Відповідно до Закону України «Про захист персональних даних» обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб’єкта персональних даних. При прийнятті на роботу роботодавець має отримати від працівника документовану згоду на обробку його персональних даних
Відповідно до Закону України «Про захист персональних даних» від 1 червня 2010 р. № 2297-УІ (далі — Закон № 2297), який набрав чинності 1 січня 2011 року, персональні дані, крім знеособлених персональних даних, за режимом доступу є інформацією з обмеженим доступом.
Персональні дані — це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована (ст. 2 Закону № 2297).
Персональні дані, які обробляються в базах персональних даних (зокрема, персональні дані найманих працівників), є об’єктами захисту.
Обсяг персональних даних, які можуть бути включені до бази персональних даних, визначається умовами згоди суб’єкта персональних даних або відповідно до закону.
Згідно з пунктом 1 статті 11 Закону № 2297 підставами виникнення права на використання персональних даних є:
— згода суб’єкта персональних даних на обробку його персональних даних; суб’єкт персональних даних має право при наданні згоди внести застереження стосовно обмеження права на обробку своїх персональних даних;
— дозвіл на обробку персональних даних, наданий володільцю бази персональних даних відповідно до закону виключно для здійснення його повноважень.
Відповідно до пункту 5 статті 6 Закону № 2297 обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодоюсуб’єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством.
Згода суб’єкта персональних даних — будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки (ст. 2 Закону № 2297).
Таким чином, підприємствам, установами і організаціями незалежно від форм власності необхідно отримувати документовану згоду від фізичних осіб — найманих працівників для цілей обробки документації при здійсненні своєї діяльності.
Згода працівника на обробку його персональних даних має бут оформлена письмово, наприклад, у формі заяви (див. Додаток).
Додаток
Приклад оформлення заяви працівника про наданн
згоди на обробку його персональних дани
Начальнику відділу освіти
Білоцерківської міської ради
Іваненко К. М.
Директора загальноосвітнього
навчального закладу № 1000
Миронченко Валентини Петрівни
Заява
Відповідно до Закону України «Про захист персональних даних» даю згоду на обробку моїх персональних даних з первинних джерел (у т. ч. паспортні дані, відомості з виданих на моє ім’я документів (про освіту, сімейний стан, склад родини тощо), відомостей, які надаю про себе) з метою забезпечення реалізації трудових відносин; адміністративно-правових, податкових відносин та відносин у сфері бухгалтерського обліку; відносин у сфері управління людськими ресурсами.
10.10.2011 Миронченко
Згоду на обробку персональних даних слід отримати від усіх працівників, прийнятих після 1 січня 2011 року.
Щодо працівників, прийнятих до 1 січня 2011 року, зауважимо таке.
Отримання згоди працівника на обробку його персональних даних відповідно до сформульованої мети їх обробки є підставою для виникнення права щодо обробки персональних даних найманих працівників.
Втім, згода повторно не надається, якщо володілець бази персональних даних (роботодавець) продовжує обробляти персональні дані працівника відповідно до правовідносин на основі вільного волевиявлення працівника, що виникли до набрання чинності Законом № 2297.
Однак згоду працівника потрібно отримати у разі зміни визначеної мети обробки персональних даних або складу та змісту персональних даних, що обробляються.
Звертаємо увагу, що відповідно до Закону № 2297 володілець бази персональних даних повинен забезпечити захист цих даних.
Умови захисту персональних даних залежать від конкретних реальних загроз, природи персональних даних, які обробляються, технології обробки інформації та типу інформаційної системи, у рамках якої обробляються персональні дані.
У кожному випадку роботодавець може провести детальний аналіз загроз та інших факторів, які впливають на рівень ризику. На основі аналізу ризиків роботодавець може вирішити, який рівень захищеності бази персональних даних є необхідним.
Обробка персональних даних працівників є планомірним процесом на підприємстві та має включати такі етапи:
1) первинна оцінка стану обробки персональних даних;
2) планування та впровадження системи управління персональними даними;
3) забезпечення поточного функціонування системи управління персональними даними;
4) періодична та поточна оцінка ефективності системи управління персональними даними;
5) удосконалення системи управління персональними даними.
