Как хранить персональные данные сотрудников без нарушений: практическое руководство для бизнеса

В 2024 году Украина сделала ещё один шаг к гармонизации законодательства с ЕС: законопроект №8153 призван привести правила работы с персональными данными в соответствие со стандартами GDPR. Это означает одно — требования к бизнесу становятся жестче, а штрафы и проверки — реальнее.

При этом HR-команды ежедневно работают с конфиденциальной информацией: резюме, медицинские справки, зарплаты, оценки эффективности. И именно здесь чаще всего возникают нарушения.

Что считается персональными данными работника

Прежде чем говорить о хранении, важно четко определить, с чем вы работаете.

Согласно законодательству Украины, персональные данные — это любая информация, позволяющая идентифицировать личность:

• ФИО, дата рождения, адрес;
• контактные данные;
• информация об образовании, опыте;
• данные о зарплате;
• состояние здоровья, семейное положение;
• любые HR-записи (оценки, фидбек, дисциплинарные данные).

Важно понимать, что даже внутренние HR-заметки — это персональные данные, если они привязаны к конкретному человеку.

Какие требования к персональным данным устанавливает закон в Украине

Основной документ — Закон Украины «О защите персональных данных». Вот ключевые принципы, которые напрямую влияют на HR-процессы:

1. Данные должны быть точными и актуальными. Компания не может хранить устаревшую или недостоверную информацию.
2. Данные собираются только с конкретной целью. Использовать их на всякий случай — это нарушение.
3. Данные нельзя хранить дольше, чем это необходимо. Информация должна удаляться после достижения цели обработки.
4. Данные нельзя использовать для других целей. Например, резюме кандидата нельзя использовать для маркетинговых рассылок.
5. Сотрудник имеет право контролировать свои данные. Он может знать, какие данные вы храните, отозвать согласие или потребовать удаления.

Наиболее частые нарушения в HR и почему они происходят

На практике большинство компаний нарушают закон не из-за сложности требований, а из-за отсутствия процессов. Наиболее распространенные ошибки:

• хранение резюме кандидатов годами без обновления согласия;
• доступ к персональным данным для всех в отделе;
• передача данных через мессенджеры без защиты;
• отсутствие политики хранения и удаления;
• дубликаты данных в разных таблицах и системах.

В результате компания даже не знает, какие данные она хранит, где они находятся и кто имеет к ним доступ.

Как правильно хранить персональные данные сотрудников

1. Определите цель сбора данных

Каждый тип данных должен соответствовать конкретной задаче:

• рекрутинг;
• оформление;
• payroll;
• оценка эффективности.

Если цели нет — данные нельзя хранить.

2. Ограничьте доступ

Доступ к персональным данным должен быть:

• ролевым (только для тех, кому это нужно);
• контролируемым;
• фиксированным.

Например:

• рекрутер видит кандидатов;
• бухгалтер — зарплаты;
• менеджер — только свою команду.

3. Установите сроки хранения

Закон прямо требует не хранить данные дольше, чем нужно. На практике это означает:

• резюме кандидатов — ограниченный период;
• данные уволенных сотрудников — в соответствии с политикой компании;
• регулярная очистка баз.

4. Получайте и фиксируйте согласие

Сотрудник должен понимать:

• какие данные собираются;
• с какой целью;
• как долго они хранятся.

Согласие должно быть добровольным, информированным и четким.

5. Обеспечьте техническую защиту

Это включает:

• ограничение доступа;
• шифрование или защиту систем;
• контроль действий пользователей.

Подход GDPR (который внедряется в Украине) предусматривает «защиту по умолчанию» — то есть система должна быть безопасной с самого начала.

Как HURMA помогает избежать нарушений

У большинства компаний проблема не в знании правил, а в том, что данные разбросаны:

• Excel-файлы;
• мессенджеры;
• почта;
• различные HR-инструменты.

Это создает главный риск — отсутствие контроля.

HURMA решает эту проблему посредством централизации:

• единая база сотрудников и кандидатов;
• контроль доступа по ролям;
• история изменений и действий;
• отсутствие дубликатов;
• хранение данных в одной среде.

И самое главное, HURMA работает по международному стандарту безопасности — Single Tenant. Это означает, что все ваши данные остаются исключительно в вашем защищенном пространстве. Данные не передаются внешним сервисам и не смешиваются с данными других компаний.

Согласие на обработку персональных данных в Украине: образец и пример

СОГЛАСИЕ

на обработку персональных данных

Я, (фамилия, имя, отчество) родился (дата рождения), документ, удостоверяющий личность (серия и номер паспорта), выданный (каким органом и где), в соответствии с Законом Украины «О защите персональных данных» даю согласие на:

— обработку моих персональных данных из первичных источников в следующем объеме: сведения об образовании, профессии, специальности и квалификации, трудовой деятельности, ученой степени, ученом звании, паспортные данные, данные о зарегистрированном или фактическом месте проживания, биографические данные, номера телефонов, данные о моем участии в международных и европейских проектах;

— использование персональных данных, что предусматривает действия владельца персональных данных по их обработке, в том числе использование персональных данных в соответствии с их профессиональными, служебными или трудовыми обязанностями, действия по их защите, а также действия по предоставлению частичного или полного права на обработку персональных данных другим субъектам отношений, связанных с персональными данными (статья 10 Закона Украины «О защите персональных данных»);

— распространение персональных данных, что предусматривает действия владельца персональных данных по передаче сведений о физическом лице (статья 14 Закона Украины «О защите персональных данных»);

— доступ к персональным данным третьих лиц, определяющий действия владельца персональных данных в случае получения запроса от третьего лица о доступе к персональным данным, доступ субъекта персональных данных к сведениям о себе (статья 16 Закона Украины «О защите персональных данных»).

Обязуюсь в случае изменения моих персональных данных предоставить в кратчайшие сроки уточненную достоверную информацию и оригиналы соответствующих документов для обновления моих персональных данных.

(дата и подпись)

Ответственность за нарушение защиты персональных данных

Работа с персональными данными в Украине регулируется Законом Украины «О защите персональных данных» № 2297-VI и Уголовным кодексом.

В частности, статья 182 УК Украины предусматривает ответственность за незаконный сбор, хранение или распространение конфиденциальной информации о лице без его согласия. В таких случаях возможны штрафы, исправительные работы или ограничение свободы.

Кроме того, предусмотрена административная ответственность за нарушение порядка обработки персональных данных, в частности за:

• ненадлежащую защиту информации;
• незаконный доступ к персональным данным;
• неуведомление лица об их сборе.

Важно учитывать, что доступ к персональным данным в компании имеют только уполномоченные сотрудники, и они обязаны не допускать их разглашения в соответствии со статьей 10 Закона № 2297-VI.

Подведем итоги

Хранение персональных данных является чрезвычайно важной частью управления компанией. И главное здесь — централизовать процессы.

Если вы хотите навести порядок в данных и снизить риски — стоит начать с системы, которая позволяет это контролировать. Попробуйте демо HURMA, чтобы увидеть, как это работает на практике.