Персональні дані співробітників: що важливо знати кадровику

Із цієї статті ви дізнаєтеся: які обов'язки покладено на роботодавця, у якого зберігаються персональні дані його співробітників, і що йому загрожує в разі витоку цієї інформації.

Що можна зробити на практиці. Користуючись нашою консультацією, розробити та запровадити на підприємстві ряд документів, що стосуються захисту персональних даних працівників підприємства.

Нормативна база

З 1 січня 2014 року для більшості суб'єктів господарювання робота з персональними даними фізосіб істотно спростилася – завдяки змінам, унесеним до законодавства. Проте вимоги про захист персональних даних залишилися. Їх недотримання загрожує досить серйозними санкціями. У консультації ми розглянемо, як роботодавець повинен «поводитися» з персональними даними найманих працівників.

Якими документами слід керуватися при роботі з персональними даними співробітників підприємства?

Головний документ – це Закон від 01.06.10 р. № 2297-VI «Про захист персональних даних» (далі – Закон № 2297). Також треба зважати на вимоги декількох документів, затверджених Уповноваженим Верховної Ради з прав людини (далі – Уповноважений) наказом від 08.01.14 р. № 1/02-14 (далі – Наказ № 1/02-14), зокрема Типового порядку обробки персональних даних (далі – Типовий порядок).

Також рекомендуємо вам звернути увагу:

• на роз'яснення Уповноваженого від 08.01.14 р. до документів, затвердженим Наказом № 1/02-14;
• лист Уповноваженого від 03.03.14 р. № 2/9-227067.14-1/НД-129 (далі – Лист № 129).

Нагадаємо, що із січня 2014 року всі повноваження щодо контролю у сфері захисту персональних даних передано Уповноваженому. А раніше питаннями захисту персональних даних займалася Державна служба з питань захисту персональних даних, яку тепер ліквідовано (постанова КМУ від 10.09.14 р. № 442).

Що вважається обробкою персональних даних?

У ст. 2 Закону № 2297 сказано, що це будь-яка дія або сукупність дій, таких як збір, реєстрація, накопичення, зберігання, адаптація, зміна, відновлення, використання і розповсюдження (реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем. Виходячи із цього визначення можна укласти, що при виконанні функцій роботодавця також відбувається обробка персональних даних найманих працівників.

Дії роботодавця

Розглянемо, які вимоги існують у сфері захисту персональних даних, і розповімо, що саме зобов'язані робити роботодавці, а чого вони можуть і не робити.

Чи повинен роботодавець отримувати дозвіл співробітника на обробку його персональних даних?

На сьогодні немає необхідності отримувати такий дозвіл, якщо роботодавець використовує персональні дані працівників для виконання своїх обов'язків у сфері трудових правовідносин і забезпечує захист таких даних (п. 2 ч. 2 ст. 7, п. 5 ч. 1 ст. 11 Закону № 2297).

Зокрема, роботодавець зобов'язаний нараховувати і виплачувати зарплату працівникам, нараховувати на зарплату і справляти з неї податки та інші обов'язкові платежі, складати і подавати обов'язкову звітність, у тому числі і до служби зайнятості. При цьому він використовує персональні дані працівників (прізвище, ім'я, по батькові, посада, сімейний стан, наявність дітей, їх вік, у певних випадках – дата народження самого працівника).

Проте візьміть до уваги, що необхідно отримувати письмову згоду співробітника на обробку його персональних даних, які стосуються (ч. 1 та п. 1 ч. 2 ст. 7 Закону № 2297):

• расового або етнічного походження;
• політичних, релігійних або світоглядних переконань;
• членства в політичних партіях і професійних спілках;
• притягання до кримінальної відповідальності;
• стану здоров'я, статевого життя, біометричних або генетичних даних.

Проте при звичайному виконанні функцій роботодавця немає потреби у збиранні та обробленні таких відомостей.

Чи повинен роботодавець реєструвати свої бази персональних даних?

Зараз бази персональних даних не реєструються, але потрібно повідомити Уповноваженого про наявні бази. Причому не про всі, а тільки про ті, що становлять особливий ризик для прав і свобод суб'єктів персональних даних (ст. 9 Зако-ну № 2297). Перелік «особливо ризикованих» даних можна знайти в п. 1.2 Порядку повідом-лення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних, що становлять особливий ризик для прав і свобод суб'єктів персональних даних, про структурний підрозділ або відповідальну особу, яка організує роботу, пов'язану із захистом персональних даних при їх обробці, а також розголошування зазначеної інформації, затвердженого Наказом № 1/02-14.

Як правило, персональні дані співробітників, які потрібні роботодавцеві для виконання його обов'язків, що стосуються оплати праці та кад-рового діловодства, не потрапляють до цього «ризикованого» переліку. Виходить, що Уповноваженого повідомляти не потрібно.

Але, можливо, персональні дані співробітників, які ви використовуєте у своїй діяльності, потрапляють до зазначеного переліку? Тоді, згідно зі ст. 9 Закону № 2297 вам необхідно протягом 30 днів з початку використання «ризикованих» персональних даних повідомити про це Уповноваженого. Форми повідомлення затверджено Наказом № 1/02-14.

Що повинен зробити роботодавець, щоб відповідно до закону забезпечити захист персональних даних працівників?

По-перше, наказом затвердити список осіб, які мають право доступу до персональних даних співробітників. У наказі треба визначити, які саме особи із цього списку для яких цілей можуть використовувати персональні дані працівників. Тобто чітко зазначити, хто і навіщо. Кожний співробітник має доступ лише до тих персональних даних, які необхідні йому у зв'язку з виконанням посадових (службових) обов'язків.

По-друге, розробити форму під назвою «Зобов'язання про нерозголошування персональних даних». Згідно з ч. 3 ст. 10 Зако-ну № 2297 цю форму повинні підписати всі співробітники, які мають доступ до персональних даних працівників підприємства (наприклад, співробітники бухгалтерії, відділу кадрів, члени комісії із соціального страхування тощо). Строк дії такого зобов'язання не припиняється навіть після припинення роботи з персональними даними (це може бути як звільнення, так і переведення до іншого структурного підрозділу підприємства, де не доведеться працювати з персональними даними інших співробітників) – ч. 3 ст. 10 Зако-ну № 2297.

Форму треба давати працівникові на підпис під час прийняття на роботу (або переведення з іншого відділу, де немає доступу до персональних даних). Датою отримання доступу до персональних даних уважається дата підписання співробітником зобов'язання, а датою позбавлення такого права вважається дата його звільнення (переведення на іншу посаду, де не буде доступу до персональних даних) – п. 3.8, 3.9 Типового порядку.

От як може виглядати таке зобов'язання (див. зразок 1).

<...>

Директорові ТОВ «Сніг»Луценку В. Н.
Інспектора з кадрів Ромашкіної М. К.

Зобов'язання

Я, інспектор з кадрів ТОВ «Сніг» Ромашкіна Марія Кирилівна, зобов'язуюся не розголошувати персональні дані співробітників, які стали мені відомі у зв'язку з виконанням мною посадових обов'язків.

17.11.14 р. (підпис) М. К. Ромашкіна

<...>

Згідно з п. 3.5 Типового порядку роботодавець зобов'язаний вести облік працівників, які мають доступ до персональних даних. Для цих цілей можна вести на підприємстві журнал обліку таких працівників. Законодавчо не встановлено форму такого журналу, тому заводимо його в довільній формі (наприклад, див. зразок 2).

<...>

Журнал обліку співробітників, які мають доступ до персональних даних.

<...>

По-третє, повідомити працівників про власника (у нашому випадку це роботодавець, пояснення термінів наведено в ст. 2 Закону № 2297) його персональних даних, склад і зміст зібраних даних, їх права, а також про мету збору персональних даних (ст. 12 Закону № 2297).

Рекомендуємо повідомити всіх співробітників під підпис. Тоді в разі перевірки ви завжди зможете підтвердити той факт, що співробітник був повідомлений про свої права у сфері захисту персональних даних у повному обсязі. Можна розробити повідомлення:

• окремо для кожного співробітника. Це не дуже зручно при великій чисельності співробітників у компанії;
• одне загальне для всіх співробітників (див. зразок 3). Тоді в кадровій службі підприємства зберігатиметься належним чином затверджений оригінал Повідомлення про порядок обробки персональних даних, з яким кожний співробітник повинен бути ознайомлений під підпис. Для цих цілей на підприємстві можна завести журнал ознайомлення з повідомленням або оформити бланк ознайомлення, який зберігатиметься в особовій справі кожного співробітника. Рекомендуємо саме такий варіант. Також не забуваємо знайомити новоприйнятих співробітників з Повідомленням. Для цього можна використовувати бланк ознайомлення (або журнал), або зробити позначку в наказі про прийняття на роботу (наприклад, «З Повідомленням про порядок обробки персональних даних ознайомлений. Підпис»).

<...>

Повідомленняпро обробку персональних даних співробітників ТОВ «Сніг»

Відповідно до вимог Закону від 01.06.10 р. № 2297-VI «Про захист персональних даних» повідом-ляємо, що в цілях реалізації трудових правовідносин ТОВ «Сніг» проводить обробку персональних даних співробітників за правилами чинного законодавства.

На підприємстві виконується обробка таких персональних даних співробітників:

1. Паспортні дані, ідентифікаційний код.

2. Дані про освіту.

3. Дані про трудову діяльність.

4. Дані про військовий облік (за наявності).

5. Дані про стан здоров'я (відповідно до ст. 24 КЗпП).

6. Дані про сімейний стан, а також про склад сім'ї.

7. Адреса реєстрації, а також адреса фактичного проживання, номер телефону.

8. Відомості про співробітника, які підтверджують його право на отримання пільг і компенсацій (інвалідність, статус матері-одиначки тощо).

Зазначені персональні дані передаються в установленому законодавством порядку до органів фіскальної служби, Пенсійного фонду, служби зайнятості, а також до інших органів державної влади і місцевого самоврядування відповідно до законодавства.

ТОВ «Сніг» вживає заходи із захисту персональних даних співробітників від несанкціонованої обробки. У зв'язку із цим обробка персональних даних здійснюється виключно співробітниками, які підписали Зобов'язання про нерозголошування персональних даних, що стали їм відомі в результаті виконання своїх трудових обов'язків.

Згідно зі ст. 8 Закону від 01.06.10 р. № 2297-VI «Про захист персональних даних» кожний співробітник ТОВ «Сніг» має право:

• знати місцезнаходження і спосіб збору своїх персональних даних, мету їх обробки, а також знати, хто є власником його персональних даних;
• отримати гарантії захисту своїх персональних даних від несанкціонованої обробки і незаконного знищення;
• отримувати інформацію про третіх осіб, яким повідомляються його персональні дані;
• отримувати доступ до своїх персональних даних;
• у разі незаконної обробки або зазначення недостовірних персональних даних вимагати їх знищення або зміни.

Директор ТОВ «Сніг» (підпис) В. Н. Луценко

21.11.14 р.

<...>

По-четверте, розробити Положення про порядок обробки і захисту персональних даних. У цьому документі слід відобразити все, про що було сказано вище.

За основу можна взяти Типовий порядок.

Відповідальність роботодавця

Чинним законодавством передбачено як адміністративну, так і кримінальну відповідальність за порушення вимог про захист персональних даних.

Адміністративна відповідальність застосовується на підставі ст. 188³⁹ КУпАП, зокрема за такі порушення:

• недотримання встановленого законодавством порядку захисту персональних даних, що призвело до незаконного доступу до таких даних або порушення прав суб'єкта персональних даних. Передбачено штраф у розмірі від 300 до 1 000 НМДГ (від 5 100 до 17 000 грн.), що застосовується до посадових осіб підприємств, а також до фізосіб-СПД;
• при повторному подібному порушенні, допущеному протягом року, – штраф може становити від 1 000 до 2 000 НМДГ (від 17 000 до 34 000 грн.).

Протоколи про адміністративні порушення, передбачені цією статтею КУпАП, мають право складати уповноважені особи секретаріату Уповноваженого (ст. 255 КУпАП). А рішення про застосування штрафу приймає суд (ст. 221 КУпАП).

Кримінальна відповідальність у цій сфері передбачена ст. 182 Кримінального кодексу – за незаконний збір, зберігання, використання, знищення, розповсюдження конфіденційної інформації. Тобто інформації про фізичну особу (ч. 2 ст. 21 Закону від 02.10.92 р. № 2657-ХІІ «Про інформацію»).

Розробіть положення про роботу з персональними даними працівників підприємства, визначте коло осіб, які мають доступ до цих даних, оформіть усі необхідні документи, про які ми говорили в цій статті. Адже порушення у сфері захисту персональних даних працівників чреваті досить серйозними санкціями.