Чи завжди роботодавцеві потрібно отримувати згоду працівника на обробку його персональних даних?

У чому проблема: кардинальні зміни в законодавстві про захист персональних даних відбулися ще на початку 2014 року, але ця тема набула своєї актуальності зараз – у зв'язку із частими перевірками контролюючих ор­ганів.

Запитання: хто здійснює контроль над дотриманням законодавства у сфері захисту персональних даних, і чи потрібно роботодавцеві отримувати дозвіл від працівника на обробку його персональних даних?

Коротка відповідь: контроль над дотриманням законодавства про захист персональних даних здійснюють уповноважені особи секретаріату Уповноваженого Верховної Ради України із прав людини (далі – Уповноважений). Якщо персональні дані співробітників роботодавець використовує для виконання своїх обов'язків у сфері трудових правовідносин і забезпечує захист таких даних, то йому не потрібно отримувати згоду від своїх працівників на обробку їх персональних даних.

Передісторія

Коротенько нагадаємо про зміни, які сталися на початку 2014 року у сфері захисту персональних даних. Найважливіше з них полягало в ліквідації Державної служби з питань захисту персональних даних (далі – Державна служба). Контроль над дотриманням законодавства про захист персональних даних перейшов до Уповноваженого, якому були надані більш широкі повноваження в порівнянні з Державною службою.

Зокрема, Уповноважений має право (ст. 23 Закону від 01.06.10 р. № 2297-VI, далі – Закон № 2297):

• проводити перевірки (виїзні та невиїзні, планові та позапланові);
• отримувати та мати доступ до будь-якої інформації (документів) власників або розпорядників персональних даних навіть з обмеженим доступом;
• складати протоколи про притягнення до адміністративної відповідальності та направляти їх до суду у випадках, передбачених законом.

Ситуація сьогодні

Відповімо на основні запитання, які цікавлять роботодавців.

У яких випадках роботодавцеві потрібно отримувати згоду працівника на обробку його персональних даних?

Згідно із ч. 1 і п. 1 ч. 2 ст. 7 Закону № 2297 необхідно отримувати письмову згоду працівника на обробку його персональних даних, що стосуються:

• расового або етнічного походження;
• політичних, релігійних або світоглядних переконань;
• членства в політичних партіях і професійних спілках;
• притягнення до кримінальної відповідальності;
• стану здоров'я, статевого життя, біометричних або генетичних даних.

На замітку! Роботодавець не зобов'язаний отримувати згоду від своїх працівників на обробку їх персональних даних за умови, що персональні дані співробітників (наприклад, ім'я, по батькові та прізвище співробітника, інформація про освіту, сімейний стан) роботодавець використовує для виконання своїх обов'яз­ків у сфері трудових правовідносин і забезпечує захист таких даних (п. 2 ч. 2 ст. 7, п. 5 ч. 1 ст. 11 Закону № 2297).

Чи потрібно реєструвати бази персональних даних?

Нагадаємо, що з 1 січня 2014 року реєструвати бази персональних даних не потрібно, оскільки вводиться нова процедура – повідомлення Упов­новаженого.

Які дані становлять особливий ризик для прав і свобод фізосіб?

Відповідь на це запитання міститься в п. 1.2 Порядку повідомлення Уповноваженого ВРУ із прав людини про обробку персональних даних, яка становить особливий ризик для прав і свобод суб'єктів персональних даних, затвердженого наказом Уповноваженого ВРУ із прав людини від 08.01.14 р. № 1/02-14 (далі – Порядок № 1/02-14).

Там сказано, що особливий ризик становлять персональні дані:

• про расове, етнічне та національне походження;
• політичні, релігійні або світоглядні переконання;
• членство в політичних партіях та/або організаціях, профспілках, релігійних організаціях або в громадських організаціях світоглядної спрямованості;
• стан здоров'я та статеве життя;
• біометричні та генетичні дані;
• притягнення до адміністративної або кримінальної відповідальності;
• застосування щодо особи заходів у рамках досудового розслідування та заходів, передбачених Законом від 18.02.92 р. № 2135-XII;
• здійснення щодо особи тих або інших видів насильства;
• місцезнаходження та/або шляхи пересування особи.

Як бачимо, перелік персональних даних, що становлять особливий ризик, у Порядку № 1/02-14 більш деталізовано в порівнянні з переліком, наведеним у ст. 7 Закону № 2297.

Чи передбачає законодавство відповідальність роботодавця за порушення вимог про захист персональних даних?

На підставі ст. 188³⁹ КУпАП застосовується адміністративна відповідальність, зокрема, за такі порушення як:

• недотримання встановленого законодавством порядку захисту персональних даних, що призвело до незаконного доступу до таких даних або порушення прав суб'єкта персональних даних. Передбачено штраф у розмірі від 300 до 1 000 НМДГ (від 5 100 до 17 000 грн.), застосовуваний до посадових осіб підприємств, а також до фізосіб-підприємців;
• при повторному подібному порушенні, допущеному протягом року, – штраф може становити від 1 000 до 2 000 НМДГ (від 17 000 до 34 000 грн.).

Висновки

Повідомляти Уповноваженого потрібно тільки про обробку персональних даних, що становлять особливий ризик для прав і свобод суб'єктів персональних даних. На обробку таких даних необхідно отримати письмову згоду фізособи (наприклад, працівника). На сьогодні роботодавець при прийманні на роботу нового співробітника не зобов'язаний отримувати від нього згоду на обробку його персональних даних. За умови, що ці персональні дані роботодавцем будуть використовуватися виключно для виконання своїх обов'язків у сфері трудових правовідносин і буде забезпечуватися захист таких даних.