Обробка персональних даних: як правильно збирати і зберігати особисту інформацію співробітників

В цьому матеріалі ми поговоримо про обробку персональних даних в компанії: чому HR-менеджеру важливо знати законодавство України, чи потрібно брати згоду на обробку персональних даних у співробітників, і як правильно його складати?

Що можна вважати персональними даними?

Поняття персональних даних визначається в статті 2 Закону «Про захист персональних даних». Сам закон регулює відносини, пов'язані із захистом персональних даних при їх обробці. Персональними даними називають відомості про ідентифіковану фізичну особу.

Більш чіткого переліку в законодавстві України немає, оскільки Закон про персональні дані може бути застосований до різних ситуацій в майбутньому, які можуть виникати в результаті змін в сфері суспільного життя.

На практиці, до персональних даних фізичної особи часто відносять:

• ПІБ;
• дату і місце народження;
• адресу прописки;
• адресу постійного проживання;
• освіту, місце роботи і посаду;
• соціальний і сімейний стан;
• відомості про доходи;
• медичні відомості.

Обробка персональних даних при працевлаштуванні

Коли фахівець приходить на нове місце роботи, він надає дані, які містяться в його паспорті або іншому документі, що посвідчує особу. Трудова книжка і документи про освіту також містять особисті дані фахівця.

Таким чином, укладаючи трудовий договір, роботодавець обробляє персональні дані. Згідно зі статтею 24 Кодексу законів про працю України, представник компанії збирає особисті дані в базу, яка необхідна роботодавцю у рамках правовідносин на підставі трудового договору. Вся зібрана у співробітників інформація є базою персональних даних. Адже роботодавець не тільки збирає, а й зберігає копії та оригінали документів найманих працівників.

В такому випадку, згідно із законом України, практично будь-яку особисту інформацію про співробітника можна вважати персональними даними.

Чи потрібна згода?

У цьому питанні фахівці мають різні погляди.

З одного боку вважається, що роботодавцю не потрібно отримувати згоду співробітників на обробку персональних даних. Якщо особиста інформація використовується тільки в сфері трудових правовідносин, то захист персональних даних забезпечується в п. 5 ч.1 ст.11 Закону № 2297.

З іншого боку, ч. 6 ст. 6 Закону № 2297 забороняє обробку конфіденційних даних фізичної особи без її згоди (за винятком випадків, які стосуються національної безпеки, економічного добробуту і прав людини).

Тому через суперечливість цих нормативно-правових актів, безпечніше отримати згоду у співробітника на обробку його персональних даних.

HR-менеджер може зробити це двома способами:

1. Прописати цей пункт в трудовому договорі, якщо він укладається письмово.
2. Отримати згоду в окремому документі. Зразок наводимо нижче.

Згода на обробку персональних даних в Україні: зразок

ЗГОДА
на обробку персональних даних

Я, (прізвище, ім'я, по батькові) народився (дата народження), документ, що посвідчує особу (серія і номер паспорту), виданий (яким органом і де), відповідно до Закону України «Про захист персональних даних» даю згоду на:

— обробку моїх персональних даних з первинних джерел у такому обсязі: відомості про освіту, професію, спеціальність та кваліфікацію, трудову діяльність, науковий ступінь, вчене звання, паспортні дані, дані про зареєстроване або фактичне місце проживання, біографічні дані, номери телефонів, дані про мою участь у міжнародних та європейських проектах;

— використання персональних даних, що передбачає дії володаря персональних даних щодо їх обробки, в тому числі використання персональних даних відповідно до їх професійних чи службових або трудових обов'язків, дії щодо їх захисту, а також дії щодо надання часткового або повного права на обробку персональних даних іншим суб'єктам відносин, пов'язаних із персональними даними (стаття 10 Закону України «Про захист персональних даних»);

— поширення персональних даних, що передбачає дії володаря персональних даних щодо передачі відомостей про фізичну особу (стаття 14 Закону України «Про захист персональних даних»);

— доступ до персональних даних третіх осіб, що визначає дії володаря персональних даних у разі отримання запиту від третьої особи щодо доступу до персональних даних, доступ суб'єкта персональних даних до відомостей про себе (стаття 16 Закону України «Про захист персональних даних»).

Зобов'язуюся в разі зміни моїх персональних даних подати у найкоротший строк уточнену достовірну інформацію та оригінали відповідних документів для оновлення моїх персональних даних.

(дата та підпис)

Розголошення персональних даних в Україні

У нашій країні відповідальність за незаконне збирання, використання, знищення, зміну, поширення конфіденційної інформації передбачена Статтею 182 Кримінального кодексу. Винятком є ​​випадки, описані в інших статтях кодексу.

За доведений злочин роботодавець може нести відповідальність у формі:

• штрафу (від 500 до 1000 неоподатковуваних мінімумів громадян);
• виправних робіт на строк до 2-х років;
• арешт на строк до 6-ти місяців;
• обмеження волі на строк до 3-х років.

Якщо ж роботодавець не зміг дотримати встановлений законодавством порядок про захист персональних даних, що призвело до незаконного доступу і порушення прав власника персональних даних, то представники компанії будуть нести адміністративну відповідальність відповідно до положень Кодексу про адміністративні правопорушення.

• Документи
• Законодавство