Власник ТОВ, який не перебуває з ним у трудових відносинах, вимагає від керівника надати йому особисті дані працівників (паспортні дані, прописку тощо). З якою метою, не пояснює. На підприємстві є Положення про захист персональних даних і наказ із переліком працівників, що мають доступ до них (керівник, відділ кадрів і головний бухгалтер). Чи є правомірною вимога власника? Чи має право інспектор відділу кадрів надавати йому таку інформацію?
Персональні дані захищені законом!
Останнім часом законодавці приділяють досить багато уваги захисту персональних даних фізосіб. Якщо звернутись до Закону про захист персональних даних, то відомості чи сукупність відомостей про фізособу, яка ідентифікована або може бути конкретно ідентифікована, є її персональними даними (ст. 2 Закону).
Обробкою персональних даних є будь-яка дія або сукупність дій, таких як, зокрема, збирання, реєстрація, накопичення, зберігання, а також використання і поширення (розповсюдження, реалізація, передача) персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем.
Поширення персональних даних передбачає дії щодо передачі відомостей про фізособу за згодою суб'єкта персональних даних. Поширення персональних даних без згоди суб'єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише (якщо це необхідно) в інтересах національної безпеки, економічного добробуту та прав людини (ч. 1, 2 ст. 14 Закону).
Порядок доступу до персональних даних третіх осіб визначається умовами згоди суб'єкта персональних даних, наданої володільцю персональних даних, на обробку цих даних, або відповідно до вимог закону (ч. 1 ст. 16).
Відповідно до п. 3.4 Типового порядку обробки персональних даних, розміщеного на веб-сайті Уповноваженого ВРУ з прав людини1, організаційні заходи щодо забезпечення захисту персональних даних, що здійснюються володільцем, розпорядником, охоплюють, зокрема:
— визначення порядку доступу до персональних даних працівників володільця/розпорядника;
— визначення порядку ведення обліку операцій, пов'язаних з обробкою персональних даних суб'єкта та доступом до них.
Отже, чинне законодавство встановлює вимоги щодо порядку доступу до персональних даних третіх осіб, тобто всіх інших осіб, які не є уповноваженими особами (працівниками) підприємства, на роботу з персональними даними. Такі треті особи можуть отримати доступ за умови надання обґрунтованого запиту. Вимоги до запиту передбачають наявність «мети та/або правової підстави для запиту» (п. 6 ч. 4 ст. 16 Закону).
Право власника на доступ/отримання ПД
Враховуючи вищенаведене, власник підприємства, хоча й не має жодного відношення до господарської діяльності підприємства та не втручається у його діяльність, якщо не є його працівником, проте не позбавлений інших прав та обов'язків, установлених статутом підприємства.
Окрім того, якщо власник підприємства (засновник/учасник товариства) бажає отримати доступ до персональних даних працівників, він з метою Закону про захист персональних даних є третьою особою, не уповноваженою на роботу з персональними даними працівників ТОВ, і має скласти запит.
Тут варто спинитися на такому.
1. У тексті запиту він не зобов'язаний зазначати мету (пояснення, для чого саме потрібні такі дані) — цілком достатньо послатись на вимогу закону (зазначити правову підставу).
2. Коли ми говоримо про закон — ідеться про закон, який надає право отримувати інформацію щодо діяльності ТОВ, у т. ч. й у межах повноважень, передбачених статутом.
3. Словосполучення «отримати доступ до» свідчить на користь доступу до персональних даних, а не отримання копій особової картки працівника, копії його паспорта та інших документів.
Отже, про все за порядком.
Річ у тім, що відповідно до ст. 10 Закону про госптовариства учасники товариства мають право, зокрема:
— брати участь в управлінні справами товариства в порядку, визначеному в установчих документах, за винятком випадків, передбачених цим Законом;
— одержувати інформацію про діяльність товариства. На вимогу учасника товариство зобов'язане надавати йому для ознайомлення річні баланси, звіти товариства про його діяльність, протоколи зборів;
— інші права, передбачені законодавством і установчими документами товариства.
Як це прописано у статутах — наведемо приклад.
Приклад У статуті ТОВ наведені такі положення:
«До компетенції загальних зборів учасників товариства належать:
— 1) визначення форм контролю за діяльністю виконавчого органу...»;
«До компетенції директора належать повноваження щодо:
— 1) визначення:
- організаційної структури товариства;
- умов оплати праці посадових осіб товариства в межах затвердженого кошторису витрат на оплату праці, всіх видів відокремлених підрозділів, дочірніх підприємств ( у разі їх створення);
- прийняття працівників та звільнення їх з посад, внесення змін до штатного розпису...».
Отже, загальні збори товариства мають право прийняти рішення щодо форм контролю за діяльністю директора, у т. ч. у частині визначення умов оплати працівників, прийняття працівників на посади, що саме по собі вказує на ознайомлення з персональними даними працівників.
Але не варто забувати, що подібні рішення загальних зборів мають враховувати вимоги та порядок доступу до персональних даних працівників, визначені Законом про захист персональних даних. А це говорить про те, що закон дозволяє саме доступ до персональних даних, а не їх копіювання на паперові чи електронні носії.
За таких обставин саме протокол загальних зборів й має бути підставою для отримання доступу до персональних даних працівників. Хоча це певним чином іде врозріз із Законом про захист персональних даних (доступ лише за запитом третіх осіб), утім, не порушує його положень.
Отже, за певних умов (ідеться про положення статуту та Закону про госптовариства) власник товариства має право без складеного окремого письмового запиту отримувати доступ до персональних даних. На нашу думку, враховуючи положення статуту та Закону про захист персональних даних, таким запитом може бути й сам протокол, де буде передбачено в рамках реалізації контролю за діяльністю виконавчого органу (директора або дирекції) під час здійснення такого контролю дотримуватись вимог чинного законодавства, зокрема Закону про захист персональних даних.
До речі, типові положення про захист персональних даних, які переважно затверджені на підприємствах, містять вимоги щодо порядку доступу до таких даних з дотриманням вимоги збереження конфіденційності та непоширення отриманої інформації без дозволу володільця персональних даних.
Фактично це й відповідає нашій тезі «доступу власника Товариства до персональних даних працівників з дотриманням вимог Закону про захист персональних даних». Адже коли йдеться про доступ до інформації, яка захищається підприємством, останнє має право встановлювати свої вимоги щодо її отримання.
Позиція фахівців!
Розглядаючи власника як третю особу з відповідним правом доступу з погляду Закону про захист персональних даних, не можна не врахувати й іншу позицію, яка також має право на існування. Так, деякі фахівці вважають, що власник одноособово (чи загальні збори учасників) як вищий орган управління Товариства має(ють) право приймати рішення з усіх питань діяльності товариства, у тому числі і з тих, що передані загальними зборами до компетенції виконавчого органу (ст. 98 ЦКУ). Володільцем бази персональних даних за законом є фізична або юридична особа, яка визначає мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом. За таких вимог фактично загальні збори і є володільцем бази персональних даних і мають право самостійно визначити (рішенням чи протоколом) уповноважену особу, якій надають доступ до таких баз даних. Такою особою може бути й зацікавлений власник.
Тому визначати власника як третю особу з метою виконання вимог Закону про захист персональних даних не завжди може бути доречним.
Дії керівника після отримання протоколу
Відповідно до ст. 62 Закону про госптовариства дирекція (директор) є підзвітною загальним зборам учасників і організує виконання їх рішень. Дирекція (директор) діє від імені товариства в межах, установлених цим Законом та установчими документами.
Враховуючи це та положення статуту, керівник не лише підзвітний загальним зборам, а й має виконувати всі рішення, які прийняті загальними зборами та стосуються безпосередньо самого керівника в частині виконання функцій з управління фінансово-господарською діяльністю, у т. ч. формування штатного розпису.
Отже, керівник, який отримав протокол загальних зборів, де сказано про визначені форми контролю за виконанням керівником його функцій та наведений перелік інформації, яку бажає отримати один із власників, не має права відмовити у виконанні вимог власників бізнесу.
Таким чином, керівник має виконати вимоги власника та:
1) надати всю інформацію, яка визначена у протоколі загальних зборів;
2) надати інформацію щодо працівників, навіть якщо доступ до неї є обмеженим у силу закону;
3) не зобов'язаний робити та/або надавати дозвіл робити копії з документів, які містять в собі персональні дані, поширення яких без згоди власника та/або не з метою їх збирання/обробки заборонено законом.
Як правило, доступ до інформації, яка містить персональні дані, здійснюється у тому ж порядку, в якому це здійснюють керівник, відділ кадрів та головбух (як це наведено у нашому запитанні).
Залишається лише одне питання: а якщо власник одноособово володіє бізнесом? На нашу думку, це не позбавляє його обов'язку дотримуватися положень статуту.
Нагадаємо, що статут — це так званий локальний нормативний документ, який визначає умови створення, функціонування товариства, а також відносини власника та керівника, інших працівників товариства.
Тож навіть у цьому випадку такий єдиний власник має прийняти одноособове рішення, де визначити інформацію, яку він бажає отримати. Втім, не буде помилкою, якщо такий власник звернеться із запитом про надання потрібної йому інформації, з урахуванням положень статуту та ч. 4 ст. 16 Закону про захист персональних даних.
Якщо власники бізнесу не дотримуються вимог чинного законодавства та підписаного ними статуту, керівник має право відмовити у наданні інформації та/або доступу до неї.
Щодо того, чи може власник без належних повноважень щодо доступу до бази ПД звертатись до інших працівників підприємства, то, на нашу думку, це буде некоректно. Накази по підприємству своїм підлеглим надає керівник, а не власник. Тому навіть власникам доведеться дотримуватись всіх установлених на підприємстві правил підлеглості та звертатись у таких випадках лише до керівника або визначитись зі своїми правами володільця у своїх рішеннях/протоколах (або статутах).
Нормативна база
- ЦКУ — Цивільний кодекс України від 16.01.2003 р. №435-IV.
- Закон про госптовариства — Закон України від 19.09.91 р. №1576-XII «Про господарські товариства».
- Закон про захист персональних даних — Закон України від 01.06.2010 р. №2297-VI «Про захист персональних даних».
Наталія КАНАРЬОВА, «Дебет-Кредит»