Правове регулювання захисту персональних даних працівника

Размещено на http://www.allbest.ru/

ВСТУП

Актуальність теми. Права людини та основні свободи з народження належать усім людям, вони невіддільні і гарантуються законом. Захист та сприяння їм - первинний обов'язок держави, повага до них - основа свободи, справедливості і миру.

Основною тенденцією розвитку трудового права України є становлення та зміцнення в ньому одного з найважливіших принципів - принципу поваги до прав людини у сфері праці.Сучасне трудове право приймає на себе охорону гідності особистості, недоторканості приватного життя, особистої та сімейної таємниці, а також інших нематеріальних благ найманого працівника. Норми трудового права покликані доповнити та поглибити захист особистих немайнових прав й інших нематеріальних благ, що здійснюється цивільним правом, з урахуванням особливостей трудових відносин, забезпечувати права та свободи людини у сфері праці і таким чином формувати статус «соціального громадянина».

Значний прогрес у розвитку інформаційних технологій у двадцятому столітті, а саме практично повсюдне запровадження інформаційно-комп'ютерних технологій і телекомунікаційних мереж, пов'язане з ним збільшення обсягів і напрямів використання персональних даних у різних сферах суспільного життя, їх передача новітніми комунікаційними засобами істотно поширили можливості роботодавців щодо збирання, зберігання і обробки інформації відносно окремих працівників, а також швидке отримання даних з інших джерел. В умовах широкого використання автоматизованих систем та їх технологій інформація про будь-якого працівника може стати тією чи іншою мірою відкритою і призвести до ущемлення його права та законих інтересів, заподіяти працівникові матеріальну або моральну шкоду.

Персональні дані, як найбільш чутлива і важлива для людини інформація, займає особливе місце в суспільних відносинах. Останнім часом дедалі більше вчених-юристів замислюються над юридичною природою та законністю такого досить старого міжнародно-правового засобу боротьби з порушенням прав людини, як захист її персональних даних. Саме концепція захисту персональних даних настійно пропонується деякими правниками як найоптимальніше вирішення гуманітарних криз сьогодення. Особливої актуальності ця проблема набула в останні десятиріччя, що ознаменувалися практично повсюдним запровадженням інформаційно-комп'ютерних технологій і телекомунікаційних мереж.

Комплексне дослідження проблеми правового регулювання відносин, що виникають у зв'язку з обробкою (збиранням, зберіганням, використанням, поширенням) персональних даних працівника, є необхідним для запровадження адекватного юридичного механізму в національну юридичну практику, що сприятиме ефективній реалізації положень ст.3 та ст.32 Конституції України [77].

Актуальність теми дослідження обумовлюється також недостатнім ступенем її наукової розробки. Слід підкреслити той факт, що, на жаль, у межах вітчизняної доктрини трудового права так і не вдалося підготувати окреме наукове дослідження, присвячене розробці концепції захисту персональних даних працівника.

У контексті концепції захисту прав і свобод людини в останні роки з'явилися праці вітчизняних науковців, в яких досліджуються проблеми захисту прав людини у сфері праці (Н.Болотіна, М.Іншин, Г.Чанишева); захисту персональних даних фізичної особи (А.Баранов, В.Брижко, Ю.Базанов, В.Галаган, О.Жуковська, А.Пазюк та ін.).

Загальнотеоретичні питання правового захисту персональних даних працівника розглядають російські вчені А. Анисимов, З. Богатиренко, В. Іванський, І.Кісельов, А.Лушніков, М.Лушнікова, М.Петросян, О.Соколова та ін.

Окремі аспекти проблеми захисту персональних даних досліджують зарубіжні науковці К.Беннетт, Д.Боркінг Л. Брендейс, С. Дейвіс, Р.Кларк, В.Котші, М. Кьорбі, Майер Шонбергер, Ч.Рааб, С. Уоррен та ін.

Отже, теоретичні та практичні питання правового регулювання відносин із захисту персональних даних працівників до цього часу залишалися поза увагою представників вітчизнянох науки трудового права.

Зв'язок роботи з науковими програмами, планами, темами. Теоретичні та практичні питання теми дисертації досліджувалися у межах виконання планів науково-дослідної роботи кафедри трудового права та права соціального забезпечення «Правове забезпечення праці та соціального захисту населення в умовах становлення соціально-орієнтованої ринкової економіки в Україні» на 2001-2005 роки і «Правове регулювання трудових відносин і відносин у сфері соціального захисту в умовах ринкової економіки та його ефективність» на 2006-2010 роки, які є складовими відповідно планів науково-дослідної роботи Одеської національної юридичної академії «Правові проблеми становлення і розвитку сучасної правової держави» на 2001-2005 роки (державний реєстраційний номер 0101V001195) і «Традиції та новації у сучасній українській державності і правовому житті» на 2006-2010 роки (державний реєстраційний номер 0106V004970).

Мета і завдання дослідження. Метою дослідження є розробка юридичного механізму захисту персональних даних працівника на підставі комплексного аналізу міжнародних актів, законодавства України, спеціальної літератури та матеріалів практики щодо забезпечення захисту персональних даних працівника.

Для досягнення поставленої мети в дослідженні поставлено такі завдання:

- визначити поняття та нормативний зміст персональних даних працівника, здійснити їх класифікацію;

- сформулювати поняття та загальні вимоги до обробки персональних даних працівника;

- визначити вимоги до збирання, зберігання, використання та передачі персональних даних працівника;

- довести необхідність прийняття локального нормативно-правового акту, який регламентував би процедуру обробки персональних даних працівника, та запропонувати його зміст;

- дослідити зміст прав працівника з метою забезпечення захисту персональних даних, які зберігаються у роботодавця;

- визначити місце норм про захист персональних даних працівника у системі трудового права України;

- розробити науково обґрунтовані пропозиції щодо вдосконалення трудового законодавства України з урахуванням міжнародних стандартів, досвіду демократичних країн з метою забезпечення ефективного захисту персональних даних працівника.

Об'єктом дослідження є правовідносини у сфері захисту персональних даних працівника.

Предметом дослідження є теоретичні та практичні питання правового регулювання відносин із захисту персональних даних працівника.

Методи дослідження. Методологічною основою дисертаційного дослідження є низка загальнонаукових і спеціальних методів пізнання, вибір яких обумовлено особливостями його об'єкта, предмета, мети і завдань.

При дослідженні питань правових засобів захисту персональних даних застосовувався діалектичний метод наукового пізнання правових процесів та явищ, що виявилося, зокрема, у широкому використанні окремих парних категорій діалектики (форма і зміст, суть і явище, структура та елемент, причина й наслідок тощо). Застосування формально-логічного методу дозволило провести логічний, граматичний та морфологічний аналіз чинних правових норм. На підставі поєднання вказаного методу і методу моделювання у дисертації сформульовані конкретні пропозиції щодо вдосконалення національного трудового законодавства. Використання порівняльного методу дозволило дослідити відповідність національного законодавства міжнародним стандартам у цій сфері, а також проаналізувати зарубіжний досвід правового захисту персональних даних працівника. Історико-правовий метод застосовувався при дослідженні генезису юридичного механізму захисту персональних даних працівника. У дисертаційному дослідженні використовувався також системний підхід і системно-структурний метод, за допомогою яких було визначено складові юридичного механізму захисту персональних даних працівника та місце норм про захист персональних даних працівника у системі трудового права України.

Основні положення та висновки дисертації базуються на аналізі актів ООН, МОП, Ради Європи, Європейського Союзу, чинного законодавства України та законодавства країн із розвиненою ринковою економікою, постсоціалістичних країн Центральної та Східної Європи, держав колишнього Союзу РСР, досягнень загальної теорії права, міжнародного права, трудового права, цивільного права, інших галузей, матеріалах судової практики, відділів роботи з кадрами прокуратур м. Києва та Київської області.

Наукова новизна одержаних результатів. Дисертація є першим у науці трудового права України спеціальним комплексним дослідженням правових засобів захисту персональних даних працівника.

Наукова новизна дослідження полягає в опрацюванні низки важливих теоретичних та практичних питань правового регулювання захисту персональних даних працівників та формулюванні пропозицій і рекомендацій щодо його удосконалення.

У межах здійсненого автором дослідження одержано такі результати, що мають наукову новизну:

- вперше в науці трудового права України сформульовано поняття персональних даних працівника із застосуванням міжнародних стандартів, визначено нормативний зміст та здійснено класифікацію персональних даних працівника;

- вперше у вітчизняній науці трудового права досліджено історичні аспекти становлення і розвитку законодавства про персональні дані працівника; виявлено особливості розвитку національного законодавства у цій сфері за радянських часів та у період незалежності України;

- вперше в науці трудового права України визначено поняття та форми обробки персональних даних працівника, загальні вимоги при обробці цих даних;

- доведено необхідність розробки та запропоновано зміст локального нормативно-правового акту, який регламентував би процедуру обробки персональних даних працівника;

- сформульовано вимоги до збирання, зберігання, використання та передачі персональних даних працівника з урахуванням міжнародних трудових стандартів;

- вперше в науці трудового права України визначені права працівника щодо захисту персональних даних та досліджено їх зміст;

- вперше у вітчизняній науці трудового права розглянуто питання юридичної відповідальності за порушення норм, які регулюють обробку та захист персональних даних працівника;

- обґрунтовано пропозицію про об'єднання норм про захист персональних даних працівника в окремому правовому інституті в системі трудового права України в межах такого її структурного елементу як Індивідуальне трудове право;

- проаналізовано положення проектів Трудового кодексу України щодо персональних даних працівника, Закону України «Про захист персональних даних» та сформульовано конкретні пропозиції та рекомендації щодо їхнього змісту.

Обгрунтованість і достовірність наукових положень, висновків і рекомендацій. Положення, висновки і рекомендації, сформульовані в роботі, є обґрунтованими і достовірними. У дисертації застосовуються наукові праці теоретиків права та представників різних галузей юридичної науки, економістів, соціологів, політологів, міжнародні акти, акти чинного законодавства України та законодавства деяких зарубіжних країн, матеріали судової практики, відділів роботи з кадрами прокуратур м.Києва та Київської області.

Наукове значення роботи. Дисертація є самостійною науковою працею, в якій вирішуються важливі теоретичні та практичні питання правового регулювання відносин із захисту персональних даних працівника, що має суттєве значення для науки трудового права України.

Практичне значення одержаних результатів. Наукові результати, отримані дисертанткою, можуть бути використані у законотворчій діяльності при роботі над проектами Трудового кодексу України, Закону України «Про захист персональних даних».

Висновки та пропозиції, що містяться у дисертації, можуть бути корисними у науково-дослідній роботі для подальшого дослідження теоретичних і практичних проблем правового регулювання відносин із захисту персональних даних працівників, а також у практиці застосування чинного законодавства.

Результати дослідження можуть бути також використані у навчальному процесі при викладанні нормативного курсу «Трудове право України», а також спеціального курсу «Порівняльне трудове право», при підготовці робочих програм, підручників, навчальних посібників, практикумів із зазначених дисциплін.

Апробація результатів дисертації. Основні теоретичні положення, висновки та пропозиції, сформульовані у дисертаційному дослідженні, доповідалися та обговорювалися на засіданні науково-теоретичного семінару кафедри трудового права та права соціального забезпечення Одеської національної юридичної академії, на науково-практичних конференціях, семінарах, зокрема: 7-й (59-й) звітній науковій конференції професорсько-викладацького та аспірантського складу ОНЮА, присвяченої четвертій річниці присвоєння Одеській національній юридичній академії статусу національної (м. Одеса, 22-23 квітня 2004 р.); 8-й (60-й) звітній науковій конференції професорсько-викладацького та аспірантського складу ОНЮА, присвяченої п'ятій річниці присвоєння Одеській національній юридичній академії статусу національної (м. Одеса, 22-23 квітня 2005 р.); 9-й звітній науковій конференції професорсько-викладацького та аспірантського складу ОНЮА (м. Одеса, 26 квітня 2006 р.); Всеукраїнській науково-практичній конференції «Наукові засади управління і економіки освіти» (м. Переяслав-Хмельницький 20-21 квітня 2004 року); науково-практичному семінарі «Захист прав людини в Україні та Росії» (м. Переяслав-Хмельницький, 24 травня 2005 року).

Публікації. Основні положення, теоретичні висновки та практичні рекомендації, що містяться у дисертації, викладені автором у п'яти наукових статтях, написаних без співавторів та опублікованих у фахових виданнях, перелік яких затверджений ВАК України.

Структура дисертації зумовлена метою та завданнями дослідження. Дисертаційна робота складається зі вступу, трьох розділів, які містять вісім підрозділів, висновків та списку використаних джерел. Загальний обсяг дисертації складає 200 сторінок, із яких основного змісту - 179 сторінок.

персональний інформація працівник україна

Розділ І. Правове регулювання захисту персональних даних працівника

1.1 Міжнародно-правові стандарти захисту персональних даних працівника

Без дослідження всесвітніх міжнародних та європейських стандартів, вивчення особливостей національних регулятивних підходів окремих країн Європи, Сполучених Штатів Америки та інших демократичних держав, які мають розвинуте законодавство і багаторічний досвід з питань захисту прав і свобод людини, в тому числі права на захист персональних данихзарубіжного досвіду, вкрай ускладнюється розуміння сучасних проблем правового регулювання відносин із захисту відомостей про особу та персональних даних працівника зокрема.

В українській науці доволі активно розвивається теорія міжнародно-правового захисту прав людини, досліджуються питання реформування правової системи України відповідно до міжнародно-правових стандартів, зокрема, в працях М.Антоновича [4, 5], В.Буткевича [14], В.Денисова [27, 28, 29, 30, 31], А.Дмитрієва [38], В.Забігайла [45], Л.Заблоцької [46], О.Задорожнього, М.Гнатовського [49, 50], В.Муравйова [96], П.Рабіновича, М. Хавронюка [172], Г. Стадника [180], Ю.Тодики, В. Серьогіна [188, 189], С.Шевчука, І.Кравчука [202] та ін.

У західній правовій науці над зазначеними питаннями працювали К.Беннетт, Ч.Рааб [208, 209, 210], Д.Боркінг [223], Л.Брендейс, С.Уоррен [211], С.Девіс [25,220], Р.Кларк [214], В.Котші [228], М.Кьорбі [227], Майер-Шонбергер [231, 232], В.Проссер [238], М.Ротенберг [244] та ін.

Проблема правового захисту персональних даних у контексті теорії прав людини є об'єктом досліджень О.Жуковської [43,44], Є.Захарова, І.Рапп [53,54], В.Іванова [57], Т.Костецької [79], М.Місьо, Н.Петрової [92] та ін.

Серед робіт російських дослідників щодо захисту персональних даних працівника потрібно відзначити праці А.Анісімова [3], Н.Бриліантової [191], В.Іванського [56], І.Кисельова [64,65], А.Лушнікова, М.Лушнікової [86, 87], М.Петросяна [107], О. Соколової [178] та ін.

Захист персональних даних від зловживань і свавілля з боку роботодавців та інших осіб і організацій став предметом особливої уваги і міжнародно-правової регламентації. Право на недоторканість приватного життя (в деяких документах - особистого життя), суб'єктом якого є кожна людина, закріплене як одна з загальнолюдських цінностей в актах ООН, МОП, Ради Європи, Європейського Союзу, Організації економічного співробітництва і розвитку (ОЕСР), а також договорах, укладених державами у рамках СНД та ратифікованих Україною.

Міжнародні стандарти прав людини, за визначенням П.Рабіновича, М.Хавронюка 172, с.19 - це закріплені у міжнародних актах та інших міжнародних документах певні показники цих прав, до досягнення яких заохочуються або ж зобов'язуються держави.

У Загальній декларації прав людини, прийнятій ООН 10 грудня 1948 року, а також у ратифікованих Україною Міжнародному пакті про громадянські та політичні права, Європейській конвенції про захист прав людини та основних свобод, Конвенції СНД про права та свободи людини, закріплене право на повагу приватного та сімейного життя, визнані незаконними будь-які посягання на честь і гідність людини.

Загальною декларацією прав людини [47] права на невтручання в особисте життя та на володіння майном проголошуються нарівні з правами на свободу мови, релігії, мирних зібрань, свободу переміщення. У ст.12 Декларації зазначається, що ніхто не може зазнавати довільного або незаконного втручання у його особисте і сімейне життя, довільного посягання на недоторканість його житла, тайну його кореспонденції або на його честь і репутацію. Кожна людина має право на захист закону від такого втручання або від таких посягань.

Таким чином, у сукупності ці статті означають, що у трудових правовідносинах особисте і сімейне життя, честь і гідність людини захищаються законом.

В Україні діють міжнародні багатосторонні договори ООН - Міжнародний пакт про громадянські та політичні права, Міжнародний пакт про економічні, соціальні і культурні права, прийняті Генеральною Асамблеєю 16 грудня 1966 року.

- передача роботодавцем особистих даних працівника можлива лише у випадках, передбачених національним законодавством і, як правило, за письмовою згодою працівника;

- у випадках медичного обстеження працівника роботодавець повинен бути поінформованим лише про ті висновки, які стосуються питання можливості виконання працівником покладеної на нього трудової функції;

- працівники мають право на регулярну та повну інформацію про зберігання їх персональних даних, на вільний і безоплатний доступ до них; вимагати виключення або виправлення невірних (неповних) даних; вимагати від роботодавця повідомлення тих, кому раніше були надані невірні або неповні дані, про всі проведені в них виключення, виправлення або доповнення;

- представники працівників повинні бути інформовані, з ними повинні бути проведені консультації стосовно введення та модифікацій автоматичних систем збору інформації; змісту й тлумачення будь-яких тестів, що застосовуються у зв'язку зі збором особистих даних працівника;

- представники працівників повинні попереджуватися про введення електронної системи нагляду на робочих місцях [65, с. 511-513].

Ефективний внесок у міжнародне регулювання трудових відносин здійснюють регіональні міждержавні об'єднання: Рада Європи, Європейський Союз, Організація американських держав, Організація африканської єдності, Арабська організація праці, Організація економічного співробітництва та розвитку (ОЕСР).

Міжнародні трудові норми про захист персональних даних працівників містяться в актах Ради Європи - найбільш представницької організації континенту, до складу якої входять 46 держав. Принципове значення для розширення й поглиблення ідеї захисту персональних даних мають ст.8, 10 Конвенції про захист прав і основних свобод людини від 4 листопада 1950 р., підписаної у Римі, якими встановлено заборону на втручання в особисте і сімейне життя та незаконне посягання на честь і репутацію. Кожен має право на захист від такого втручання і таких посягань (ст.17) [74].

Конвенцією і протоколами до неї визначено механізм забезпечення дотримання Конвенції, що включає Європейську комісію з прав людини і Європейський суд з прав людини, юрисдикція якого поширюється на всі справи, що стосуються застосування і тлумачення Конвенції.

Європейська соціальна хартія 1961р. (переглянута у 1996р.) [40], яку називають європейським кодексом основних соціальних і трудових прав громадян, закріплює широкий каталог прав у сфері праці. Хартія, зокрема, закріплює таке право у сфері трудових правовідносин, як право працівників на інформацію і консультації (ст.21 частини ІІ Європейської соціальної хартії (переглянутої)).

З метою забезпечення вільного обігу персональних даних, запобігання несанкціонованого доступу до відомостей персонального характеру в умовах розгортання процесів інформатизації, Рада Європи 28 січня 1981 року (м. Страсбург) прийняла Конвенцію №108 “Про захист осіб стосовно автоматизованої обробки персональних даних” [75], яка набула чинності з жовтня 1985 року. Її учасниками стали біля 30 європейських держав. Конвенція діє з поправками, схваленими Комітетом міністрів Ради Європи 15 червня 1999 року.

Фактором, що активізував розробку документа, стала не вирішена повною мірою проблема транскордонної передачі даних як у самій Європі, так і за її межі. Випадок, який отримав значний резонанс, стався у 1991 році, коли Французьке агентство з питань захисту персональних даних заборонило компанії “Фіат” електронну передачу інформації про її французьких працівників до головного офісу в Італії, поки “Фіат” не погодиться виконувати вимоги законодавства Франції про захист даних. У 1992 році Німецький банк відмовився надати своєму підрозділу у Гонконгу доступ до інформації про клієнтів банку, громадян Німеччини.

У Рекомендації від 29 липня 1981 року № 81/679/ЕЕС, яка присвячується затвердженню Радою Європи Конвенції № 108, відзначається її прийнятність для створення однакового рівня захисту інформаційної приватності в Європі [215].

Конвенція №108 виходить з того, що в умовах застосування новітніх інформаційних технологій, комп'ютерних і телекомунікаційних засобів збільшується ймовірність несанкціонованого збору, обробки, зберігання та розповсюдження персональних даних, внаслідок чого природні, життєві права й інтереси особи, які є основою свободи, загальної справедливості та миру, можуть бути зведені нанівець. Означені права слід захищати владою закону, тому Конвенція зобов'язала країни-учасниці здійснити корегування національних законодавств у частині втілення встановлених нею основних принципів захисту персональних даних.

Дбаючи про розвиток такого напрямку співробітництва країн Європейського Союзу як створення простору свободи, безпеки і співробітництва, Європейський Парламент і Рада у грудні 2000 року ухвалили Хартію Європейського Союзу про основні права [213].

Захисту права на повагу до приватного життя і захисту персональних даних присвячено дві статті цієї Хартії. Стаття 7 “Повага до приватного та сімейного життя” майже співпадає зі змістом статті 8 Європейської Конвенції про захист прав людини і основних свобод. Наступна, 8 стаття Хартії “Захист персональних даних”, містить квінтесенцію принципів захисту персональних даних:

- кожний має право на захист персональних даних стосовно своєї особи;

- такі дані можуть збиратися виключно для спеціально визначених цілей і на підставі попередньої згоди зацікавленої особи або на іншій законній підставі, передбаченій законодавством. Кожний має право вільного доступу до даних, зібраних щодо його особи, та право на виправлення таких даних;

- дотримання цих правил має контролюватися незалежним органом.

Отже, параграфи 1 та 2 ст.8 Хартії ґрунтуються на праві кожного на захист його приватного і сімейного життя, його житла та кореспонденції, закріпленому у ст.7 Хартії, та містять положення, що гарантують захист даних особистого характеру. Ці положення включають право кожного на захист даних особистого характеру, що стосуються його, право кожного на отримання доступу до зібраних відносно нього даних і право кожного на усунення помилок у зібраних відносно нього даних.

Крім того, у параграфі 2 ст.8 Хартії закріплюються положення, що регулюють підстави для обробки даних особистого характеру, а також передбачається, що обробка таких даних повинна здійснюватися без маніпуляцій.

Положення параграфів 1 і 2 ст.8 Хартії не є новелою у праві Європейського Союзу. Питання збору даних особистого характеру, їх обробки і захисту осіб при цьому регулюються Директивою 95/46/ЄС від 20 лютого 1995 року про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних, яка відповідно до параграфу 1 ст.286 Договору про заснування Європейської Спільноти починаючи з 1 січня 1999 р. застосовується до усіх органів та інститутів, створених Договором про заснування Європейської Спільноти або відповідно до нього.

Параграф 3 ст.8 Хартії передбачає створення Європейським Союзом окремого незалежного органу, завданням якого був би контроль за дотриманням правил ЄС про захист даних особистого характеру.

- Принципи Конвенції №108 уточнюються і конкретизуються в Директиві Європейського Парламенту та Ради Європейського Союзу 95/46 ЄС від 24 жовтня 1995 р. “Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних” [36]. Директива була підготовлена і прийнята на основі аналізу розвитку ринкових відносин, проведеного групою фахівців під керівництвом члена Європейської комісії Мартина Бангемана (на той час - Комісар ЄС із захисту персональних даних) на замовлення Європейської Ради в 1994 р. Звіт групи М.Бангемана представляє собою маніфест побудови інформаційного суспільства і має назву „Європа і глобальне інформаційне суспільство. Рекомендації Європейській Раді” [12]. Згідно з Директивою, європейські моделі захисту персональних даних можна визначити як „забезпечення єдиними механізмами виконання”.

Запропоновані Директивою правила вимагають, щоб індивіди надавали свою “повідомлену згоду” на вторинне, у тому числі при зміні цілі, використання персональних даних. Це положення було включено до тексту докумету з метою заборонити комерційним структурам продаж та обмін інформацією про осіб без повідомлення та згоди суб'єкта даних.

На практиці це означає, що суб'єкт даних має виявити бажання на будь-яке подальше використання за, так званою, формулою “опт-ін” (англ. opt in). Проте процес проходження Директиви супроводжувався протидією з боку бізнесових кіл, як європейських, так і американських. Для комерційних структур більш зручною є “пасивна” форма, коли особу повідомляють про можливість вторинного використання персональних даних, а їй надається можливість заперечувати такому використанню чи обміну, що відповідає формулі “опт-аут” (англ. opt out). До речі, саме така процедура передбачена законодавством Сполучених Штатів Америки [244].

Принципи інформаційної приватності, що їх містить друга частина документу, спираються на принципи ОЕСР та Ради Європи й відповідають їм за своєю спрямованістю. Запозичивши національні розробки країн Європейського Союзу, Директива розширила коло прав суб'єктів даних, що дозволяє віднести її до наступного покоління міжнародних інструментів у галузі захисту персональних даних.

Так, стаття 11 встановлює, що у разі отримання персональних даних не від самого суб'єкта даних, а з інших джерел, суб'єкт даних має бути повідомленим про цілі збору й обробки, їх одержувачів, наявність права доступу та виправлення даних. Стаття 12 передбачає право суб'єкта даних вимагати повідомлення третім особам про зміну, знищення чи блокування інформації, повідомленої до цього, а стаття 14 надає особі право заперечувати обробці персональних даних за певних обставин та забороняти використання даних у цілях рекламної діяльності чи ринкових досліджень.

Крім того, Директива запроваджує нові правила, які до цього не містилися ні в Конвенції Ради Європи, ні в Керівних принципах ОЕСР. Ідеться про висновки автоматизованих систем під час оцінки якостей людини на основі аналізу інформації, що стосується даної особи. Директива надає особам право ознайомитися з логічною формулою, що її використовує така система (ст. 12), і право оскаржити автоматично прийняте рішення (ст. 15).

Цим документом також встановлюється процедура повідомлення контролером про обробку персональних даних до наглядової інстанції. Відповідні відомості вносяться до реєстру, який веде наглядовий орган. Така процедура має за мету забезпечити гласність цілей обробки й основних умов її здійснення для перевірки на відповідність положенням національного законодавства. Запроваджено також процедуру попереднього контролю, за якою держави мають встановлювати, які обробки здатні становити специфічний ризик для прав осіб, з метою їх запобігання (стаття 20). Крім того, передбачено механізм внутрішнього контролю за обробкою: обробник зобов'язаний призначити службовця, який буде контролювати додержання правил обробки. Це положення Директиви було запозичено із законодавства Німеччини.

Слід зазначити, що розробка нормативно-правових актів із захисту персональних даних відбувалася самостійно і водночас паралельно з розвитком законодавства про захист права на недоторканість приватного життя.

Перші закони, серед яких закон Землі Гессен (ФРН) 1970 року [224], Землі Райнланд-Фальц (ФРН) 1974 року [229], Шведський закон 1973 року [218], були спрямовані на адміністрування баз даних у деяких публічних секторах і здебільшого регулювали організаційні та технічні питання. Суб'єкту даних надавалося лише право доступу до даних та їх виправлення, якщо вони були неточними. Як зазначає Майер-Шонбергер, в європейських країнах при розробленні перших нормативних актів з питань регулювання обробки персоніфікованої інформації простежувалася тенденція технократичного підходу, що, зокрема, проявилося у використанні технічних термінів “дані”, “банк даних”, “файл даних” тощо натомість таких, як “приватність”, “захист приватного життя”, “інформація” [232].

Розширення прав осіб, яких стосуються дані, та впровадження права індивіда визначати, які дані і з якою метою можуть використовуватися, передбачених законами Франції [206], Австрії [219], Данії [217] і Норвегії [233], прийнятими у 1978 році, додали кілька важливих контрольних повноважень наглядовій інстанції, зокрема, право вимагати від державних органів дотримання правил захисту даних і ліквідації допущених порушень.

Подальший розвиток національних положень знаменувався доповненням прав суб'єкта на “інформаційне самовизначення”, під яким розуміється право особи контролювати використання її персональних даних на всіх стадіях обробки: від збору до знищення.

Ця доктрина вперше була сформульована у 1983 році Федеративним Конституційним судом ФРН, який зазначив, що свобода особи планувати і здійснювати свої вчинки значною мірою обмежується, якщо вона не має достатньої впевненості у тому, яку персоніфіковану інформацію мають у своєму розпорядженні її співбесідники. А тому для захисту прав особі необхідно надати повноваження визначати, яким чином її персональні дані будуть розкриватися і використовуватися [93].

Доктрина права на інформаційне самовизначення була впроваджена у Федеративному законі ФРН про захист даних у 1990 році [221], Законі Фінляндії про реєстрацію громадян у 1987 році [222].

Конституції нових держав Європи та Азії, (зокрема, конституції Литви, Естонії, Білорусії, Болгарії, Молдови, Росії), закріплюючи в окремих статтях право людини на доступ до персоніфікованої інформації, відокремлюють його від права на недоторканість приватного життя. Право на доступ до персоніфікованої інформації розглядається як складова загального права на доступ до інформації, тобто в цих же статтях проголошується і право на доступ до публічної інформації [76].

Інший підхід у конституційному закріпленні права на доступ до такої інформації було обрано Угорщиною й Україною - це право закріплено як складова частина права на захист недоторканості приватного життя.

У 1984 році у Великобританії прийнятий закон про захист даних, який набув чинності наприкінці 1987 року. В основу Закону покладено концепцію захисту персональних даних, закріплену у Конвенції Ради Європи 1981 року про захист особистості відносно автоматизованої обробки персональних даних. Законом передбачені основні принципи збирання, автоматизованої обробки, зберігання і передачі даних, регламентується порядок реєстрації персональних даних, згідно з яким тільки зареєстровані у встановленому порядку дані підлягають зберіганню, використанню та видачі. Особа, чиї дані підлягають обліку та внесені до реєстру, має право доступу до інформації про неї, право коректування або знищення даних, що її стосуються у разі неадекватності або незаконності способів отримання. При відмові у видачі інформації або внесенні до неї виправлень особа вправі звернутися із скаргою до суду.

Сполучені Штати Америки уникли ухвалення загального закону про захист даних, поширюючи відповідні правила лише на певні сектори. Такі закони, як “Про право на фінансову приватність” (захист приватності інформації фінансового характеру) 1978 року [249], “Про захист приватності” (захист від неправомірного збору інформації під час обшуку і виїмки) 1980 року [248] і певною мірою “Про приватність електронних комунікацій” (захист від несанкціонованого зняття інформації з каналів зв'язку) 1986 року [246], були прийняті внаслідок того, що Верховний Суд Сполучених Штатів у своїй практиці не визнав відповідні права на приватність.

Закони “Про приватність” (право на доступ до персональних даних у публічних реєстрах) 1974 року [247], “Про захист приватності під час відео-зйомки” (захист від стеження) 1988 року [251], “Про захист споживачів телефонних послуг” 1991 року [250] з'явилися з упровадженням нових технологій, які викликали відповідну реакцію громадськості у сфері захисту приватності.

Щодо питання правого регулювання автоматизованої обробки персональних даних цікавим є Code of Fair Information Рractice, створений у 1973 році Державним Департаментом Здоров'я та Освіти США, принципи якого були розповсюджені на всі системи обробки персональних даних і можуть бути корисними для українського законодавця [93]:

- не повинно існувати секретних баз персональних даних;

- повинні бути визначені механізми, що дозволяють окремим громадянам перевірити, яка інформація особистого характеру міститься у відповідних базах даних і як вона використовується;

- повинні бути визначені методи, що дозволяють окремим громадянам попереджати використання інформації, зібраної в базах персональних даних для одних цілей, для інших, без їхньої згоди;

- повинні бути розроблені процедури, що дозволяють особам скорегувати або вилучити інформацію про себе в базах персональних даних;

- організації, які створюють, зберігають або передають третій стороні ідентифіковані персональні дані, повинні забезпечити їх збереження та бути впевненими в тому, що ці дані використовуються лише з відповідною метою, а також вжити заходів щодо запобігання зловмисного їх використання.

Пізніше ці принципи було покладено в основу Акта про захист приватного життя США 1974 року, яким передбачено обов'язок кожної установи, що володіє системами даних, на будь-який запит фізичної особи надавати доступ до її даних, дозволяти їй, а також її представникові вивчати дані й отримувати копії всіх даних або будь-якої їх частини в доступній її розумінню формі; дозволяти фізичній особі звертатися з проханням про зміну персоніфікованої інформації про неї.

Потрібно відзначити, що дані положення практично є аналогічними принципам європейської системи захисту персональних даних.

За європейською моделлю, галузевий підхід не замінює, а доповнює базове законодавство із захисту даних. Крім того, з метою сприяння правильному застосуванню загальних положень, враховуючи галузеві особливості, європейські стандарти передбачають можливість створення професійними організаціями чи іншими представницькими органами кодексів поведінки стосовно персональних даних.

Усе більшого визнання у світі одержують стандарти захисту приватності, які базуються на соціально-захисному підході, що можна спостерігати на прикладі таких країн, як Канада й Австралія.

Чинне федеральне законодавство Канади про захист приватності у публічному секторі діє з 1983 року. Закон Канади “Про персональну інформацію та електронні документи” (2000 р.) поширюється на організації приватного сектора, які збирають, використовують і передають персональну інформацію під час комерційної діяльності [212]. З практичної точки зору заслуговує на увагу Канадський Закон про захист персональної інформації, яким передбачено реальні механізми захисту персональних даних і реалізації права на доступ до персональних даних.

Зокрема, кожний громадянин або особа, яка повністю проживає в Канаді, може отримати доступ до інформації про себе, що міститься в установах, і виправити її, якщо вважає її невірною.

У випадках виникнення спірних ситуацій громадяни можуть опротестувати дії влади у Комісара із захисту персональної інформації.

Важливого значення набуває той факт, що самі канадці багато великої уваги приділяють питанням обробки та захисту персональних даних. Соціологічні опитування засвідчують високий рівень їх правової грамотності нападів як стосовно своїх прав у даній сфері, як і стосовно механізмів їх захисту.

Австралія ухвалила Федеральний закон про захист приватності у 1998 році. Закон встановлює детальні “Принципи інформаційної приватності”, які ґрунтуються на Керівних принципах ОЕСР 1980 року [207].

В європейських країнах по-різному склалася ситуація в сфері захисту персональних даних. Проте загальним є наступне:

- створення комплексу законодавчих і підзаконних актів, що дозволяє достатньо повно регулювати відносини, пов'язані зі збором, накопиченням, зберіганням і використанням персональних даних у процесі їх обробки;

- організація спеціального інституту уповноваженого з метою забезпечення нагляду за додержанням прав людини при обробці персональних даних;

- формування інфраструктури, що дозволяє вирішувати проблеми, пов'язані з технічними і технологічними аспектами захисту даних про людину [7].

В Російській Федерації тільки за останні два роки прийнято низку нових федеральних законів, постанов і розпоряджень уряду Російської Федерації, в яких встановлено принципи роботи із персональними даними, захисту інформації, її збору, зберігання, використання і поширення, ліцензування діяльності у цій сфері. Прийнято такі законодавчі акти: Федеральний закон від 27.07.2006 «Про персональні дані», Федеральний закон від 27.07.2006 «Про інформацію, інформаційні технології та про захист інформації», а також постанову Уряду РФ від 15.08.2006 «Про ліцензування діяльності з технічного захисту конфіденційної інформації», постанову Уряду РФ від 31.08.2006 «Про ліцензування діяльності з розробки та (або) виробництву засобів захисту конфіденційної інформації» та ін.

Федеральним законом від 27.07.2006 «Про персональні дані», метою якого є забезпечення захисту прав і свобод людини і громадянина при обробці його персональних даних, в тому числі захисту прав на недоторканість приватного життя, особисту і сімейну тайну, встановлено, що законодавство Російської Федерації у сфері персональних даних засновується на Конституції РФ та міжнародних договорах РФ і складається з даного федерального закону та інших визначаючих випадки та особливості обробки персональних даних федеральних законів.

Законом вперше у вітчизняній практиці були визначені такі основні поняття як персональні дані, оператор, обробка персональних даних, поширення персональних даних, використання персональних даних, інформаційна система персональних даних, конфіденційність персональних даних.

В усіх новітніх законодавчих актах Російської Федерації будь-яка інформація, що стосується фізичної особи, фактів, подій та обставин життя людини і яка дозволяє ідентифікувати її особистість, характеризується поняттям «персональні дані».

Трудовий кодекс РФ 2001 р. вперше у російському законодавстві про працю встановив новий правовий інститут - інститут захисту персональних даних працівників. Вперше до ТК РФ включено главу 14 «Захист персональних даних працівника», в якій визначаються поняття персональних даних працівника, загальні вимоги при обробці персональних даних працівника та гарантії їхнього захисту, вимоги до зберігання, використання, передачі персональних даних працівника, закріплюються права працівників з метою забезпечення захисту персональних даних, що зберігаються у роботодавця, відповідальність за порушення норм, які регулюють обробку і захист персональних даних працівника.

Таким чином, вимоги, що пред'являються при обробці персональних даних працівника, та гарантії їхнього захисту отримали досить повну правову регламентацію у розвинутих зарубіжних країнах.

1.2 Становлення і розвиток законодавства України про персональні дані працівника

Становлення законодавства про персональні дані працівника відбувалося у нерозривному зв'язку із розвитком української наукової думки про права людини. Найбільш ґрунтовно питаннями прав людини в Україні займався М.Драгоманов. Він розглядав їх як основну складову політичної свободи (поруч із розвинутим самоврядуванням), як умову успішного розвитку суспільного прогресу. М.Драгоманов створив цілісну концепцію прав людини, що ґрунтувалася на здобутках західноєвропейської правової культури, основаної на античній традиції, конституційному законодавстві найбільш розвинених демократичних держав того часу, національних правових та історичних традиціях [39].

Подальшого розвитку гуманістично-правові концепції М.Драгоманова набули у працях М.Грушевського, зокрема в його конституційному проекті 1905р., де, серед іншого, передбачалося забезпечення особистої свободи людини [24].

Питання свободи людини в українській теоретико-правовій думці посідають значне місце у дослідженнях такого представника класичного лібералізму, як М.Ковалевський. Він проаналізував і піддав гострій критиці сутність “поліцейської держави”, протиставляв їй державу, яка виступає захисником прав і свобод особи. З розширенням функцій держави вчений пов'язував розширення сфери індивідуальної свободи. Саме держава, яка набуває рис правової, на його думку, може забезпечити гарантування прав і свобод людини. Головну ознаку такої держави М.Ковалевський вбачав у реальності існування свободи громадянина [66]. Серед запропонованих М.Ковалевським форм, що забезпечують свободи громадян, відзначається невтручання держави в особисте життя та діяльність людини.

За часів Радянської влади в Україні було прийнято чотири Конституції (1919, 1929, 1937, 1978 рр.). Ці акти закріпили позитивні наслідки соціальної революції і формальні атрибути української радянської державності; різний правовий статус особи, обсяг її прав і свобод.

Значний позитивний вплив на формування законодавства України щодо захисту прав людини справило прийняття 15 травня 1929 року ХІ Всеукраїнським з'їздом нової Конституції УРСР, яка залишила чинними всі права і свободи трудящих, проголошені Конституцією УРСР 1919р. і закріпила рівноправність громадян незалежно від їхньої расової та національної ознаки.

Конституція УРСР 1937р. розширила перелік прав людини і громадянина, серед яких провідне місце зайняли особисті права (недоторканість особи, недоторканість житла, таємниця листування).

Необхідно зазначити, що при розробці Конституції Української РСР 1978 р. були враховані положення ст. 12 Загальної декларації прав людини та ст. 17 Міжнародного пакту про громадянські та політичні права. У Конституції проголошувалося: “Громадянам України гарантується недоторканість житла. Ніхто не має права без законної підстави увійти в житло проти волі осіб, які проживають у ньому” (ст. 53); “Особисте життя громадян, таємниця листування, телефонних розмов і телеграфних повідомлень охороняються законом” (ст. 54).

Ґрунтуючись на Декларації про державний суверенітет України [26] та Акті проголошення незалежності України [1], якісно новий, сучасний статус людини і громадянина в Україні визначила Конституція України 1996р., здійснивши фактично „гуманітарну революцію” [63, с.16-17].

Принципово новим положенням у конституційній практиці України є визнання Конституцією пріоритету прав і свобод людини щодо державних та інших інтересів. Людина, її життя і здоров'я, честь і гідність, недоторканість і безпека визнані найвищою соціальною цінністю (ст.3 Конституції України). Крім того, права і свободи людини, їх гарантії визначають зміст і спрямованість діяльності держави, а забезпечення прав і свобод людини визнані її головним обов'язком.

Чинна Конституція України імплементувала всі основні положення міжнародно-правових актів з прав людини, насамперед Загальної декларації прав людини, Міжнародного пакту про громадянські і політичні права та Міжнародного пакту про економічні, соціальні та культурні права, які є одним з найбільших досягнень людства ХХ століття у гуманітарно-правовій сфері.

Постановою ЦК КПРС і Радою Міністрів СРСР „Про заходи щодо усунення канцелярсько-бюрократичних перекручень при оформленні трудящих на роботу і вирішення побутових потреб громадян” від 25 лютого 1960 року №231 [181] така практика була піддана різкому осуду як прояв бюрократизму і тяганини. ЦК компартій союзних республік, крайкоми, обкоми партії, Ради Міністрів союзних і автономних республік, край(обл)виконкоми, міністерства і відомства, ради народного господарства було зобов'язано вжити заходів щодо усунення бюрократичних перекручень у практиці вимагання від громадян різного роду довідок, характеристик та інших документів, ліквідувати тяганину і непотрібну формальність при прийомі трудящих на роботу. Заборонялося вимагати від трудящих будь-які письмові довідки, коли необхідні дані могли бути підтверджені пред'явленням паспорту, трудової книжки, свідоцтва про народження або інших документів, що засвідчують особу і трудову діяльність громадян.

Рада Міністрів СРСР і ВЦРПС у своїй постанові від 9 серпня 1962 року №1824 „Про усунення недоліків у веденні трудової книжки на підприємствах, в установах і організаціях” [182] також відзначила, що на багатьох підприємствах, в установах та організаціях існують серйозні порушення порядку ведення трудових книжок: записи в трудових книжках робляться несвоєчасно і не завжди правильно, не заносяться в книжки відомості про переміщення з однієї роботи на іншу, про заохочення тощо.

Аналіз змісту зазначених документів дозволяє стверджувати, що таким чином була зроблена перша спроба захистити права працівника від свавілля та бюрократизму з боку роботодавця.

З прийняттям Основ законодавства Союзу РСР і союзних республік про працю від 15 липня 1970 року та Кодексу законів про працю Української РСР від 10 грудня 1971 року [52] пов'язаний наступний етап у розвитку законодавства про персональні дані працівника.

Окремими статями КЗпП було розширено сферу захисту персональних даних працівника. Так, новою статтею Кодексу стала ст.22, якою закріплено гарантії при прийомі на роботу. Зокрема, відповідно до Конституції СРСР та Конституції Української РСР будь-яке пряме або непряме обмеження прав чи встановлення прямих або непрямих переваг при прийомі на роботу залежно від статі, раси, національності та відношення до релігії не допускалося. Крім того, заборонялося відмовляти в прийнятті на роботу з таких мотивів, як соціальне походження, судимість в минулому, засудження рідних і т.п., оскільки це не було передбачено спеціальними законами.

Новелою була і стаття 25 Кодексу, якою заборонялося при укладенні трудового договору вимагати від осіб, які поступають на роботу, документи, не передбачені законодавством. По суті, цією статтею було закріплено основні положення постанови ЦК КПРС і Ради Міністрів СРСР від 25 лютого 1960 року №231 „Про заходи щодо усунення канцелярсько-бюрократичних перекручень при оформленні трудящих на роботу і вирішення побутових потреб громадян” [181]. Перелік документів, без подання яких прийняття на роботу не допускалося, містився у таких нормативно-правових актах, як Інструкція про порядок ведення трудових книжок на підприємствах, в установах та організаціях, затверджена постановою Держкомпраці СРСР від 20.06.1974р. та Типові правила внутрішнього трудового розпорядку для робітників та службовців підприємств, установ, організацій, затверджених постановою Держкомпраці СРСР за погодженням з ВЦРПС від 29.09.1972р. [70]. Заборонялося приймати на роботу громадян без паспорта та трудової книжки. При працевлаштуванні особи вперше та відсутності у неї трудової книжки відповідним житлово-комунальним органом за місцем проживання, сільською чи селищною Радою, вуличним комітетом видавалася довідка про останнє зайняття. Особи, звільнені з лав Збройних Сил СРСР, зобов'язані були надати адміністрації військовий квиток.

При прийнятті на роботу, для виконання якої були необхідні спеціальні знання, адміністрація підприємств, установ і організацій вправі була вимагати від громадянина пред'явлення диплому чи іншого документу про освіту або професійну підготовку. Колгоспники, які працевлаштовувалися на роботу до державних підприємств, установ чи організацій, повинні були надати адміністрації документ про згоду правління колгоспу на їх виїзд на роботу до інших господарств (постанова Ради Міністрів УРСР від 12 липня 1973 року) [70].

Водночас у чинному трудовому законодавстві того часу перелік документів, подання якого було обов'язковим при прийнятті на роботу, не був визначений.

Проголошення 24 серпня 1991 р. незалежності України відкрило нову сторінку нашої держави та її народу, дало можливість розширити права та свободи громадян, наповнити їх новим змістом і значенням. Істотні зміни було внесено до чинного КЗпП України. Конкретизації набули назва та зміст статті 24 КЗпП:

- назву „Форма трудового договору” замінено на „Укладення трудового договору”;

- закріплено перелік документів, які громадянин зобов'язаний подати при укладенні трудового договору (паспорт або інший документ, що посвідчує особу; трудову книжку, а у випадках, передбачених законодавством, - також документ про освіту (спеціальність, кваліфікацію), про стан здоров'я та інші документи).

Статтю 25 Кодексу викладено у новій редакції, де визначено перелік документів, що забороняється вимагати від осіб, які поступають на роботу: відомості про їх партійну і національну приналежність, походження, прописку та документи, подання яких не передбачено законодавством.

...