Персональные данные сотрудников: обязанности работодателя

Нормативная база с 1 января 2014 для большинства субъектов хозяйствования при работе с персональными данными физлиц существенно упростилась  благодаря изменениям, внесенным в законодательство.

Вопрос

Ответ

1

Какими документами следует руководствоваться при работе с персональными данными?

1.     Закон від 01.06.10 р. № 2297-VI «Про захист персональних даних»;

2.     Типовий порядок обробки персональних даних, затверджений
Наказом Уповноваженого Верховної Ради України з прав людини від 08.01.2014 р.  № 1/02-14.

3.     Лист Уповноваженого від 03.03.14 р. № 2/9-227067.14-1/НД-129

2

Кто осуществляет контроль в сфере защиты персональных данных?

С января 2014г.  все полномочия по контролю в сфере защиты персональных данных передано Уполномоченному. А раньше указанными вопросами занималась Государственная служба по вопросам защиты персональных данных, которую теперь ликвидировали (постановление КМУ от 10.09.14 г.. № 442).

3

Что считается обработкой персональных данных? ст. 2 Закону № 2297:это любое действие или совокупность действий, таких как сбор, регистрация, накопление, хранение, адаптация, изменение, восстановление, использование и распространение (реализация, передача), обезличивание, уничтожение персональных данных, в том числе с использованием информационных (автоматизированных) систем

4

Должен ли работодатель получать разрешение сотрудника на обработку его персональных данных?

ЗУ «Про захист персональних даних»

Стаття 7. Особливі вимоги до обробки персональних даних

1. Забороняється обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, засудження до кримінального покарання, а також даних, що стосуються здоров’я, статевого життя, біометричних або генетичних даних.

2. Положення частини першої цієї статті не застосовується, якщо обробка персональних даних:

1) здійснюється за умови надання суб'єктом персональних даних однозначної згоди на обробку таких даних;

2) необхідна для здійснення прав та виконання обов'язків володільця у сфері трудових правовідносин відповідно до закону із забезпеченням відповідного захисту;

Стаття 11. Підстави для обробки персональних даних

1. Підставами для обробки персональних даних є:

1) згода суб’єкта персональних даних на обробку його персональних даних;

2) дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень;

3) укладення та виконання правочину, стороною якого є суб’єкт персональних даних або який укладено на користь суб’єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта персональних даних;

4) захист життєво важливих інтересів суб’єкта персональних даних;

5) необхідність виконання обов’язку володільця персональних даних, який передбачений законом;

Вывод: 1) да, работодатель в силу выполнения своих обязанностей по начислению и выплате зарплаты, подаче отчетности обрабатывает персональные данные сотрудников (фамилия, имя, отчество, должность, семейное положение, наличие детей, их возраст, дата рождения работника, серия, номер паспорта, информация о здоровье (больничные листы, справки МСЕК у лиц с инвалидностью) и т.д.);

2) почти все эти данные не относятся к «запрещенным» для обработки по ч.1 ст.7 Закона 2297, на что нужно было бы согласие сотрудника. И то, даже такие (запрещенные) данные разрешено обрабатывать, если это связано с выполнением нами обязанностей владельца ПД в сфере трудовых отношений (ч.2 ст.7);

А т.к. в ст.11 Закона отдельным основанием для обработки ПД прописана необходимость выполнения нами обязанностей, предусмотренных законом (в т.ч. в сфере трудовых отношений), а не полученное согласие или разрешение, то нет необходимости получать такое разрешение, Но условие: нужно обеспечить защиту таких данных (особенно – «запрещенных»).

5.

Особые случаи, когда необходимо получать письменное согласие сотрудника на обработку его персональных данных.

ч. 1 и ч. 2 ст. 7 Закона № 2297

Необходимо получать письменное согласие сотрудника на обработку его персональных данных, касающихся расовой или этнической принадлежности; политических, религиозных или мировоззренческих убеждений; членства в политических партиях и профессиональных союзах; привлечения к уголовной ответственности; состояния здоровья, половой жизни, биометрических или генетических данных.Однако при обычном выполнении функций работодателя нет необходимости в сборе и обработке таких сведений. Разве что от части – о состоянии здоровья (при обработке больничных листов, справок МСЕК). Но даже если посчитать эту информацию «запрещенной», выполнение обязанностей владельца ПД в сфере трудовых отношений разрешает ее обрабатывать (без согласия сотрудника, но при условии защиты) (п.2 ч.2 ст.7 Закона 2297).

6.

Должен ли работодатель регистрировать свои базы персональных данных?

Сейчас базы персональных данных не регистрируются, но нужно уведомить  Уполномоченного об имеющихся базах. Причем не обо всех, а только о тех, что представляют особый риск для прав и свобод субъектов персональных данных (ст. 9 Закона № 2297).

п.1.2 Порядка уведомления Уполномоченного Верховной Рады Украины по правам человека об обработке персональных данных определен перечень данных, представляющих особый риск для прав и свобод субъектов персональных данных:

- расовое, этническое и национальное происхождение;- политические, религиозные или мировоззренческие убеждения;- членство в политических партиях и / или организациях, профессиональных союзах, религиозных организациях или в общественных организациях мировоззренческой направленности;- состояние здоровья;- половая жизнь;- биометрические данные;- генетические данные;- привлечение к административной или уголовной ответственности;- применение в отношении лица меры в рамках досудебного расследования;- принятие по лицу мер, предусмотренных Законом Украины «Об оперативно-розыскной деятельности»;- совершение в отношении лица тех или иных видов насилия;- местонахождение и / или пути передвижения лица.Как правило, персональные данные сотрудников, которые нужны работодателю для выполнения его обязанностей, касающихся оплаты труда и кадрового делопроизводства, не попадают в этот «рискованный» список. Итак, Уполномоченного уведомлять не нужно.

7

Что должен сделать работодатель, чтобы в соответствии с законом обеспечить защиту персональных данных работников?

1. Приказом утвердить список лиц, имеющих право доступа к персональным данным сотрудников. В приказе нужно определить, какие именно лица из этого списка для каких целей могут использовать персональные данные работников.

2. Разработать форму под названием «Обязательство о неразглашении персональных данных». Согласно ч. 3 ст. 10 Закона № 2297 эту форму должны подписать все сотрудники, которые имеют доступ к персональным данным работников предприятия (например, сотрудники бухгалтерии, отдела кадров, члены комиссии по социальному страхованию и т.д.). Форму надо давать работнику на подпись при приеме на работу (или переводе из другого отдела, где нет доступа к персональным данным).

Зразок №1:

Директорові ТОВ «Сніг» Луценку

В. Н. Інспектора з кадрів

Ромашкіної М. К.

Зобов'язання про нерозголошення персональних даних

Я, інспектор з кадрів ТОВ «Сніг» Ромашкіна Марія Кирилівна, зобов'язуюся не розголошувати персональні дані співробітників, які стали мені відомі у зв'язку з виконанням мною посадових обов'язків.

17.11.14 р.                          (підпис)                                          М. К. Ромашкіна

3. Согласно п. 3.5 Типового порядка работодатель обязан вести учет работников, имеющих доступ к персональным данным. Для этих целей можно вести на предприятии журнал учета таких работников. Законодательно не установлена форма такого журнала, поэтому заводим его в произвольной форме.

Зразок №2

Журнал обліку співробітників, які мають доступ до персональних даних.

П. І. Б. співробітника

Дата надання права роботи з персональними даними

№ наказу

Дата звільнення/

переведення на іншу посаду

наказу

4.Уведомить работников о владельце (в нашем случае это работодатель) его персональных данных, указать содержание собранных данных, их права, а также о цели сбора персональных данных (ст. 12 Закона № 2297).Рекомендуем уведомить всех сотрудников под подпись. Можно разработать уведомление одно общее для всех сотрудников (Образец №3). Для этих целей на предприятии можно оформить бланк ознакомления. Например, «С Уведомлением о порядке обработки персональных данных ознакомлен. Подпись ».

Зразок №3

Повідомлення про обробку персональних даних співробітників ТОВ «Сніг»

Відповідно до вимог Закону від 01.06.10 р. № 2297-VI «Про захист персональних даних» повідомляємо, що в цілях реалізації трудових правовідносин ТОВ «Сніг» проводить обробку персональних даних співробітників за правилами чинного законодавства.

На підприємстві виконується обробка таких персональних даних співробітників:

1. Паспортні дані, ідентифікаційний код.

2. Дані про освіту.

3. Дані про трудову діяльність.

4. Дані про військовий облік (за наявності).

5. Дані про стан здоров'я (відповідно до ст. 24 КЗпП).

6. Дані про сімейний стан, а також про склад сім'ї.

7. Адреса реєстрації,  адреса фактичного проживання, номер телефону.

8. Відомості, які підтверджують його право на отримання пільг і компенсацій.

Зазначені персональні дані передаються в установленому законодавством порядку до органів фіскальної служби, Пенсійного фонду, служби зайнятості, а також до інших органів державної влади і місцевого самоврядування відповідно до законодавства.

ТОВ «Сніг» вживає заходи із захисту персональних даних співробітників від несанкціонованої обробки. У зв'язку із цим обробка персональних даних здійснюється виключно співробітниками, які підписали Зобов'язання про нерозголошування персональних даних, що стали їм відомі в результаті виконання своїх трудових обов'язків.

Згідно зі ст. 8 Закону від 01.06.10 р. № 2297-VI «Про захист персональних даних» кожний співробітник ТОВ «Сніг» має право: знати місцезнаходження і спосіб збору своїх персональних даних, мету їх обробки, а також знати, хто є власником його персональних даних; отримати гарантії захисту своїх персональних даних від несанкціонованої обробки і незаконного знищення; отримувати інформацію про третіх осіб, яким повідомляються його персональні дані; отримувати доступ до своїх персональних даних; у разі незаконної обробки або зазначення недостовірних персональних даних вимагати їх знищення або зміни.

Директор ТОВ «Сніг» (підпис) В. Н. Луценко 21.11.14 р. 

5. Разработать Положение о порядке обработки и защиты персональных данных. За основу можно взять Типовой порядок обработки персональных данных, утвержденный Приказом Уполномоченного Верховной Рады Украины по правам человека от 08.01.2014 г. № 1 / 02-14.

8.

Предоставление ксерокопии паспорта при трудоустройстве: это право или обязанность работника?

Ст. 24 КЗоТ:  при заключении трудового договора гражданин обязан предъявить паспорт или другой документ, удостоверяющий личность, трудовую книжку, а в случаях, предусмотренных законодательством, - также документ об образовании (специальности, квалификации), о состоянии здоровья и другие документы. Работник не может быть допущен к работе без заключения трудового договора, оформленного приказом или распоряжением собственника или уполномоченного им органа, и сообщения центрального органа исполнительной власти по вопросам обеспечения формирования и реализации государственной политики по администрированию единого взноса на общеобязательное государственное социальное страхование о принятии работника на работу в порядке, установленном Кабинетом Министров Украины.п.12 Правил организации делопроизводства и архивного хранения документов в государственных органах, органах местного самоуправления, на предприятиях, в учреждениях и организациях, утвержденных Приказом Министерства юстиции Украины от 18.06.2015 № 1000/5В особових справах, що формуються впродовж усього часу роботи працівника в установі, документи групуються в хронологічному порядку в міру їх надходження (поповнення) (заява про прийняття на роботу, письмовий трудовий договір (контракт), копії або витяги з розпорядчих документів (наказів, розпоряджень) про прийняття на роботу, особовий листок з обліку кадрів, доповнення до особового листка з обліку кадрів, автобіографія, копія паспорта, копія облікової картки платника податків (крім фізичних осіб, які через свої релігійні переконання відмовляються від прийняття реєстраційного номера облікової картки платника податків та повідомили про це відповідний контролюючий орган і мають відмітку у паспорті), ……..

1000 Осталось символов