1 января 2011 г. вступил в силу Закон № 2297, вызывающий большой интерес у руководителей предприятий, учреждений и организаций, использующих наемный труд работников. Данный Закон регулирует отношения, связанные с защитой персональных данных во время их обработки. Действие Закона не распространяется на физических лиц, деятельность которых связана с созданием персональных данных и обработкой персональных данных в этой базе, на профессионально-творческих работников — для осуществления творческой деятельности, также не распространяется на журналистов — в связи с выполнением ими служебных или профессиональных обязанностей.
Ст. 2 Закона № 2297 содержит в себе некоторые понятия, необходимые для уяснения смысла самого Закона:
- база персональных данных — именуемая совокупность упорядоченных персональных данных в электронной форме и (или) в форме картотек персональных данных;
-владелец базы персональных данных — физическое или юридическое лицо, которому законом или при согласии субъекта персональных данных предоставлено право на обработку этих данных, которое утверждает цель обработки персональных данных в этой базе данных, устанавливает состав этих данных и процедуры их обработки, если другое не определенно законом;
-Государственный реестр баз персональных данных — единая государственная информационная система сбора, накопления и обработки сведений о зарегистрированных базах персональных данных;
-согласие субъекта персональных данных — любое документируемое, в частности письменное, добровольное волеизъявление физического лица относительно предоставления разрешения на обработку его персональных данных в соответствии со сформулированной целью их обработки;
-обезличение персональных данных — исключения сведений, которые дают возможность идентифицировать лицо;
-обработка персональных данных — любое действие или совокупность действий, осуществленных полностью или частично в информационной (автоматизированной) системе и/или в картотеках персональных данных, которые связаны со сбором, регистрацией, накоплением, хранением, адаптацией, изменением, возобновлением, использованием и расширением (распространением, реализацией, передачей), обезличением, уничтожением сведений о физическом лице;
-персональные данные — сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано;
-распорядитель базы персональных данных — физическое или юридическое лицо, которому владельцем базы персональных данных или законом предоставлено право на обработку этих данных;
-субъект персональных данных — физическое лицо, относительно которого в соответствии с законом осуществляется обработка его персональных данных;
-третье лицо — любое лицо, за исключением субъекта персональных данных, владельца или распорядителя базы персональных данных и уполномоченного государственного органа по вопросам защиты персональных данных, которому владельцем или распорядителем базы персональных данных осуществляется передача персональных данных в соответствии с законом.
Согласно п. 2 ст. 4 Закона № 2297 владельцем или распорядителем базы персональных данных могут быть предприятия, учреждения и организации всех форм собственности, органы государственной власти или органы местного самоуправления, физические лица — предприниматели, которые обрабатывают персональные данные в соответствии с законом.
Ст. 5 Закона № 2297 предусмотрено, что персональные данные являются объектами защиты, а персональные данные, кроме обезличенных персональных данных, являются информацией с ограниченным доступом. Персональные данные физического лица, которое претендует занять или занимает выборную должность (в представительских органах) или должность государственного служащего первой категории, не принадлежат к информации с ограниченным допуском, за исключением информации, определенной как такова в соответствии с законом.
Персональные данные составляются с учетом целей их создания и должны им соответствовать, однако более обширное их содержание не может быть получено большим, чем это предусматривает цель создания такой базы.
Следует отметить, что объем персональных данных, которые могут быть включены в базу персональных данных, определяется условиями согласия субъекта персональных данных или в соответствии с законом.
Однако практика сбора персональных данных некоторыми ее владельцами показывает, что не все юридические лица выполняют требования Закона № 2297.
Например, банки, оформляя пластиковые карточки «Виза» или социальные карточки, а также карточки физлиц, не связанных с предпринимательской деятельностью, предлагают своим будущим клиентам заполнить анкеты, в которых предусмотрено много различной информации, не связанной с открытием данных карточек (принадлежность заполняющего анкету к каким-то партиям или общественным организациям, наличие движимого и недвижимого имущества, наличие лица, осуществляющего контроль за финансовой деятельностью и др.).
Данный факт является нарушением Закона № 2297 и при отказе физического лица заполнить приведенные графы, не имеющие вообще никакого отношения к открытию данной пластиковой карточки, не могут быть использованы банками как причина отказа открытия ему пластиковой карточки.
П. 1 ст. 7 Закона № 2297 запрещается обработка персональных данных о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членство в политических партиях и профессиональных союзах, а также данных, которые касаются здоровья или половой жизни.
Закон № 2297 не допускает обработку данных о физическом лице без его согласия, кроме случаев, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека (п. 6 ст. 6)
Если обработка персональных данных является необходимой для защиты жизненно важных интересов субъекта персональных данных, обрабатывать персональные данные без его согласия можно до времени, когда получение согласия станет возможным.
Следует обратить внимание на содержание ст. 7 Закона № 2297, которое в некоторой степени противоречит КЗоТ. Например, не запрещается обработка персональных данных без согласия субъекта персональных данных (работника) в случае, когда обработка персональных данных необходима для осуществления прав и выполнения обязанностей в сфере трудовых правоотношений в соответствии с законом.
Однако в соответствии с ч. 2. ст. 24 КЗоТ при заключении трудового договора гражданин обязан подать паспорт или другой документ, удостоверяющий личность, а в случаях, предусмотренных законодательством, также документ об образовании, специальности или квалификации и документ о медицинском состоянии для некоторых категорий работников. Например, сварщик должен пройти медосмотр на право выполнения вредной работы — сварки, работник-инвалид должен предоставить удостоверение инвалида и заключение МСЭК с рекомендациями по использованию труда инвалида.
Других документов, необходимых для оформления трудовых отношений, а также для оформления перевода (если нет медицинских показаний) и увольнения трудовое законодательство не предусматривает.
Кроме этого, до введения в действие Закона № 2297 на протяжении нескольких десятилетий работниками отдела кадров различных форм собственности предприятий, учреждений и организаций использовались различные персональные данные наемных работников, которые предоставлялись последними. Эти данные заносились в личные листки (для инженерно-технических работников) и личные карточки, оформляемые на все категории работников, состоящих с юридическим лицом в трудовых отношениях.
Так, на сегодняшний день приказом Госкомстата и Министерства обороны Украины за № 495/656 от 25.12.2009 г. утверждена типовая форма личной карточки (ф. П-2). Эту форму заполняют при приеме на работу наемных работников.
Ранее приказом Госкомстата Украины от 05.12.2008 г. № 489 была утверждена личная карточка по ф. П-2, отличавшаяся от личной карточки П-2, вступившей в силу с 2010 г., отсутствием позиции по ведению воинского учета. До этого же действовал приказ Министерства статистики Украины за от 27.10.95 г. № 277, которым в свое время также была утверждена личная карточка по ф. П-2.
Итак, персональные данные работников ранее отражались и сейчас отражаются в вышеупомянутых личных карточках по ф. П-2.
В связи с этим обращаем внимание: дальнейшее использование персональных данных наемных работников, а также использование таких данных при их отражении в личных карточках работников после введения в действие Закона № 2297 следует проводить только с учетом требований данного Закона.
Не требуется согласие субъекта персональных данных на сбор и изменение его данных, если это:
Ст. 8 Закона № 2297 дает такие права субъекту персональных данных (например, работнику предприятия, учреждения или организации):
Доступ субъекта персональных данных к данным о себе осуществляется безвозмездно.
В соответствии с требованием ст. 9 Закона № 2297 база персональных данных подлежит государственной регистрации путем внесения соответствующей записи уполномоченным государственным органом по вопросам защиты персональных данных в Государственный реестр баз персональных данных. Заявление о регистрации базы персональных данных подается владельцем базы персональных данных уполномоченному государственному органу по вопросам защиты персональных данных.
Заявление должно содержать:
Руководителям предприятий, учреждений и организаций, включая банки, следует знать, что согласно ст. 11 Закона № 2297 основаниями возникновения права на использование персональных данных является:
1) согласие субъекта персональных данных на обработку его персональных данных. Субъект персональных данных имеет право при предоставлении согласия внести предупреждение относительно ограничения права на обработку своих персональных данных;
2) разрешение на обработку персональных данных, предоставленное владельцу базы персональных данных в соответствии с законом исключительно для осуществления его полномочий.
Особое внимание следует обратить на вопрос распространения персональных данных. Распространение персональных данных предусматривает действия относительно передачи сведений о физическом лице из баз персональных данных при согласии субъекта персональных данных. Распространение персональных данных без согласия субъекта персональных данных или уполномоченного им лица допускается в случаях, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека. Выполнение требований установленного режима защиты персональных данных обеспечивает сторона, распространяющая эти данные. Сторона, которой передаются персональные данные, должна предварительно принять меры относительно обеспечения требований Закона № 2297.
Хранящиеся в базах персональные данные подлежат на основании ст. 15 Закона № 2297 уничтожению в случае:
Персональные данные, собранные с нарушением требований Закона № 2297, подлежат уничтожению в базах персональных данных в установленном законодательством порядке.
Запрос удовлетворяется в течение 30 календарных дней со дня его поступления, если иное не предусмотрено законом.
Субъект персональных данных имеет право на получение любых сведений о себе у любого субъекта отношений, связанных с персональными данными, без указания цели запроса, кроме случаев, установленных законом.
На основании ст. 20 Закона № 2297 владельцы или распорядители баз персональных данных обязаны вносить изменения в персональные данные на основании мотивированного письменного требования субъекта персональных данных. Позволяется внесение изменений в персональные данные по обращению других субъектов отношений, связанных с персональными данными, если на это есть согласие субъекта персональных данных или соответствующее изменение осуществляется по решению суда, вступившего в законную силу. Изменение персональных данных, которые не отвечают действительности, проводится безотлагательно с момента установления несоответствия.
Субъекты отношений, связанных с персональными данными, обязаны обеспечить защиту этих данных от незаконной обработки, а также от незаконного доступа к ним. Обеспечение защиты персональных данных в базе персональных данных полагается на владельца этой базы. Владелец базы персональных данных в электронной форме обеспечивает ее защиту в соответствии с законом. В органах государственной власти и органах местного самоуправления, организациях, учреждениях и на предприятиях всех форм собственности определяется структурное подразделение или ответственное лицо, которое организовывает работу, связанную с защитой персональных данных при их обработке, в соответствии с законом.
На основании вышеизложенного можно сделать вывод: все граждане Украины имеют право на защиту своих персональных данных, на доступ к ним и на их изменение, а также на запрет их использования.
Однако Законом № 2297 прямо не предусмотрена защита собственника персональных данных в случаях, когда он не дает право какому-то распорядителю базы персональных данных на использование его персональных данных. Например, когда в банке отказываются оформить карточку, если физическое лицо не дает согласие на отражение в анкетах второстепенных его личных сведений, не имеющих отношения к открытию пластиковой карточки.
С учетом требований Закона № 2297 рекомендуем всем физическим и юридическим лицам, которые будут использовать или уже используют персональные данные субъекта персональных данных, получить письменное согласие (заявление) на право использования персональных данных.
Обращаем внимание читателей на следующее: если субъект персональных данных не дает свое право на использование его персональных данных, кроме особых случаев, предусмотренных Законом № 2297, то использование его данных является противозаконным.
Светлана Заболотная
По материалам: «ЛІГА:ЗАКОН»
