ВІДПОВІДАЛЬНІСТЬ ЗА ПОРУШЕННЯ ЗАКОНОДАВСТВА У СФЕРІ ЗАХИСТУ
ПЕРСОНАЛЬНИХ ДАНИХ
Перевірки з питань дотримання законодавства у сфері захисту персональних даних: що мають знати володільці та розпорядники персональних даних
Розглянемо докладно, як проводяться перевірки, які документи складають за їх результатами, які права та обов’язки передбачені для тих, хто проводить перевірку, і для суб’єктів перевірки
Питання для проведення перевірки дотримання вимог законодавства про захист персональних даних (пам’ятка кадровика)
Відповідальність за порушення у сфері захисту персональних даних
За порушення у сфері захисту персональних даних передбачено як адміністративну (у вигляді штрафу), так і кримінальну відповідальність
ЗАПРОВАДЖУЄМО ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ
Захист персональних даних: опановуємо термінологію
Законом України «Про захист персональних даних» введено у правову сферу чимало нових понять, таких як персональні дані, володілець персональних даних, розпорядник персональних даних, база персональних даних, мета обробки персональних даних. Термінологія нова і поки що незвична, але час минає і нові поняття стають частиною щоденної кадрової практики
Призначення відповідального за організацію роботи із захисту персональних даних на підприємстві, в установі, організації
Відповідно до Закону України «Про захист персональних даних» на будь-якому підприємстві має бути визначено структурний підрозділ або особу, що відповідатиме за організацію роботи із захисту персональних даних при їх обробці. Як оформити призначення відповідальної особи? Які обов’язки покладаються на неї? Чи може бути на підприємстві кілька осіб, які відповідають за захист персональних даних?
Згода та інші підстави для обробки персональних даних: застосовуємо правильно
Перша редакція Закону України «Про захист персональних даних» передбачала, що персональні дані фізичної особи можна обробляти або на підставі її згоди, або на підставі дозволу, наданого володільцю персональних даних відповідно до закону виключно для здійснення його повноважень. Наприкінці 2012 року внесено зміни до Закону «Про захист персональних даних»: перелік підстав для обробки персональних даних суттєво розширено. Розглянемо на прикладах, в яких випадках слід застосовувати певну підставу, з’ясуємо, що роботи у разі, коли кандидат на роботу відмовляється надавати згоду на обробку своїх персональних даних
Обробка персональних даних контрагентів
Нова редакція Закону «Про захист персональних даних» передбачає, що укладання та виконання правочину є законною підставою для обробки персональних даних. Разом з цим, чимало питань, пов’язаних з процедурою обробки персональних даних, у т. ч. порядок їх використання, видалення чи знищення, доступу третіх осіб до персональних даних, потребують погодження з контрагентом як суб’єктом персональних даних
Розроблення Положення про порядок обробки та захисту персональних даних
Для регламентації комплексу заходів із обробки та захисту персональних даних доцільно розробити на підприємстві, в установі, організації окремий локальний нормативний акт, наприклад, Положення про порядок обробки та захисту персональних даних. З урахуванням специфіки підприємства, категорій персональних даних, що обробляються, локальний акт може поширюватися на всі бази персональних даних, утім, у певних випадках є сенс розробляти окремі локальні акти для різних баз
Положення про порядок обробки та захисту персональних даних працівників та контрагентів (приклад розроблення)
Згода на обробку персональних даних (рекомендована форма)
Журнал реєстрації документів з питань обробки персональних даних працівників (рекомендована форма)
Зобов’язання про нерозголошення персональних даних (рекомендована форма)
Журнал реєстрації зобов’язань про нерозголошення персональних даних (рекомендована форма)
Реєструємо бази персональних даних
Одне з призначень реєстрації — підтвердження зобов’язання володільця персональних даних щодо забезпечення їх захисту. У пригоді Вам стане рекомендована форма звернення володільця персональних даних до Державної служби України з питань захисту персональних даних щодо нереєстрації бази персональних даних «Працівники» у зв’язку зі змінами до Закону України «Про захист персональних даних»
Згода на обробку персональних даних при повторному прийнятті на роботу: чи потрібна?
Робоча ситуація: «На нашому підприємстві щороку укладаються строкові трудові договори на період опалювального сезону з операторами котелень. Як правило, це одні й ті самі особи з року в рік. Минулого року при укладанні трудового договору особи, які приймалися операторами котелень, вже надали нам згоди на обробку персональних даних. Чи потрібно при повторному укладанні трудового договору отримувати від працівників нову згоду?»
Працівник, який звільняється, вимагає знищити його персональні дані: чи правомірна вимога?
Робоча ситуація: «Працівник, який звільняється, звернувся до кадрової служби з вимогою знищити після звільнення всі його персональні дані, аргументуючи тим, що таке право передбачено законом. Чи зобов’язані ми задовольнити вимогу працівника?»
Аудиторська перевірка і захист персональних даних
Робоча ситуація: «Аудиторська компанія проводить щорічний аудит діяльності нашого підприємства. Чи вважається вона розпорядником наших персональних даних? На яких умовах аудитори можуть бути допущені до баз персональних даних підприємства?»
Передання персональних даних колишнього працівника юридичній фірмі, що представлятиме інтереси роботодавця під час розгляду трудового спору
Робоча ситуація: «Колишній працівник підприємства звернувся до суду з позовом про поновлення на роботі. Триває судовий розгляд трудового спору. Для представництва наших інтересів у суді ми залучили юридичну компанію, і відповідно вони працюють з копіями кадрових документів колишнього працівника. Чи потрібно отримувати згоду особи на передання її персональних даних юридичній компанії, яка захищає інтереси підприємства у суді? Яких вимог у сфері захисту персональних даних слід дотримати у цій ситуації?»
Порядок надання конфіденційної інформації про особу на вимогу правоохоронних органів
Робоча ситуація: «До нашої організації надійшов лист з районної прокуратури щодо надання інформації про зареєстроване місце проживання, рік народження, розмір заробітної плати деяких наших працівників. Чи має право наша організація відмовити у наданні цієї інформації?»
Захист персональних даних у первинних профспілкових організаціях
Яким чином дотримувати вимог Закону України «Про захист персональних даних» в первинних профспілкових організаціях, в об’єднаннях профспілок? Чи слід реєструвати базу персональних даних членів профспілки? Хто є володільцем персональних даних — профком чи організація, в якій діє профспілка?
Особливості захисту персональних даних неповнолітніх працівників
Робоча ситуація: «Плануємо прийняти на роботу кількох школярів на час літніх канікул. Чи потрібно отримувати від них згоду на обробку персональних даних? Якщо так, то хто має надавати згоду — неповнолітні чи їхні батьки? Кого саме слід повідомляти про склад та зміст даних, що збираються, мету обробки персональних даних, права у сфері захисту персональних даних, осіб, яким передаються дані? Чи має право неповнолітній працівник надавати зобов’язання про нерозголошення персональних даних?»
Запровадження захисту персональних даних у новоствореній організації (покроковий алгоритм)
НОРМАТИВНО-ПРАВОВІ АКТИ З ПИТАНЬ ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ
Нормативна база захисту персональних даних
Розпочинати роботу із запровадження захисту персональних даних на підприємстві, в установі, організації варто з ознайомлення з нормативно-правовими актами, що діють у цій сфері
Наказ Міністерства юстиції України «Про затвердження Типового порядку обробки персональних даних у базах персональних даних» від 30.12.2011 № 3659/5
ВІДПОВІДАЄМО НА ЗАПИТАННЯ, ЩО ВИНИКАЮТЬ НАЙЧАСТІШЕ
Чи можна зберігати згоди на обробку персональних даних в особових справах працівників?
Чи мають працівники-іноземці надавати згоду на обробку своїх персональних даних?
Чи вважати розпорядником баз персональних даних ІТ-фахівця, що обслуговує комп’ютерну мережу підприємства на умовах цивільно-правового договору?
Чи поширюється Закон України «Про захист персональних даних» на померлих осіб?
Перевірки з питань дотримання законодавства у сфері захисту персональних даних: що мають знати володільці та розпорядники персональних даних
Розглянемо докладно, як проводяться перевірки, які документи складають за їх результатами, які права та обов’язки передбачені для тих, хто проводить перевірку, і для суб’єктів перевірки
Питання для проведення перевірки дотримання вимог законодавства про захист персональних даних (пам’ятка кадровика)
Відповідальність за порушення у сфері захисту персональних даних
За порушення у сфері захисту персональних даних передбачено як адміністративну (у вигляді штрафу), так і кримінальну відповідальність
ЗАПРОВАДЖУЄМО ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ
Захист персональних даних: опановуємо термінологію
Законом України «Про захист персональних даних» введено у правову сферу чимало нових понять, таких як персональні дані, володілець персональних даних, розпорядник персональних даних, база персональних даних, мета обробки персональних даних. Термінологія нова і поки що незвична, але час минає і нові поняття стають частиною щоденної кадрової практики
Призначення відповідального за організацію роботи із захисту персональних даних на підприємстві, в установі, організації
Відповідно до Закону України «Про захист персональних даних» на будь-якому підприємстві має бути визначено структурний підрозділ або особу, що відповідатиме за організацію роботи із захисту персональних даних при їх обробці. Як оформити призначення відповідальної особи? Які обов’язки покладаються на неї? Чи може бути на підприємстві кілька осіб, які відповідають за захист персональних даних?
Згода та інші підстави для обробки персональних даних: застосовуємо правильно
Перша редакція Закону України «Про захист персональних даних» передбачала, що персональні дані фізичної особи можна обробляти або на підставі її згоди, або на підставі дозволу, наданого володільцю персональних даних відповідно до закону виключно для здійснення його повноважень. Наприкінці 2012 року внесено зміни до Закону «Про захист персональних даних»: перелік підстав для обробки персональних даних суттєво розширено. Розглянемо на прикладах, в яких випадках слід застосовувати певну підставу, з’ясуємо, що роботи у разі, коли кандидат на роботу відмовляється надавати згоду на обробку своїх персональних даних
Обробка персональних даних контрагентів
Нова редакція Закону «Про захист персональних даних» передбачає, що укладання та виконання правочину є законною підставою для обробки персональних даних. Разом з цим, чимало питань, пов’язаних з процедурою обробки персональних даних, у т. ч. порядок їх використання, видалення чи знищення, доступу третіх осіб до персональних даних, потребують погодження з контрагентом як суб’єктом персональних даних
Розроблення Положення про порядок обробки та захисту персональних даних
Для регламентації комплексу заходів із обробки та захисту персональних даних доцільно розробити на підприємстві, в установі, організації окремий локальний нормативний акт, наприклад, Положення про порядок обробки та захисту персональних даних. З урахуванням специфіки підприємства, категорій персональних даних, що обробляються, локальний акт може поширюватися на всі бази персональних даних, утім, у певних випадках є сенс розробляти окремі локальні акти для різних баз
Положення про порядок обробки та захисту персональних даних працівників та контрагентів (приклад розроблення)
Згода на обробку персональних даних (рекомендована форма)
Журнал реєстрації документів з питань обробки персональних даних працівників (рекомендована форма)
Зобов’язання про нерозголошення персональних даних (рекомендована форма)
Журнал реєстрації зобов’язань про нерозголошення персональних даних (рекомендована форма)
Реєструємо бази персональних даних
Одне з призначень реєстрації — підтвердження зобов’язання володільця персональних даних щодо забезпечення їх захисту. У пригоді Вам стане рекомендована форма звернення володільця персональних даних до Державної служби України з питань захисту персональних даних щодо нереєстрації бази персональних даних «Працівники» у зв’язку зі змінами до Закону України «Про захист персональних даних»
Згода на обробку персональних даних при повторному прийнятті на роботу: чи потрібна?
Робоча ситуація: «На нашому підприємстві щороку укладаються строкові трудові договори на період опалювального сезону з операторами котелень. Як правило, це одні й ті самі особи з року в рік. Минулого року при укладанні трудового договору особи, які приймалися операторами котелень, вже надали нам згоди на обробку персональних даних. Чи потрібно при повторному укладанні трудового договору отримувати від працівників нову згоду?»
Працівник, який звільняється, вимагає знищити його персональні дані: чи правомірна вимога?
Робоча ситуація: «Працівник, який звільняється, звернувся до кадрової служби з вимогою знищити після звільнення всі його персональні дані, аргументуючи тим, що таке право передбачено законом. Чи зобов’язані ми задовольнити вимогу працівника?»
Аудиторська перевірка і захист персональних даних
Робоча ситуація: «Аудиторська компанія проводить щорічний аудит діяльності нашого підприємства. Чи вважається вона розпорядником наших персональних даних? На яких умовах аудитори можуть бути допущені до баз персональних даних підприємства?»
Передання персональних даних колишнього працівника юридичній фірмі, що представлятиме інтереси роботодавця під час розгляду трудового спору
Робоча ситуація: «Колишній працівник підприємства звернувся до суду з позовом про поновлення на роботі. Триває судовий розгляд трудового спору. Для представництва наших інтересів у суді ми залучили юридичну компанію, і відповідно вони працюють з копіями кадрових документів колишнього працівника. Чи потрібно отримувати згоду особи на передання її персональних даних юридичній компанії, яка захищає інтереси підприємства у суді? Яких вимог у сфері захисту персональних даних слід дотримати у цій ситуації?»
Порядок надання конфіденційної інформації про особу на вимогу правоохоронних органів
Робоча ситуація: «До нашої організації надійшов лист з районної прокуратури щодо надання інформації про зареєстроване місце проживання, рік народження, розмір заробітної плати деяких наших працівників. Чи має право наша організація відмовити у наданні цієї інформації?»
Захист персональних даних у первинних профспілкових організаціях
Яким чином дотримувати вимог Закону України «Про захист персональних даних» в первинних профспілкових організаціях, в об’єднаннях профспілок? Чи слід реєструвати базу персональних даних членів профспілки? Хто є володільцем персональних даних — профком чи організація, в якій діє профспілка?
Особливості захисту персональних даних неповнолітніх працівників
Робоча ситуація: «Плануємо прийняти на роботу кількох школярів на час літніх канікул. Чи потрібно отримувати від них згоду на обробку персональних даних? Якщо так, то хто має надавати згоду — неповнолітні чи їхні батьки? Кого саме слід повідомляти про склад та зміст даних, що збираються, мету обробки персональних даних, права у сфері захисту персональних даних, осіб, яким передаються дані? Чи має право неповнолітній працівник надавати зобов’язання про нерозголошення персональних даних?»
Запровадження захисту персональних даних у новоствореній організації (покроковий алгоритм)
НОРМАТИВНО-ПРАВОВІ АКТИ З ПИТАНЬ ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ
Нормативна база захисту персональних даних
Розпочинати роботу із запровадження захисту персональних даних на підприємстві, в установі, організації варто з ознайомлення з нормативно-правовими актами, що діють у цій сфері
Наказ Міністерства юстиції України «Про затвердження Типового порядку обробки персональних даних у базах персональних даних» від 30.12.2011 № 3659/5
ВІДПОВІДАЄМО НА ЗАПИТАННЯ, ЩО ВИНИКАЮТЬ НАЙЧАСТІШЕ
Чи можна зберігати згоди на обробку персональних даних в особових справах працівників?
Чи мають працівники-іноземці надавати згоду на обробку своїх персональних даних?
Чи вважати розпорядником баз персональних даних ІТ-фахівця, що обслуговує комп’ютерну мережу підприємства на умовах цивільно-правового договору?
Чи поширюється Закон України «Про захист персональних даних» на померлих осіб?