Захист персональних даних — окрема ланка документації у роботі підприємства. Особливо в умовах воєнного стану, коли можливі деякі обмеження доступу до персональних даних, їх випадкова втрата або знищення, незаконна обробка, — дотримання законодавства є необхідним. Тому важливо нагадати головні засади і поради щодо збирання/обробки персональних даних.
Закон покликаний урегульовувати правовідносини щодо захисту і обробки персональних даних, захищати основоположні права і свободи людини і громадянина. Наприклад, право на невтручання в особисте життя, у зв'язку з обробкою персональних даних. У 2014 році Закон № 2297 зазнав змін, оскільки первинна редакція на практиці виявилася недосконалою і незрозумілою багатьом кадровикам. Причина — забюрократизованість процедури захисту даних.
Нововведення значно спростили роботу з персональними даними (ПД): окреслено чіткі правила користування персональною інформацією та відповідальність за недотримання норм.
ОкрімЗакону № 2297 є три підзаконні акти щодо захисту персональних даних, якими має керуватися кадровик у своїй роботі:
Типовий порядок обробки персональних даних;
Порядок здійснення Уповноваженим Верховної Ради України з прав людини контролю за додержанням законодавства про захист персональних даних;
Порядок повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних, яка становить особливий ризик для прав і свобод суб'єктів персональних даних, про структурний підрозділ або відповідальну особу, що організовує роботу, пов'язану із захистом персональних даних при їх обробці, а також оприлюднення вказаної інформації.
До 2014 року дотримання законодавства у сфері персональних даних контролювала Державна служба з питань захисту персональних даних. Зараз це покладено на Уповноваженого Верховної Ради України з прав людини (омбудсмена). Контроль також здійснює спеціально створений в Секретаріаті Уповноваженого Департамент із питань захисту персональних даних.
Термінологія Закону «Про захист персональних даних»
Лексика Закону № 2297 має свою специфіку. Кадровику слід розібратися в поняттях, щоб не помилитися у документуванні персональних даних.
Як бачимо, Закон № 2297 не надає визначення поняттю «захист персональних даних». Варто пам'ятати, що захист персональних даних — це не обробка, а окремий від обробки комплекс дій.
Персональні дані, перелік яких подано в таблиці нижче, поділяються на дві категорії: загальні та особливі (чутливі).
Загальні
Чутливі
прізвище та ім'я;
дата та місце народження;
громадянство;
сімейний стан;
псевдонім;
дані, записані в посвідченні водія;
економічне і фінансове становище;
дані про майно;
банківські дані;
підпис;
дані з актів цивільного стану;
номер пенсійної справи;
адреса місця проживання;
дипломи про освіту, професійну підготовку тощо.
Чутливі персональні дані — це відомості, обробка яких становить особливий ризик для прав і свобод людей.
Це інформація про:
расове, етнічне та національне походження; політичні, релігійні та світоглядні переконання; членство в політичних партіях та/або організаціях, професійних спілках, релігійних організаціях чи громадських організаціях світоглядної спрямованості;
стан здоров'я (медичні дані);
статеве життя;
біометричні дані;
генетичні дані;
притягнення до адміністративної чи кримінальної відповідальності;
застосування до особи заходів у рамках досудового розслідування; вжиття щодо особи заходів, передбачених Законом України «Про оперативно-розшукову діяльність»;
вчинення щодо особи тих чи інших видів насильства тощо.
Захист персональних даних на підприємстві
Право на захист персональних даних має кожен працівник підприємства. Відповідальність за організацію роботи із захисту персональних даних несе особа чи цілий підрозділ. Як правило, такий відділ працює в органах влади чи місцевого самоврядування, а також на підприємстві, що обробляє персональні дані.
Якщо підприємство працює з «чутливими» даними, щоб забезпечити права працівників чи виконати обов'язки роботодавця, повідомляти Уповноваженого не потрібно.
Організації мають обов'язок інформувати омбудсмена і про призначення відповідальної особи по роботі з персональними даними. До заяви про відповідальну особу додається копія наказу про її призначення (форма заяви — у Додатку 4 до Порядку повідомлення). Заяву можна подати декількома способами:
листом на адресу Секретаріату Уповноваженого ВР з прав людини — вул. Інститутська, 21/8, м. Київ, 01008;
Підприємства, на які не поширюється обробка персональних даних, відповідно до повідомлення Уповноваженого, самостійно вирішують чи призначати відповідального.
Настанова
Для уникнення конфлікту інтересів, краще не призначати відповідальною особою за захист ПД начальника відділу кадрів.
Дозвіл на обробку персональних даних
Персональні дані про фізичну особу та членів її родини — це конфіденційна інформація. Вона може бути поширена тільки якщо є згода на збір та обробку персональних данихвід фізичної особиі лише в інтересах національної безпеки, економічного добробуту та прав людини. Виняток — персональні дані фізичної особи, яка претендує зайняти чи займає посаду (у органах влади) або посаду державного службовця першої категорії. Така інформація не має обмеженого доступу, окрім визначеної законодавством (рішення КСУ від 20.01.2012 № 2-рп/2012).
Відповідно до Закону № 2297, письмова згода на використання персональних даних та їх обробку від працівників не потрібна. Тому роботодавцеві вимагати її неправомірно, оскільки це є добровільним волевиявленням особи.
Отже, дозвіл на обробку персональних даних має відповідати таким вимогам:
добровільність — відсутній прямий або опосередкований примус при її наданні. Дозвіл може бути висловлений у письмовій, електронній чи усній формі (ст. 2 Закону № 2297);
інформованість — перед наданням згоди працівника слід поінформувати про таке: ким, для чого будуть оброблятися його персональні дані, кому можуть бути вони передані, з якою метою, на яких підставах; які права і повноваження розпорядника щодо обробки персональних даних; скільки часу персональні дані будуть зберігатися у володільця; на яких умовах працівник може відкликати згоду на обробку персональних даних та які наслідки такої дії;
належна форма надання згоди — умови згоди на обробку персональних даних є однозначними, викладені доступною мовою. Підписується шляхом проставлення відмітки про надання згоди. У цій формі має бути перелік персональних даних, які працівник дозволяє обробляти і з якою метою.
Відкликати згоду працівник зможе у будь-який час ( п. 11 ст. 8 Закону № 2297) без пояснення причини. З моменту відкликання згоди володілець зобов'язаний припинити обробку персональних даних (п. 2.15 Типового порядку).
Терміни зберігання згоди працівників законодавством не визначені. Підприємство робить це на власний розсуд. Як правило, персональні дані працівника зберігаються впродовж часу їх обробки (п. 2.8 Типового порядку). Отже, допоки інформація про працівника є на сайті чи в соцмережах, краще зберігати згоду на обробку персональних даних.
Увага!
Якщо згода надана на певний термін, то й інформація про працівника може бути розміщена лише впродовж цього часу (п.п. 1 п. 2 ст. 15 Закону № 2297).
За потреби використовувати чи обробити персональні дані з іншою метою, слід отримати нову згоду (п. 1 ст. 6 Закону № 2297).
У випадку, коли обробка персональних даних здійснюється приватними організаціями, які надають гуманітарну, благодійну, волонтерську та іншу допомогу населенню, то такі організації, за відсутності інших правових підстав, можуть обробляти персональні дані на підставі згоди суб'єкта ПД.
Важливо!
Законом № 2297 визначено випадки, за яких згода не важлива. Вони стосуються інтересів національної безпеки, економічного добробуту та прав людини.
Настанова: Згода працівника і зобов'язання про нерозголошення — це різні документи!
Нерозголошення персональних даних
Зобов'язання про нерозголошення персональних даних підписує кожен працівник, який має справу з персональними даними інших осіб. Це бухгалтери, співробітники відділу кадрів, директор, його заступники, юрисконсульт, адміністратори автоматизованих баз даних. Зобов’язання вимагатимуть при перевірці підприємства (ст. 10 Закону № 2297).
Отриманням зобов'язань, їх обліком та контролем на підприємстві займається відділ кадрів. Ці документи реєструють у Журналі реєстрації зобов'язань про нерозголошення персональних даних.
Відповідальність за порушення Закону «Про захист персональних даних»
За результатами перевірки складають акт. В ньому вказують усі виявлені факти невиконання (неналежного виконання) вимог законодавства про захист персональних даних, а якщо суб'єкт перевірки не надасть документи, необхідні для проведення перевірки, в Акті зроблять відповідний запис.
За виявлених порушень, на підставі Акта перевірки складають припис про усунення порушень, в якому:
вказуються заходи, необхідні для усунення порушень;
зазначається термін виконання припису;
зазначається термін інформування суб'єктом перевірки Уповноваженого про усунення виявленого порушення.
Відповідальність за порушення Закону № 2297 може бути адміністративною або кримінальною (ст. 188-40, 188-40 КпАП, ст. 182 Кримінального кодексу).
За невчасне виконання припису накладають адміністративні штрафи. Якщо ж виявлено кримінальне правопорушення, матеріали скеровуються до правоохоронних органів (згідно з п. 5.17 Порядку перевірки).
Під час війни питання про захист персональних даних набуло ще більшої актуальності. Так, багато організацій почали збір персональних даних внутрішньо переміщених осіб через Google-форми, що є неправомірним з точки зору законодавства. У звʼязку із виявленням цих фактів було розроблено Рекомендації Уповноваженого Верховної Ради України з прав людини щодо деяких питань обробки персональних даних внутрішньо переміщених осіб органами державної влади та органами місцевого самоврядування, де вказано:
збір персональних даних володільцями ПД здійснюється засобами власних офіційних вебсайтів;
за потреби залучити розпорядника персональних даних, слід врахувати, що розпорядником персональних даних, окрім органів державної влади чи місцевого самоврядування, може бути лише підприємство державної або комунальної форми власності.
Увага!
Закон України «Про правовий режим воєнного стану» надає відповідним органам державної влади, військовому командуванню, військовим адміністраціям та органам місцевого самоврядування повноваження, необхідні для відвернення загрози, відсічі збройної агресії та забезпечення національної безпеки, усунення загрози небезпеки державній незалежності України, її територіальній цілісності. У звʼязку із цим передбачена у статті 7 Закону № 2297 заборона на обробку персональних даних, про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, засудження до кримінального покарання, а також даних, що стосуються здоров'я, статевого життя, біометричних або генетичних даних не застосовується, якщо обробка персональних даних стосується вироків суду, виконання завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом та здійснюється державним органом в межах його повноважень, визначених законом.
Захист персональних даних в Україні
З метою уніфікації принципів та механізмів захисту персональних даних у різних країнах у 2018 році Європейським Союзом було прийнято GDPR (загальний регламент про захист даних). Норми цього документа діють екстериторіально і не потребують імплементації у національне законодавство.
Поява GDPR пов'язана насамперед із розвитком IT-технологій, поширенням інтернет-торгівлі та фінансових операцій в мережі.
Основні положення GDPR:
законна, справедлива та прозора обробка персональних даних;
збір та обробка лише необхідних даних, які після досягнення мети обробки мають бути видалені;
широкі права суб'єктів персональних даних: інформація про те, якими даними про відповідних суб'єктів відповідний бізнес володіє, і що він робить з такими даними; право на заборону щодо обробки своїх даних, вимога їх виправлення або видалення;
чітка згода на обробку персональних даних, яку можна відкликати в будь-який момент;
ведення реєстру порушень персональних даних організаціями;
налаштування та забезпечення конфіденційності даних за замовчуванням;
забезпечення захисту і конфіденційності персональних даних і дотримання вимог GDPR контролером, коли ці дані передаються за межі організації;
інформування працівників про вимоги GDPR.
GDPR передбачає жорсткі санкції за недотримання вимог:
Діяння
Штраф
Стаття GDPR, що передбачає обов’язок
Порушення обов’язків із захисту персональних даних.
До 10 млн євро або до 2% від загального глобального річного обігу за попередній фінансовий рік, залежно від того, яка сума є
8, 11, 25-39, 42, 43
Порушення умов надання згоди, прав суб’єктів даних, правил передавання персональних даних до одержувача в третій країні чи до міжнародної організації.
До 20 млн євро або до 4% від загального глобального річного обігу за попередній фінансовий рік, залежно від того, яка сума є вищою
5-9, 12-22, 44-49
Український бізнес, який співпрацює з країнами ЄС, або у якому є частка іноземного капіталу, вже імплементува у свою діяльність норми GDPR.
Відповідно з вимогами GDPR, відбуваються і зміни до законодавства України про захист персональних даних.Так, 25 жовтня 2022 року Верховна Рада України зареєструвала законопроєкт № 8153 «Про захист персональних даних». Він має на меті:
захистити права осіб, пов'язаних з обробкою персональних даних;
упровадити механізми для реалізації таких прав, в тому числі для боротьби із кіберзлочинністю;
установити належний рівень захисту персональних даних.
Експерти підготували для вас топ травневих зразків наказів та заяв. Полегшіть своє професійне життя, скачайте файли безплатно. Для цього потрібно бути зареєстрованим користувачем або ж просто оформити демодоступ.
Законопроєкт конкретизує положення чинного Закону № 2297 щодо принципів обробки персональних даних, встановлює додаткові вимоги до згоди – як однієї з підстав обробки. Надається більше прав субʼєкту персональних даних; окреслено механізм захисту прав у випадку їх порушення контролером або оператором; деталізуються та конкертизуються: права і обовʼязки контролера та оператора персональних даних; порядок та підстави обробки персональних даних роботодавцем; особливості обробки персональних даних в правоохоронних цілях; особливості обробки персональних даних у сфері електронних комунікацій.
Передбачено жорстку відповідальність контролерів та операторів за порушення законодавства у сфері персональних даних. Максимальний розмір штрафів може становити 20 млн грн для фізичних осіб та 150 млн грн або 8 % загального річного обороту для юридичних осіб.
Тож очікуємо важливих змін у Закон «Про захист персональних даних».
Важливо!
Законом № 2297 визначено випадки, за яких згода не важлива. Вони стосуються інтересів національної безпеки, економічного добробуту та прав людини.
Закон України «Про захист персональних даних»: коротка характеристика
Рекомендація місяця від редакції порталу «Кадровик-01»
Запрошуємо на вебінар «Перевірки Держпраці під час воєнного стану», який відбудеться 23 травня. Спікер — посадова особа Держпраці. У програмі — підстави для перевірки, як уникнути штрафів, різниця між трудовим договором і ЦПХ.
