• Посилання скопійовано

Надання власнику інформації щодо особистих даних працівників: чи правомірно?

Власник підприємства, який не перебуває з ним у трудових відносинах, вимагає від відділу кадрів надати йому особисті дані працівників. На підприємстві є Положення про захист персональних даних і наказ з переліком осіб, які мають доступ до персональних даних працівників. Чи правомірна вимога власника? Чи має право інспектор відділу кадрів надати таку інформацію?

Згідно з Законом про захист персональних даних,  відомості чи сукупність відомостей про фізособу, яка ідентифікована або може бути конкретно ідентифікована, є її персональними даними (ст. 2 Закону про захист персональних даних).

Обробкою персональних даних є будь-яка дія або сукупність дій, таких як, зокрема,  збирання, реєстрація, накопичення, зберігання, а також використання та поширення (розповсюдження, реалізація, передача) персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем.

Поширення персональних даних передбачає дії щодо передачі відомостей про фізособу за згодою суб'єкта персональних даних. Поширення персональних даних без згоди суб'єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише (якщо це необхідно) в інтересах національної безпеки, економічного добробуту та прав людини. Виконання вимог встановленого режиму захисту персональних даних забезпечує сторона, що поширює ці дані (ч.1, 2, 3 ст. 14 Закону про захист персональних даних).

Порядок доступу до персональних даних третіх осіб визначається умовами згоди суб'єкта персональних даних, наданої власнику персональних даних на обробку цих даних, або відповідно до вимог закону (ч.1 ст. 16 Закону про захист персональних даних).

Відповідно до п. 3.4 Типового порядку обробки персональних даних, розміщеного на веб-сайті Уповноваженого ВРУ з прав людини, організаційні заходи щодо забезпечення захисту персональних даних, що здійснюються власником, розпорядником охоплюють, зокрема:

  • визначення порядку доступу до персональних даних працівників володільця/розпорядника;
  • визначення порядку ведення обліку операцій, пов’язаних з обробкою персональних даних суб’єкта та доступом до них.

Відтак, чинне законодавство встановлює вимоги щодо порядку доступу до персональних даних третіх осіб -  тобто всіх інших осіб, які не є уповноваженими особами (працівниками) підприємства на роботу з персональними даними. Такі треті особи, в т.ч. й власники (юрособи) — не працівники, можуть отримати доступ за умови надання обґрунтованого запиту — вимоги до запиту передбачають наявність "мети та/або правової підстави для запиту" (п. 6 ч. 4 ст. 16 Закону про захист персональних даних).

Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов'язання щодо забезпечення виконання вимог Закону про захист персональних даних, або неспроможна їх забезпечити - ч. 2 ст. 16 Закону про захист персональних даних.

Відповідно до ст. 10 Закону про госптовариства учасники товариства мають право, зокрема: 

  • одержувати інформацію про діяльність товариства;
  • інші права, передбачені законодавством і установчими документами товариства. 

Відповідно до ст. 62 Закону про госптовариства дирекція (директор) підзвітна (підзвітний) загальним зборам учасників і організує виконання їх рішень. Дирекція (директор) діє від імені товариства в межах, встановлених даним Законом та установчими документами. 

Враховуючи це та положення статуту, керівник не лише підзвітний загальним зборам, й має виконувати всі рішення, які прийняті загальними зборами та стосуються  самого керівника в частині виконання функцій щодо управління фінансово-господарською  діяльністю, у т.ч. формуванню штатного розпису. Відтак, керівник, який отримав протокол загальних зборів, де сказано про визначені форми контролю за виконанням керівником його функцій, та наведений перелік інформації, яку бажає отримати один із власників, не має права відмовити у виконанні вимог власників бізнесу. 

Але для цього повинно виконуватись кілька умов:

  • повинна бути письмова згода працівників на надання іхніх персональних даних власникам підприємства;
  • власник повинен викласти мету або правову підставу отримання персональних даних працівників;
  • власник повинен взяти на себе зобов'язання щодо забезпечення виконання вимог Закону про захист персональних даних. 

За таких обставин, саме протокол загальних зборів має бути підставою для отримання доступу до персональних даних працівників.

Якщо власники бізнесу не дотримуються вимог чинного законодавства та статуту, керівник має право відмовити у наданні інформації та/або доступу до неї. 

Що до того, чи може власник без належних повноважень щодо доступу до бази ПД звертатись до інших працівників підприємства, то на нашу думку, це буде не коректно. Накази щодо підприємства своїм підлеглим надає керівник, а не власник. Тому, навіть за умови володіння бізнесом, таким власникам доведеться дотримуватись всіх встановлених на підприємстві правил підлеглості та звертатись в таких випадках лише до керівника або визначитись зі своїми правами власника у своїх рішеннях/протоколах (або статутах).

Увага!

Тепер ви можете читати бухгалтерські новини від «Дебету-Кредиту» у Telegram та VIBER, а обговорювати їх – у найбільшій групі бухгалтерів на Facebook

Приєднуйтесь і дізнавайтесь найважливіші новини першими!

Доступ до цієї консультації можливий лише для передплатників «Дебету-Кредиту». Якщо ви передплатник, будь ласка, авторизуйтесь.

Або оформіть передплату, вартість пакету «Мій асистент» становить лише 99 грн/міс

Передплатити

Автор: Канарьова Наталія

Джерело: «Дебет-Кредит»

Рубрика: Право і відповідальність/Інше

30 днiв передплати безкоштовно!Оберiть свiй пакет вiд «Дебету-Кредиту»
на мiсяць безкоштовно!
Спробувати

Усі консультації рубрики «Інше»