"The firm has an impressive deal list in its repertoire"
PLC Which Lawyer?

Publications

19 June 2012

Data Dispute


Author: Yulia Yanyuk
Source: Yuridicheskaya Practika. – 2012. – No.25. – 19 June. – p. 1,12

You can read the article below in the language of the original.

Спор данных

Вопрос регулирования обработки персональных данных сотрудников остается спорным

Накануне вступления в силу Зако­на Украины «О внесении изменений в некоторые законодательные ­акты Укра­ины относительно усиления ответственности за нарушение законодательства о защите персональных данных» № 3454-VI от 2 июня 2011 года вопрос приведения деятельности по обработке персональных данных работников в соответствие с требованиями законодательства становится чрезвычайно актуальным для предприятий всех форм собственности со штатом более двух человек.

Сегодня вопрос регулирования обработки персональных данных сотрудников остается дискуссионным. С одной стороны, получение сведений о работниках и основы ведения кадровой документации регулируются Кодексом законов о труде (КЗоТ) от 10 декабря 1971 года и другими специализированными нормативно-правовыми актами, а с другой — общие требования по обработке персональных данных (включая сферу трудовых отношений) предусматриваются Законом Украины «О защите персональных данных» № 2297-VI от 1 июня 2010 года (Закон).

Сбор информации

КЗоТ является основным документом, который закладывает основы ведения кадровой документации. Несмотря на многочисленные изменения, которые вносились в него на протяжении нескольких десятков лет, Кодекс до сих пор не содержит таких базовых понятий, как «конфиденциальная информация», «личные или персональные данные», и механизма обработки и защиты сведений о работниках. При этом Кодекс прямо предусматривает обязанность работника предоставить при приеме на работу определенный перечень документов, содержащих его персональные данные, а именно: паспорт или иной документ, удостоверяющий личность, трудовую книжку, документ об образовании, о состоянии здоровья и другие документы (статья 24 КЗоТ).

После приема на работу объем персональных данных работника дополняется, поскольку законодательством предусматривается заполнение работодателем личной карточки, форма которой утверждена приказом Министерства социальной политики Украины «Об утверждении формы отчетности № 5-ПН «Отчет о принятых работниках» и инструкции по ее заполнению» № 279 от 14 июля 2011 года. Согласно указанной инструкции, в личную карточку работодатель вносит сведения о семейном положении, воинской обязанности, профессиональном образовании работника и пр.

Работник также обязан предоставить работодателю специальные категории персональных данных, а именно: информацию о состоянии здоровья путем подачи листов нетрудоспособности и заключений, подтверждающих подтверждение прохождения медосмотров согласно пунк­ту 6 статьи 24, статьям 169 и 191 КЗоТ. В категорию таких данных также входит информация о членстве работника в профсоюзных организациях, ее работодатель получает согласно статье 43 КЗоТ. Регулирование трудовых отношений в определенных сферах может также предусматривать необходимость обработки предприятиями таких персональных данных, как размер одежды, голосовые и видеозаписи и пр.

В то же время Закон обуславливает необходимость обработки всех категорий вышеуказанных данных с учетом изложенных требований, что вынуждает предприятие получать согласие на обработку персональных данных работников, даже если предоставление таких сведений о работнике прямо предусмотрено КЗоТ и другими нормативно-правовыми актами в сфере трудовых отношений. Также существует неопределенность в вопросе необходимости получения согласия сотрудников, принятых на работу до вступления в силу Закона, и у кандидатов на трудоустройство, которые хотя и предоставили свои персональные данные предприятию, но не были зачислены в штат.

Особенности баз

Базы персональных данных работников ведутся на предприятиях чаще всего в письменной форме, как того требует законодательство.

При осуществлении проверок Госу­дарственная служба по вопросам защиты персональных данных (Служба) будет обращать внимание на наличие технических мер по обработке баз, которые ведутся в форме картотек. Кадровики на предприятиях обязаны: 1) формировать дела с документами, содержащими персональные данные, в зависимости от цели их обработки; 2) вести внутренние описания документов с указанием цели обработки и категорий персональных данных; 3) хранить картотеки в сейфах или шкафах, защищенных от несанкционированного доступа замком или другим контрольным механизмом (раздел 3 Типового порядка обработки персональных данных, утвержденного приказом Министерства юстиции Украины № 3659/5 от 30 декабря 2011 года).

Для упорядочения существующих баз персональных данных и целей их регистрации предприятия, как правило, выделяют одну основную базу под названием «Работники» или «Работники и кандидаты на трудоустройство». Согласно разъяснениям Службы, такая база охватывает большой объем персональных данных, а именно тех, которые используются с целью ведения «кадровой документации, статистической, налоговой и другой отчетности».

Однако на практике многие предприятия, помимо одной основной базы персональных данных, могут иметь также несколько дополнительных (скрытых) баз. Такие базы могут также находиться в электронной форме. Открытым остается вопрос, будут ли считаться внутренний корпоративный сайт, корпоративная почта работников, базы социальных выплат и прочие базами персональных данных, поскольку объем персональных данных в таких базах не совсем охватывается вышеуказанным определением, предоставленным Службой. До момента, пока этот вопрос не будет окончательно урегулирован, существует риск, что дополнительные базы могут привлекать внимание Службы при осуществлении проверок.

Обширные данные

Законом установлено общее правило, по которому обработка персональных данных возможна после получения согласия физического лица — субъекта персональных данных. Вместе с тем Закон предусматривает вариант, когда разрешение на обработку предоставляется в соответствии с законодательством, но делает оговорку, что такая обработка может осуществляться исключительно в интересах национальной безопасности, экономического благосостояния и прав человека. Такое определение является достаточно емким, но не дает четкого понимания того, возможна ли обработка персональных данных работников без их согласия.

Таким образом, до принятия соответствующих изменений в Закон, несмотря на указанные выше нормы трудового законодательства, получение согласия работников является необходимым шагом.

Относительно обработки персональных данных работников, которые были трудоустроены на предприятии до вступления в силу Закона, то, придерживаясь консервативного подхода, изложенного в Законе, получение согласия таких работников также является обязательным. Дополнительно необходимо обратить внимание, что такие работники, равно как и те, что были трудоустроены после вступления в силу Закона, должны быть уведомлены о включении их персональных данных в соответствующую базу и о передаче их персональных данных третьим лицам (например, банку для начисления заработной платы, страховой компании и т.д.).

Содержание согласия и его форма являются одним из первоочередных вопросов для владельцев баз персональных данных. Согласно разъяснениям Министерства юстиции Украины от 21 декабря 2011 года «О некоторых вопросах практического применения Закона Украины «О защите персональных данных», в согласии обязательно наличие следующих элементов: цели обработки; четкого объема (перечня) персональных данных; порядка использования персональных данных (включая описание действий владельца относительно процедуры обработки и защиты, порядка доступа к персональным данным работников, которые их обрабатывают); порядка распространения персональных данных (включая процедуру передачи третьим лицам); порядка доступа третьих лиц (в частности, во время работы владельца с запросами физических лиц и государственных органов).

Как видим, объем информации, которая должна содержаться в согласии, является довольно обширным. При приеме на работу сотруднику должно быть предложено предоставить письменное согласие, а также ему должно быть направлено уведомление о включении в базу персональных данных. Возможен и вариант предоставления согласия в трудовом договоре. Обращаем Ваше внимание на необходимость выделения отдельного однозначного согласия работника на обработку специальных категорий персональных данных (ведомостей о здоровье и участии в профсоюзных организациях) в рамках основного согласия.

Относительно формы согласия, то на данном этапе с целью соблюдения требований Закона она должна быть письменной. Вместе с тем в случае наличия большого количества работников и практических трудностей получения письменного согласия существует механизм предоставления согласия с помощью проставления отметки на соответствующей электронной странице документа или в электронном файле.

Исходя из размещенных на официальном сайте разъяснений и заявлений, сделанных на тематических семинарах и конференциях, Служба поддерживает такой подход. Но стоит обратить внимание, что при практической реализации электронной формы согласия работодателем должны быть соблюдены специальные программно-технические требования (например, регистрация добровольных действий лица и целостность протоколов регистрации таких действий).

Стоит напомнить, что обновлять форму согласия необходимо в случае изменения хотя бы одного из вышеупомянутых обязательных элементов, а также при реорганизации самого предприятия или в случаях, когда объем персональных данных превышает перечень, указанный в согласии.

Новые предложения

Недавно внесенным законопроектом № 10472-1 от 28 мая 2012 года «О внесении изменений в Закон Украины «О защите персональных данных» (относительно усовершенствования правового регулирования в этой сфере)» предлагается внести важные изменения по обработке персональных данных работников.

В частности, предложено внести изменения в статью 9 Закона, а именно: отменить государственную регистрацию баз персональных данных, содержащих исключительно персональные данные субъектов, которые находятся в трудовых отношениях с владельцем базы персональных данных. Дополнительно законопроект предлагает определить, что основанием обработки является свободное волеизъявление лица (и отсутствие возражения) до вступления в силу Закона. Это положение может применяться к вопросу получения согласия работников, которые были трудоустроены до вступления в силу Закона, как обсуждалось выше.

Относительно подготовленного ко второму чтению проекта Трудового кодекса Украины № 1108 от 2 апреля 2012 года, то этот законопроект содержит ряд прогрессивных норм по защите персональных данных работника. На работодателя возлагается обязанность предоставления полной и достоверной информации о трудовой деятельности работника и бесплатного предоставления копий документов, содержащих персональные данные, а также прямо предусматривается обязанность обеспечения защиты и конфиденциальности персональных данных.



News Archive

Browse by

Practice Areas:
Industry Sectors:
Search

Publication Archive