Персональні дані найманих працівників як захистити
ст. 2 Закону № 2297 містить у собі деякі поняття, необхідні для з'ясування сенсу самого Закону:
- база персональних даних - іменована сукупність упорядкованих персональних даних в електронній формі та (або) у формі картотек персональних даних;
-власник бази персональних даних - фізична або юридична особа, якій законом або за згодою суб'єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом;
-Державний реєстр баз персональних даних - єдина державна інформаційна система збору, накопичення та обробки відомостей про зареєстровані бази персональних даних;
-згода суб'єкта персональних даних — будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки;
-знеособлення персональних даних - виключення відомостей, що дають можливість ідентифікувати особу;
-обробка персональних даних — будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, пов'язаних зі збором, реєстрацією, накопиченням, зберіганням, адаптацією, зміною, поновленням, використанням та розширенням ( поширенням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу;
-персональні дані - відомості або сукупністьвідомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;
-розпорядник бази персональних даних - фізична чи юридична особа, якій власником бази персональних даних або законом надано право на обробку цих даних;
-суб'єкт персональних даних - фізична особа, щодо якої відповідно до закону здійснюється обробка її персональних даних;
-третя особа - будь-яка особа, за винятком суб'єкта персональних даних, власника або розпорядника бази персональних даних та уповноваженого державного органу з питань захисту персональних даних, якому власником або розпорядником бази персональних даних здійснюється передача персональних даних відповідно до закону.
Відповідно до п. 2 ст. 4 Закону № 2297 власником чи розпорядником бази персональних даних можуть бути підприємства, установи та організації всіх форм власності, органи державної влади чи органи місцевого самоврядування, фізичні особи – підприємці, які обробляють персональні дані відповідно до закону.
Слід зазначити, що обсяг персональних даних, які можуть бути включені до бази персональних даних, визначається умовами згоди суб'єкта персональних даних або відповідно до закону.
Проте практика збору персональних даних деякими її власниками показує, що не всі юридичні особи виконують вимоги Закону №2297.
Даний факт є порушенням Закону № 2297 та при відмові фізичної особи заповнити наведені графи, які не мають взагалі жодного відношення до відкриття даної пластикової картки, не можуть бути використані банками як причина відмови відкриття їй пластикової картки.
П. 1 ст. 7 Закону № 2297забороняється обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також дані, що стосуються здоров'я або статевого життя.
Закон № 2297 не допускає опрацювання даних про фізичну особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини (п. 6 ст. 6)
Якщо обробка персональних даних є необхідною для захисту життєво важливих інтересів суб'єкта персональних даних, обробляти персональні дані без його згоди можна до того часу, коли отримання згоди стане можливим.
Інших документів, необхідні оформлення трудових відносин, і навіть оформлення перекладу (якщо немає медичних показань) і звільнення трудове законодавство не предусматривает.
Отже, персональні дані працівників раніше відображалися і зараз відображаються у вищезгаданих особистих картках за ф. П-2.
У зв'язку з цим звертаємо увагу: подальше використання персональних даних найманих працівників, а також використання таких даних при їх відображенні у особистих картках працівників після набрання чинності Законом № 2297 слід проводити лише з урахуванням вимог цього Закону.
Не потрібна згода суб'єкта персональних даних на збирання та зміна його даних, якщо це:
необхідно для захисту інтересів суб'єкта персональних даних чи іншої особи у разі недієздатності чи обмеження цивільної дієздатності суб'єкта персональних даних;
здійснюється релігійною організацією, громадською організацією світоглядної спрямованості, політичною партією чи професійнимсоюзом, які створені відповідно до закону, за умови, що опрацювання стосується виключно персональних даних членів цих об'єднань або осіб, які підтримують постійні контакти з ними у зв'язку з характером їхньої діяльності, та персональні дані не передаються третій особі без згоди суб'єктів персональних даних;
необхідно для обґрунтування, задоволення чи захисту правової вимоги;
необхідно з метою охорони здоров'я, для забезпечення турботи чи лікування за умови, що такі дані обробляються медичним працівником або іншою особою закладу охорони здоров'я, на який покладено обов'язки щодо забезпечення захисту персональних даних;
стосується звинувачень у скоєнні злочинів, вироків суду, провадження державним органом повноважень, визначених законом, щодо виконання завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом;
стосується даних, оприлюднених суб'єктом персональних даних.
ст. 8 Закону № 2297 надає такі права суб'єкту персональних даних (наприклад, працівнику підприємства, установи чи організації):
знати про місцезнаходження бази персональних даних, що містить його персональні дані, її призначення та найменування, місцезнаходження та/або місце проживання (перебування) власника або розпорядника цієї бази або дати відповідного доручення щодо отримання цієї інформації уповноваженим їм особам, крім випадків, встановлених законом;
отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані, які містяться у відповідній базі персональних даних; на доступ до своїхперсональних даних, які у відповідній базі персональних даних; одержувати не пізніше ніж за 30 календарних днів з дня надходження запиту, крім випадків, передбачених законом,
пред'являти мотивовану вимогу із забороною проти обробки своїх персональних даних органами державної влади, органами місцевого самоврядування при здійсненні їх повноважень, передбачених законом; пред'являти мотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким власником та розпорядником цієї бази, якщо дані обробляються незаконно або є недостовірними;
на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з навмисним приховуванням, ненаданням або несвоєчасним їх наданням, а також на захист від надання відомостей, які є недостовірними або ганьблять честь, гідність та ділову репутацію фізичної особи;
звертатися з питань захисту своїх прав щодо персональних даних до органів державної влади, органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних; застосовувати засоби правового захисту у разі порушення законодавства щодо захисту персональних даних.
Доступ суб'єкта персональних даних до даних про себе здійснюється безоплатно.
Відповідно до вимоги ст. 9 Закону № 2297 база персональних даних підлягає державній реєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних. Заява про реєстрацію бази персональних даних подається власником бази персональних данихуповноваженому державному органу з питань захисту персональних даних
Заява повинна містити:
звернення про внесення бази персональних даних до Державного реєстру баз персональних даних;
інформацію про власника бази персональних даних;
інформацію про найменування та місцезнаходження бази персональних даних;
інформацію про мету обробки персональних даних у базі персональних даних, сформульовану відповідно до вимог статей 6 та 7 Закону № 2297;
інформацію про інших розпорядників бази персональних даних;
підтвердження зобов'язання щодо виконання вимог щодо захисту персональних даних, встановлених законодавством про захист персональних даних.
Керівникам підприємств, установ та організацій, включаючи банки, слід знати, що згідно зі ст. 11 Закону № 2297 підставами виникнення права на використання персональних даних є:
1) згоду суб'єкта персональних даних на обробку його персональних даних. Суб'єкт персональних даних має право при наданні згоди внести попередження щодо обмеження права на обробку своїх персональних даних;
2) дозвіл на обробку персональних даних, наданий власнику бази персональних даних відповідно до закону виключно для здійснення його повноважень.
Особливу увагу слід привернути до себе питання поширення персональних даних. Поширення персональних даних передбачає дії щодо передачі відомостей про фізичну особу з баз персональних даних за згодою суб'єкта персональних даних. Поширення персональних даних без згоди суб'єкта персональних даних або уповноваженої ним особи допускається довипадках, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини. Виконання вимог встановленого режиму захисту персональних даних забезпечує сторона, яка розповсюджує ці дані. Сторона, якій передаються персональні дані, має попередньо вжити заходів щодо забезпечення вимог Закону №2297.
Персональні дані, що зберігаються в базах, підлягають на підставі ст. 15 Закону № 2297 про знищення у разі:
закінчення строку зберігання даних, визначеного згодою суб'єкта персональних даних на обробку цих даних чи законом;
припинення правовідносин між суб'єктом персональних даних та власником чи розпорядником бази, якщо інше не передбачено законом;
набрання законної сили рішенням суду щодо виключення даних про фізичну особу з бази персональних даних.
Персональні дані, зібрані з порушенням вимог Закону № 2297, підлягають знищенню у базах персональних даних у встановленому законодавством порядку.
Запит задовольняється протягом 30 календарних днів із дня надходження, якщо інше не передбачено законом.
Суб'єкт персональних даних має право отримання будь-яких відомостей себе у будь-якого суб'єкта відносин, що з персональними даними, без зазначення мети запиту, крім випадків, встановлених законом.
На підставі ст. 20 Закону № 2297 власники чи розпорядники баз персональних даних зобов'язані вносити зміни до персональних даних на підставі мотивованої письмової вимоги суб'єкта персональних даних. Дозволяється внесення змін до персональних даних щодо звернення інших суб'єктів відносин, пов'язаних з персональними даними, якщо на це є згодасуб'єкта персональних даних або відповідну зміну здійснюється за рішенням суду, який набрав законної сили. Зміна персональних даних, які відповідають дійсності, проводиться невідкладно з встановлення невідповідності.
Суб'єкти відносин, що з персональними даними, зобов'язані забезпечити захист цих даних від незаконної обробки, і навіть від незаконного доступу до них. Забезпечення захисту персональних даних у базі персональних даних покладається на власника цієї бази. Власник бази персональних даних в електронній формі забезпечує її захист відповідно до закону. В органах державної влади та органах місцевого самоврядування, організаціях, установах та на підприємствах усіх форм власності визначається структурний підрозділ або відповідальна особа, яка організовує роботу, пов'язану із захистом персональних даних при їх обробці відповідно до закону.
На підставі вищевикладеного можна зробити висновок: всі громадяни України мають право на захист своїх персональних даних, на доступ до них та їх зміну, а також на заборону їх використання.
Проте Законом № 2297 прямо не передбачено захисту власника персональних даних у випадках, коли він не дає право якомусь розпоряднику бази персональних даних на використання його персональних даних. Наприклад, коли у банку відмовляються оформити картку, якщо фізична особа не дає згоди на відображення в анкетах другорядних її особистих відомостей, що не мають відношення до відкриття пластикової картки.
Звертаємо увагу читачів на таке: якщо суб'єкт персональних даних не дає свого права на використання його персональних даних, крім особливих випадків, передбачених Законом № 2297, то використання його даних єпротизаконним.