Обработка персональных данных: как правильно собирать и хранить личную информацию сотрудников

В этом материале мы поговорим про обработку персональных данных в компании: почему HR-менеджеру важно знать законодательство Украины, нужно ли брать согласие на обработку персональных данных у сотрудников, и как его правильно составлять?

Что можно считать персональными данными?

Понятие персональных данных определяется в статье 2 Закона «О защите персональных данных». Сам закон регулирует отношения, связанные с защитой персональных данных при их обработке. Персональными данными называют сведения об идентифицированном физическом лице.

Более четкого перечня в законодательстве Украины нет, поскольку Закон о персональных данных может быть применен к различным ситуациям в будущем, которые могут возникать в результате изменений в сфере общественной жизни. 

На практике, к персональным данным физического лица часто относят: 

• ФИО; 
• дату и место рождения; 
• адрес прописки;
• адрес постоянного проживания; 
• образование, место работы и должность;
• социальное и семейное положение;
• сведения о доходах;
• медицинские сведения.

Обработка персональных данных при трудоустройстве

Когда специалист приходит на новое место работы, он предоставляет данные, которые содержатся в его паспорте или другом документе, удостоверяющем личность. Трудовая книжка и документы об образовании также содержат личные данные специалиста. 

Таким образом, заключая трудовой договор, работодатель обрабатывает персональные данные. Согласно статье 24 Кодекса законов о труде Украины, представитель компании собирает личные данные в базу, которая необходима работодателю в рамках правоотношений на основании трудового договора. Вся собранная информация сотрудников является базой персональных данных. Ведь работодатель не только собирает, а и хранит копии и оригиналы документов наемных работников. 

В таком случае, по Закону Украины, практически любую личную информацию о сотруднике можно считать персональными данными.

Нужно ли согласие?

В этом вопросе специалисты расходятся в точках зрения. 

С одной стороны считается, что работодателю не нужно получать согласие сотрудников на обработку персональных данных. Если личная информация используется только в сфере трудовых правоотношений, то защита персональных данных обеспечивается в п. 5 ч.1 ст.11 Закона № 2297.

С другой стороны, ч. 6 ст. 6 Закона № 2297 запрещает обработку конфиденциальных данных физического лица без его согласия (за исключением случаев, которые затрагивают национальную безопасность, экономическое благосостояние и права человека).

Потому из-за противоречивости этих нормативно-правовых актов, безопаснее получить согласие у сотрудника на обработку его персональных данных. 

HR-менеджер может сделать это двумя способами:

1. Прописать этот пункт в трудовом договоре, если он заключается письменно. 
2. Получить согласие в отдельном документе. Образец приводим ниже. 

Согласие на обработку персональных данных в Украине: образец 

ЗГОДА
на обробку персональних даних

Я, (прізвище, ім'я, по батькові) народився (дата народження), документ, що посвідчує особу (серія і номер паспорту), виданий (яким органом і де), відповідно до Закону України «Про захист персональних даних» даю згоду на:

— обробку моїх персональних даних з первинних джерел у такому обсязі: відомості про освіту, професію, спеціальність та кваліфікацію, трудову діяльність, науковий ступінь, вчене звання, паспортні дані, дані про зареєстроване або фактичне місце проживання, біографічні дані, номери телефонів, дані про мою участь у міжнародних та європейських проектах;

— використання персональних даних, що передбачає дії володаря персональних даних щодо їх обробки, в тому числі використання персональних даних відповідно до їх професійних чи службових або трудових обов'язків, дії щодо їх захисту, а також дії щодо надання часткового або повного права на обробку персональних даних іншим суб'єктам відносин, пов'язаних із персональними даними (стаття 10 Закону України «Про захист персональних даних»);

— поширення персональних даних, що передбачає дії володаря персональних даних щодо передачі відомостей про фізичну особу (стаття 14 Закону України «Про захист персональних даних»);

— доступ до персональних даних третіх осіб, що визначає дії володаря персональних даних у разі отримання запиту від третьої особи щодо доступу до персональних даних, доступ суб'єкта персональних даних до відомостей про себе (стаття 16 Закону України «Про захист персональних даних»).

Зобов'язуюся в разі зміни моїх персональних даних подати у найкоротший строк уточнену достовірну інформацію та оригінали відповідних документів для оновлення моїх персональних даних.

(дата та підпис)

Разглашение персональных данных в Украине

В нашей стране ответственность за незаконный сбор, использование, уничтожение, изменение, распространение конфиденциальной информации предусмотрена Статьей 182 Уголовного кодекса. Исключением являются случаи, описанные в других статьях кодекса. 

За доказанное преступление работодатель может нести ответственность в форме:

• штрафа (от 500 до 1000 необлагаемых минимумов граждан);
• исправительных работ на срок до 2-х лет;
• арест на срок до 6-ти месяцев;
• ограничение свободы на срок до 3-х лет.

Если же работодатель не смог соблюсти установленный законодательством порядок о защите персональных данных, что повлекло за собой незаконный доступ и нарушение прав владельца персональных данных, то представители компании будут нести административную ответственность согласно положениям Кодекса по административным правонарушениям.