Як зберігати персональні дані працівників без порушень: практичний гайд для бізнесу

У 2024 році Україна зробила ще один крок до гармонізації законодавства з ЄС: законопроєкт №8153 має наблизити правила роботи з персональними даними до стандартів GDPR. Це означає одне — вимоги до бізнесу стають жорсткішими, а штрафи та перевірки — реальнішими.

При цьому HR-команди щодня працюють із чутливою інформацією: резюме, медичні довідки, зарплати, оцінки ефективності. І саме тут найчастіше виникають порушення.

Що вважається персональними даними працівника

Перш ніж говорити про зберігання, важливо чітко визначити, з чим ви працюєте.

Згідно із законодавством України, персональні дані — це будь-яка інформація, яка дозволяє ідентифікувати особу:

• ПІБ, дата народження, адреса;
• контактні дані;
• інформація про освіту, досвід;
• дані про зарплату;
• стан здоров’я, сімейний стан;
• будь-які HR-записи (оцінки, фідбек, дисциплінарні дані).

Важливо розуміти, що навіть внутрішні HR-нотатки — це персональні дані, якщо вони прив’язані до конкретної людини.

Які вимоги до персональних даних встановлює закон в Україні

Основний документ — Закон України «Про захист персональних даних». Ось ключові принципи, які прямо впливають на HR-процеси:

1. Дані мають бути точними та актуальними. Компанія не може зберігати застарілу або невірогідну інформацію.
2. Дані збираються лише з конкретною метою. Використовувати їх про всяк випадок є порушенням.
3. Дані не можна зберігати довше, ніж це потрібно. Інформація має видалятись після досягнення мети обробки.
4. Дані не можна використовувати для інших цілей. Наприклад, резюме кандидата не можна застосовувати для маркетингових розсилок.
5. Працівник має право контролювати свої дані. Він може знати, які дані ви зберігаєте, відкликати згоду чи вимагати видалення.

Найчастіші порушення в HR і чому вони трапляються

На практиці більшість компаній порушують закон не через складність вимог, а через відсутність процесів. Найпоширеніші помилки:

• зберігання резюме кандидатів роками без оновлення згоди;
• доступ до персональних даних для всіх у відділі;
• передача даних через месенджери без захисту;
• відсутність політики зберігання та видалення;
• дублікати даних у різних таблицях і системах.

У результаті компанія навіть не знає які дані вона зберігає, де вони знаходяться та хто має до них доступ.

Як правильно зберігати персональні дані працівників

1. Визначте мету збору даних

Кожен тип даних має відповідати конкретній задачі:

• рекрутинг;
• оформлення;
• payroll;
• оцінка ефективності.

Якщо мети немає — дані не можна зберігати.

2. Обмежте доступ

Доступ до персональних даних має бути:

• рольовим (тільки для тих, кому це потрібно);
• контрольованим;
• фіксованим.

Наприклад:

• рекрутер бачить кандидатів;
• бухгалтер — зарплати;
• менеджер — лише свою команду.

3. Встановіть строки зберігання

Закон прямо вимагає не зберігати дані довше, ніж потрібно. На практиці це означає:

• резюме кандидатів — обмежений період;
• дані звільнених співробітників — за політикою компанії;
• регулярне очищення баз.

4. Отримуйте і фіксуйте згоду

Працівник має розуміти:

• які дані збираються;
• з якою метою;
• як довго вони зберігаються.

Згода має бути добровільною, інформованою та чіткою.

5. Забезпечте технічний захист

Це включає:

• обмеження доступу;
• шифрування або захист систем;
• контроль дій користувачів.

GDPR-підхід (який імплементується в Україні) передбачає “захист за замовчуванням” — тобто система має бути безпечною з самого початку.

Як HURMA допомагає уникнути порушень

У більшості компаній проблема не в знанні правил, а в тому, що дані розкидані:

• Excel-файли;
• месенджери;
• пошта;
• різні HR-інструменти.

Це створює головний ризик — відсутність контролю.

HURMA вирішує це через централізацію:

• єдина база співробітників і кандидатів;
• контроль доступів за ролями;
• історія змін і дій;
• відсутність дублікатів;
• зберігання даних в одному середовищі.

І найголовніше, HURMA працює за міжнародним стандартом безпеки — Single Tenant. Це означає, що всі ваші дані залишаються виключно у вашому захищеному просторі. Дані не передаються зовнішнім сервісам та не змішуються з даними інших компаній.

Згода на обробку персональних даних в Україні: зразок та приклад

ЗГОДА

на обробку персональних даних

Я, (прізвище, ім'я, по батькові) народився (дата народження), документ, що посвідчує особу (серія і номер паспорта), виданий (яким органом і де), відповідно до Закону України «Про захист персональних даних» даю згоду на:

— обробку моїх персональних даних з первинних джерел у такому обсязі: відомості про освіту, професію, спеціальність та кваліфікацію, трудову діяльність, науковий ступінь, вчене звання, паспортні дані, дані про зареєстроване або фактичне місце проживання, біографічні дані, номери телефонів, дані про мою участь у міжнародних та європейських проєктах;

— використання персональних даних, що передбачає дії володаря персональних даних щодо їх обробки, в тому числі використання персональних даних відповідно до їх професійних чи службових або трудових обов'язків, дії щодо їх захисту, а також дії щодо надання часткового або повного права на обробку персональних даних іншим суб'єктам відносин, пов'язаних із персональними даними (стаття 10 Закону України «Про захист персональних даних»);

— поширення персональних даних, що передбачає дії володаря персональних даних щодо передачі відомостей про фізичну особу (стаття 14 Закону України «Про захист персональних даних»);

— доступ до персональних даних третіх осіб, що визначає дії володаря персональних даних у разі отримання запиту від третьої особи щодо доступу до персональних даних, доступ суб'єкта персональних даних до відомостей про себе (стаття 16 Закону України «Про захист персональних даних»).

Зобов'язуюся в разі зміни моїх персональних даних подати у найкоротший строк уточнену вірогідну інформацію та оригінали відповідних документів для оновлення моїх персональних даних.

(дата та підпис)

Відповідальність за порушення захисту персональних даних

Робота з персональними даними в Україні регулюється Законом України «Про захист персональних даних» № 2297-VI та Кримінальним кодексом.

Зокрема, стаття 182 КК України передбачає відповідальність за незаконне збирання, зберігання або поширення конфіденційної інформації про особу без її згоди. У таких випадках можливі штрафи, виправні роботи або обмеження волі.

Окрім цього, передбачена адміністративна відповідальність за порушення порядку обробки персональних даних, зокрема за:

• неналежний захист інформації;
• незаконний доступ до персональних даних;
• неповідомлення особи про їх збір.

Важливо враховувати, що доступ до персональних даних у компанії мають лише уповноважені працівники, і вони зобов’язані не допускати їх розголошення відповідно до статті 10 Закону № 2297-VI.

Підсумуємо

Зберігання персональних даних є надважливою частиною управління компанією. І головне тут — централізувати процеси.

Якщо ви хочете навести порядок у даних і зменшити ризики — варто почати з системи, яка дозволяє це контролювати. Спробуйте демо HURMA, щоб побачити, як це працює на практиці.