використання бази персональних даних без відповідного повідомлення суб'єкта таких даних уже було порушенням вимог, але за нього не було передбачено відповідальності. Якщо суб'єкт господарювання встигне усунути це порушення до закінчення 2011 року, тобто до моменту набуття чинності нормами, що встановлюють штрафи за такі порушення, то підстав для застосування штрафів не буде.