- Яким чином дотримувати вимог Закону України «Про захист персональних даних» у первинних профспілкових організаціях, в об’єднаннях профспілок? Чи слід реєструвати базу персональних даних членів профспілки? Хто є володільцем персональних даних — профком чи організація, в якій діє профспілка?
- Закон України «Про захист персональних даних» від 01.06.2010 № 2297VI (далі — Закон № 2297) регулює правові відносини, пов’язані із захистом і обробкою персональних даних, і спрямований на захист основоположних прав і свобод людини і громадянина, зокрема права на невтручання в особисте життя, у зв’язку з обробкою персональних даних.
Закон № 2297 поширюється на діяльність з обробки персональних даних, яка здійснюється повністю або частково із застосуванням автоматизованих засобів, а також на обробку персональних даних, що містяться у картотеці чи призначені до внесення до картотеки, із застосуванням неавтоматизованих засобів.
Законом від 06.07.2010 № 2438VI Україна ратифікувала Конвенцію про захист осіб у зв’язку з автоматизованою обробкою персональних даних (вчинену 28.01.1981 у м. Страсбурзі) та Додатковий протокол до Конвенції стосовно органів нагляду та транскордонних потоків даних. При цьому у Законі міститься заява про те, що Україна застосовуватиме Конвенцію до інформації, яка стосується груп осіб, асоціацій, фондів, компаній, корпорацій та будь-яких інших організацій, що безпосередньо чи опосередковано складаються з окремих осіб, незалежно від того, мають чи не мають такі установи статус юридичної особи.
Ратифікована Конвенція є невід’ємною частиною національного законодавства України.
Отже, обов’язок із захисту персональних даних поширюється і на профспілкові організації. Оскільки будь-яка профспілкова організація обробляє відомості про членів профспілки, відповідні персональні дані підлягають захисту.
Хто є володільцем персональних даних членів профспілки: організація профспілки чи підприємство, установа, організація, де діє профспілка?
Згідно зі статтею 1 Закону України «Про професійні спілки, їх права та гарантії діяльності» від 15.09.1999 № 1045XIV (далі — Закон про професійні спілки) первинна організація профспілки — добровільне об’єднання членів профспілки, які, як правило, працюють на одному підприємстві, в установі, організації незалежно від форми власності і виду господарювання (далі — організація) або у фізичної особи, яка використовує найману працю, або забезпечують себе роботою самостійно, або навчаються в одному навчальному закладі.
Відповідно до статті 2 Закону № 2297 володілець персональних даних — фізична або юридична особа, якій законом або за згодою суб’єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом.
Для реалізації прав членів профспілки, передбачених Законом про професійні спілки, первинна профспілкова організація обробляє, зокрема, такі персональні дані членів профспілки, як прізвище, ім’я, по батькові, рік народження, домашня адреса, посада, склад сім’ї, житлові умови.
Отже, з точки зору Закону про захист персональних даних саме первинна профспілкова організація є володільцем персональних даних членів профспілки.
Метою обробки персональних даних є насамперед забезпечення реалізації соціально-трудових відносин, а також відносин у сфері бухгалтерського обліку.
Чи вважаються розпорядниками персональних даних члени профкому, які безпосередньо працюють з персональними даними інших членів профспілки?
Звернімось до Закону № 2297.
Розпорядник бази персональних даних — фізична чи юридична особа, якій володільцем персональних даних або законом надано право обробляти ці дані від імені володільця.
Згідно з частиною другою статті 4 Закону № 2297 розпорядниками персональних даних можуть бути:
- підприємства, установи і організації усіх форм власності, органи державної влади чи органи місцевого самоврядування,
- фізичні особи — підприємці, які обробляють персональні дані відповідно до закону.
Володілець персональних даних може доручити обробку персональних даних розпоряднику персональних даних відповідно до договору, укладеного в письмовій формі. Розпорядник персональних даних може обробляти персональні дані лише з метою і в обсязі, визначених у договорі (частина четверта, п’ята ст. 4 Закону № 2297).
Отже, вважати розпорядниками представників профкому, які працюють з персональними даними членів профспілки, з точки зору Закону № 2297 не можна.
Чи можуть взагалі бути розпорядники у персональних даних, володільцем яких є профспілка?
Так, в окремих випадках можуть.
Відповідно до статті 35 Закону про професійні спілки, з метою реалізації статутних завдань профспілки, їх об’єднання можуть здійснювати необхідну господарську та фінансову діяльність шляхом надання безоплатних послуг, робіт, створення в установленому законодавством порядку підприємств, установ або організацій із статусом юридичної особи, формувати відповідні фонди, кредитні спілки.
Первинна профспілкова організація може укласти цивільно-правовий договір з фізичною особою, наприклад, для забезпечення бухгалтерського обліку. У такому разі бухгалтер-підрядник, безумовно, матимемо доступ до персональних даних членів профспілки, оброблятиме їх, а, отже, відповідно до закону вважатиметься розпорядником персональних даних.
Якщо первинна профспілкова організація веде господарську чи фінансову діяльність, у багатьох випадках вона отримуватиме та зберігатиме персональні дані фізичних осіб — контрагентів, підрядників або персональні дані фізичних осіб, що перебувають у трудових відносинах з юридичною особою — підрядником (контрагентом). У такому разі можна виокремити, наприклад, таку базу персональних даних як «Фізичні особи, персональні дані яких обробляються в ході ведення господарської діяльності» (цілком прийнятним є й такий варіант назви бази, як «Контрагенти»).
Обробка персональних даних профспілковою організацією
Обробка персональних даних — це будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем (абзац сьомий ст. 2 Закону № 2297 в редакції Закону від 20.11.2012 № 5491VI).
Відповідно до статті 24 Закону № 2297 в профспілковій організації має бути визначено відповідальну особу, яка організовуватиме роботу, пов’язану із захистом персональних даних при їх обробці, відповідно до закону. Призначення відповідальної особи можна зафіксувати протоколом засідання профспілкового комітету.
З урахуванням положень Закону № 2297 та пункту 1.8 Типового порядку обробки персональних даних у базах персональних даних, затвердженого наказом Міністерства юстиції України від 30.12.2011 № 3659/5 (далі — Типовий порядок), профспілкою, як і будь-яким володільцем персональних даних, також має бути визначено:
- мета обробки, склад персональних даних;
- порядок внесення, зміни, поновлення, використання, поширення, знеособлення, знищення персональних даних;
- порядок захисту персональних даних від незаконної обробки, у т. ч. від втрати, незаконного або випадкового знищення, а також від незаконного доступу до них.
Зафіксувати це можна, наприклад, за допомогою Положення про порядок обробки та захисту персональних даних в профспілковій організації.
Таке Положення визначатиме комплекс організаційних та технічних заходів для забезпечення захисту персональних даних членів профспілки та (за їх наявності) контрагентів — фізичних осіб, які надають послуги профспілці і персональні дані яких обробляються під час договірних відносин.
Для розроблення Положення рекомендується створювати робочу групу з членів профкому.
При розробленні Положення рекомендуємо приділити особливу увагу аналізу складу та змісту персональних даних, що обробляються. Так, персональні дані мають бути точними, достовірними та оновлюватися в міру потреби, визначеної метою їх обробки. Склад та зміст персональних даних мають бути відповідними, адекватними та ненадмірними стосовно визначеної мети їх обробки (частина друга, третя ст. 6 Закону № 2297). Варто проаналізувати, чи всі відомості про членів профспілки, що обробляються у профкомі, дійсно потрібні для реалізації соціально-трудових відносин, забезпечення бухгалтерського обліку, інших визначених цілей обробки даних.
До обробки відомостей про членство у профспілці висуваються особливі вимоги
Згідно зі статтею 7 Закону № 2297 забороняється обробка персональних даних про членство в професійних спілках. Разом з цим ця норма не застосовується, якщо обробка персональних даних здійснюється із забезпеченням відповідного захисту професійною спілкою, що створена відповідно до закону, за умови, що обробка стосується виключно персональних даних членів цього об’єднання або осіб, які підтримують постійні контакти з ними у зв’язку з характером їх діяльності, та персональні дані не передаються третій особі без згоди суб’єктів персональних даних.
Отже, згідно із законом професійна спілка обробляє відомості про членство у профспілці з дотриманням вимог щодо забезпечення захисту персональних даних та передання цих даних третім особам.
Згідно зі статтею 2 Закону № 2297 (в редакції Закону України від 20.11.2012 № 5491VI) згода суб’єкта персональних даних — це добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про її надання.
Обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб’єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством. Не допускається обробка даних про фізичну особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини (частини п’ята, шоста ст. 6 Закону № 2297).
Відповідно до статей 6, 7 Закону про професійні спілки громадяни України мають право на основі вільного волевиявлення без будь-якого дозволу вступати до профспілок, виходити з них на умовах і в порядку, визначених статутами профспілок, брати участь у роботі профспілок. Іноземні громадяни та особи без громадянства можуть вступати до профспілок, якщо це передбачено їх статутами. Громадяни України вільно обирають профспілку, до якої вони бажають вступити. Підставою для вступу до профспілки є заява громадянина (працівника), подана в первинну організацію профспілки. При створенні профспілки прийом до неї здійснюється установчими зборами. Ніхто не може бути примушений вступати або не вступати до профспілки.
Згоду на обробку своїх персональних даних особа, яка вступає до профспілки, може зазначити у заяві про вступ до профспілки.
При цьому слід дотримати нової норми Закону № 2297 (внесеної Законом України від 20.11.2012 № 5491VI): новою редакцією статті 8 Закону № 2297 передбачено, що суб’єкт персональних даних має право вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди (п. 10 частини другої ст. 8 Закону № 2297).
Рекомендуємо, аби член профспілкової організації, який приймає заяву на вступ до профспілки, звертав увагу нового члена профспілки на можливість внесення застереження під час надання згоди.
З метою дотримання вимог Закону № 2297 щодо змісту згоди на обробку персональних даних, рекомендуємо розробляти уніфіковану (трафаретну) форму заяви про вступ до профспілки та про згоду на обробку персональних даних.
Звертаємо увагу, на ще одну важливу складову обробки персональних даних, якої слід дотримати при збиранні персональних даних нового члена профспілки.
Попередня редакція статті 12 Закону № 2297 передбачала необхідність письмового повідомлення суб’єкта персональних даних про його права, визначені цим Законом, мету збору даних та осіб, яким передаються його персональні дані, протягом десяти робочих днів з дня включення його персональних даних до бази персональних даних.
Згідно з новою редакцією статті 12 Закону № 2297 у момент збору персональних даних або у випадках, передбачених пунктами 2–5 частини першої статті 11 цього Закону, протягом десяти робочих днів з дня збору персональних даних суб’єкт персональних даних повідомляється про володільця персональних даних, склад та зміст зібраних персональних даних, права такого суб’єкта, визначені цим Законом, мету збору персональних даних та осіб, яким передаються його персональні дані. При цьому, права суб’єкта персональних даних визначено статтею 8 Закону № 2297.
Нова редакція статті 12 Закону № 2297 не вимагає від володільця персональних даних, аби форма повідомлення була виключно письмовою.
На практиці повідомити нового члена профспілки про його права у сфері захисту персональних даних можна шляхом ознайомлення з витягом із Закону № 2297 під час отримання від нього заяви на вступ до профспілки.
У заяві про вступ до профспілки новий член профспілки може зазначити, що він повідомлений про те, що відповідно до Закону «Про захист персональних даних» профспілкова організація вважається володільцем зібраних персональних даних, про склад та зміст зібраних персональних даних, мету збору персональних даних та осіб, яким передаються персональні дані, права у сфері захисту персональних даних.
Порядок повідомлення про володільця персональних даних, склад та зміст зібраних персональних даних, права члена профспілки як суб’єкта персональних даних, визначені Законом № 2297, мету збору персональних даних та осіб, яким передаються персональні дані, слід зафіксувати у документі, що регламентує питання захисту персональних даних, які обробляються профспілкою (наприклад, у Положенні про порядок обробки та захисту персональних даних в профспілковій організації).
Реєстрація баз персональних даних, володільцем яких є профспілкова організація
Бази персональних даних підлягають державній реєстрації шляхом внесення уповноваженим державним органом з питань захисту персональних даних відповідного запису до Державного реєстру баз персональних даних. Реєстрація баз персональних даних здійснюється за заявочним принципом шляхом повідомлення (ст. 9 Закону України «Про захист персональних даних» від 01.06.2010 № 2297-VI; далі — Закон № 2297).
Разом з цим, згідно з частиною другою статті 9 Закону № 2297, володілець персональних даних звільняється від обов’язку реєстрації баз персональних даних членів громадських, релігійних організацій, професійних спілок, політичних партій (норму внесено до Закону № 2297 Законом України від 20.11.2012 № 5491-VI, відповідна редакція Закону № 2297 діє з 20.12.2012).
Отже, після 20.12.2012 реєструвати базу персональних даних «Члени профспілки» не обов’язково. Разом з цим, якщо під час здійснення своєї діяльності профспілка обробляє персональні дані фізичних осіб — контрагентів, відповідна база персональних даних підлягає державній реєстрації у порядку, визначеному статтею 9 Закону № 2297 та відповідно до наказу Мін’юсту України «Про затвердження форм заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних і порядку їх подання» від 08.07.2011 № 1824/5 (зареєстровано в Мін’юсті 19.07.2011 за № 890/19628)
Обробка персональних даних членів об’єднання профспілок
Відповідно до статті 8 Закону України «Про професійні спілки, їх права та гарантії діяльності» від 15.09.1999 № 1045-XIV, з метою виконання своїх статутних завдань профспілки, їх організації (якщо це передбачено статутом) мають право на добровільних засадах створювати об’єднання (ради, федерації, конфедерації тощо) за галузевою, територіальною або іншою ознакою, а також входити до складу об’єднань та вільно виходити з них.
Права об’єднань профспілок визначаються профспілками, які їх створили, відповідно до цього Закону, а також статутами (положеннями) цих об’єднань.
У практичній діяльності об’єднанням профспілкових організацій часто доводиться вирішувати питання надання матеріальної допомоги членам первинних профспілкових організацій, забезпечення членів профспілки путівками на оздоровлення та ін. При вирішенні відповідних питань до об’єднань надходять персональні дані членів первинних профспілкових організацій (у т. ч. відомості про склад родини, членів сімей), ці дані зберігаються в об’єднаннях і підлягають захисту відповідно до Закону України «Про захист персональних даних» від 01.06.2010 № 2297-VI (далі — Закон № 2297).
Згідно із Законом № 2297 така база персональних даних (назвати її можна, наприклад, «Члени первинних профспілкових організацій, що входять до складу об’єднання») не підлягає державній реєстрації. Утім, інші вимоги Закону № 2297 повною мірою поширюються на об’єднання профспілок як володільців персональних даних.
Мета обробки персональних даних членів первинних профспілкових організацій, що входять до складу об’єднання, може бути визначена у Положенні про порядок обробки та захисту персональних даних, наприклад, таким чином: «Персональні дані обробляються для забезпечення реалізації соціально-трудових відносин, у т. ч. надання матеріальної допомоги, вирішення питань оздоровлення членів первинних профспілкових організацій відповідно до Закону України «Про професійні спілки, їх права та гарантії діяльності», Податкового кодексу України, статуту об’єднання (або положення про об’єднання)»
Ірина ТУБЄЛЄЦЬ,
керівник Департаменту правового захисту Федерації професійних спілок України, заслужений юрист України
Лілія ОЛЕКСЮК,
перший заступник Голови Державної служби України з питань захисту персональних даних
Ірина ІВАНЧЕНКО,
керівник тематичного напряму «МЦФЕР:Кадри», шеф-редактор журналів «Кадровик-01», «Бібліотека Кадровика», «Довідник секретаря та офіс-менеджера», експерт Гарячої Лінії Кадровика
За матеріалами журналів «Бібліотека Кадровика» (№ 2/2013) «Головбух:Бюджет» (№ 10/2013)