Согласие на обработку персональных данных от работника не нужна

 Закон Украины "О защите персональных данных" N 2297-VI от 01.06.2010 г., который вступил в силу еще с начала 2011 г. только в последние месяцы привлек к себе внимание. Причиной этому стало введение значительных штрафных санкций за невыполнение норм указанного нормативно-правового акта, которые будут применяться уже с 1 января 2012 г.

Именно поэтому в настоящее время актуальной проблемой для многих предприятий, а также физических лиц - субъектов предпринимательской деятельности, является регистрация баз персональных данных. Вместе с этим, заполнения заявления и подача его на госрегистрацию в Государственную службу по вопросам защиты персональных данных является лишь одним пунктом из перечня действий, которые должны сделать заявители на пути к внедрению у себя системы обработки и защиты персональных данных. Владельцы баз персональных данных должны разработать внутреннюю документацию, получить согласия субъектов персональных данных, предоставить последним в ответ сообщение относительно их прав, взять из лиц, имеющих доступ к персональным данным, обязательства о неразглашении информации, а также обеспечить защиту персональных данных в существующих базах.

На всех этих этапах возникает много вопросов, разъяснить большинство из которых, опираясь на нормы Закона N 2297-VI, невозможно. Именно поэтому очень уместной стало появление разъяснения Госслужбы по вопросам защиты персональных данных, которое коснулось ряда проблем.

 Пожалуй, самым долгожданным стало разъяснение вопросов относительно оснований для обработки персональных данных работника. Сразу же отметим, СОГЛАСИЕ на обработку персональных данных от работников получать НЕ НУЖНО. В данном случае, сведения о персонале будут обрабатываться на основании разрешения, предоставленного в соответствии с законом, а именно - ст. 24 КЗоТ исключительно для осуществления полномочий владельца базы персональных данных в сфере правоотношений, которые возникли у него с работником на основании трудового договора (контракта). Напомним, что в статье 24 КЗоТ предусмотрено, что гражданин при заключении трудового договора обязан предоставить паспорт или другой документ, удостоверяющий личность, трудовую книжку, а в случаях, предусмотренных законодательством, - также документ об образовании (специальности, квалификации), о состоянии здоровья и другие документы.

Заметим, что такое же мнение мы высказывали в статье ПОЛУЧЕНИЯ СОГЛАСИЯ ЛИЦА

Внимание! Освобождение от необходимости получения согласия не лишает владельца баз персональных данных от обязанности предоставления работнику уведомление о его правах. Напомним, что неуведомление или несвоевременное уведомление субъекта персональных данных является одним из оснований для наложения админштрафа в размере от 5100 до 6800 грн. (повторно в течение года - 6800-11900 грн.) (ст.18839 КОАП).

 

Отдельного внимания заслуживает пункт разъяснения, который касается ТРЕБОВАНИЙ К СОГЛАСИЮ субъекта персональных данных.

Соответственно, до определения, данного в ст. 2 Закона N 2297-VI, согласия субъекта персональных данных считается любое явное, в частности, добровольное письменное волеизъявление физического лица о предоставлении разрешения на обработку его персональных данных в соответствии со сформулированной целью их обработки.

При этом, Госслужба, ссылаясь на отдельные статьи вышеупомянутого Закона, отмечает, что согласие субъекта персональных данных на обработку персональных данных должна содержать информацию относительно:
- цели обработки персональных данных (ст. 2 Закона N 2297-VI);
- объема персональных данных (ст. 6 Закона N 2297-VI);
- порядка использования персональных данных (ст. 10 Закона N 2297-VI);
- порядка распространения персональных данных (ст. 14 Закона N 2297-VI);
- порядка доступа к персональным данным третьими лицами (ст. 16 Закона N 2297-VI).

 Не лишним является рассмотренный в разъяснении вопрос относительно ОФОРМЛЕНИЯ ЗАЯВЛЕНИЯ о госрегистрации базы, а также о внесении изменений в сведения Государственного реестра баз персональных данных. Указанные документы должны содержать информацию о целях обработки персональных данных с определением категории обработки персональных данных.

Целью обработки является обеспечение владельцем базы персональных данных надлежащего осуществления деятельности, определенной в законах, иных нормативно-правовых актах, положениях, учредительных документах, регулирующих его деятельность, и в результате которой возникает необходимость в совершении любого действия или совокупности действий по обработке персональных данных в базах.

Определение категории обработки персональных данных зависит от требований к обработке персональных данных, которые содержатся в базах персональных данных заявителя. Закон N 2297-VI определяет общие и особые требования обработки.

Особые требования обработки применяются к персональным данным о расовом или этническом происхождение, политические, религиозные или мировоззренческие убеждения, членство в политических партиях и профессиональных союзах, а также данные, касающиеся здоровья или половой жизни. Обработка указанных сведений разрешена Законом лишь в некоторых исключительных случаях, например, это необходимо для осуществления прав и исполнения обязанностей в сфере трудовых правоотношений в соответствии с законом или для обоснования, удовольствие или защиты правового требования и т.д.

Под общие требования к обработке подвергаются все имеющиеся в общественной жизни персональные данные лица, кроме вышеуказанных.

 В соответствии с ЗУ "О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных" (N 3454-VI от 02.06.2011 г.) с 01.01.2012 г. за уклонение от регистрации базы персональных данных будут применяться довольно значительные штрафные санкции - от 8500 грн. до 17000 грн.

Опасаясь ответственности, владельцы баз персональных данных стараются успеть до нового года получить Свидетельство о госрегистрации. Спешим сообщить вам приятную новость -достаточно будет лишь успеть подать заявление о регистрации базы до 1 января 2012 г. Сам факт такой подаче уже не будет считаться уклонением от госрегистрации.

 Что касается контрольных мероприятий, а именно проведения проверок, то Госслужба отмечает, что они будут выездными и невыездными, а также плановыми и внеплановыми. План проведения проверок (плановых) будет размещаться на веб-сайте Госслужбы (www.zpd.gov.ua). А вот внеплановые проверки будут проводиться только по жалобам граждан. При этом Госслужба подчеркивает, что соответствующая жалоба должна быть подкреплена документами, подтверждающие нарушения в сфере защиты персональных данных.

Внимание! Проверки будут проводиться только после принятия соответствующего приказа ("Об утверждении Положения о порядке осуществления Государственной службой Украины по вопросам защиты персональных данных государственного контроля за соблюдением законодательства о защите персональных данных"), проект которого в настоящее время проходит общественное обсуждение. Следующими шагами до утверждения этого документа станут согласование в Министерстве экономического развития и торговли Украины, а также госрегистрация в Министерстве юстиции Украины.

 Наконец, обратим ваше внимание на такое сообщение Госслужбы - "Заявления о регистрации базы данных Государственной службой Украины по вопросам защиты персональных данных будут приниматься также после 1 января 2012 года".

---------------------

Разъяснение Государственной службы Украины по вопросам защиты персональных данных от 14.12.2011 г.

 

По материалам компании «Динай»