Правове регулювання захисту персональних даних працівника

Проте на практиці, всупереч положенню даної статті, від багатьох працівників до цього часу роботодавець вимагає написання автобіографії та заповнення листка з обліку кадрів, куди працівник зобов'язаний вписувати відповідні відомості про: національну належність, сімейний стан, близьких родичів, перебування за кордоном, участь у виборних органах тощо. Водночас слід зауважити, що претендент на посаду може бути сам зацікавлений у цьому, аби довести до відома роботодавця позитивну інформацію про себе. У такому разі він може заповнити лише ті розділи листка з обліку кадрів, які бажає.

На жаль, положення ст.32 Конституції України не знайшли відображення у національному трудовому законодавстві. У чинному КЗпП відсутня глава про захист персональних даних працівника. Як вже відзначалося, тільки ст.25 Кодексу забороняє вимагати при укладенні трудового договору деякі відомості та документи від осіб, які поступають на роботу. Однак зазначена норма сформульована недостаньо повно і фактично дозволяє роботодавцю вимагати від працівника інформацію, не пов'язану з трудовими відносинами. Так, партійна приналежність визначає тільки політичні погляди особи, яка поступає на роботу, і не охоплює профспілкову діяльність або членство в іншій громадській організації. Стаття 25 КЗпП також не містить заборону вимагати відомості про приватне життя особи при укладенні трудового договору.

Водночас до кола відомостей, що складають інформацію про працівника, належать не тільки відомості, що подаються працівником при прийнятті на роботу, а й відомості, що формуються, отримуються та використовуються роботодавцем у період трудової діяльності працівника, відомості, що зберігаються у роботодавця після припинення трудових правовідносин з працівником.

У цей час у трудовому законодавстві України найбільш повно врегульовано питання, пов'язані з порядком ведення трудових книжок, їх зберіганням, виготовленням, постачанням та обліком. Йдеться про постанову Кабінету Міністрів України від 27 квітня 1993 р. №301 «Про трудові книжки працівників», Інструкцію про порядок ведення трудових книжок працівників, затверджену наказом Міністерства праці України, Міністерства юстиції України, Міністерства соціального захисту України від 29.07.93 р. №58, та інші акти законодавства.

Відсутність спеціальних норм про захист персональних даних працівника у трудовому законодавстві пояснює той факт, що роботодавець, як і раніше, продовжує збирати дані про працівника, використовуючи при цьому особовий листок з обліку кадрів, автобіографію та різні анкети, тестування при прийнятті на роботу, письмові характеристики з попереднього місця роботи, резюме, довідки, запити і т.ін.

Розробці теорії та практики інформаційних правовідносин у сфері праці сприяє становлення і розвиток нової самостійної галузі українського права - інформаційного права.

У радянській юридичній науці ідеї захисту персональних даних стали предметом обговорення у 70-90-х роках 20-го сторіччя у зв'язку з дослідженням проблеми інформації як об'єкта права. У сфері трудового права вперше про це заявив В.І.Савич [176]. Методологічною основою його дослідження є філософські та соціологічні вчення про роль інформації в соціальному управлінні. В.Савич широко використовував поняття “інформація у трудових правовідносинах”, долучив до поняття про інформацію елементи правового механізму реалізації трудових прав та обов'язків у встановлені законом терміни. З часу проголошення державної незалежності України створюється національна система законів та підзаконних нормативно-правових актів щодо правового регулювання суспільних інформаційних відносин.

У цей час в Україні діє понад два десятки законодавчих актів, які тією чи іншою мірою регулюють відносини, пов'язані зі збором, використанням і передачею персональних даних. Серед них - Конституція України [77], закони України „Про інформацію” [151], „Про нотаріат” [155], „Про адвокатуру” [120], „Про зв'язок” [149], „Про організаційно-правові основи боротьби з організованою злочинністю” [158], „Про міліцію” [152] та ін.

2 жовтня 1992 року було прийнято Закон України “Про інформацію” [151], який встановлює загальні правові основи одержання, використання, поширення та зберігання інформації, закріплює право особи на інформацію в усіх сферах суспільного і державного життя України, а також систему інформації, її джерела, визначає статус учасників інформаційних відносин, регулює доступ до інформації та забезпечує її охорону, захищає особу та суспільство від неправдивої інформації (ст.2). Дія цього Закону поширюється на інформаційні відносини, які виникають в усіх сферах життя і діяльності суспільства і держави при одержанні, використанні, поширенні та зберіганні інформації (ст.3).

Проте, з огляду на міжнародний досвід, у тому числі російський, у сфері інформаційного права, чинний Закон України “Про інформацію” потребує вдосконалення в частині визначення інформації як об'єкта права за її функціональним призначенням: масову, галузеву, професійну. Також закономірно виділити трудоправову інформацію як один з різновидів правової інформації. Вона повинна відповідати загальним ознакам правової інформації і спеціальним (галузевим). Останні пов'язані з характеристикою особливого суб'єктного складу (про кого інформація) та цільовою направленістю інформації.

Основи регулювання правових відносин щодо захисту інформації в автоматизованих системах (АС) та умов дотримання права власності громадян України й юридичних осіб на інформацію та права доступу до неї, право власника інформації на її захист, а також встановленого чинним законодавством обмеження на доступ до інформації закріплює Закон України „Про захист інформації в автоматизованих системах” від 5 липня 1994 року (діє в новій редакції Закону України від 31 травня 2005 року з новою назвою «Про захист інформації в інформаційно-телекомунікаційних системах») [148].

Потрібно відзначити, що у національних правових системах країн Європи, Канаді, Австралії, Японії, Гонконгу для закріплення принципів захисту приватності прийнято базові закони про захист персональних даних, положення яких конкретизуються в галузевих. В Україні такий спеціальний базовий закон відсутній, а загальні положення Закону України “Про інформацію” не можуть його замінити.

Щодо питання кодифікації інформаційного законодавства України точаться наукові дискусії вже давно. Українські науковці Ю.Тодика та В. Серьогін [189] пропонують кодифікувати чинне законодавство України про інформацію з обмеженим доступом шляхом прийняття єдиного, кодифікованого акта - Закону “Про інформацію з обмеженим доступом”, який охоплював би правовим регулюванням весь комплекс інформаційних відносин, пов'язаних з реалізацією права на інформацію. Т. Костецька [79] пропонує створити загальний “Кодекс інформаційного права України”, в якому нормативно-правові положення інформації, інформатики і інформатизації повинні бути уніфіковані й систематизовані.

Водночас, необхідність підготовки базового проекту закону, який захищатиме інформацію про персональні дані, визначається як одне з завдань Національної програми інформатизації [110]. Базовий закон у подальшому може і повинен бути кодифікований не тільки з нормативно-правовими актами в галузі інформаційної політики, а й з тими, що регулюють захист права людини на повагу до приватного життя у різних галузях законодавства: сімейному, трудовому, соціальному, фінансовому та ін.

Подальший розвиток інституту персональних даних в інформаційному праві України важко уявити без спеціального закону, який буде об'єднувати і розвивати визначені в Конституції України положення інформаційних відносин, у тому числі й щодо інформаційної безпеки.

16 березня 2006 року Верховною Радою України був прийнятий Закон України «Про захист персональних даних», метою якого є усунення недоліків нормативно-правового забезпечення захисту персональних даних в Україні відповідно до законодавства Європейського співтовариства, сприяння спільним діям щодо соціального, економічного і науково-технічного прогресу, забезпечення балансу прав людини, суспільства та держави в сфері персональних даних [139].

Закон базується на пріоритеті інтересів і праві власності людини на персональні дані як інформації, виходячи з положень ст.3, 32 Конституції України, ст.38, 39 і 54 Закону України „Про інформацію”, ст.2 Закону України „Про власність” 123, з урахуванням балансу прав особи, суспільства і держави в умовах становлення і розвитку інформаційно-комунікативних процесів. Захист осіб застосовується як до автоматизованого, так і до ручного оброблення персональних даних.

Однак на Закон було накладено вето Президента України, який запропонував Закон України «Про захист персональних даних» відхилити, а натомість забезпечити розроблення і прийняття Закону, який відповідно до Конституції України та міжнародних зобов'язань нашої держави належним чином врегулював би це важливе для суспільства питання. На засіданні Комітету з питань науки і освіти було прийнято рішення рекомендувати Верховній Раді України направити Закон України «Про захист персональних даних» на доопрацювання Комітету з урахуванням зауважень і пропозицій суб'єктів права законодавчої ініціативи та повторно внести його на розгляд Верховній Раді Україні.

До цього часу чинне трудове законодавство України не містить норм, які б регулювали відносини у сфері захисту персональних даних працівника. Окремі зміни, внесені протягом останніх років до КЗпП, не вирішують проблему захисту персональних даних працівника, не носять кардинального характеру і пов'язані лише з удосконаленням чинного законодавства.

Питання захисту персональних даних працівника не врегульовані належним чином і у проекті нового Трудового кодексу України. У проекті не виокремлено главу «Захист персональнах даних працівника», а включено окремі статті: ст. 27 „Основні обов”язки роботодавця”, ст.58 „Документи та відомості про особу, що подаються під час прийняття на роботу”, ст.59 „Трудова книжка”, ст.60 „Перевірка особи під час прийняття на роботу”.

Позитивною рисою проекту, на нашу думку, є стаття 58, яка визначає перелік обов'язкових документів, що подаються під час прийняття на роботу: заява про прийняття на роботу (із зазначенням, чи є ця робота основним місцем, чи за сумісництвом); паспорт або інший документ, що посвідчує особу; свідоцтво про загальнообов'язкове державне соціальне страхування; довідка органу державної податкової служби про присвоєння ідентифікаційного номера, крім осіб, які відповідно до закону його не мають; документ про спеціальну освіту (спеціальність, кваліфікацію) у разі, якщо робота, на яку претендує працівник, потребує спеціальних знань.

Трудова книжка пред'являється особою за її бажанням. Характеристики, рекомендації, інші документи, що свідчать про виконання попередньої роботи, інформаційний листок (резюме) про здобуття спеціальних знань, досвід роботи тощо також подаються за власною ініціативою претендента на посаду.

У випадках, передбачених законом, для виконання певних видів робіт чи роботи в окремих сферах діяльності, може передбачатися обов'язкове подання під час прийняття на роботу додаткових документів та відомостей про особу.

За наявності письмової згоди особи, яка приймається на роботу, та в межах, визначених цією згодою, роботодавець може збирати інформацію про попередню роботу особи. Особа має право на ознайомлення з інформацією, зібраною про неї. Відмова особи від надання письмової згоди на збирання інформації щодо неї не може бути підставою для відмови у прийнятті на роботу.

З метою визначення відповідності професійних, кваліфікаційних, ділових якостей особи вимогам до працівників, що виконують відповідні роботи або займають відповідні посади, стаття 60 проекту Кодексу дозволяє роботодавцю проводити тестування та співбесіди з претендентом на робоче місце або посаду, в тому числі із застосуванням технічних засобів. Разом з тим забороняється проведення тестування, формулювання питань на співбесідах, вчинення при цьому інших дій, що є дискримінаційними за будь-якою ознакою, визначеною цим Кодексом та іншими законами, або такими, що зачипають честь і гідність людини та не стосуються роботи чи посади. Роботодавець повинен забезпечити конфіденційність інформації, отриманої в результаті тестування та співбесіди, зокрема, обмежити доступ до цієї інформації. Невиконання зазначеної вимоги тягне за собою відповідальність згідно із законом.

Серед основних обов'язків роботодавця, визначених ст.27 законопроекту, є обов'язок надавати працівникам на їх вимогу повну та достовірну інформацію, що стосується їх трудової діяльності, а також безоплатно надавати працівникам копії документів, які містять персональні дані щодо них.

Незважаючи на те, що у даному проекті регулюванню питань обробки персональних даних працівника приділено значно більше уваги, ніж у чинному трудовому законодавстві України, слід визнати, що законодавець недостатньо врахував положення міжнародних документів, рекомендацій МОП, Ради Європи та Європейського Союзу, досвід інших країн і не дає вичерпних відповідей на низку питань з даної проблематики.

Насамперед, неоднозначному тлумаченню дій роботодавця на всіх етапах обробки персональних даних працівника сприяє відсутність законодавчого визначення поняття „персональні дані працівника”, переліку цих даних, їх класифікації.

По-друге, аби запобігти можливому приниженню працівника, пов'язаному з процедурою найму, а також захистити його особисту гідність, забезпечити недоторканість приватного життя, положення нового Трудового кодексу України повинні:

- гарантувати недопущення використання проти працівника зібраної різними шляхами інформації, у тому числі за допомогою інформаційно-комп'ютерних технологій;

- регламентувати відповідним чином дії суб'єктів права у процесі обробки персональних даних працівника, зокрема, конкретизувати й розмежувати поняття „за згодою працівника”, „за бажанням роботодавця”, „роботодавець може”;

- передбачити необхідність створення державної інспекції з нагляду за збиранням персональних даних працівника та їх обробкою. Порядок збору персональних даних повинен обов'язково узгоджуватися з виборними органами первинних профспілкових організацій підприємств, установ, організацій, іншими представницькими органами трудового колективу, а у разі їх відсутності - представниками, вільно обраними на загальних зборах найманих працівників або уповноважених ними органів, та закріплюватия у правилах внутрішнього трудового розпорядку або іншому локальному нормативно-правовому акті;

- включати спеціальні правила щодо використання інформації делікатного характеру;

- визначати можливості та межі психологічних випробувань (тестів, анкет, співбесід, поліграфів та ін.) претендентів на посаду, передбачати встановлення громадського контролю з даного питання тощо.

Крім того, проектом проігноровано інтереси кандидатів на посади, а також колишніх працівників.

- На жаль, відсутність спеціальних норм про захист персональних даних ускладнює процес пошуку адекватної моделі національного механізму регулювання відносин з використання персоніфікованої інформації, узгодженої з міжнародно-правовими стандартами, яка гарантувала б ефективний захист персональних даних працівника в Україні.

1.3 Поняття та класифікація персональних даних працівника

Персональні дані як предмет правових відносин, особливості правового регулювання процесу використання цих даних пов'язані з розумінням поняття “персональні дані”, яке, в свою чергу, є видовим стосовно поняття “інформація”.

Основні положення щодо поняття “інформація” викладені в наукових працях М. Вачевського [16], Н.Джинчарадзе [35], В. Іванова [57], Т. Костецької [79], А.Урсула [192], Б.Якушина [204 ] та ін.

Зміст поняття „інформація” (від лат. - повідомлення; дані, які є об'єктом збереження, обробки та передачі) науковцями тлумачиться неоднозначно.

Першим дав наукове обґрунтування інформації як категорії К.Шеннон. Він розглядав інформацію через поняття її „кількості”. Внаслідок цього під нею стали розуміти не будь-які відомості, а лише ті, що зменшують невизначеність, яка існувала до їх одержання. Однак така теорія по суті характеризує та дає кількісну оцінку лише одній з граней інформації. Багато фахівців вважають поняття інформації наріжним каменем управління. Вони визначають останнє як одержання, обробку та використання інформації, що надходить до управляючого суб'єкта і використовується ним для здійснення зв'язку між суб'єктом та об'єктом управління. Наприклад, А.Берг, говорячи про співвідношення понять „інформація” та „управління”, наполягає на тому, що результатом останнього завжди є передача й обробка [16] .

З точки зору соціально-філософської концепції, поняття інформація нерозривно пов'язано з категорією відображення. За визначенням, яке пропонує Н.Джинчарадзе, “інформація - це найвищий, найскладніший результат упорядкованого відображення у вигляді повідомлень, знань, відомостей про природу, суспільство, в цілому про об'єктивну реальність, які охоплюють усі сфери людської діяльності, використовуються в процесі спілкування, управління, виробництва, пізнання, творчості, виховання, освіти тощо” 35. Розглядаючи сутність зв'язку відображення та інформації, вчений дійшла висновку, що інформація може розглядатися як діалектична єдність поновлення різноманітності і як її обмеження. Ми поділяємо думку щодо основної функції інформації - давати уявлення (інформувати) про об'єкт, відображаючи його властивості.

Згідно зі ст.1 Закону України „Про інформацію” та ст.200 Цивільного кодексу України [194], інформацією є документовані або публічно оголошені відомості про події та явища, що мали або мають місце у суспільстві, державі та навколишньому середовищі.

Відповідно до ст.1 Закону України „Про захист інформації в автоматизованих системах” інформація в АС визначається як сукупність усіх даних і програм, які використовуються в АС незалежно від збору її фізичного та логічного представлення.

Отже, поняття «інформація» є родовим щодо поняття «персональні дані». Окремі види інформації наділені специфічними ознаками, що впливає на їх правовий режим. Так, суттєвими особливостями наділена інформація про особу (персональні дані).

Визначення персональних даних закріплено у нормах міжнародного права. Відповідно до ст.2 Конвенції Ради Європи №108 про захист осіб стосовно автоматизованої обробки даних особистого характеру 1981 р. „дані особистого характеру” означають будь-яку інформацію, що стосується конкретно визначеної особи або особи, яка може бути конкретно визначеною [75]. Це визначення дозволяє створити „парасольку” захисту практично для будь-яких персональних даних і однозначно встановити режим захисту, що надасть можливість усунути деякі суперечності у національному законодавстві. Особливої актуальності вирішення цієї проблеми набуває в умовах масштабної автоматизованої обробки персональних даних з різною метою: фінансовою (банки, страхові товариства, фонди); правоохоронною, соціальною (охорона здоров'я, державна соціальна допомога, пенсійне забезпечення) тощо. Реальною є загроза заподіяння збитків особі внаслідок несанкціонованого використання або несанкціонованої модифікації персональних даних [13,с.36].

Згідно зі ст.2 Директиви 95/46/ЄС Європейського Парламенту і Ради від 24 жовтня 1995 року «Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних» [36], “персональні дані” означають будь-яку інформацію, що стосується встановленої фізичної особи, яку можна встановити (суб'єкт даних); особою, яку можна встановити, є така, яка може бути встановленою прямо чи непрямо, зокрема, за допомогою ідентифікаційного коду або одного чи більше факторів, притаманних фізичним, фізіологічним, розумовим, економічним, культурним чи соціальним аспектам її особистості.

Персональні дані розглядаються як інформація (зафіксована на матеріальному носії) про конкретну особу, що ототожнена або може бути ототожненою з нею. До персональних даних відносяться біографічні дані, особисті характеристики, відомості про сімейний, соціальний, службовий, фінансовий стан, освіту, професію, стан здоров'я тощо.

Слід зауважити, що в інформаційному законодавстві України визначення поняття інформації про особу (персональні дані) недостатньою мірою узгоджується з положеннями європейських стандартів з даного питання.

Одним із основних чинних нормативно-правових актів, що певною мірою регулюють відносини у сфері захисту персональних даних, є Закон України “Про інформацію”. Загальні положення щодо інформації про особу містяться у ст.23 Закону. Згідно із ч.1 зазначеної статті, інформація про особу - це сукупність документованих або публічно оголошених відомостей про особу. Частина 2 даної статті закріплює перелік основних даних про особу (персональні дані), до яких віднесено національність, освіта, сімейний стан, релігійність, стан здоров'я, а також адреса, дата і місце народження. Таким чином, йдеться лише про відомості, що дозволяють ідентифікувати фізичну особу як особистість. Тому вважаємо, що даний перелік є далеко не повним, а стосовно персональних даних працівника він повинен бути доповнений суттєво.

Законодавство багатьох країн забороняє збирати про працівників, які наймаються, дані, що не стосуються професійних якостей і кваліфікації. Обмежуються або забороняються збирання і обробка інформації, що може включати відомості про расову належність, релігійні, політичні чи філософські переконання; про національні або соціальне походження; сексуальні звички або нахили; про членство у профспілках або інших організаціях; стан здоров'я; про вживання алкоголю, наркотиків; про майнове становище (наприклад, про наявність боргів). Отже, коло інформації про персональні дані працівника значно ширше переліку основних даних про особу (персональних даних), передбаченого ст.23 Закону України «Про інформацію».

У частині 2 ст.14 КПК України [83] до даних про особу законодавець відносить відомості: особисте життя громадян, таємниця листування, телефонних переговорів і телеграфних повідомлень. А відповідно до ст.9 Закону України „Про оперативно-розшукову діяльність” [156] під охорону закону підпадають не просто відомості про особисте життя людини, а й відомості, що торкаються його честі й гідності.

У Законі України “Про телекомунікації” персональні дані визначені як інформація про споживача [169].

Отже, чинне законодавство України щодо персональних даних має базуватися на положеннях спеціального Закону “Про захист персональних даних”, який до цього часу ще не прийнятий. Очевидно, що існуючі норми мають декларативний характер і не містять конкретного механізму реалізації прав громадян на захист персональних даних і на доступ до інформації про себе.

Також необхідно визнати відсутність конкретизації поняття «персональнін дані» у проекті Закону України “Про захист персональних даних” 139. Сама назва Закону вимагає чіткого визначення терміну “персональні дані”, не обмежуючись переліком окремих відомостей про фізичну особу чи сукупністю таких відомостей, що ідентифіковані або можуть бути ідентифіковані (згідно із ст.2 проекту Закону персональні дані - окремі відомості про фізичну особу чи сукупність таких відомостей, що ідентифіковані або можуть бути ідентифіковані).

Поняття “персональні дані” у проекті Закону України “Про єдиний реєстр персональних даних” 141 подано лише в якості інформації про особу: окремі відомості щодо фізичної особи; дані про документи, що видані фізичній особі та інша інформація, що тим чи іншим чином стосується фізичної особи.

Таким чином, у зв'язку з відсутністю спеціального законодавчого акту з питань регулювання відносин, пов'язаних зі збором, накопиченням, зберіганням і використанням персональних даних, у тому числі й працівника, в українському законодавстві відсутнє чітке визначення поняття “персональні дані”.

Водночас слід зауважити, що персональні дані працівника мають низку ознак, які відрізняють їх від персональних даних про особу. Поняття персональних даних працівника вужче поняття персональних даних про особу, оскільки йдеться не про всі відомості (факти, події, обставини приватного життя фізичної особи), а лише про такі обставини, які можуть характеризувати фізичну особу як працівника. В Кодексі практики з захисту особистих даніх про працівників використовується термін «особисті дані», який означає будь-яку інформацію, що відноситься до ідентифікованого або такого, який може бути ідентифікованим, працівника.

Персональні дані працівника потрібно розглядати як будь-яку інформацію, яка стосується конкретного працівника та необхідна роботодавцю у зв'язку з використанням праці цього працівника на умовах трудового договору. Це може бути тільки така інформація, яка необхідна роботодавцю у зв'язку з трудовими правовідносинами.

Практика укладання трудових договорів свідчить про те, що роботодавець завжди накопичував необхідну йому інформацію стосовно працівника. Для цього використовувалися і використовуються автобіографії, особові листки з обліку кадрів, оглядові довідки, довідки-об'єктивки, письмові характеристики, листки анкетування, дані про судимість працівника, всілякі накази, посвідчення про підвищення кваліфікації та багато іншої інформації.

Таким чином, при прийомі на роботу і в період трудової діяльності працівника у роботодавця накопичуються відповідні дані, які разом із документами, необхідними при прийнятті на роботу, трудовим договором ( у разі укладення його у письмовій формі), наказом (розпорядженням) про прийняття на роботу та ін. утворюють особову справу працівника. Дані особової справи нерідко є конфіденційними; вони містять відомості про факти, події та інші обставини життєдіяльності працівника, за допомогою яких можна ідентифікувати особу.

У таких випадках потрібно керуватися положеннями Кодексу практики МОП із захисту особистих даних про працівника про те, що у разі медичного обстеження роботодавець повинен бути поінформованим тільки про ті висновки, що стосуються питання про можливість використання здатності працівника до праці; висновки не повинні містити інформацію медичного характеру. Вони можуть, якщо це потрібно, містити вказівки на придатність до певної роботи, або характер та умови роботи, що протипоказані з медичних міркувань на тимчасовій чи постійній основі.

В українському законодавстві відсутня класифікація персональних даних працівника. Зарубіжний досвід свідчить про доцільність розподілу відповідної інформації на дві групи: дані загального характеру та особлива категорія персональних даних, до якої належить інформація про расове походження, політичні погляди, конфесійну належність, стан здоров'я та ін. Персональні дані цієї групи повинні мати особливий режим захисту та вищий рівень конфіденційності. Збір, обробка та використання таких даних повинні здійснюватися тільки за необхідністю. Що стосується суб'єктів правовідносин у сфері персональних даних працівника, то, можливо, до їх числа можна включити корпоративні об'єднання, які не мають статусу юридичної особи, як це зроблено у деяких зарубіжних країнах [87, с. 21].

Російські науковці А.Лушніков, М.Лушнікова [87], спираючись на загальноправові класифікації інформації у трудовому праві, виокремлюють наступні види трудоправової інформації:

- за ступенем організованості (документована та інша інформація);

-за ступенем доступу (загальнодоступна (відкрита) інформація та інформація з обмеженим доступом).

Відкрита трудоправова інформація залежно від характеру доступу, в свою чергу, може поділятися на інформацію, яку суб'єкти трудового права зобов'язані: а) довести до відома другої сторони (наприклад, роботодавець зобов'язаний ознайомити працівників із змістом локальних нормативно-правових актів, безпосередньо пов'язаних з їх трудовою діяльністю); б) надати на запит відповідь (наприклад, роботодавець зобов'язаний у тижневий термін після отримання вимог про усунення виявлених порушень повідомити відповідний орган профспілкової організації про результати розгляду вимог та прийнятих мірах);

в) надати інформацію для загального відома (наприклад, органи федеральної інспекції праці інформують громадськість про виявлені порушення трудового законодавства [87, с. 43].

Враховуючи зазначене, вважаємо, що до трудового законодавства України має бути включено класифікацію інформації з обмеженим доступом за видами. А саме: інформація про роботодавця (державна, комерційна, службова, професійна тайни); інформація про працівника (персональні дані).

Таким чином, трудоправова інформація - це відомості про працівника та роботодавця, що надаються у випадках і порядку, передбачених трудовим законодавством, необхідні для реалізації індивідуальних і колективних трудових прав та які підлягають правовому захисту від розголошення, якщо інформація має конфіденційний характер (тайна, що охороняється законом; персональні дані працівника) [87, с. 44].

Залежно від наявності суб'єктивного фактору персональні дані працівника можна поділити на два види: 1) фактичні дані, які не підлягають суб'єктивній оцінці (про набуту після закінчення навчального закладу спеціальність, службу у Збройних Силах України, інших військових формуваннях тощо); 2) персональні дані оціночного характеру, які можуть міститися у виробничій (службовій) характеристиці, висновку атестаційної комісії тощо.

Залежно від часу подання або формування відомості, що складають персональні дані працівника, поділяються на: 1) відомості, що подаються працівником при прийнятті на роботу і містяться у поданих працівником документах (відомості у паспорті або іншому документі, що засвідчує особу працівника; відомості у трудовій книжці; відомості про освіту, кваліфікацію; відомості, що містяться в документі медичного огляду працівника (зокрема, медичній книжці) та ін.); 2) відомості, які формуються, отримуються та використовуються роботодавцем у період трудової діяльності працівника (відомості, які містяться в особовій справі працівника, у наказах, розпорядженнях, характеристиках, атестаційних справах та ін.); 3) відомості про працівника, які зберігаються у роботодавця після припинення з ним трудових правовідносин (усі персональні дані працівника, які є в архіві організації).

Як вже відзначалося, у чинному КЗпП України подібні норми відсутні. Таких норм не містить і проект нового Трудового кодексу України. Дослідження проблеми одного з нових трудових прав працівників - права на конфіденційність і захист від вторгнення в особисте життя та включення відповідних норм у новий Трудовий кодекс є актуальним і необхідним з наукової та прикладної точок зору.

Висновки до розділу 1

Отже, міжнародним правом визначено основні принципи, за якими повинна будуватися законодавча база України із захисту персональних даних:

– не повинно бути систем персональних даних, існування яких є секретом;

– особа забезпечується можливістю знати, яка інформація про неї міститься в її персональних даних і як вона використовується;

– особі надається можливість вносити виправлення чи доповнення у свої персональні дані;

– особа повинна бути обізнаною про цілі збору й обробки інформації;

– дані повинні бути використані для тієї мети, для якої вони зібрані;

– особа забезпечується можливістю запобігти використанню інформації для інших цілей без її згоди;

– всі організації, що збирають, зберігають, використовують чи передають персональні дані, зобов'язані вживати заходи щодо їх захисту;

– впровадження Уповноваженого із захисту персональних даних.

Персональні дані працівника повинні дозволити ідентифікувати його не тільки і не скільки як особистість, а перш за все як працівника. Це означає, що персональні дані працівника - це в першу чергу інформація, яка має відношення до професійної кваліфікації працівника, його ділових, професійних якостей та до вимог, які можуть бути до них пред'явлені.

Право на конфіденційність, право не допускати втручання роботодавця в особисте життя, в інтимну сферу, є новим правом працівника у сфері трудових правовідносин. Для його забезпечення необхідно впровадити у національну юридичну практику ефективний юридичний механізм захисту персональних даних працівника.

Розділ 2. Загальні вимоги до обробки персональних даних працівника

2.1 Поняття та форми обробки персональних даних працівника

Процес реалізації системи захисту персональних даних працівника під час їх обробки, перш за все, потребує визначення самого поняття „обробка персональних даних працівника”.

Відповідно до Директиви 95/46/ЄС від 20 лютого 1995 року „Про захист персональних даних працівника” [64; 87] обробка інформації - це будь-яка операція або серія операцій з персональними даними, пов'язана з отриманням, зберіганням, комбінуванням, передачею або іншим використанням даних.

Згідно із ст. 2 Директиви 95/46/ЄС Європейського Парламенту і Ради від 24 жовтня 1995 року „Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних” [36] обробка персональних даних означає будь-яку операцію чи сукупність операцій, що здійснюються з персональними даними (за допомогою чи без допомоги автоматизованих засобів), таких як збір, реєстрація, організація, зберігання, адаптація чи зміна, пошук, консультація, використання, розкриття за допомогою передачі, поширення чи іншого надання, упорядкування чи комбінування, блокування, стирання чи знищення.

Відповідно до ст.85 Трудового кодексу Російської Федерації обробка персональних даних працівника визначається як отримання, збереження, комбінування, передача чи будь-яке інше використання персональних даних працівника [190].

Закон України “Про інформацію” (ст.14) відносить отримання, використання, поширення та зберігання інформації до основних видів інформаційної діяльності. Закон України “Про захист інформації в автоматизованих системах” (ст.2) обробку інформації визначає як сукупність операцій (збирання, введення, записування, перетворення, зчитування, зберігання, знищення, реєстрація), що здійснюється за допомогою технічних і програмних засобів, включаючи обмін по каналах передачі даних [151, 148].

У ст.2 проекту Закону України «Про захист персональних даних» обробка персональних даних (обробка) визначається як будь-яка дія або сукупність дій, здійснених в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов'язані із збиранням (придбанням), реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знищенням відомостей про фізичну особу.

На нашу думку, враховуючи те, при обробці персональних даних працівника виникають суспільні відносини, суб'єктами яких є працівник, його представник, посадові особи, які здійснюють обробку персональних даних працівника, а також треті особи, які отримують (або подають) інформацію про працівника, обробку персональнах даних слід визначити як сукупність відносин, які виникають у процесі формування інформаційних ресурсів на підставі отримання, зберігання, комбінування, документування інформації про конкретного працівника, а також використання окремих документів, іншої інформації, що складає персональні дані працівника та зберігається у роботодавця.

Сучасний стан суспільних відносин, який характеризується використанням інформації персональних даних, у тому числі працівника, не тільки зумовлює вільний рух інформації про особу, а й вимагає забезпечення її захисту відповідно до основних прав і свобод людини. Однією з головних цілей обробки персональних даних працівника повинне бути забезпечення дотримання законів та інших нормативно-правових актів, права працівника на конфіденційність і захист від вторгнення в особисте життя. Крім зазначених цілей, слід виділити наступні цілі обробки персональних даних працівника: сприяння працівникові у працевлаштуванні, навчанні, просуванні по службі; забезпечення його особистої безпеки; контроль за кількістю та якістю виконуваної роботи та забезпечення зберігання майна.

Обробка персональних даних працівника може здійснюватися у таких формах як отримання, зберігання, передача або будь-яке інше використання персональних даних працівника.

Базуючись на міжнародно-правових положеннях та законодавчих актах України, пов'язаних зі збором, зберіганням, використанням і поширенням інформації про особу (персональні дані), необхідно чітко визначити загальні вимоги до обробки персональних даних працівника та гарантії їх захисту. Адже неправомірне збирання, використання та поширення персональних даних завдає шкоди сформованому суспільством уявленню про особу, її соціальній стан.

Досліджуючи дане питання, слід звернутися до Директиви 95/46/ЄС Європейського Парламенту і Ради від 24 жовтня 1995 року „Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних” [36], згідно з якою держави-члени захищають основні права і свободи фізичних осіб, особливо їхнє право на невтручання в особисте життя при обробці персональних даних.

Статтею 6 Директиви визначені принципи, що стосуються якості даних, і які можна визнати як вимоги до обробки персональних даних. Держави-члени визнають, що персональні дані повинні:

- оброблятися чесно і законно;

- збиратися для встановлених, чітких і законних цілей і надалі не оброблятися у спосіб, несумісний з цими цілями. Подальша обробка даних в історичних, статистичних чи наукових цілях не розглядається як несумісна, якщо держави-члени забезпечують відповідні гарантії;

- бути достовірними, відповідними і не надлишковими відносно цілей, заради яких вони збираються і надалі обробляються;

- бути точними, і, якщо необхідно, обновлятися; слід вжити всіх розумних заходів, щоб гарантувати, що дані, які є неточними чи неповними, з урахуванням цілей, заради яких вони зібрані чи заради яких вони надалі обробляються, стиралися чи виправлялися;

- зберігатися у формі, що дозволяє встановлювати особу суб'єктів даних не довше, ніж це необхідно для цілей, заради яких дані були зібрані чи заради яких вони надалі обробляються. Держави-члени встановлюють відповідні гарантії для персональних даних, що зберігаються протягом більш тривалих періодів з метою історичного, статистичного чи наукового використання.

Держави-члени передбачають, що персональні дані можуть оброблятися тільки за умови, коли суб'єкт даних недвозначно дав свою згоду та обробка необхідна для:

- виконання контракту, стороною якого є суб'єкт даних, чи для вживання заходів на прохання суб'єкта даних до підписання контракту;

- дотримання правового зобов'язання, яким зобов'язаний контролер;

- захисту життєво важливих інтересів суб'єкта даних;

- виконання завдання, яке здійснюється в суспільних інтересах, чи при виконанні офіційних повноважень, якими наділений контролер або третя сторона, якій надаються дані;

- в цілях законних інтересів, переслідуваних контролером чи третьою стороною або сторонами, для яких надаються дані, крім випадків, коли над такими інтересами переважають інтереси основних прав і свобод суб'єкта даних, що вимагають захисту згідно з п.1 ст.7.

Держави-члени забороняють обробку персональних даних, що вказують на расове чи етнічне походження, політичні погляди, релігійні чи філософські переконання, профспілкове членство, і тих, що стосується здоров'я чи статевого життя людини (ст.8).

В цілому можна виокремити наступні загальні риси національного законодавства європейських країн, що регулюють відносини, пов'язані з обробкою та захистом персональних даних [93]:

- захист персональних даних осіб від несанкціонованого доступу до них з боку інших осіб, у тому числі й представників державних органів і служб, що не мають на це необхідних повноважень;

- забезпечення збереження, цілісності та достовірності даних у процесі роботи з ними, у тому числі й при передачі по міжнародним телекомунікаціям;

- забезпечення належного правового режиму цих даних під час роботи з ними для різних категорій суб'єктів персональних даних;

- забезпечення контролю за використанням персональних даних з боку самого суб'єкта;

- створення спеціальної незалежної структури з метою забезпечення ефективного контролю за дотриманням прав суб'єкта персональних даних.

У проекті Закону України «Про захист персональних даних» закріплено загальні вимоги до виконання дій з персональними даними, пов'язаними з їх обробкою:

- оброблення персональних даних, а також знищення й ознайомлення з даними третьої сторони здійснюється за письмовою згодою власника персональних даних або відповідно до діючих законів України;

- персональні дані обробляються відповідно до свого прямого, законного призначення щодо функціональних обов'язків суб'єктів відносин, пов'язаних з персональними даними, і не використовуються для інших цілей, не сумісних з цим призначенням;

- персональні дані, які обробляються згідно з певним призначенням, повинні відповідати прямому, законному призначенню, і не можуть оброблятися без конкретного призначення;

- персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, у строк, не більший ніж це необхідно відповідно до їх законного призначення.

Не допускається оброблення даних про фізичну особу без її згоди, крім випадків, визначених цим Законом, і лише в інтересах національної, економічної і громадської безпеки чи з метою захисту прав людини.

Автоматизоване оброблення персональних даних, а рівно й утворення баз персональних даних, що мають загальнодержавний характер, може здійснюватися виключно на підставі цього Закону 139.

Втім, наведені норми Закону не повністю враховують міжнародні стандарти у сфері захисту персональних даних, що є суттєвим недоліком проекту.

Погоджуючись з необхідністю прийняття зазначеного Закону, в якому відображено загальні принципи роботи з персональними даними та встановлено правила обмеження доступу до них, зазначимо, що даний законопроект містить низку суттєвих упущень. Зокрема, ми підтримуємо міркування І. Білан 8 щодо недосконалості проекту у зв'язку з відсутністю в ньому норм, які регламентують специфіку роботи з персональними даними засобами масової інформації, оскільки використання персональних даних ЗМІ є проблемою не тільки правового, а й етичного характеру. Показовими у цьому плані є латвійське та російське законодавство, де ці питання врегульовано. Важливим аспектом є також відсутність у проекті Закону процедури знищення персональних даних, що, враховуючи особливості комп'ютерних технологій обробки даних, є надзвичайно важливим. Майбутній закон потребує більш принципового та всебічного вирішення проблеми правової відповідальності за порушення у сфері використання інформацій персонального характеру. Спираючись на європейське право, необхідно виокремити види відповідальності за порушення прав суб'єкта, порушення порядку роботи з персональними даними та невиконання правил, встановлених законом, внести необхідні зміни та доповнення до чинного законодавства тощо.

У зв'язку зі змінами у сфері реєстрації громадян в Україні майбутній Закон України „Про порядок реєстрації фізичних осіб за місцем проживання” [129] також потребує чіткого визначення переліку особистих даних громадянина, що надаються до реєстраційної служби. Окрім цього, реєстраційна служба повинна обґрунтувати необхідність надання їй тих чи інших персональних даних громадянина, тобто може вимагати від громадянина лише ті дані, які насправді потребує для виконання своїх завдань. Принцип захисту особистих даних передбачає також те, що будь-яка подальша їх передача іншим державам та іноземним установам, або третім приватним особам має бути врегульована на законодавчому рівні. І не в останню чергу принцип захисту персональних даних вимагає того, щоб контроль за дотриманням правил реєстраційного законодавства здійснював певний незалежний орган.

- використання засобів обчислюваної техніки, програмного забезпечення, засобів зв'язку і АС в цілому, засобів захисту інформації, які відповідають встановленим вимогам щодо захисту інформації (мають відповідний сертифікат);

- перевірки відповідності засобів обчислюваної техніки, програмного забезпечення, засобів зв'язку і АС в цілому встановленим вимогам щодо захисту інформації (сертифікація засобів обчислювано техніки, засобів зв'язку і АС);

- здійснення контролю щодо захисту інформації (ст.10).

Крім врегулювання відносин із захисту персональних даних працівника на законодавчому рівні (прийняття Закону України «Про захист персональних даних» і включення спеціальних норм про захист персональних даних про працівника до нового Трудового кодексу України), видається доцільним прийняття локального нормативно-правового акту, в якому повинні бути закріплені коло відомостей та вид інформації, які складають персональні дані працівника. Прийняття такого акту є об'єктивно необхідним, оскільки тільки на локальному рівні можна повною мірою врахувати особливості та види діяльності конкретної організації. Норми цього локального акту не повинні погіршувати становище працівника порівняно з чинним законодавством про працю України.

Локальний нормативно-правовий акт, який регламентує процедуру обробки персональних даних працівника, повинен містити: коло питань, що відносяться до персональних даних працівників; перелік відомостей, що складають державну, комерційну, службову та іншу таємницю; перелік відомостей, що носять конфіденційний характер; коло осіб (перелік посад), які наділені правом доступу до інформації, що складає персональні дані працівників, державну, комерційну, службову та іншу таємницю; права та обов'язки посадових осіб, які здійснюють обробку персональних даних працівників; права працівників на ознайомлення зі своїми персональними даними, в тому числі за участю свого представника, на отримання ними копій будь-якого запису, який містить їхні персональні, на повну інформацію про свої персональні дані та обробку цих даних; порядок отримання (збирання) персональних даних працівників; порядок формування інформаційних ресурсів; порядок зберігання, використання та передачі третій стороні роботодавцем персональних даних працівників; порядок ознайомлення працівника, в тому числі за участю свого представника, зі своїми персональними даними; порядок отримання працівником копій будь-якого запису, який містить його персональні дані, повної інформації про свої персональні дані та обробку цих даних; відповідальність посадових осіб за порушення правил обробки персональних даних працівників.

В окремих країнах (США, Бельгія, Італія) положення про захист персональних даних працівника включено до колективних договорів. Наприклад, у ФРН виробнича рада може не дати згоду на прийняття працівника у разі, якщо про наявні вакансії не було проінформовано працівників підприємства. Кадрові анкети, бланки заяв про прийняття на роботу, принципи найму також узгоджуються з виробничою радою. Існує особлива процедура погодження найму працівників, у тому числі на керівні посади, з виробничою радою. Зокрема, рада бере участь у визначенні змісту їх трудових контрактів.

У Швеції, на підставі колективного договору, роботодавець зобов'язаний провести переговори з профспілковою організацією з питань прийняття на роботу нового працівника (крім випадків, коли робота має короткочасний характер або вимагає особливої компетентності).

Такий досвід обмеження повноважень роботодавців при прийнятті працівників на роботу з боку органів трудового колективу або профспілок заслуговує на увагу.

Загальний аналіз наукових досліджень з даної проблематики, основних положень міжнародного та національного законодавства, практика правових засобів захисту персональних даних дозволяє визначити основні вимоги при обробці персональних даних працівника та гарантії їхнього захисту:

- обробка персональних даних працівника може здійснюватися виключно з метою забезпечення додержання законів та інших нормативних правових актів, сприяння працівникам у працевлаштуванні, навчанні та просуванні по службі, забезпеченні особистої безпеки працівників, контролю кількості та якості виконуваної роботи та забезпечення збереження майна;

- при визначенні об'єму та змісту оброблюваних даних працівника роботодавець повинен керуватися Конституцією України, Кодексом законів про працю України та іншими законодавчими актами України;

- усі персональні дані працівника слід отримувати від нього. Якщо персональні дані працівника можливо отримати лише у третьої сторони, то працівник повинен бути повідомлений про це заздалегідь і від нього має бути отримана письмова згода. Роботодавець повинен повідомити працівника про мету, передбачені джерела та способи отримання персональних даних, а також про характер персональних даних, що підлягають отриманню, та наслідках відмови працівника дати письмове погодження на їх отримання;

- роботодавець не має права отримувати й обробляти персональні дані працівника про його політичні, релігійні та інші переконання, приватне життя. У випадках, безпосередньо пов'язаних з питаннями трудових відносин, роботодавець має право отримувати й обробляти дані про приватне життя працівника лише за його письмовою згодою;

- роботодавець не має права отримувати й обробляти персональні дані працівника про його належність до громадських об'єднань або його профспілкову діяльність, за виключенням винятків, передбачених чинним законодавством України;

- будь-які рішення роботодавця, що стосуються інтересів працівника, не повинні базуватися тільки на автоматизованій обробці персональних даних цього працівника або електронному зборі інформації;

- захист персональних даних працівника від неправомірного їх використання або втрати повинно забезпечуватися роботодавцем за рахунок його коштів у порядку, встановленому законодавством;

- працівники та їх представники повинні бути ознайомлені під розпис з документами організації, що встановлюють порядок обробки персональних даних працівника, а також про їх права та обов'язки у цій сфері;

- працівники не повинні відмовлятися від своїх прав на збереження та захист таємниці;

- роботодавці, працівники та їх представники повинні працювати в справі захисту персональних даних працівників і при виробленні заходів для їхнього захисту відповідно до вищевказаних вимог і гарантій.

Таким чином, новий Трудовий кодекс України повинен визначити мету обробки персональних даних працівника та встановити загальні принципи щодо їх обробки та захисту.

2.2 Вимоги до збирання персональних даних працівника

Відомості про працівника збираються та акумулюються роботодавцем. Уже при прийнятті на роботу претендент на посаду вимушений повідомити свої персональні дані. Однак власники такої інформації (роботодавці) не завжди забезпечують її охорону, а відсутність відповідних норм у трудовому праві створює прогалину у правовому регулюванні.

...