3.Обробка персональних даних у сфері трудових відносин.
Ведення бази даних працівників підприємства, що пов’язане зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичних осіб є обробкою персональних даних.
Здійснення дій з обробки персональних даних передбачає наявність правових підстав такої обробки: згоди суб’єкта персональних даних на обробку персональних даних; права на обробку персональних даних, надане володільцю бази персональних даних відповідно до закону у порядку, визначеному законодавством України і виключно в інтересах національної безпеки, економічного добробуту та прав людини.
Як бачимо, для обробки персональних даних працівників потрібно отримати згоду від них. Такою згодою відповідно до статті 2 Закону № 2297 може бути будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки.
ДСЗПД рекомендує отримувати від працівників письмову згоду на обробку їх персональних даних. Така згода, зокрема, може надаватися окремим документом або шляхом зазначення про це у заяві про прийняття на роботу із зазначенням цілей обробки, на яку надається згода.
Крім того, ДСЗПД рекомендує обробку персональних даних у базах персональних даних при реалізації повноважень роботодавця у сфері трудових відносин здійснювати за умов:
а) визначення роботодавцем як володільцем бази персональних даних мети обробки персональних даних відповідно до законодавства у сфері трудових відносин;
б) встановлення складу персональних даних та процедур їх обробки;
в) отримання згоди суб’єктів персональних даних на обробку їх персональних даних відповідно до визначеної мети або права на обробку персональних даних наданого володільцю бази персональних даних відповідно до закону;
г) забезпечення захисту персональних даних у базі персональних даних від незаконної обробки і незаконного доступу до них;
д) реєстрації баз персональних даних у Державному реєстрі баз персональних даних.
Мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця бази персональних даних, та відповідати законодавству про захист персональних даних (ст. 6 Закону № 2297).
Не зайвим буде, якщо володілець баз персональних даних (роботодавець) прийме локальний нормативний акт (видасть наказ чи інший документ), яким обумовить кількість баз персональних даних, що будуть сформовані на підприємстві, мету обробки цих даних, їх зміст і обсяг, а також процедуру обробки, доведе до відома суб’єкта персональних даних мету обробки персональних даних, отримає від суб’єкта персональних даних попередню письмову згоду про обробку даних, що можуть здійснюватися в майбутньому, а також призначить працівника — відповідальну особу, яка забезпечуватиме захист персональних даних.
Персональні дані мають бути точними, достовірними, у разі необхідності — оновлюватися.
Склад і зміст персональних даних мають бути відповідними і ненадмірними стосовно визначеної мети їх обробки.
Забороняється обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров’я чи статевого життя.
Зазначене положення не застосовується, якщо, зокрема, обробка персональних даних необхідна для здійснення прав та виконання обов’язків у сфері трудових правовідносин відповідно до закону.
Так, з метою створення умов для дотримання вимог статті 43 КЗпП роботодавець має право на обробку персональних даних щодо членства у професійних спілках, для дотримання вимог частини шостої статті 24, статей 169 та 191 КЗпП роботодавець має право на обробку персональних даних, що стосуються здоров’я працівника.
Суб’єкт персональних даних має право: ·
знати про місцезнаходження бази персональних даних, яка містить його персональні дані, її призначення та найменування, місцезнаходження та/або місце проживання (перебування) володільця чи розпорядника цієї бази або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, установлених законом; ·
отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані, що містяться у відповідній базі персональних даних; ·
на доступ до своїх персональних даних, що містяться у відповідній базі персональних даних; ·
отримувати не пізніш як за 30 календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи зберігаються його персональні дані у відповідній базі персональних даних, а також отримувати зміст його персональних даних, які зберігаються; ·
пред’являти вмотивовану вимогу із запереченням проти обробки своїх персональних даних органами державної влади, органами місцевого самоврядування при здійсненні їхніх повноважень, передбачених законом; ·
пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником цієї бази, якщо ці дані обробляються незаконно чи є недостовірними; ·
на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи; ·
звертатися з питань захисту своїх прав щодо персональних даних до органів державної влади, органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних; ·
застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних.
Суб’єкт персональних даних протягом десяти днів з дня включення його персональних даних до бази персональних даних має бути повідомлений про його права, мету збору даних та осіб, яким передаються його письмові дані, виключно в письмовій формі. Повідомлення можна оформити на тому ж аркуші, на якому оформлено згоду працівника на обробку його даних. (Далі буде)
Провідний спеціаліст
районного управління юстиції Інна Якубчик
|