Всегда ли работодателю нужно получать согласие работника на обработку его персональных данных?

В чем проблема: кардинальные изменения в законодательстве о защите персональных данных произошли еще в начале 2014 года, но эта тема приобрела свою актуальность сейчас – в связи с участившимися проверками контролирующих органов.

Вопрос: кто осуществляет контроль за соблюдением законодательства в сфере защиты персональных данных, и нужно ли работодателю получать разрешение от работника на обработку его персональных данных?

Краткий ответ: контроль за соблюдением законодательства о защите персональных данных осуществляют уполномоченные лица секретариата Уполномоченного Верховной Рады Украины по правам человека (далее – Уполномоченный). Если персональные данные сотрудников работодатель использует для выполнения своих обязанностей в сфере трудовых правоотношений и обеспечивает защиту таких данных, то ему не нужно получать получать согласие от своих работников на обработку их персональных данных.

Предыстория

Вкратце напомним об изменениях, которые случились в начале 2014 года в сфере защиты персональных данных. Самое важное из них заключалось в ликвидации Государственной службы по вопросам защиты персональных данных (далее – Государственная служба). Контроль за соблюдением законодательства о защите персональных данных перешел к Уполномоченному, которому были предоставлены более широкие полномочия по сравнению с Государственной службой.

В частности, Уполномоченный имеет право (ст. 23 Закона от 01.06.10 г. № 2297-VI, далее – Закон № 2297):

• проводить проверки (выездные и невыездные, плановые и внеплановые);
• получать и иметь доступ к любой информации (документам) владельцев или распорядителей персональных данных даже с ограниченным доступом;
• составлять протоколы о привлечении к административной ответственности и направлять их в суд в случаях, предусмотренных законом.

Ситуация сегодня

Ответим на основные вопросы, которые интересуют работодателей.

В каких случаях работодателю нужно получать согласие работника на обработку его персональных данных?

Согласно ч. 1 и п. 1 ч. 2 ст. 7 Закона № 2297, необходимо получать письменное согласие работника на обработку его персональных данных, касающихся:

• расового или этнического происхождения;
• политических, религиозных или мировоззренческих убеждений;
• членства в политических партиях и профессиональных союзах;
• привлечения к уголовной ответственности;
• состояния здоровья, половой жизни, биометрических или генетических данных.

На заметку! Работодатель не обязан получать согласие от своих работников на обработку их персональных данных при условии, что персональные данные сотрудников (например, имя, отчество и фамилия сотрудника, информация об образовании, семейное положение) работодатель использует для выполнения своих обязанностей в сфере трудовых правоотношений и обеспечивает защиту таких данных (п. 2 ч. 2 ст. 7, п. 5 ч. 1 ст. 11 Закона № 2297).

Нужно ли регистрировать базы персональных данных?

Напомним, что с 1 января 2014 года регистрировать базы персональных данных не нужно, поскольку вводится новая процедура – уведомление Уполномоченного.

Какие данные представляют особый риск для прав и свобод физлиц?

Ответ на этот вопрос содержится в п. 1.2 Порядка уведомления Уполномоченного ВРУ по правам человека об обработке персональных данных, которая представляет особый риск для прав и свобод субъектов персональных данных, утвержденного приказом Уполномоченного ВРУ по правам человека от 08.01.14 г. № 1/02-14 (далее – Порядок № 1/02-14).

Там сказано, что особый риск представляют персональные данные:

• о расовом, этническом и национальном происхождении;
• политических, религиозных или мировоззренческих убеждениях;
• членстве в политических партиях и/или организациях, профсоюзах, религиозных организациях или в общественных организациях мировоззренческой направленности;
• состоянии здоровья и половой жизни;
• биометрических и генетических данных;
• привлечении к административной или уголовной ответственности;
• применении относительно лица мер в рамках досудебного расследования и мероприятий, предусмотренных Законом от 18.02.92 г. № 2135-XII;
• совершении относительно лица тех или иных видов насилия;
• местонахождении и/или пути передвижения лица.

Как видим, перечень персональных данных, представляющих особый риск, в Порядке № 1/02-14 более детализирован по сравнению с перечнем, приведенным в ст. 7 Закона № 2297.

Предусматривает ли законодательство ответственность работодателя за нарушение требований о защите персональных данных?

На основании ст. 188³⁹ КУоАП применяется административная ответственность, в частности, за такие нарушения, как:

• несоблюдение установленного законодательством порядка защиты персональных данных, что привело к незаконному доступу к таким данным или нарушению прав субъекта персональных данных. Предусмотрен штраф в размере от 300 до 1 000 НМДГ (от 5 100 до 17 000 грн.), применяемый к должностным лицам предприятий, а также к физлицам-предпринимателям;
• при повторном подобном нарушении, допущенном в течение года, – штраф может составить от 1 000 до 2 000 НМДГ (от 17 000 до 34 000 грн.).

Выводы

Уведомлять Уполномоченного нужно только об обработке персональных данных, представляющих особый риск для прав и свобод субъектов персональных данных. На обработку таких данных необходимо получить письменное согласие физлица (например, работника). На сегодня работодатель при приеме на работу нового сотрудника не обязан получать от него согласие на обработку его персональных данных. При условии, что эти персональные данные работодателем будут использоваться исключительно для выполнения своих обязанностей в сфере трудовых правоотношений и будет обеспечиваться защита таких данных.