Відповідь
Відповідно до статті 24 Закону України «Про захист персональних даних» від 01.06.2010 № 2297-VI відповідальний (особа чи цілий підрозділ) має бути в органі влади чи місцевого самоврядування, а також на підприємстві, що обробляє чутливі персональні дані і підпадає під обов’язок повідомляти про обробку Уповноваженого ВР з прав людини. Чутливі персональні дані — це відомості, обробка яких становить особливий ризик для прав і свобод людей.
Посадова інструкція інспектора із захисту персональних даних
Володільці, що обробляють чутливі дані, повідомляють про це Уповноваженого Верховної Ради України з прав людини, тобто омбудсмена.
Згідно з пунктом 3.22 Типового порядку обробки персональних даних підприємства, на які не поширюється обов’язок із повідомлення Уповноваженого ВР з прав людини, самостійно визначають, чи призначати відповідального.
Унаочнимо прикладом
Кожен відділ кадрів так чи інак стикається з відомостями про здоров’я працівників чи членство у профспілці. Чи подавати заяву омбудсмену?
Ні, якщо підприємство працює з чутливими даними, щоби забезпечити права працівників чи виконати обов’язки роботодавця (п. 2.1 Порядку повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, про структурний підрозділ або відповідальну особу, що організовує роботу, пов’язану із захистом персональних даних при їх обробці, а також оприлюднення вказаної інформації).
Резюме
Якщо роботодавець — орган влади, ОМС чи підприємство, що обробляє чутливі персональні дані, обов’язково призначте відповідального.
➤➤ Як запровадити захист персональних даних
В інших випадках — за рішенням керівника підприємства.
Робота з персональними даними працівників — невід’ємна складова роботи будь якого підприємства. Захист персональних даних працівників є важливим у сучасному управлінні персоналом. Враховуючи зростаючі вимоги до конфіденційності та безпеки даних, кожен роботодавець повинен забезпечити відповідне зберігання та обробку персональної інформації своїх співробітників. Як захистити персональні дані працівників, дотримуючись стандартів і процедур для уникнення правопорушень і забезпечення безпеки персональної інформації — у статті.
З листа до редакції: «Декілька років тому ми дозволили жінці-лаборанту працювати у вільний від основної роботи час за внутрішнім сумісництвом у тій же лабораторії прибиральником виробничих приміщень. За таку роботу ми доплачували їй 50% окладу прибиральника. Зараз ця працівниця вирішила відмовитися від роботи прибиральника. Який слід видати наказ? Оскільки раніше було видано наказ про дозвіл працювати за сумісництвом, то тепер маємо написати «не дозволяємо надалі працювати»? Чи як правильно?»
Захист персональних даних — окрема ланка документації у роботі підприємства. Особливо в умовах воєнного стану, коли можливі деякі обмеження доступу до персональних даних, їх випадкова втрата або знищення, незаконна обробка, — дотримання законодавства є необхідним. Тому важливо нагадати головні засади і поради щодо збирання/обробки персональних даних.
Загальний регламент захисту персональних даних (англ. General Data Protection Regulation, GDPR; Regulation (EU) 2016/679; далі — Регламент GDPR) — нові правила, що посилюють та уніфікують обробку персональних даних в Європейському Союзі.
Володілець персональних даних зобов’язаний повідомляти Уповноваженого Верховної Ради України з прав людини про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних.
