Актуальні питання правового механізму захисту персональних даних працівника в умовах Європейської інтеграції

Размещено на http://www.allbest.ru/

Актуальні питання правового механізму захисту персональних даних працівника в умовах Європейської інтеграції

Середа О.Г., д.ю.н., професорка, завідувачка кафедри трудового права

Національний юридичний університет імені Ярослава Мудрого

Анотація

У статті досліджено сучасний стан та проблеми захисту персональних даних працівників в Україні в умовах Європейської інтеграції. Визначено, що автоматизація і комп'ютеризація засобів праці, розширення мультімедійного простору спростило доступ до персоніфікованої інформації про працівників та створює можливість для певного зловживання у цій сфері, використання негативної чи персональної інформації для здійснення тиску на працівника, для втручання в його особисте життя. Звертається увага, що Закон України "Про захист персональних даних" є рамковим документом і не може детально визначати порядок та процедуру обробки та захисту персональних даних у всіх сферах. У зв'язку з цим кожна галузь права містить (і повинна містити) свої положення, які регламентують особливості обробки та захисту персональних даних у відповідній сфері суспільних відносин. Надана характеристика щодо правового режиму охорони й захисту персональних даних працівника, конкретизуються суб'єктивні права та обов'язки учасників трудових правовідносин щодо збору, обробки, використання та захисту персональних даних працівника як у період перебування у трудових відносинах з конкретним роботодавцем, так і після припинення останніх. При цьому захист такої інформації має не тільки характер фізичного захисту матеріальних носіїв із персоніфікованими даними працівника, а й правову природу, що розкривається через дозвіл, заборону та зобов'язання осіб, які збирають та обробляють персональні дані працівників. На підставі аналізу актів Європейського Союзу, обґрунтовується, що право роботодавця на отримання від працівника (майбутнього працівника) інформації про нього одночасно з отриманням персональних даних працівника породжує обов'язок роботодавця захищати отриману інформацію та забороняє втручання в особисте життя особи, інформацію щодо якої ним отримано. А створення дієвої системи захисту персональних даних належить до міжнародних зобов'язань України, в тому числі пов'язаних із європейською інтеграцією нашої держави. Результатом, проведеного у статті, дослідження є висновок, що організація фізичної охорони і захисту персональних даних працівників має покладатися на роботодавця та зобов'язувати його забезпечити доступ до персональних даних працівників тільки тих осіб, які за своїми трудовими обов'язками мають працювати з цими даними.

Ключові слова: працівник, роботодавець, персональні дані, захист і охорона даних, механізм захисту, трудова функція, європейська інтеграція.

Current issues of the legal mechanism for the employee's protection of in the conditions of European integration

The article is devoted to the problem of the current state and problems of the protection of personal data of employees in Ukraine in the context of European integration. It was determined that the automation and computerization of work tools, the expansion of the multimedia space has simplified access to personalized information about employees and creates an opportunity for certain abuse in this area, the use of negative or personal information to exert pressure on the employee, to interfere in his personal life. Author emphasizes that the Law of Ukraine "On the Protection of Personal Data" is a framework document and cannot define in detail the order and procedure of personal data processing and protection in all areas. That is why each branch of law contains (and should contain) its provisions that regulate the specifics of processing and protection of personal data in the relevant sphere of public relations. The description of the legal regime for the protection and protection of the employee's personal data is provided, the subjective rights and obligations of the participants in the employment relationship regarding the collection, processing, use and protection of the employee's personal data are specified both during the period of employment with a specific employer and after termination the last ones.

Moreover, the protection of such information has either the nature of physical protection of material carriers with personalized employee data or a legal nature, which is revealed through the permission, prohibition and obligations of persons who collect and process personal data of employees. Based on the analysis of the acts of the European Union, it is justified that the employer's right to receive from the employee (future employee) information about him at the same time as receiving the employee's personal data gives rise to the employer's obligation to protect the received information and prohibits interference in the personal life of the person, the information about which he received. And the creation of an effective personal data protection system belongs to Ukraine's international obligations, including those related to the European integration of our country. The result of the research carried out in the article is the conclusion that the organization of physical protection and protection of personal data of employees must rely on the employer and obligate him to provide access to personal data of employees only to those persons who, according to their work duties, must work with this data. захист персональний інтеграція

Key words: employee, employer, personal data, data protection and protection, protection mechanism, labor function, European integration.

Науково-технічний прогрес та інноваційні процеси на підприємствах (установах, організаціях), всебічна комп'ютеризація щодо виробництва і надання послуг, автоматизація діловодства суб'єктів господарської діяльності позначилися на всіх життєвих процесах, зокрема на правах та обов'язках працівників та роботодавців. Зміна умов праці та автоматизація і комп'ютеризація засобів праці, розширення мультімедійного простору спростило доступ до інформації щодо господарської діяльності договірних зв'язків, трансферу технологій, у тому числі і в питаннях щодо персоніфікованої інформації про працівників, тобто їхніх персональних даних. Невипадково в правовій літературі акцентується увага на тому, що розвиток технічного прогресу є підґрунтям новітніх засобів збору, зберігання, обробки і використання інформації. Але це й створює можливість для певного зловживання у цій сфері, використання негативної чи персональної інформації для здійснення тиску на працівника, для втручання в його особисте життя.

Вільний широкий доступ до інформації та можливість продукувати нову інформацію сприяє створенню можливостей та розвитку особистості, але стрімкий розвиток інформаційно-комунікаційних технологій потребує розроблення та впровадження адекватних захисних механізмів, спроможних реально захистити персональні права та свободи власників особистих даних. Незважаючи на значну увагу з боку суспільства та держави до питання захищеності персональних даних від втручання та потенційного оприлюднення сторонніми особами, в сучасних умовах воно й досі залишається відкритим. Все це й зумовлює проблематику та актуальність проведення дослідження механізму захисту персональних даних працівника.

Окремі питання захисту персональних даних працівників в Україні досліджували у своїх наукових працях такі вчені, як С. Венедіктов, В. Головченко, М. Іншин, М. Клемпарський, О. Конопельцева, О. Легка, К. Мельник, А. Михайлик, Г Чанишева, А. Чернобай, А. Щербина, О. Ярошенко та ін. Разом з тим, низка питань правового регулювання захисту персональних даних працівника залишається поза увагою і вимагає подальшого дослідження.

Комунікативні процеси та обмін інформацією, з одного боку, сприяють розвитку технологій, є підґрунтям запровадження в життя наукових досягнень, сприяють розробці та втіленню в життя науково-технічного прогресу, значною мірою спрощують способи обміну цифровими даними і технологічними процесами тощо. У свою чергу Р.І. Чанишев наводить переконливі аргументи, що у сучасному світі внаслідок впливу процесів глобалізації та інформатизації, динамічного розвитку інформаційних і комунікаційних технологій відбувається формування інформаційного суспільства, ідея якого дістала своє визнання на міжнародному і державному рівнях, про що свідчить низка міжнародних актів: Декларація тисячоліття ООН; Декларація принципів ООН "Побудова інформаційного суспільства - глобальне завдання в новому тисячолітті"; Окінавська хартія глобального інформаційного суспільства; програмні документи ОБСЄ, Ради Європи, Європейського Союзу та ін. [1, с. 5].

З іншого боку, на порядок денний поставлено суттєву проблему неправомірного збору, обробки, використання та поширення інформації стосовно громадян, їх професійних можливостей, доступу до комерційної таємниці, доступу до різноманітних технологічних процесів стану здоров'я, матеріальних статків, міста проживання тощо. З метою мінімізації неправомірного використання та обробки інформації задля захисту громадян від втручання у їх особисте життя в Україні діє Закон "Про захист персональних даних" (далі Закон), який, у свою чергу, доповнює коло кореспондуючих прав та обов'язків учасників трудових правовідносин [2]. Закон має на меті захист основоположних прав і свобод людини і громадянина, зокрема у частині невтручання в особисте життя, у зв'язку із обробкою персональних даних. Для розгляду питання про захист персональних даних працівника принципово важливим є те, що обробка персональних даних, за законом, передбачає таку роботу повністю або частково із застосуванням автоматизованих засобів, а також у картотеках із застосуванням неавтоматизованих засобів. Ці нормативні приписи вказують на те, що окрема інформація про працівника (майбутнього та колишнього), яка надається роботодавцю як у процесі працевлаштування на роботу, так і під час перебування у трудових відносинах, має ознаки персональних даних, які потребують відповідного захисту. При цьому захист такої інформації має не тільки характер фізичного захисту матеріальних носіїв із персоніфікованими даними працівника, а й правову природу, що розкривається через дозвіл, заборону та зобов'язання осіб, які збирають та обробляють персональні дані працівників.

У зв'язку з цим виникає необхідність надати характеристику щодо правового режиму охорони й захисту персональних даних працівника конкретизуючи суб'єктивні права та обов'язки учасників трудових правовідносин щодо збору, обробки, використання та захисту персональних даних працівника як у період перебування у трудових відносинах з конкретним роботодавцем, так і після припинення останніх.

Як правильно зазначає І. О. Соколова, "зміст правового режиму відображає специфіку регулятивного впливу на суспільні відносини, які підлягають правовій регламентації, передусім встановлюючи за допомогою різних юридичних засобів особливий порядок законодавчого регулювання певного виду діяльності суб'єктів права. Правовий режим є скороченим позначенням порядку регулювання, вираженого в характері та обсязі прав стосовно певного об'єкта регулювання" [3, с. 128]. На підставі вищезазначеного Закону, виходячи з того, що на законодавчому рівні регулюються правові відносини, пов'язані із захистом і обробкою персональних даних, то відповідно зміст і характер правового режиму персональних даних працівника спрямований на охорону та захист інформації про працівника, а обсяг прав та обов'язків працівника і роботодавця має підпорядковуватися меті цього правового режиму - захисту прав і свобод працівника, як людини і громадянина, зокрема права на невтручання в особисте життя, у зв'язку з обробкою його персональних даних.

Вищевикладене ґрунтується перш за все на стратегічному курсі до поступового наближення України до ЄС, у якому усі країни приділяються велику увагу захисту персональних даних. "Євроорієнтованість" національного законодавства про захист персональних даних обумовлюється тим, що співробітництво в цій сфері визначено одним з ключових елементів поглиблення співпраці між Україною та ЄС в інших сферах. Наприклад, Угода про асоціацію між Україною та ЄС містить ст. 15 "Захист персональних даних", згідно з якою "Сторони домовились співробітничати з метою забезпечення належного рівня захисту персональних даних відповідно до найвищих європейських та міжнародних стандартів" [4].

Слід підкреслити, що європейське законодавство чітко визначає кореляцію між захистом персональних даних і правами людини, а також приділяє величезну увагу їх дотриманню. Логіка тут досить прозора: сучасна демократія з її приматом поваги до прав та гідності людини є немислимою без повноцінного забезпечення недоторканності її особистого життя, приватності, а це, в свою чергу, неможливо без ефективного захисту її персональних даних.

Сьогодні ця позиція є загальновизнаною: недоторканність приватного життя, в тому числі особистої інформації людини як одне з її фундаментальних прав закріплене в основоположних міжнародних актах сучасності - Загальній декларації прав людини ООН, Міжнародному пакті про громадянські й політичні права, Конвенції ООН про права дитини, багатьох інших міжнародних і регіональних угодах. Право на приватність тією чи іншою мірою визнається також в абсолютній більшості національних законодавств світу, причому, як правило, на рівні конституцій [5, с. 5].

Слід зазначити, що правовий зв'язок між учасниками трудових відносин у процесі збору та обробки персональних даних працівника в законодавстві України про працю існує певний період. Так, при працевлаштуванні громадяни подають роботодавцю паспорт або інший документ, що посвідчує особу, трудову книжку, а у випадках, передбачених законодавством, документи про освіту, стан здоров'я тощо [6]. Отже, для укладання трудового договору претендент на посаду зобов'язаний подати роботодавцю персоніфіковану інформую, зокрема і ту, яка є конфіденційною інформацією. Роботодавець, у свою чергу, має встановити відповідність претендента на посаду вимогам вакантної посади після чого, при досягненні угоди про працю, оформити трудові відносини належним чином.

Разом з тим на сьогодні під час укладання угоди про роботу та оформлення трудових відносин роботодавці мають отримати від громадянина (майбутнього працівника) згоду на обробку персональних даних. Така згода відповідно до ст. 2. Закону України "Про захист персональних даних" є "добровільним волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди". Проте, враховуючи зміст інформації про працівника, яка надається ним при працевлаштуванні роботодавцю, володіння такою інформацію роботодавцем має забезпечувати працівнику реалізацію його права на невтручання в особисте життя, закріплене у ст. 12 Загальної декларації прав людини та ст. 17 Міжнародного пакту про громадянські і політичні права [7; 8]. Тобто право роботодавця на отримання від працівника (майбутнього працівника) інформації про нього одночасно з отриманням персональних даних працівника породжує обов'язок роботодавця захищати отриману інформацію та забороняє втручання в особисте життя особи, інформацію про яку ним отримано.

Викладе доводить, що при визначенні правового режиму охорони і захисту персональних даних працівника необхідно враховувати, що "у структурі права на інформацію сторін трудового договору можна виділити сукупність правомочностей, основними з яких є такі: 1) правомочність на одержання інформації; 2) правомочність на доступ до інформації; 3) правомочність на захист трудоправової інформації, у тому числі персональних даних працівників" [9, с. 144]. Проте чинне законодавство України не регламентує прав та обов'язків учасників трудових правовідносин у розрізі зазначених правомочностей, а це, у свою чергу, доводить необхідність їх деталізації на базі правової конструкції "право - обов'язок - відповідальність".

Доповнює правову проблематику щодо захисту персональних даних працівника суперечливість положення ст. 6, де закріплено, що склад та зміст персональних даних мають бути відповідними, адекватними та ненадмірними стосовно визначеної мети їх обробки. Остання ж має бути сформульована в законах, інших нормативних актах, положеннях, установчих та інших документах, які регулюють діяльність володільця персональних даних, та відповідати про захист персональних даних. Отже, роботодавець має правову можливість самостійно визначати мету обробки персональних даних працівника, і разом з тим, адекватність та ненадмірність складу і змісту персональних даних також оцінюється роботодавцем. Але, на наше переконання, такі правові можливості роботодавця можуть обернутися зловживання його правами. До того ж необхідно зважати й на можливість витоку персональних даних працівника через невиконання або неналежне виконання іншими працівниками своїх трудових обов'язків.

Варто зазначити, що Закон України "Про захист персональних даних" - рамковий документ. Його положення регулюють правові відносини, пов'язані із захистом та обробкою персональних даних у величезній кількості сфер суспільного життя. З цих же причин Закон не може детально визначати порядок та процедуру обробки персональних даних у всіх вказаних сферах. У зв'язку з цим кожна галузь права містить (і повинна містити) свої положення, які регламентують особливості обробки персональних даних у відповідній сфері суспільних відносин. У цьому зв'язку варто наголосити, що в частині, яка стосується питань обробки персональних даних, вказані документи завжди повинні узгоджуватися зі ст. 32 Конституції, та Законом України "Про захист персональних даних", які визначальні в цій сфері правових відносин.

Розглядаючи положення КЗпП України, можна зробити висновок, що в ньому фактично відсутні норми, що регламентують питання захисту персональних даних працівників. Тому на працівників поширюються загальні норми законодавства про захист персональних даних. В той же час, необхідно зважати на певні особливості захисту персональних даних осіб саме у трудових правовідносинах, внаслідок чого виникає потреба у розробці спеціальних правил захисту персональних даних працівників, які, передусім, мають визначатися у трудовому законодавстві України [10, с. 134].

Обробка персональних даних ґрунтується на низці принципів, які визначають основні правові засади її проведення. Вказані принципи викладено у ст. 5 Регламенту (Загальний регламент про захист персональних даних (англ. General Data Protection Regulation, GDPR, надалі - Регламент) [11]. Фактично під принципами розуміються правила, що їх повинен дотримуватися будь-який володілець у ході виконання будь-якої обробки, щодо якої поширюються вказані документи. В узагальненому вигляді вказані принципи можна викласти так:

- законність і справедливість (англ. fairness, станом на сьогодні цей принцип частіше формулюється як принцип прозорості обробки персональних даних);

- легітимна мета;

- пропорційність персональних даних до легітимної мети;

- точність (вірогідність), актуальність персональних даних;

- обробка персональних даних у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, не довше, ніж це необхідно для законних цілей, для яких їх збирали або надалі обробляли.

Ч. 2 ст. 5 Регламенту до вказаних принципів додається також принцип підзвітності, згідно з яким, кожен володілець завжди повинен бути здатним продемонструвати дотримання вказаних принципів на практиці. На особливу увагу в межах даного дослідження заслуговує передбачений ч. 1 ст. 5 Регламенту принцип, відповідно до якого персональні дані треба обробляти способом, що забезпечує достатній рівень їх захисту [11].

Відповідно до ч. 1 ст. 24 Закону володільці, розпорядники персональних даних та треті особи зобов'язані забезпечити захист цих даних від випадкових втрати або знищення, від незаконної обробки, зокрема незаконного знищення чи доступу до персональних даних. Згідно з ч. 2 ст. 10 Закону використання персональних даних володільцем відбувається у разі створення ним умов для захисту цих. Згідно з п. 3.2. Типового порядку володілець, розпорядник персональних даних самостійно визначають перелік і склад заходів, спрямованих на безпеку обробки персональних даних, з урахуванням вимог законодавства у сферах захисту персональних даних, інформаційної безпеки. Умови для належного захисту повинні створювати володілець та розпорядник до початку обробки та з розумними інтервалами переглядати. При визначенні рівня такого захисту вони повинні враховувати: 1) характер та обсяги персональних даних, що вони обробляють, 2) можливі наслідки від втрати таких даних, їх пошкодження, знищення, модифікації чи незаконного передання третім особам; 3) доступні технології захисту даних та організаційні заходи захисту даних і вартість їх імплементації, а також 4) ймовірність реалізації потенційних ризиків [12]. Отже, вказаний принцип полягає в тому, що як володілець, так і розпорядник повинні вживати належних організаційних і технічних заходів, покликаних забезпечити достатній рівень захисту персональних даних, які вони обробляють, від випадкової втрати або знищення, незаконної обробки, зокрема незаконного знищення чи доступу до них.

Питання безпеки персональних даних потребує значної уваги та залучення до цього компетентних спеціалістів, оскільки інформаційне поле - дуже незахищене "місце" серед усіх напрямів особистого (чи підприємницького) простору. Відношення до витрат на цей напрям володільців персональних даних певною мірою є перевіркою, яка відображає ступінь їхньої зрілості та реакції на будь-які інформаційні потрясіння [13, с. 106].

Таким чином, працюючи над удосконаленням законодавства у досліджуваному питанні, необхідно зобов'язати роботодавця організувати роботу працівників із персональними даними інших працівників у такий спосіб, щоб забезпечити охорону й захист цієї інформації від розголошення чи незаконної обробки. У цьому аспекті важливо, що права та обов'язки, закріплені трудовим договором працівника, який за своєю трудовою функцією має доступ до персональних даних працівників, мають відповідати умовам правового режиму охорони й захисту персональних даних працівників. Для створення належних умов охорони і захисту персональних даних працівників також мають застосовуватися правові можливості посадових інструкцій та положень з діловодства та ведення кадрової документації.

Крім того, на роботодавця необхідно покласти обов'язок письмово попередити працівника, який працює з персональними даними інших працівників, про його відповідальність за використання персональних даних працівника у супереч цілям їх обробки та збору. Організація фізичної охорони і захисту персональних даних працівників має покладатися на роботодавця та зобов'язувати його забезпечити доступ до персональних даних працівників тільки тих осіб, які за своїми трудовими обов'язками мають працювати з цими даними.

Разом з тим працівник повинен мати право не лише на ознайомлення з тією інформацією, яка зібрана та обробляється роботодавцем, а й знати мету обробки таких даних з правом заборони таких дій у випадку, коли це не перешкоджає укладанню чи продовженню трудових відносин. Наприклад, працівник має право відмовитися від обробки його персональних даних задля формування кадрових резервів тощо.

Крім того, необхідно підтримати позицію В.А. Прудникова, який підкреслює, що персональні дані підлягають знищенню у разі: закінчення строку зберігання даних, визначеного згодою працівника на обробку цих даних або законом; припинення правовідносин між працівником та роботодавцем, якщо інше не передбачено законом; набрання законної сили рішенням суду щодо вилучення даних про працівника з бази персональних даних [14, с. 208].

Таким чином, знищення персональних даних здійснюється не лише у разі припинення правовідносин між працівником та роботодавцем, а й після закінчення строку зберігання персональних даних.

Унаслідок проведеного аналізу, погоджуємось з висновками О.М. Рим, що у ЄС до забезпечення балансу інтересів роботодавців та працівників під час обробки персональних даних останніх можна наблизитись, якщо відповідна обробка відповідатиме таким вимогам: буде адекватною, доречною та обмежуватиметься досягненням необхідної мети; - використання, мета та спосіб обробки повинні бути зрозумілі для працівників; - працівники повинні мати можливість реалізувати свої права перевіряти, виправляти, припиняти та обмежувати обробку; - персональні дані повинні зберігатись не більше, ніж потрібно; - персональні дані повинні бути захищені відповідними технічними та організаційними заходами безпеки [15, с. 227].

Оцінюючи загалом інформаційні права в системі прав людини, В.В. Гайтан дійшов висновку: "Досвід зарубіжних країн у сфері інформаційних прав людини демонструє, що Україна потребує створення цілісної системи інформаційного законодавства, яке відповідало б нормам міжнародного права. Інформаційні права в системі поколінь прав людини перебувають в процесі свого становлення та потребують не лише законодавчого закріплення, а й широкого філософського осмислення їх сутності для подальшого впровадження в систему прав людини" [16, с. 107]. Погоджуючись із викладеним, додамо, що трансформація системи прав людини неминуче позначається на трудових правах, які незалежно від їх правової природи є невід'ємною складовою особистого життя людини, і відповідно відображають право на невтручання в особисте життя незалежно від того, що частина трудових прав працівника належить до сфери професійних відносин.

Крім того, створення дієвої системи захисту персональних даних належить до міжнародних зобов'язань України, в тому числі пов'язаних із європейською інтеграцією нашої держави. Зокрема, саме від виконання цього зобов'язання значною мірою залежать євроінтеграційні прагнення України. Тобто, постійне впровадження європейських стандартів та процес наближення до повного членства в ЄС вимагають оновлення українського регулювання захисту персональних даних до європейських стандартів [17, с. 206].

У цілому викладене доводить, що захист персональних даних в Україні хоча й має свою правову основу, особливостей щодо збору та обробки таких даних стосовно працівника законодавство майже не містить. Проблема захисту персональних даних працівників має вирішуватися комплексно, як на рівні законів, так і підзакон- них актів та актів соціального партнерства, локальних актів та трудових договорів. Правовий режим охорони і захисту персональних даних працівників має свої особливості, зокрема у частині обсягу кореспондуючих прав та обов'язків працівника і роботодавця, а удосконалення вітчизняного законодавства має орієнтуватися на прогресивні міжнародні стандарти з питань захисту персональних даних фізичних осіб. Працюючи над удосконаленням законодавства у питанні захисту персональних даних працівника, необхідно зобов'язати роботодавця організувати роботу працівників із персональними даними інших працівників у такий спосіб, щоб забезпечити охорону й захист цієї інформації від розголошення чи незаконної обробки.

Література