Особисті персональні дані працівника (GDPR). Як їх використовувати та захищати?

Особисті персональні дані, особливості їх збору і використання, відповідальність за порушення законодавства при використання особистих персональних даних

З 2010 року в Україні діє Закон України «Про захист персональних даних». З 2018 року діє GDPR (General Data Protection Regulation) -  Загальний регламент про захист даних. Хоча даний документ належить ЄС, однак його положення  надширокі до застосування.

Так, згідно з GDPR регламент застосовується до обробки персональних даних контролером або обробником, який має осідок поза межами ЄС (до прикладу, компанія з України), якщо обробка пов’язана з постачанням товарів чи наданням послуг на території ЄС або з моніторингом поведінки суб’єктів даних, якщо така поведінка має місце на території ЄС. Якщо громадянин Франції звернеться за  послугами до української компанії, яка працює лише на території України, то ця компанія не буде зобов’язана підпорядковуватися GDPR.

Отже, зважаючи на великий спектр поширення вказаного регламенту українські компанії, а особливо ті, які ведуть або планують вести міжнародну господарську діяльність мають дотримуватися, окрім національного законодавства, GDPR, щоб не натрапити на величезні європейські штрафи.

Згідно вказаного закону персональні дані (ПД) – це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Обробка ПД - будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем.

Головно роботодавцям рекомендується розробляти уніфіковані положення про збір, обробку та використання ПД та ознайомлювати з ним під підпис своїх працівників. При прийому на роботу працівників надавати під підпис заяву про надання згоди на обробку ПД. Працюючим уже працівникам слід надати під підпис даний документ. Таку заяву працівника варто зберігати в його особовій справі навіть після його звільнення. Наприклад, невдоволений звільнений працівник не зможе використати проти колишнього роботодавця незаконне зберігання чи використання його ПД, якщо він сам дав на це згоду. Звісно, така заява має бути складена з урахуванням її сили дії в часі, а також передбачати порядок зберігання та використання ПД після звільнення працівника.

Згідно з ч. 6 ст. 6 профільного закону не допускається обробка даних про фізичну особу, які є конфіденційною інформацією, без її згоди. Виняток становлять лише випадки, визначені законом, і тільки в інтересах національної безпеки, економічного добробуту та прав людини.

Відповідно до ст. 188-39 КУпАП штраф за порушення законодавства у сфері захисту персональних даних може сягати 34 000 гривень.

Згідно зі ст. 188 КК України за порушення недоторканості приватного життя, які  включають в себе порушення в сфері ПД щодо особи, максимальною санкцією є позбавлення волі на 5 років.

В Україні діє інститут Уповноважено Верховної Ради з прав людини, який має, окрім інших,  право проводити на підставі звернень або за власною ініціативою виїзні та безвиїзні, планові, позапланові перевірки володільців або розпорядників персональних даних у порядку, визначеному Уповноваженим, із забезпеченням відповідно до закону доступу до приміщень, де здійснюється обробка персональних даних.

Тому в інтересах роботодавця зробити законним збирання, зберігання, обробку та використання ПД потенційних, існуючих та колишніх працівників.

Більше того, коректне забезпечення захисту ПД працівників підприємства однозначно впливає і на репутацію компанії, оскільки контрагенти визначатимуть як ненадійного партнера, який не може до ладу і законно захищати ПД працівників, клієнтів. Тому великим підприємствам доречно створювати окремі посади і відділи, в функціональні обов’язки яких входить лише робота з ПД, GDPR комплаєнс, або ж додавати ці обов’язки до служби безпеки компанії.

Складність роботи з ПД полягає в тонкій грані між законними і незаконним  їх використанням, а тому врегулювання має відбуватися не факультативно, а обов’язково і професійно.

Для коректного і повного вирішення питань, повязаних із використанням персональних даних, рекомендуємо звертатися до фахівців. що мають успішний досвід у реалізації таких проектів.