Як мають діяти адміністрація та кадрова служба підприємства в разі відмови працівника від надання згоди на збирання й обробку персональних даних:
1. Якщо працівника прийнято на роботу у 2011 році?
2. Якщо працівника прийнято на роботу в період до 1 січня 2011 року?
3. Якщо працівник, який працює на підприємстві станом на 1 січня 2011 року, заявляє вимогу знищити свої персональні дані та заперечує проти їх обробки?
1. Згідно зі статтею 2 Закону України «Про захист персональних даних» від 1 червня 2010 року №2297-VI (далі — Закон №2297) згодою суб’єкта персональних данихє будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки. Тобто згода на обробку персональних даних має надаватися відповідно до сформульованої мети їх обробки.
Звертаємо увагу, що відповідно до частини 1 статті 6 Закону №2297 мета обробки персональних данихмає бути сформульована в законах, інших нормативно-правових актах, положеннях, статутних чи інших документах, які регулюють діяльність володільця бази персональних даних, та відповідати законодавству про захист персональних даних.
Так, Кодекс законів про працю України визначає правові засади і гарантії здійснення громадянами України права розпоряджатися своїми здібностями до продуктивної і творчої праці та регулює трудові відносини всіх працівників. Крім цього, Кодексом встановлено обов’язок роботодавця отримати від працівника певні документи: «При укладенні трудового договору громадянин зобов’язаний подати паспорт або інший документ, що посвідчує особу, трудову книжку, а у випадках, передбачених законодавством, — також документ про освіту (спеціальність, кваліфікацію), про стан здоров’я та інші документи» (ст. 24).
Варто зауважити, що обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб’єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством (ч. 5 ст. 6 Закону №2297). Однак якщо процедури обробки персональних даних працівника виходять за межі дозволу, наданого володільцеві відповідно до трудового законодавства лише для здійснення його повноважень, тоді потрібно отримати згоду від працівника. Наприклад, коли до роботодавця звертається страхова компанія з проханням надати відомості про працівників підприємства, щоб запропонувати їм послуги із страхування здоров’я і життя тощо.
У зазначених вище випадках Державна служба України з питань захисту персональних даних рекомендує при збиранні персональних даних осіб через заповнення паперового документа (трудового договору, заяви) передбачити у ньому відповідний пункт (графу) про надання суб’єктом згоди на обробку його персональних даних.
Крім того, рекомендуємо кадровим службам пояснювати працівникові, що його дані будуть оброблятися лише в межах трудового законодавства з дотриманням вимог Закону №2297, адже обробка даних про фізособу без її згоди не допускається, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту й прав людини(ч. 6 ст. 6 Закону №2297).
2. Згода суб’єкта персональних даних на обробку цих даних не надається, якщо володілець продовжує обробляти персональні дані суб’єкта відповідно до правовідносин на основі вільного волевиявлення фізособи, які виникли до набуття чинності Законом №2297.
У разі якщо працівник відмовляється надавати згоду на обробку його персональних даних, Державна служба України з питань захисту персональних даних рекомендує обробляти його дані в межах, визначених трудовим законодавством. Якщо дії володільця щодо обробки персональних даних працівника виходять за межі трудового законодавства, має бути отримана згода від працівника, тобто будь-яке документоване, зокрема письмове, добровільне волевиявлення працівника щодо надання дозволу на обробку його персональних даних відповідно до сформульованої мети їх обробки.
3.У базах персональних даних знищенню підлягають персональні дані у випадках, визначених статтею 15 Закону №2297 (зокрема, у разі закінчення строку зберігання даних, визначеного згодою суб’єкта персональних даних на обробку цих даних або законом; припинення правовідносин між суб’єктом персональних даних та володільцем чи розпорядником бази, якщо інше не передбачено законом; набрання законної сили рішенням суду щодо вилучення даних про фізособу з бази персональних даних тощо), і в порядку, встановленому відповідно до вимог закону.
Слід пам’ятати, що склад і зміст персональних даних працівника мають бути ненадмірними стосовно визначеної мети їх обробки та не повинні зберігатися довше, ніж це потрібно відповідно до їх законного призначення.
Разом з тим відповідно до Переліку типових документів, що утворюються в діяльності органів державної влади та місцевого самоврядування, інших підприємств, установ та організацій, із зазначенням строків зберігання документів, затвердженого наказом Головного архівного управління при КМУ від 20 липня 1998 року №41, особові справи працівників, а також справи, що містять особові картки працівників підприємства та деякі інші кадрові документи, зберігаються 75 років — «В».
Кадровим службам варто було би пояснити працівникові, який вимагає знищити його персональні дані, що зберігання персональних даних потрібне для того, щоб у разі потреби працівник міг отримати архівні довідки, копії документів, у яких містяться відомості про нього, що можуть бути використані при оформленні пенсії, для підтвердження трудового стажу тощо.
Крім того, суб’єкт персональних даних згідно зі статтею 8 Закону №2297 має право пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником цієї бази, якщо ці дані обробляються незаконно або є недостовірними.
Тетяна СТЕПАНЕНКО, провідний спеціаліст управління юридичного забезпечення Державної служби України з питань захисту персональних даних
Журнал «Довідник кадровика», №12, 2011