Відповідальні особи за збереження персональних даних працівників
Вікторія Поліщук, голова комітету трудового права НААУ, адвокатка, медіаторка, лекторка ВША НААУ Правові відносини, пов’язані із захистом і обробкою персональних даних працівників, регулюються Законом України «Про захист персональних даних» (Відомості Верховної Ради України (ВВР), 2010, № 34, ст. 481) у редакції від 20.03.2020 р. та Типовим порядком обробки персональних даних, що затверджений наказом Уповноваженого Верховної […]
Новини та події
29.04.2020

Вікторія Поліщук,
голова комітету трудового права НААУ,
адвокатка, медіаторка, лекторка ВША НААУ

Правові відносини, пов’язані із захистом і обробкою персональних даних працівників, регулюються Законом України «Про захист персональних даних» (Відомості Верховної Ради України (ВВР), 2010, № 34, ст. 481) у редакції від 20.03.2020 р. та Типовим порядком обробки персональних даних, що затверджений наказом Уповноваженого Верховної Ради України з прав людини № 1/02-14 від 08.01.2014 р., а також Роз’ясненням Уповноваженого Верховної Ради України з прав людини до Типового порядку обробки персональних даних від 08.01.2014 р.

Усі підприємства, а також і фізичні особи-підприємці, можуть бути володільцем чи розпорядником персональних даних. Володілець персональних даних працівників (або роботодавець) може доручити обробку персональних даних розпоряднику персональних даних (або фізичній або юридичній особі) (стаття 4 Закону України «Про захист персональних даних»). Для цього сторони укладають письмовий договір, де передбачається, що розпорядник обробляє персональні дані шляхом збору, систематизації, накопичення, зберігання, оновлення, зміни, знищення персональних даних, а володілець цих даних здійснює оплату послуг розпорядника.

Як володілець, так і розпорядник персональних даних мають вести облік працівників, які мають доступ до персональних даних. Для цього потрібно визначити рівень доступу зазначених працівників. Датою надання права доступу до персональних даних вважається дата надання зобов’язання відповідним працівником, а датою позбавлення права доступу — вважається дата звільнення працівника або дата переведення на посаду, виконання обов’язків на якій не пов’язане з обробкою персональних даних (пункти 3.7 і 3.8 Типового порядку обробки персональних даних, що затверджений наказом Уповноваженого Верховної Ради України з прав людини № 1/02-14 від 08.01.2014 р.). На підприємстві відповідальними особами за персональний дані можуть бути працівники відділу кадрів або окремий структурний підрозділ. Для покладення на працівника обов’язків щодо ведення обліку персональних даних необхідно видати відповідний наказ. При цьому, рекомендується не призначати керівника відділу кадрів відповідальною особою за збереження персональних даних, оскільки вийде ситуація, що керівник відділу кадрів здійснює контроль сам за собою.

Повноваження щодо персональних даних передбачають:

— інформування та консультування керівництва щодо додержання законодавства про захист персональних даних;
— взаємодію з Уповноваженим Верховної Ради України з прав людини з питань запобігання та усунення порушень законодавства про захист персональних даних;
— у разі виявлення порушень законодавства про захист персональних даних працівники мають повідомляти про це керівника володільця/розпорядника з метою вжиття необхідних заходів;
— аналіз загрози безпеці персональних даних.

Рекомендується повноваження щодо персональних даних відобразити в посадових інструкціях відповідальних осіб. Також усі ці повноваження та загалом робота із персональними даними можуть бути зафіксовані в Положенні про порядок збереження персональних даних та доведені до відома кожного із працівників. Окрім того, в Положенні може бути зафіксована інформація про порядок збереження персональних даних контрагентів.