Ваш надійний партнер та порадник
Написати нам
м. Львів, вул. Свєнціцького, 5, оф. 211

Захист персональних даних: питання-відповіді

 

         В житті є багато ситуацій, коли людина надає певну інформацію про себе (прізвище, ім’я, по батькові, місце проживання, номер та серія паспорту тощо) державним органам, фірмам, приватним особам. Будь-кого при цьому турбує питання: а чи використають надану інформацію виключно для тих цілей, про які говорять, коли запитують інформацію? Чи не передадуть інформацію до третіх рук, без мого відома і згоди? Як запобігти цьому?

         Питання захисту інформації про особу (так звані персональні дані, ПД) можна розглядати з багатьох точок зору. Наприклад, з точки зору особи, яка надає ПД, і зацікавлена у використанні інформації якомога вужчим колом людей та виключно для досягнення необхідної мети. Або з точки зору організації чи особи, яка отримує ПД, і зацікавлена в детальній регламентації порядку роботи з такою інформацією для запобігання звинувачень в неправомірному її використанні. Дотримання балансу між інтересами цих груп є завданням закону. Ми ознайомимо вас з вимогами законодавства щодо порядку роботи з ПД на підприємстві.

 

         Яка інформація є персональними даними?

          ПД є інформація про особу, яка дозволяє її ідентифікувати. Наприклад, інформація, яка міститься у паспорті, посвідченні, свідоцтві (в яких зазначено повністю прізвище, ім’я, по батькові, номер документа, дата видачі та інше) безумовно дозволяють це зробити. Вичерпного переліку таких відомостей не існує, оскільки характер інформації про особу в сучасному світі швидко змінюється і не піддається сталій класифікації. Тому слід керуватися вищевказаним принципом стосовно будь-якого виду інформації про особу.

 

         Які дії з ПД регулюються законом?

        Законом регулюється порядок збирання, зберігання, реєстрації, накопичення, зміни, використання, поширення,знищення ПД. Всі ці дії охоплюються єдиним терміном: обробка ПД.

 

         Що є результатом обробки ПД?

          В результаті обробки ПД на підприємстві, як у володільця ПД, формується одна чи декілька певним чином систематизованих баз ПД. Найбільш типові випадки – база ПД по працівникам у розпорядженні кадрової служби, та база ПД у бухгалтерії.

 

         Чи має значення, в якому вигляді існує база ПД?

        База ПД може існувати як на паперових носіях у вигляді картотеки. Так і в електронному вигляді. Можливе існування бази в двох формах одночасно.

 

        Чи підлягають бази ПД, що існують на підприємстві, державній реєстрації?

Що стосується баз ПД діючих підприємств, які в свій час повідомляли Державній службі України з питань захисту персональних даних про наявність у них таких баз, то їм ніяких нових повідомлень надсилати не потрібно, не зважаючи на те, що функції по контролю за захистом ПД передані Уповноваженому Верховної ради з прав людини. Вся надана раніше інформація знаходяться в розпорядженні Уповноваженого.

Новоствореним підприємствам подавати інформацію про наявність у них баз ПД і проведення обробки ПД також не потрібно, за деякими виключеннями.

 

       Кому необхідно повідомляти Уповноваженого про обробку ПД і яких саме?

Якщо підприємство планує здійснювати/здійснює обробку ПД про:

- расове, етнічне та національне походження;

- політичні, релігійні або світоглядні переконання;

- членство в політичних партіях та/або організаціях, професійних спілках, релігійних організаціях чи в громадських організаціях світоглядної спрямованості;

- стан здоров’я;

- статеве життя;

- біометричні дані;

- генетичні дані;

- притягнення до адміністративної чи кримінальної відповідальності;

- застосування щодо особи заходів в рамках досудового розслідування;

- вчинення щодо особи тих чи інших видів насильства;

- місцеперебування та/або шляхи пересування особи.

то воно підпадає під зобов’язання повідомляти Уповноваженого про обробку таких ПД. Проте якщо підприємство обробляє такі ПД виключно з метою дотримання прав і обов’язків в сфері трудового законодавства, а профспілки обробляють ПД виключно своїх членів і не передають їх третім особам без  згоди власників ПД, то повідомляти Уповноваженого непотрібно.

Відсутність обов’язку інформування держоргани про обробку ПД не означає відсутності обов’язку дотримання правил ведення обробки ПД на підприємстві. Обробка ПД потребує певного документального оформлення.

 

       Яким чином регламентується обробка ПД на підприємстві?

Законом передбачена можливість створення на підприємстві кодексу поведінки щодо обробки ПД. При розробленні такого кодексу або внесенні змін до нього підприємство може звернутися за висновком до Уповноваженого. Однак в більшості випадків достатньо видання декількох наказів по підприємству. В наказі про порядок проведення обробки ПД обов’язково вказується наступне:

1) мета та підстави обробки персональних даних (облік працівників підприємства та облік відпрацьованого ними робочого часу та наданого часу відпочинку, посилання на відповідні норми трудового права, які вимагають надання працівником ПД);

2) категорії суб’єктів персональних даних (працівники підприємства);

3) склад персональних даних (інформація про працівника, яка зберігається);

4) порядок обробки персональних даних, а саме:

- спосіб збору, накопичення персональних даних;

- строк та умови зберігання персональних даних;

- умови та процедуру зміни, видалення або знищення персональних даних;

- умови та процедуру передачі персональних даних та перелік третіх осіб, яким можуть передаватися персональні дані;

- порядок доступу до персональних даних осіб, які здійснюють обробку, а також суб’єктів персональних даних;

- заходи забезпечення захисту персональних даних;

- процедуру збереження інформації про операції, пов’язані з обробкою персональних даних та доступом до них.

          Окремо слід видати наказ про призначення відповідальних за організацію роботи, пов’язаної із захистом ПДта визначення їх прав та обов’язків.

         ! Звертаємо увагу, що обсяг ПД, які обробляються (збираються та зберігаються) повинен відповідати меті обробки та не бути надмірним. Необхідно своєчасно виявляти факт обробки зайвої інформації та припиняти таку обробку.

          Обробка ПД проводиться виключно за згодою працівника, отриманої до початку обробки. Згода отримується в письмовій або електронній формі. Працівникові повинно бути пояснено про склад і зміст зібраних ПД, його права, мету збору ПД та третіх осіб, яким передаються його ПД. Якщо ПД отримуються іншим чином, ніж безпосередньо у працівника, про їх отримання необхідно сповістити працівника протягом тридцяти робочих днів з дня збору персональних даних.

          Необхідно вести облік осіб, які мають доступ до ПД інших працівників. Від них необхідно отримати письмове зобов’язання про нерозголошення інформації, яка стала відома їм під час виконання службових обов’язків. З дня надання такого зобов’язання вони вважаються допущеними до обробки ПД.

          Працівник має право в будь-який час відкликати згоду на обробку ПД, у разі якщо єдиною підставою для обробки є його згода.

          Якщо у вас виникли питання з приводу захисту персональних даних, Ви завжди можете розраховувати на підтримку фахівців Адвокатського об’єднання «Галлекс».

profesional

Професіоналізм

Ми докладаємо максимум зусиль, щоб кожний наш Клієнт отримав позитивний результат від співпраці з нами.

dosvid

Досвід

В нашій команді працюють кваліфіковані адвокати з багаторічним досвідом роботи, які зарекомендували себе як професіонали своєї справи.

result

Об’єктивність

Ми не даємо порожніх обіцянок, ми реально оцінюємо ситуацію і обираємо найоптимальніший шлях для вирішення Вашої проблеми.

confidence

Конфіденційність

Ми забезпечимо максимальну конфіденційність та нерозголошення інформації, отриманої від кожного Клієнта. Ви можете нам довіряти!