Як підприємства мають обробляти персональні дані працівників, аби не порушити українське законодавство? Зі зростанням міжнародної співпраці додаються ще й вимоги GDPR. Відповідні питання виникають перед дедалі більшою кількістю роботодавців.
Персональні дані (відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована) залежно від способу їх зберігання (паперові чи електронні носії) мають оброблятися у такий спосіб, щоб унеможливити доступ до них сторонніх осіб.
Статтею 24 Кодексу законів про працю передбачено, що при укладенні трудового договору громадянин зобов’язаний подати паспорт або інший документ, що посвідчує особу, трудову книжку (у разі наявності) або відомості про трудову діяльність з реєстру застрахованих осіб Державного реєстру загальнообов’язкового державного соціального страхування, а у випадках, передбачених законодавством, – також документ про освіту (спеціальність, кваліфікацію), про стан здоров'я, відповідний військово-обліковий документ та інші документи.
Всі ці документи містять інформацію про претендента на посаду, яку відповідно до міжнародних і національних нормативно-правових актів слід вважати персональними даними. А у разі прийняття на роботу, оригінали документів працівника чи їх копії зберігаються у роботодавця.
Обробка персональних даних повинна здійснюватися в такий спосіб, щоб забезпечити дотримання основоположних прав і свобод людини, зокрема невтручання в право на приватність (особисте та сімейне життя).
Закон України від 01.06.2010 № 2297-VI «Про захист персональних даних» (далі – Закон №2297) визначає (ст. 2 цього закону), що обробка персональних даних – це будь-яка дія від збирання до знищення персональних даних: реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання, поширення (розповсюдження, реалізація, передача), знеособлення тощо.
Серед підстав для обробки персональних даних є (ст. 11 цього закону) згода суб’єкта персональних даних на їх обробку. Вона є добровільним волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди (ст. 2 цього закону).
Не допускається обробка даних про фізособу, які є конфіденційною інформацією, без його згоди (ст. 6 Закону №2297). Виняток становлять лише випадки, визначені законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
Однак, це правило не діє під час реалізації права на працю згідно законодавства України.
Статтею 43 Конституції України гарантовано, що кожен має право на працю і, відповідно, від надання особою згоди на обробку її персональних даних не повинна залежати реалізація його права на працю. При цьому необхідність виконання обов’язку володільця персональних даних, має передбачатися законом (ст. 11 Закону №2297).
Тобто персональні дані повинні використовуватися роботодавцем виключно з метою здійснення прав і виконання своїх обов’язків у сфері трудових правовідносин: вести первинний облік працівників, забезпечувати додатковими гарантіями, надавати щорічні основні та додаткові відпустки на підставі підтвердних документів тощо. І, оскільки персональні дані отримані роботодавцем під час виконання своїх обов’язків на підставі закону, отримувати згоду на їх обробку у працівника не потрібно.
Сьогодні Україна все тісніше співпрацює з європейським ринком. Співробітництво з іноземними партнерами, як правило, вимагає від українських компаній належної підготовки. Тому все частіше виникає потреба забезпечувати виконання міжнародних стардартів.
27 квітня 2016 року у ЄС був прийнятий Загальний регламент про захист даних (GDPR). Оскільки він має екстериторіальну дію і застосовується для всіх компаній, які обробляють персональні дані резидентів і громадян ЄС, незалежно від місця знаходження такої компанії, то і філіям/представництвам українських підприємств на території ЄС необхідно відповідати вимогам GDPR.
Так, ст. 6 GDPR передбачено що опрацювання даних є законним, лише якщо виконано та мірою виконання принаймні однієї з наведених нижче умов:
- (a) суб’єкт даних надав згоду на опрацювання своїх персональних даних для однієї чи декількох спеціальних цілей;
- (b) опрацювання є необхідним для виконання контракту, стороною якого є суб’єкт даних, або для вжиття дій на запит суб’єкта даних до укладення договору тощо.
За невиконання компанією вимог GDPR, європейськими контролюючими органами можуть бути застосовані досить серйозні штрафні санкції стосовно такої компанії або ресурсів, якими керує та управляє компанія у розмірі до 20 млн. євро або у розмірі від 2 до 4% річного обороту компанії. Порушення формального характеру, що не мають негативних наслідків, караються більш мʼяко.
Відтак, з метою врегулювання різниці між процедурою обробки персональних даних в Україні та нормами GDPR, прийнятими у ЄС та уникнення штрафних санкцій, необхідно здійснити комплаєнс з GDPR і в залежності від цього вжити заходи для наближення до вимог GDPR.