Захист персональних даних - нова функція HR-департаменту
Прагнення України вступити до Європейського Союзу обумовлює цілу низку нововведень в нашому законодавстві.
Зокрема, ЗУ «Про захист персональних даних» №2297-VI від 1.06.2010 (далі - Закон), який вступив в силу 1 січня 2011 p., спантеличив не тільки HR-середовище, а й вітчизняний бізнес в цілому. Адже Закон впроваджує інноваційний для українського суспільства рівень захисту персональних даних (далі - ПД) усіх і кожного громадянина.
Що таке персональні дані?
Закон містить досить широке та всеохоплююче визначення ПД. Так, персональними даними є відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Тобто будь-які відомості чи інформація про особу, за допомогою яких її можна ідентифікувати і виокремити серед інших фізичних осіб, і є ПД особи.
Такими відомостями можуть бути:
• прізвище, ім'я та по батькові;
• ідентифікаційний номер;
• дата і місце народження;
• адреса;
• національність;
• освіта;
• сімейний стан;
• релігійні переконання;
• стан здоров'я;
• майновий стан тощо.
Очевидно, що кожний роботодавець у своїй щоденній діяльності постійно використовує та обробляє ПД своїх працівників - як при прийомі на роботу, так і при наданні відпустки, звільненні та всіх інших кадрових діях.
Слід зауважити, що наведений перелік не є вичерпним і не обмежений законодавством.
Однак на практиці тільки одного критерію не завжди достатньо для ідентифікації конкретної фізичної особи. Найчастіше для ідентифікації певного громадянина необхідно декілька критеріїв. Наприклад, під одним і тим же прізвищем, ім'ям та по батькові можуть існувати двоє різних людей. Тому для ідентифікації кожної з них необхідно буде використати додаткові критерії - місце проживання, дата народження і т.д.
Які персональні дані захищаються Законом?
Захисту підлягають тільки ті ПД, що обробляються в базах персональних даних (далі -БПД), які є іменованою сукупністю упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних.
Отже, ПД будуть вважатися БПД тільки в тому випадку, якщо такі ПД будуть одночасно відповідати наступним обов'язковим критеріям:
• іменованість - база повинна мати єдину визначену назву;
• сукупність - в базі повинні бути зібрані ПД більш ніж однієї фізичної особи;
• упорядкованість - ПД повинні бути упорядковані певним і чітко визначеним способом;
• єдина мета обробки - ПД повинні бути зібрані в базі з єдиною метою їх обробки.
Відсутність хоча б одного з зазначених критеріїв формально буде означати відсутність БПД.
Зрозуміло, що з дотриманням всіх вказаних вище ознак кадрова документація та інформація, яка ведеться та зберігається на підприємстві, являють собою БПД.
Які персональні дані не захищаються Законом?
Законодавець визначає категорії ПД, що не підлягають захисту. До них належать дані, які:
• не обробляються в БПД;
• використовуються фізичною особою виключно для непрофесійних особистих чи побутових потреб;
• використовуються журналістом у зв'язку з виконанням ним службових чи професійних обов'язків;
• використовуються професійним творчим працівником для здійснення творчої діяльності.
Перелічені категорії ПД не перебувають під захистом Закону і їх збирання та обробка здійснюється вільно та без обмежень, встановлених законодавством.
Таким чином, поки ПД не обробляються в БПД (тобто, поки вони не систематизовані і не внесені до бази), формально на такі ПД не поширюються спеціальні вимоги Закону. У зв'язку з цим ще до початку обробки ПД слід чітко визначитися, чи будуть вони в подальшому оброблятися в БПД.
Залежно від того, хто і з якою метою збирає та обробляє ПД, а також яким чином вони впорядковані, і буде визначатись наявність чи відсутність відповідної бази.
Приклади:
1. Систематизовані (наприклад, в алфавітному порядку) в одній іменованій папці документи, що містять ПД працівників з дітьми (наприклад, з метою надання соціальних відпусток), будуть вважатися БПД.
2. Списки контактів фізичних осіб в електронній пошті, записній книжці, мобільному телефоні, візитівці і т.д. не будуть вважатися БПД, оскільки такі контакти зібрані в довільному порядку та не згруповані за певною ознакою (наприклад, окремо не систематизовані контакти клієнтів, постачальників тощо).
3. Документація про одного інваліда, працюючого на підприємстві, не буде вважатись БПД.
Що таке обробка персональних даних?
Під обробкою ПД мається на увазі будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов'язані хоча б з однією дією стосовно відомостей про фізичну особу:
• збирання;
• реєстрація;
• накопичення;
• зберігання;
• адаптування;
• зміна;
• поновлення
• використання;
• поширення (розповсюдження, реалізація, передача);
• знеособлення;
• знищення.
Це означає, що будь-яка з зазначених вище дій вважається обробкою ПД.
Що дає право на обробку персональних даних в базах персональних даних?
Право на використання ПД виникає на підставі згоди суб'єкта персональних даних на обробку його ПД або дозволу на обробку ПД, наданого володільцю БПД відповідно до закону виключно для здійснення його повноважень.
Звертаємо увагу на те, що наявність однієї з вказаних підстав необхідна лише тоді, якщо ПД обробляються в БПД, якщо ж ні, то згода на їх обробку не вимагається.
Наприклад, якщо HR-менеджер отримує інформацію про кандидатів для відкритої на підприємстві вакансії з відкритих та загальнодоступних джерел (з мережі Інтернет, на співбесідах тощо), то в цьому випадку не потрібно отримувати від таких кандидатів письмового дозволу на збирання їхніх ПД. Однак якщо дані вносяться до БПД, то для цього необхідно отримувати письмову згоду кандидатів на внесення їх ПД до бази.
Отже, Закон передбачає, що дозвіл на обробку персональних даних може бути надано не тільки на підставі згоди, але і на підставі закону.
На жаль, при цьому Закон прямо не розкриває, які саме закони та/чи які законні підстави дають право на обробку ПД. Згідно з міжнародними нормами, ПД можуть оброблятися не тільки на підставі згоди фізичної особи, а також у випадку, якщо обробка необхідна для виконання контракту (наприклад, оплата послуг фізичних осіб - підприємців) або для виконання зобов'язань за законом (наприклад, ведення трудових книжок, здійснення функцій податкового агента тощо).
Насправді ж чинне українське законодавство вже передбачає безліч випадків, коли підприємство, виконуючи функцію роботодавця, зобов'язано збирати та обробляти ПД своїх працівників. Зокрема, при прийнятті на роботу працівником має бути пред'явлений паспорт. При виплаті заробітної плати та поданні податкової звітності роботодавець обов'язково вказує ідентифікаційні номери своїх працівників - платників податку з доходів фізичних осіб. У такому разі, навіть незалежно від волі працівника, роботодавець згідно з законодавством зобов'язаний здійснювати обробку певних ПД, які пов'язані безпосередньо з трудовими відносинами.
При цьому звертаємо увагу на те, що наразі Закон нечітко регулює обробку ПД співробітників на підставі закону, тому неможливо повністю виключати ризик того, що державні органи будуть вимагати оформлення згоди в усіх випадках обробки ПД в БПД. Це питання може бути врегульовано або шляхом внесення відповідних змін до законодавства, або шляхом формування державними органами відповідної практики застосування Закону.
Що стосується обробки ПД на підставі згоди фізичної особи, то така згода має бути оформлена документально - бажано письмово (наприклад, окремим документом) і містити наступі умови: обсяг ПД, які можуть оброблятися; види, мета та строк обробки ПД тощо.
Однак слід зауважити, що наявність згоди або законних підстав на обробку ПД не дає права на їх довільну обробку. Вона буде правомірною, тільки якщо така обробка не перевищує допустимі згодою або законом межі. Будь-яка обробка ПД, яка виходить за межі згоди або закону, буде вимагати отримання окремої згоди фізичної особи. Тому для отримання максимально широких можливостей на обробку ПД необхідно оформлювати таку ж максимально широку згоду фізичної особи.
Яких вимог необхідно дотримуватись при обробці персональних даних в БПД?
Незалежно від того, на якій підставі здійснюється обробка ПД в базах (на підставі згоди або за законом), необхідно дотримуватись єдиних вимог:
• фізична особа повинна бути письмово повідомлена протягом 10 робочих днів про включення її ПД в базу;
• склад і зміст ПД повинні відповідати меті їх обробки і не бути надмірними;
• БПД повинна бути зареєстрована у встановленому законодавством порядку;
• володілець бази повинен створювати умови для захисту ПД від незаконної обробки і доступу.
З метою забезпечення захисту ПД працівників при їх обробці роботодавцю необхідно створити структурний підрозділ або призначити відповідальну особу, на яку буде покладена організація роботи із захисту ПД співробітників.
Рекомендується передбачити трудову функцію (наприклад, працівників HR-департаментів або відділів кадрів) із забезпечення захисту ПД працівників в таких документах:
• у трудовому договорі;
• в посадовій інструкції;
• в наказі (порядку) про обробку ПД.
Так, згідно із Класифікатором професій, до посадових обов'язків директора з кадрових питань і побуту належать, зокрема, створення і ведення банку даних персоналу.
При цьому використовувати ПД працівників (а також кандидатів, стажерів і т.д.) повинні співробітники HR-департаментів і відділів кадрів тільки у відповідності з їх професійними та службовими обов'язками. Такі особи зобов'язані не допускати розголошення у будь-який спосіб ПД, що перебувають в їх розпорядженні або стали їм відомі у зв'язку з виконанням професійних та службових обов'язків.
Які права мають фізичні особи, персональні дані яких обробляються в базах?
Незалежно від того, на якій підставі здійснюється обробка ПД в базах (на підставі згоди або за законом), кожна фізична особа, ПД якої обробляються в БПД, має наступні права:
• знати про назву, призначення і місцезнаходження бази;
• знати місцезнаходження володільця бази;
• отримувати інформацію про третіх осіб, яким передаються ПД;
• безкоштовного доступу до своїх ПД;
• отримувати інформацію про те, чи зберігаються його ПД в базі;
• отримувати зміст своїх ПД, які зберігаються в базі;
• обгрунтовано вимагати зміни чи знищення своїх ПД тощо.
Як видно з наведеного переліку, Закон досить суворо захищає права кожної фізичної особи на її ПД. Тому, здійснюючи обробку ПД працівників в БПД, необхідно дотримуватись законодавчих обмежень на всіх стадіях використання персональних даних - починаючи з їх збирання та закінчуючи їх знищенням.
Хто контролює захист персональних даних?
Контроль за захистом ПД здійснює новостворений державний орган - Державна служба України з питань захисту персональних даних. До її компетенції належать:
1) реєстрація БПД і ведення Державного реєстру БПД;
2) розгляд пропозицій, запитів, звернень, вимог і скарг;
3) розробка планів перевірок володільців БПД;
4) проведення виїзних і не виїзних перевірок;
5) видача приписів щодо усунення порушень законодавства про захист ПД;
6) складання адміністративних протоколів про порушення законодавства в сфері захисту ПД;
7) передання правоохоронним органам матеріалів про виявлені порушення в сфері захисту ПД тощо.
З викладеного випливає, що широкі та різноманітні повноваження дають Державній службі України з питань захисту персональних даних можливості для всебічного контролю за дотриманням усіма суб'єктами, зокрема, роботодавцями, відповідного законодавства.
Відповідальність за порушення законодавства про захист персональних даних
2 червня 2011 р. Верховною Радою України прийнятий ЗУ «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних», яким встановлюється як адміністративна, так і кримінальна відповідальність за порушення законодавства у сфері захисту персональних даних.
А саме, адміністративна відповідальність (наприклад, ухилення від державної реєстрації БПД, спричинення незаконного доступу до БПД і т.д.) передбачає накладення на посадових осіб штрафу в розмірі до 1000 неоподатковуваних мінімумів доходів громадян.
Кримінальна відповідальність (наприклад, незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу) передбачає накладення на посадових осіб штрафу в розмірі до 1000 неоподатковуваних мінімумів доходів громадян або виправні роботи на строк до 2 років, або арешт на строк від 3 до 6 місяців, або обмеження волі на строк від 3 до 5 років, або позбавлення волі на строк від 3 до 5 років.
Повідомляємо, що цей Закон набирає чинності з 1 січня 2012 р.
Отже, щоденна діяльність підприємства та робота спеціалістів відділу кадрів нерозривно пов'язана зі збиранням та обробкою ПД працівників, кандидатів, стажерів, практикантів тощо. У свою чергу, нововведення у законодавстві зобов'язують фахівців з персоналу дотримуватись у своїй професійній діяльності не тільки вимог трудового законодавства. Саме тому знання законодавства про захист персональних даних стає необхідним для спеціалістів HR-департаментів у повсякденній роботі.
Юлія Черкашіна, старший юрист, адвокат Адвокатської фірми «ПАРИТЕТ»
«Праця і закон», липень 2011 року, №7 (139), стор. 22