Персональні дані. Персональні дані: запитання роботодавця

Персональні дані: запитання роботодавця

 

Чи необхідно підприємству реєструвати відомості, якими воно володіє щодо своїх працівників? Чи потрібно на це отримувати згоду самих працівників?

(м. Одеса)

 

З 1 січня 2011 року діє

Закон України «Про захист персональних даних» від 01.06.2010 р. № 2297-VI, керуючись положеннями якого з 01.07.2011 р. Державна служба України з питань захисту персональних даних почала реєстрацію баз персональних даних у Держреєстрі баз персональних даних.

Спробуємо розібратися, що розуміє законодавець під персональними даними та в яких випадках покладає на роботодавця обов'язок зареєструвати базу персональних даних.

Згідно зі

ст. 2 Закону № 2297 персональні дані — це відомості чи сукупність відомостей про фізичну особу, яку ідентифіковано або може бути конкретно ідентифіковано, база персональних даних — іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних. Джерелами відомостей про фізичну особу є: видані на її ім'я документи; підписані нею документи; відомості, які особа надає про себе (ч. 4 ст. 6 Закону № 2297).

Роботодавець, який у своїй діяльності не може не використовувати відомості про фізичних осіб, котрі перебувають з ним у трудових відносинах (це, зокрема, відомості про вік, дату й місце народження, місце проживання, реєстраційний номер облікової картки, соціальний статус, наявність права на пільги, що надаються законодавством, наприклад, для інвалідів, вагітних жінок та жінок з дітьми віком до трьох років, неповнолітніх, автобіографії, характеристики, дані про проходження атестації тощо), підпадає під визначення власника бази персональних даних, а отже, на нього покладається обов'язок щодо встановлення складу персональних даних та процедури їх обробки. У зв'язку з цим Державна служба України з питань захисту персональних даних (далі — ДСЗПД) рекомендує розглядати кадрову документацію, статистичну, податкову та іншу звітність в електронній формі та/або у формі картотек, що обробляється роботодавцем та містить персональні дані працівників як базу персональних даних або складову частину бази персональних даних.

Стаття 11 Закону № 2297

називає підстави виникнення права на використання персональних даних:

1)

згода суб'єкта персональних даних (у нашому випадку — працівника) на обробку його персональних даних. Суб'єкт персональних даних має право при наданні згоди внести застереження щодо обмеження права на обробку своїх персональних даних;

2)

дозвіл на обробку персональних даних, наданий власнику бази персональних даних відповідно до закону виключно для здійснення своїх повноважень.

На нашу думку, роботодавець цілком може скористатися другою з наведених підстав та наполягати на відсутності необхідності отримання окремої згоди працівників на використання даних, що ними надаються, для цілей, передбачених законодавством. Посилатися при цьому роботодавець може на те, що є низка законодавчих положень, які зобов'язують роботодавців володіти певними персональними даними щодо найманих працівників. Це, зокрема,

ст. 24 КЗпП, пп. 2 — 4 постанови Кабміну «Про трудові книжки працівників» від 27.04.93 р. № 301, пп. 1.3 і 1.4 Інструкції про порядок ведення трудових книжок працівників, затвердженої наказом Мінпраці, Мін'юсту, Мінсоцзахисту від 29.07.93 р. № 58, наказ Держкомстату і Міноборони «Про затвердження типової форми первинного обліку № П-2 «Особова картка працівника» від 25.12.2009 р. № 495/656, наказ Мінстату «Про затвердження форми первинного обліку № П-2ДС та Інструкції щодо її заповнення» від 26.12.95 р. № 343, акти законодавства, якими встановлено обмеження, гарантії, компенсації, пільги у сфері трудових та соціальних правовідносин.

Однак цей варіант аргументації рекомендуємо залишити «на крайній випадок». Упевненіше почуватимуться ті роботодавці, які отримають письмову згоду працівника на використання його персональних даних. Саме так рекомендують діяти фахівці ДСЗПД*. Єдиний виняток, який вони готові зробити: згода суб'єкта персональних даних на обробку його персональних даних повторно не надається, якщо власник продовжує обробляти персональні дані суб'єкта в межах правовідносин на підставі вільного волевиявлення фізичної особи, що виникли до набуття чинності

Законом № 2297. Інакше кажучи, фахівці ДСЗПД визнають: якщо трудові відносини виникли до 01.01.2011 р., то після цієї дати отримувати окрему згоду працівника на використання його персональних даних немає необхідності. Отримати згоду потрібно лише від тих працівників, які були прийняті на роботу в 2011 році та прийматимуться в подальшому. Згода, зокрема, може надаватися окремим документом, складеним у довільній формі, або шляхом зазначення про це в заяві про прийняття на роботу.

* Відповідні консультації розміщено на офіційному сайті служби http://www.zpd.gov.ua. Там же розміщено типовий порядок обробки персональних даних у базах персональних даних (http://www.zpd.gov.ua/zpd_14.pdf ), який ДСЗПД рекомендує взяти за основу, щоб розробити внутрішнє положення на підприємстві.

Як зазначалося вище, кадрова документація, статистична, податкова та інша звітність, інші відомості про працівників, що використовуються роботодавцем, ДСЗПД рекомендує розглядати як базу персональних даних або як складову частину бази персональних даних, яка, у свою чергу, підлягає реєстрації.

Порядок реєстрації баз персональних даних

регулюється Законом № 2297 та Положенням про Державний реєстр баз персональних даних і порядок його ведення, затвердженим постановою Кабміну від 25.05.2011 р. № 616. База персональних даних підлягає державній реєстрації шляхом унесення відповідного запису ДСЗПД до Державного реєстру баз персональних даних на підставі заяви, поданої власником такої бази чи уповноваженою ним особою за формою та в порядку, затвердженими наказом Мін'юсту «Про затвердження форм заяв про реєстрацію бази персональних даних і про внесення змін до відомостей Державного реєстру баз персональних даних та порядку їх подання» від 08.07.2011 р. № 1824/5.

Заява має містити

:

1) звернення про внесення бази персональних даних до Реєстру;

2) інформацію про власника бази персональних даних, зокрема:

— найменування (указується повна назва юридичної особи без скорочень відповідно до установчих документів та/або свідоцтва про державну реєстрацію юридичної особи), резидент/нерезидент, код платника податків згідно з ЄДРПОУ або податковий номер (для резидента), місцезнаходження — для юридичних осіб;

— прізвище, ім'я та по батькові (за наявності), громадянство, номер, серію паспорта й орган, що видав його, а також для громадян України: реєстраційний номер облікової картки платника податків (не подається фізичними особами, які через свої релігійні переконання відмовилися від присвоєння реєстраційного номера облікової картки платника податків та офіційно повідомили про це відповідні органи державної влади, що підтверджується позначкою в паспорті), місце проживання — для фізичних осіб;

3) інформацію про найменування та місцезнаходження бази персональних даних:

— адресу фактичного розміщення — для баз даних у формі картотек;

— фактичні адреси зберігання носіїв інформації — для баз даних в електронній формі;

4) інформацію про мету обробки персональних даних у базі персональних даних з посиланням на нормативно-правові акти, положення, установчі або інші документи, що регулюють діяльність власника бази персональних даних, у тому числі про їх категорії (перелік даних про фізичну особу, що обробляються в базі, наприклад П. І. Б., паспортні дані, реєстраційний номер облікової картки платника податків, дані про освіту, стаж роботи, навички тощо) і правові підстави такої обробки;

5) інформацію про розпорядників баз персональних даних (за їх наявності):

— найменування, резидент/нерезидент, код платника податків згідно з ЄДРПОУ або податковий номер (для резидента), місцезнаходження — для юридичних осіб;

— прізвище, ім'я та по батькові (за наявності), громадянство, номер, серію паспорта й орган, що його видав, а також для громадян України: реєстраційний номер облікової картки платника податків (не подається фізичними особами, які через свої релігійні переконання відмовилися від присвоєння реєстраційного номера облікової картки платника податків та офіційно повідомили про це відповідні органи державної влади, що підтверджується позначкою в паспорті), місце проживання — для фізичних осіб;

6) інформацію про заявника;

7) документ, що підтверджує зобов'язання щодо виконання вимог законодавства із захисту персональних даних (у заяві проставляється позначка в розділі підтвердження зобов'язання).

Заяви заповнюються та подаються в паперовій або електронній формі

. У разі подання заяв у паперовій формі заявник підписує кожну сторінку заяви та скріплює її печаткою (за наявності). В електронній формі заяви подаються відповідно до вимог законів України «Про електронний цифровий підпис» від 22.05.2003 р. № 852-IV та «Про електронні документи та електронний документообіг» від 22.05.2003 р. № 851-IV.

Заяви заповнюються державною мовою, розбірливими друкованими літерами. Вони не повинні містити підчищень, закреслень та виправлень.

При заповненні заяв вибрана заявником ознака позначається символом

«х». Дати в заявах заповнюються арабськими цифрами у форматі «день, місяць, рік».

Сторінки заяв нумеруються, на кожній сторінці заяви вказуються номер сторінки та загальна кількість сторінок.

Заява в паперовій формі подається через кур'єра або надсилається на адресу: 02660 м. Київ, вул. Марини Раскової, 15, або відправляється у формі електронного документа на електронну адресу Державної служби України з питань захисту персональних даних

(register@zpd.gov.ua). Також заповнити й подати заяву в електронному вигляді можна безпосередньо на сайті Державного реєстру баз персональних даних (https://rbpd.informjust.ua/default.aspx).

Якщо суб'єкт господарювання має відокремлені структурні підрозділи, керівників яких наділено повноваженнями щодо укладення та розірвання трудових договорів з працівниками цих відокремлених структурних підрозділів, і ці підрозділи ведуть власне кадрове діловодство, то в заяві про реєстрацію бази персональних даних працівників у розділі ІІ необхідно вказувати адреси місцезнаходження бази персональних даних працівників підприємства та кожного відокремленого структурного підрозділу.

ДСЗПД повідомляє заявника не пізніше наступного робочого дня з дня надходження заяви про її отримання. У повідомленні вказуються реєстраційний номер і дата отримання заяви, а також строк прийняття рішення щодо реєстрації бази персональних даних у Реєстрі. Протягом 10 робочих днів з дня надходження відповідної заяви ДСЗПД приймає рішення про реєстрацію бази персональних даних шляхом видачі її власнику свідоцтва про державну реєстрацію бази персональних даних або повідомлення про відмову в реєстрації, про що вносить запис до Реєстру. Власник бази персональних даних зобов'язаний повідомляти ДСЗПД про кожну зміну відомостей, необхідних для реєстрації відповідної бази, не пізніше ніж

протягом десяти робочих днів з дня настання такої зміни шляхом подання заяви про внесення змін до відомостей Державного реєстру баз персональних даних. До зазначених відомостей належать: зміни інформації про власника та розпорядників бази персональних даних, найменування та місцезнаходження бази персональних даних і зміна мети обробки персональних даних.

За порушення вимог законодавства про захист персональних даних може наставати адміністративна або навіть кримінальна відповідальність. Відповідні норми наберуть чинності

з 01.01.2012 р. (згідно із Законом України «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» від 02.06.2011 р. № 3454-VI). Так, адміністративна відповідальність наставатиме за:

— неповідомлення або несвоєчасне повідомлення суб'єкта персональних даних (у тому числі працівника) про його права у зв'язку з уключенням його персональних даних до бази персональних даних, мету збирання цих даних та осіб, яким ці дані передаються, у вигляді штрафу на посадових осіб, фізичних осіб — підприємців — від 300 до 400 неоподатковуваних мінімумів доходів громадян (тобто

від 5100 до 6800 грн.), на фізичних осіб — роботодавців, які не мають статусу підприємця, — від 200 до 300 нмдг (від 3400 до 5100 грн.);

— неповідомлення або несвоєчасне повідомлення ДСЗПД про зміну відомостей, що подаються для державної реєстрації бази персональних даних, у вигляді штрафу на посадових осіб, фізичних осіб — підприємців від 200 до 400 нмдг (від

3400 до 6800 грн.), на фізичних осіб — роботодавців, які не мають статусу підприємця, — від 100 до 200 нмдг (від 1700 до 3400 грн.);

— за ухилення від державної реєстрації бази персональних даних у вигляді штрафу на громадян, які не мають статусу підприємця, від 300 до 500 нмдг (

від 5100 до 8500 грн.), на посадових осіб, фізичних осіб — підприємців — від 500 до 1000 нмдг (від 8500 до 17000 грн.).

Кримінальна відповідальність

наставатиме за незаконні збирання, зберігання, використання, знищення, розповсюдження конфіденційної інформації про працівника або незаконну зміну такої інформації у вигляді штрафу від 500 до 1000 нмдг (від 8500 до 17000 грн.) або виправних робіт на строк до двох років, або у вигляді арешту на строк до шести місяців, або обмеження волі на строк до трьох років.

 

Олена варова, юрист