| Закон України «Про захист персональних даних» від 1 червня 2010 року № 2297-VI (далі — Закон № 2297) набув чинності 1 січня 2011 року.
Цей Закон регулює відносини, пов’язані із захистом персональних даних
фізичних осіб під час їх обробки. Дія Закону не поширюється на
діяльність зі створення баз персональних даних (БПД) та обробки
персональних даних у цих базах:
- – фізичною особою — виключно для непрофесійних особистих чи побутових потреб;
- – журналістом — у зв’язку з виконанням ним службових чи професійних обов’язків;
- – професійним творчим працівником — для здійснення творчої діяльності.
Суб’єктами відносин, пов’язаних із персональними даними, є:
- – суб’єкт персональних даних;
- – володілець БПД;
- – розпорядник БПД;
- – третя особа;
- – уповноважений державний орган з питань захисту персональних даних;
- – інші органи державної влади та органи місцевого
самоврядування, до повноважень яких належить здійснення захисту
персональних даних.
Володільцем чи розпорядником БПД можуть бути підприємства, установи і
організації усіх форм власності, органи державної влади чи органи
місцевого самоврядування, фізичні особи — підприємці, які обробляють
персональні дані відповідно до закону.
СУБ’ЄКТИ, СТОСОВНО ЯКИХ ЗДІЙСНЮЄТЬСЯ ОБРОБКА ПЕРСОНАЛЬНИХ ДАНИХ Такими суб’єктами є:
- – громадяни;
- – наймані працівники;
- – посадові особи;
- – платники податків та зборів;
- – клієнти;
- – покупці;
- – споживачі;
- – абоненти;
- – пацієнти;
- – пасажири, батьки;
- – суб’єкти відносин у сфері страхування;
- – суб’єкти фінансових відносин;
- – суб’єкти відносин у сфері реклами (рекламодавці, рекламовиробники, розповсюджувачі, споживачі);
- – члени політичних партій / громадських / релігійних організацій;
- – вихованці закладів освіти (учні, студенти, абітурієнти,
курсанти, слухачі, стажисти, аспіранти, докторанти, випускники та інші);
- – інші фізичні особи, які подають власні персональні дані при реалізації своїх прав чи обов’язків.
ПЕРСОНАЛЬНІ ДАНІ, ЩО ОБРОБЛЯЮТЬСЯ
Відомості чи сукупність відомостей про фізичну особу, яка
ідентифікована або може бути конкретно ідентифікована, є персональними
даними. бробляються такі дані:
– ідентифікаційні дані (ім’я, адреса, телефон тощо);
– паспортні дані;
– особисті відомості (вік, стать, сімейний стан тощо);
– склад сім’ї;
– освіта;
– професія, спеціальність, кваліфікація;
– біометричні дані (зріст, вага, особливі прикмети тощо);
– психологічні дані (особистість, характер тощо);
– житлові умови; спосіб життя, життєві інтереси та захоплення;
– споживчі звички;
– фінансова інформація;
– електронні ідентифікаційні дані (трафік, IP-адреса тощо);
– електронні дані про локалізацію (GSM, GPS тощо);
– запис зображень (фото, відео);
– звукозапис;
– інші персональні дані.
БАЗА ПЕРСОНАЛЬНИХ ДАНИХ
Первинними джерелами відомостей про фізичну особу є: видані на її
ім’я документи; підписані нею документи; відомості, які особа надає про
себе.
Таким чином, відомості про працівників, відображені в кадрових
документах, зокрема про вік, дату і місце народження, місце проживання,
ідентифікаційний номер, соціальний статус, пільги відповідно до закону
(одинокі матері, жінки з дітьми віком до трьох років чи іншого віку
дітей, «чорнобильці», неповнолітні, пенсіонери тощо) з точки зору
Закону № 2297 вважаються персональними даними, які у своїй сукупності
складають БПД або її частину.
Відповідно документація підприємств, установ та організацій в
електронній формі та/або у формі картотек, що містить певним чином
структуровані персональні дані найманих працівників, вважається БПД або
її частиною.
Так само кваліфікаційний клас, відомості про штрафи, а також список
працівників із вказівкою на їх спеціальні кваліфікаційні документи,
сертифікати, нагороди або вчене звання, список клієнтів, передплатників
тощо теж є БПД.
Звернути увагу
Баз персональних даних у підприємства може бути кілька. Державна служба
України з питань захисту персональних даних рекомендує розглядати
кадрову документацію, статистичну, податкову та іншу звітність в
електронній формі та/або у формі картотек, яка складається роботодавцем і
містить персональні дані працівників, базою персональних даних чи її
складовою.
Слід зауважити, що відповідно до статті 8 Закону № 2297 особисті
немайнові права на персональні дані, які має кожна фізична особа, є невід’ємними і непорушними.
|
ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ:
ПОКРОКОВІ ДІЇ
|
|
КРОК 1
Розроблення проекту Порядку обробки персональних даних у БПД
|
|
КРОК 2
Розроблення проекту згоди на обробку персональних даних
|
|
КРОК 3
Розроблення проекту повідомлення про включення персональних даних до БПД
|
|
КРОК 4
Розроблення проекту зобов’язання щодо збереження інформації з обмеженим доступом
|
|
КРОК 5
Видання наказу про ведення БПД працівників підприємства
(визначення бази, затвердження Порядку обробки персональних даних,
призначення відповідальних, внесення змін до положень про структурні
підрозділи та посадових інструкцій працівників, діяльність яких
пов’язана з використанням персональних даних тощо)
|
|
КРОК 6
Внесення зміни чи доповнень до положень про структурні
підрозділи (кадрового підрозділу, підрозділу бухгалтерського обліку та
звітності, підрозділу охорони, підрозділу інформаційно-організаційного
забезпечення, підрозділу інформаційних ресурсів і технологій)
|
|
КРОК 7
Внесення зміни чи доповнень до посадових інструкцій
працівників, відповідальних за обробку персональних даних фізичних осіб
та їх захист від незаконної обробки і незаконного доступу до них
|
КРОКИ 1–4. Розроблення проектів Порядку обробки персональних даних у БПД, згоди на обробку персональних даних, повідомлення про включення персональних даних до БПД, зобов’язання щодо збереження інформації з обмеженим доступом
Робота на підприємстві, в установі, організації щодо захисту
персональних даних фізичних осіб (найманих працівників, посадових осіб,
платників податків та ін.) може розпочинатися з усного чи письмового
розпорядження керівника, який призначає відповідальних за цю роботу
осіб. Вона полягає у вивченні відповідних нормативно-правових
документів, аналізі внутрішніх локальних документів і
господарсько-правових стосунків із фізичними особами — працівниками і
непрацівниками, юридичними особами, контрагентами, клієнтами тощо.
Встановлюється мета та наявність законних чи інших підстав для обробки
персональних даних фізичних осіб, а вже відповідно до мети визначається
кількість баз персональних даних.
Підсумком проведеної роботи буде подання до Державної служби захисту
персональних даних відповідних заяв про реєстрацію наявних на
підприємстві БПД. Заява про реєстрацію бази персональних даних подається
заявником щодо кожної бази даних,
яка перебуває у його володінні, за формою та у порядку, затвердженими
наказом Міністерства юстиції «Про затвердження форм заяв про реєстрацію
бази персональних даних та про внесення змін до відомостей Державного
реєстру баз персональних даних і порядку їх подання» від 8 липня 2011
року № 1824/5.
Звісно, що кожне підприємство самостійно формує свою організаційну
структуру або згідно із законодавством укладає відповідні господарські
договори на здійснення тих чи інших власних функцій іншими особами.
Відповідно у кожному підприємстві буде свій порядок роботи з
персональними даними працівників. Однак загальна схема організації
роботи з персональними даними найманих працівників у багатьох аспектах
буде однаковою.
Запропоновані нижче зразки документів можуть
використовуватись працівниками кадрових служб підприємств, установ та
організацій усіх форм власності, яким відповідно до КЗпП та інших
нормативно-правових актів фізичні особи надають свої персональні дані,
при розробці власних відповідних документів. У запропонованих зразках
документів базу даних умовно названо «база персональних даних
«Персонал».Д
«Персонал».
КРОК 5. Видання наказу про ведення бази персональних даних працівників підприємства
Зразок наказу про затвердження Порядку обробки персональних даних
ТОВАРИСТВО З ОБМЕЖЕНОЮ ВІДПОВІДАЛЬНІСТЮ
«МРІЯ»
НАКАЗ
12.10.2011 м. Київ № 468-ОД
Про ведення бази персональних
даних працівників підприємства
З метою створення умов для забезпечення захисту персональних даних
працівників підприємства від незаконної обробки, а також від незаконного
доступу до них відповідно до вимог ст. 24 Закону України «Про захист
персональних даних» від 1 червня 2010 року № 2297-VI
НАКАЗУЮ:
1. Встановити, що персональні дані працівників підприємства
обробляються в базі персональних даних «Персонал», утвореній з метою
ведення кадрового діловодства, підготовки відповідно до вимог
законодавства статистичної, адміністративної та іншої звітної інформації
з питань персоналу, а також внутрішніх документів підприємства з питань
реалізації визначених законодавством України, статутом, колективним
договором та іншими нормативними документами ТОВ «Мрія» прав та
обов’язків працівника і роботодавця у сфері трудових правовідносин та
соціального захисту.
2. Затвердити Порядок обробки персональних даних у базі персональних даних «Персонал» (додається).
3. Відповідальними за обробку і захист персональних даних у базі
персональних даних «Персонал» відповідно до покладених завдань і функцій
та в обсязі, визначеному Порядком, затвердженим пунктом 2 цього наказу,
призначити Кадровий підрозділ, Підрозділ охорони, Підрозділ
інформаційно-організаційного забезпечення, Підрозділ бухгалтерського
обліку та звітності, Підрозділ інформаційних ресурсів та технологій.
Відповідальність за загальну організацію робіт, пов’язаних з обробкою
персональних даних у базі персональних даних «Персонал», покласти на
Кадровий підрозділ.
(Варіант: у разі відсутності на підприємстві відповідних структурних підрозділів відповідальними за обробку і захист персональних данихможуть бути призначені відповідні посадові особи, які фактично згідно з покладеними на них трудовими обов’язками виконують відповідніфункції).
4. Керівникам структурних підрозділів, зазначених у пункті 3 цього наказу:
4.1. У тижневий строк забезпечити ознайомлення під підпис підлеглих
працівників з Порядком, затвердженим пунктом 2 цього наказу, а також
оформлення працівниками, діяльність яких пов’язана з використанням
персональних даних, відповідних зобов’язань щодо збереження інформації з
обмеженим доступом.
4.2. У місячний строк забезпечити розроблення, погодження і
затвердження в установленому порядку відповідних змін до положень про
структурні підрозділи та посадових інструкцій працівників, діяльність
яких пов’язана з використанням персональних даних.
4.3. У тримісячний строк забезпечити проведення оцінки стану обробки
персональних даних працівників підприємства в базі персональних даних
«Персонал» та вжити необхідних заходів щодо приведення процедур їх
обробки у відповідність до Порядку, затвердженого пунктом 2 цього
наказу.
5. Керівнику Підрозділу інформаційно-організаційного забезпечення цей
наказ довести до відома всіх самостійних структурних підрозділів,
філій, представництв, інших відокремлених структурних підрозділів
підприємства.
Керівникам всіх самостійних структурних підрозділів підприємства
ознайомити під підпис підлеглих працівників зі змістом Закону України
«Про захист персональних даних» та Порядку, затвердженого пунктом 2
цього наказу.
6. Керівникам філій, представництв, інших відокремлених структурних
підрозділів, наділених правом прийому-звільнення працівників,
забезпечити розробку та затвердження у місячний строк власних
відповідних порядків обробки персональних даних з дотриманням вимог
Порядку, затвердженого пунктом 2 цього наказу, та ознайомити з ними
підлеглих працівників.
7. Контроль за виконанням наказу покласти на заступника директора Петренка П. П.
Директор
(підпис) (прізвище та ініціали)
КРОК 6. Внесення змін до положень про структурні підрозділи
До положень про структурні підрозділи, відповідальних за обробку
персональних даних та їх захист, мають бути внесені відповідні зміни.
Про Кадровий підрозділ
1. У розділі «Завдання»:
«Організація роботи щодо обробки персональних даних працівників
підприємства в базі персональних даних «Персонал» та їх захисту від
незаконної обробки та незаконного доступу до них».
2. У розділі «Функції»:
«Здійснює обробку персональних даних працівників підприємства в базі
персональних даних «Персонал» в частині особових справ працівників,
особових карток працівників, наказів (розпоряджень) про прийняття на
роботу та переведення, копій звітів форми № 4-ПН та інших звітів, що
містять персоніфіковані дані працівників, електронних баз даних «Кадри»
та «Штатно-посадове розміщення». Забезпечує захист персональних даних
працівників підприємства, які обробляються.
Здійснює контроль за виконанням відповідних функцій керівниками
структурних підрозділів, відповідальних за організацію робіт з обробки
персональних даних та їх захисту в частині окремих складових бази
персональних даних «Персонал».
Про Підрозділ бухгалтерського обліку та звітності
У розділі «Функції»:
«Здійснює обробку персональних даних працівників підприємства в базі
персональних даних «Персонал» в частині розрахунково-платіжних
відомостей працівників, листків тимчасової непрацездатності працівників,
копій звітів форми № 1-ДФ, щодо сум нарахованого єдиного соціального
внеску, про здійснення відрахування та виплати за виконавчими
документами, інших звітів, що містять персоніфіковані дані працівників,
та електронної бази даних «Оплата праці». Забезпечує захист персональних
даних працівників підприємства, які обробляються».
Про Підрозділ охорони
У розділі «Функції»:
«Здійснює обробку персональних даних працівників підприємства в базі
персональних даних «Персонал» в частині інформації, розміщеної в
електронній базі даних «Перепустка». Забезпечує захист персональних
даних працівників підприємства, які обробляються».
Про Підрозділ інформаційно-організаційного забезпечення
У розділі «Функції»:
«Здійснює обробку персональних даних працівників підприємства в базі
персональних даних «Персонал» в частині інформації, розміщеної в
електронній базі даних «Телефон». Забезпечує захист персональних даних
працівників підприємства, які обробляються».
Про Підрозділ інформаційних ресурсів та технологій
У розділі «Функції»:
«Здійснює заходи із захисту персональних даних бази персональних даних
«Персонал», розміщених в електронних базах даних «Кадри»,
«Штатно-посадове розміщення», «Перепустка», «Телефон», «Оплата праці».
Для всіх відповідальних структурних підрозділів
У розділі «Взаємовідносини»:
«Взаємодіє у встановленому порядку з працівниками структурних
підрозділів, відповідальних за обробку персональних даних працівників
підприємства в базі персональних даних «Персонал» та їх захист».
КРОК 7. Внесення змін до посадових інструкцій працівників
До посадових інструкцій працівників, відповідальних за
обробку персональних даних фізичних осіб та їх захист від незаконної
обробки і незаконного доступу до них, теж вносяться відповідні зміни.
До посадових інструкцій керівників структурних підрозділів
У розділі «Завдання та обов’язки»:
«Організовує виконання робіт щодо обліку персональних даних працівників
підприємства в базі персональних даних «Персонал» в частині функцій,
покладених на структурний підрозділ.
Здійснює контроль за дотриманням працівниками структурного підрозділу
законодавства України з питань персональних даних фізичних осіб та
встановленого на підприємстві порядку обробки персональних даних».
До посадових інструкцій працівників структурних підрозділів, відповідальних за обробку персональних даних
У розділі «Завдання та обов’язки»:
«Виконує роботи з обліку персональних даних працівників підприємства в
базі персональних даних «Персонал» в частині функцій, покладених на
структурний підрозділ (або: в частині ведення особових справ працівників, особових карток працівників, підготовки проектів наказів проприйняття на роботу та переведення, підготовки звітівформи № 4-ПН та інших звітів, що містять персоніфіковані дані працівників, атакож ведення електронних баз даних «Кадри» та «Штатно-посадове розміщення»).
До посадових інструкцій всіх працівників, відповідальних за обробку персональних даних та їх захист
У розділі «Відповідальність»:
«Несе відповідальність за збереження інформації про персональні дані
працівників, відображеної в базі персональних даних «Персонал».
У розділі «Повинен знати»:
«Законодавство України, яке регулює порядок обробки та захист
персональних даних фізичних осіб, внутрішні положення та інші
розпорядчі документи підприємства з цих питань».
| 