Персональні дані працівників — це інформація, яка дає змогу однозначно ідентифікувати особу співробітника. До таких даних належать відомості, необхідні для ведення кадрового обліку, розрахунку заробітної плати, оформлення документів та здійснення інших кадрових процесів. Варто пам’ятати, що збір і обробка цих даних мають здійснюватися відповідно до вимог законодавства про захист персональних даних, зокрема Закону України «Про захист персональних даних». Що відноситься до персональних даних працівників – розповідають наші юристи Inferno Digital Law Company.
Які персональні дані працівника може збирати роботодавець
Відповідно до Закону, персональні дані – це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Тобто до персональних даних належить великий обсяг інформації про конкретну особу, наприклад: ПІБ, ідентифікаційні дані (напр., РНОКПП, паспортні дані), адреса місця реєстрації тощо. Перелічені дані необхідні для працевлаштування та обліку працівника, отож роботодавець може та зобов’язаний їх зібрати, при цьому дотримуючись вимог Закону.
Однак, певні обмеження щодо видів даних, які роботодавець може збирати встановлюються й іншими законодавчими актами. Наприклад, відповідно до ст. 25 Кодексу законів про працю України, при працевлаштуванні роботодавцю забороняється вимагати від осіб, які поступають на роботу, відомості про їх партійну і національну приналежність, походження, реєстрацію місця проживання чи перебування та документи, подання яких не передбачено законодавством.
Які документи потрібні для законної обробки персональних даних
Основний документ, яким забезпечується законність обробки персональних даних відповідно до Закону, є згода суб’єкта персональних даних на її обробку (далі – “Згода”). Відповідно до Закону, Згода – це добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди.
Враховуючи вимоги Закону, рекомендуємо отримувати Згоду від кожного потенційного працівника ще до отримання персональних даних такої особи (до працевлаштування). Текст Згоди повинен бути чітким та зрозумілим, містити положення про:
- Види персональних даних, які будуть збиратись та оброблятись;
- Мету та способи їх обробки;
- Права суб’єкта персональних даних відповідно до Закону;
- Власне згоду на збір та обробку персональних даних на вказаних умовах;
- Інші відомості за необхідності.
Додатково ми рекомендуємо розробляти внутрішні положення та політики, що будуть регламентувати зберігання, обробку та захист персональних даних на підприємстві.
Як зберігати і захищати дані співробітників
Відповідно до ст. 24 Закону, володільці, розпорядники персональних даних та треті особи зобов’язані забезпечити захист цих даних від випадкових втрати або знищення, від незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних.
Як вже згадувалось, одним із ефективних інструментів побудови системи зберігання та захисту персональних даних на підприємстві є розробка та запровадження внутрішніх положень та політик. Зазвичай ці документи містять положення про:
- Категорії осіб, що уповноважені на доступ до персональних даних;
- Способи зберігання та доступу до персональних даних (напр., віддалений сервер зберігання, що відповідає стандартам безпеки або окреме приміщення для зберігання даних у фізичному вигляді);
- Принципи та загальні правила роботи з персональними даними;
- Порядок дій у разі виникнення інцидентів інформаційної безпеки;
- Відповідальних за контроль дотримання правил зберігання та обробки персональних даних, відповідальність за їх порушення;
- Інші положення за необхідності.
Що буде, якщо дані обробляються з порушенням
Порушення правил обробки персональних даних може спричинити:
- Адміністративну відповідальність за ст. 188-39 КУпАП (штраф від 5100 грн. до 17000 грн. за факт порушення);
- Кримінальну відповідальність за ст. 182 КК України (штраф від 8500 грн. до 17000 грн. або виправні роботи до двох років або обмеження волі до трьох років).
З метою убезпечення підприємства від порушень правил збирання та обробки персональних даних (і як наслідок – притягнення до відповідальності) рекомендуємо звернутись до IT-адвоката Інферно Діджитал. Ми надаємо вичерпні консультації, щодо роботи з персональними даними, розробляємо необхідну документацію, а також надаємо послугу data protection officer.
Автор статті
Сергій Писанчин
Юрист
Буде корисно
Рекомендуємо також прочитати
Реєстрація торговельної марки в США: вимоги, вартість та процес
Гіг-контракт: що це та навіщо він потрібен
Як ІТ-компанії захистити свою інтелектуальну власність: реєстрація авторства на IT розробки