Відповідно до Закону України «Про захист персональних даних» обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб'єкта персональних даних. При прийнятті на роботу роботодавець має отримати від працівника документовану згоду на обробку його персональних даних

     Відповідно до Закону України «Про захист персональних даних» від 1 червня 2010 р. № 2297-Х/І (далі — Закон № 2297), який набрав чинності 1 січня 2011 року, персональні дані, крім знеособлених персональних даних, за режимом доступу є інформацією з обмеженим доступом.
     Персональні дані — це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована (ст. 2 Закону № 2297).
     Персональні дані, які обробляються в базах персональних даних (зокрема, персональні дані найманих працівників), є об'єктами захисту.
     Обсяг персональних даних, які можуть бути включені до бази персональних даних, визначається умовами згоди суб'єкта персональних даних або відповідно до закону.
     Згідно з пунктом 1 статті 11 Закону № 2297 підставами виникнення права на використання персональних даних є:
     - згода суб'єкта персональних даних на обробку його персональних даних; суб'єкт персональних даних має право при наданні згоди внести застереження стосовно обмеження права на обробку своїх персональних даних;
     - дозвіл на обробку персональних даних, наданий володільцю бази персональних даних відповідно до закону виключно для здійснення його повноважень.
     Відповідно до пункту 5 статті 6 Закону № 2297 обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб'єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством.
     Згода суб'єкта персональних даних — будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки (ст. 2 Закону № 2297).
     Таким чином, підприємствам, установами і організаціями незалежно від форм власності (далі — підприємство) необхідно отримувати документовану згоду від фізичних осіб — найманих працівників для цілей обробки документації при здійсненні своєї діяльності.
     Згода працівника на обробку його персональних даних має бути оформлена письмово (наприклад, у формі заяви) .
     Згоду на обробку персональних даних слід отримати від усіх працівників, прийнятих після 1 січня 2011 року.
     Щодо працівників, прийнятих до 1 січня 2011 року, зауважимо таке.
     Отримання згоди працівника на обробку його персональних даних відповідно до сформульованої мети їх обробки є підставою для виникнення права щодо обробки персональних даних найманих працівників.
     Втім, згода повторно не надається, якщо володілець бази персональних даних (роботодавець) продовжує обробляти персональні дані працівника відповідно до правовідносин на основі вільного волевиявлення працівника, що виникли до набрання чинності Законом № 2297.
     Однак згоду працівника потрібно отримати у разі зміни визначеної мети обробки персональних даних або складу та змісту персональних даних, що обробляються.
     Звертаємо увагу, що відповідно до Закону № 2297 володілець бази персональних даних повинен забезпечити захист цих даних.
     Умови захисту персональних даних залежать від конкретних реальних загроз, природи персональних даних, які обробляються, технології обробки інформації та типу інформаційної системи, у рамках якої обробляються персональні дані.
     У кожному випадку роботодавець може провести детальний аналіз загроз та інших факторів, які впливають на рівень ризику. На основі аналізу ризиків роботодавець може вирішити, який рівень захищеності бази персональних даних є необхідним.
     Обробка персональних даних працівників є планомірним процесом на підприємстві та має включати такі етапи:
     1) первинна оцінка стану обробки персональних даних;
     2) планування та впровадження системи управління персональними даними;
     3) забезпечення поточного функціонування системи управління персональними даними;
     4) періодична та поточна оцінка ефективності системи управління персональними даними;
     5) удосконалення системи управління персональними даними.
 
     На виконання Закону України «Про захист персональних даних» з 1 липня 2011 року розпочато реєстрацію баз персональних даних найманих працівників


     Відповідно до законодавства кожне підприємство, установа, організація (далі — підприємство) веде первинний облік персоналу, зокрема, створює картотеки особових карток (форма № П-2), формує для працівників особові справи, тобто збирає та обробляє персональні дані осіб. Важливою законодавчою новацією є необхідність реєстрації бази персональних даних найманих працівників.
     Відносини, пов'язані із захистом персональних даних під час їх обробки, регулюються Законом України «Про захист персональних даних» від 1 червня 2010 р. № 2297Л/І (далі — Закон № 2297).
     Персональні дані — визначимось з терміном
     Відповідно до статті 2 Закону № 2297 персональні дані — це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована
     Персональні дані, крім знеособлених персональних даних, за режимом доступу є інформацією з обмеженим доступом (п 2. ст. 5 Закону № 2297).
     При цьому законом може бути заборонено віднесення персональних даних певних категорій громадян чи їх вичерпного переліку до інформації з обмеженим доступом. Так, персональні дані фізичної особи, яка претендує зайняти чи займає виборну посаду (у представницьких органах) або посаду державного службовця першої категорії, не належать до інформації з обмеженим доступом, за винятком інформації, яка визначена такою відповідно до закону (п. З, 4 ст. 5 Закону № 2297).
     До персональних даних належать відомості, що містяться в первинних та інших джерелах про фізичну особу.
     За природою відомостей до персональних даних належать:
     об'єктивні відомості про фізичну особу (біометричні дані, стан банківського рахунку тощо);
     суб'єктивні відомості про фізичну особу (автобіографія, характеристика, матеріали атестації, опис особистих якостей фізичної особи, досьє тощо);
     Закон № 2297 вводить такий термін як база персональних даних — це іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних (ст. 2 Закону № 2297).
     Документація підприємств в електронній формі та/або у формі картотек, що містить певним чином структуровані персональні дані найманих працівників, підпадає під визначення «база персональних даних» відповідно до статті 2 Закону № 2297.
     З точки зору Закону № 2297 підприємство є володільцем бази персональних даних (фізична або юридична особа, якій законом або за згодою суб'єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом).
     Державна служба України з питань захисту персональних даних
     Уповноваженим державним органом з питань захисту персональних даних є Державна служба України з питань захисту персональних даних (далі— ДСЗПД), положення про яку затверджено Указом Президента України від 6 квітня 2011 р. № 390/2011 (далі — Положення про ДСЗПД). ДСЗПД реалізує державну політику у сфері захисту персональних даних та контролює додержання вимог законодавства про захист персональних даних.
     ДСЗПД України відповідно до покладених на неї завдань, зокрема:
     - розробляє критерії ризику незаконного використання та розголошення інформації, що міститься в базах персональних даних;
     - розробляє методичні матеріали і рекомендації з питань, віднесених до її компетенції;
     - розробляє типовий порядок обробки персональних даних у базах персональних даних;
     - розробляє критерії і порядок оцінювання стану захищеності персональних даних у базах персональних даних підприємств усіх форм власності, державних органів чи органів місцевого самоврядування, фізичних осіб — підприємців, які обробляють персональні дані відповідно до закону;
     - реєструє бази персональних даних та веде Державний реєстр баз персональних даних, надає витяги із нього; визначає вимоги до документів, що подаються для реєстрації баз персональних даних;
     - у межах компетенції розглядає пропозиції, запити, звернення, вимоги та скарги фізичних та юридичних осіб, органів; видає документи встановленого зразка про реєстрацію баз персональних даних у Державному реєстрі баз персональних даних;
     - розробляє та затверджує плани перевірок володільців та (або) розпорядників баз персональних даних щодо дотримання ними вимог законодавства у сфері захисту персональних даних;
     - проводить у межах своїх повноважень виїзні та безвиїзні перевірки володільців та (або) розпорядників баз персональних даних;
     - видає володільцям та (або) розпорядникам баз персональних даних обов'язкові до виконання приписи щодо усунення порушень законодавства про захист персональних даних та вимагає надання необхідної інформації та документів, що підтверджують усунення виявлених порушень;
     - складає адміністративні протоколи про виявлені порушення законодавства у сфері захисту персональних даних;
     - передає правоохоронним органам матеріали про виявлені порушення у сфері захисту персональних даних та ін.
     ДСЗПД України для виконання покладених на неї завдань має право, зокрема, одержувати інформацію, документи і матеріали від державних органів та органів місцевого самоврядування, підприємств усіх форм власності та їх посадових осіб.
     Обробка персональних даних працівників на підприємствах
     Загальні вимоги до обробки підприємствами персональних даних найманих працівників визначені статтею б Закону № 2297. Так, мета обробки персональних даних має бути сформульована в положеннях, установчих чи інших документах, які регулюють діяльність володільця бази персональних даних, та відповідати законодавству про захист персональних даних.
     У разі зміни визначеної мети обробки персональних даних суб'єктом персональних даних має бути надана згода на обробку його даних відповідно до зміненої мети.
     Персональні дані працівників, що зберігаються та обробляються на підприємстві, мають бути точними, достовірними, у разі необхідності — оновлюватися. Склад та зміст персональних даних мають бути відповідними та ненадмірними стосовно визначеної мети їх обробки.
     Обсяг персональних даних, які можуть бути включені до бази персональних даних, визначається умовами згоди суб'єкта персональних даних або відповідно до закону.
     Первинними джерелами відомостей про фізичну особу (найманого працівника) є: видані на її ім'я документи; підписані нею документи; відомості, які особа надає про себе.
     Згідно із пунктом 6 статті 6 Закону № 2297 не допускається обробка даних про фізичну особу (працівника) без ЇЇ згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
     Наразі ДСЗПД розроблено проект Типового порядку обробки персональних даних у базах персональних даних, який винесено на громадське обговорення.
     Так, типовими цілями обробки персональних даних є, зокрема, забезпечення реалізації трудових відносин; адміністративно-правових (у т. ч. відносин у сфері державного управління), податкових відносин та відносин у сфері бухгалтерського обліку; відносин у сфері управління людськими ресурсами, зокрема, кадровим потенціалом.
     Державний реєстр баз персональних даних
     Відповідно до статті 9 Закону № 2297 база персональних даних підлягає державній реєстрами шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних.
     На виконання вимог Закону № 2297 та відповідно до Положення про ДСЗПД створено Державний реєстр баз персональних даних — єдину державну інформаційну систему збору, накопичення та обробки відомостей про зареєстровані бази персональних даних (далі— Реєстр). Положення про Державний реєстр баз персональних даних та порядок його ведення затверджені постановою Кабінету      Міністрів України від 25 травня 2011 р. № 616 (далі— Положення про Державний реєстр).
     Реєстрацію баз персональних даних розпочато з 1 липня 2011 року.
     Державній реєстрації підлягають усі бази персональних даних в електронному вигляді та/або у формі картотек, у яких обробляються персональні дані, незалежно від обсягу та форми їх застосування, виду діяльності.
     Звертаємо увагу, якщо на підприємстві обробляються персональні дані у вигляді картотеки особових карток (за типовою формою № П-2), особових справ та в автоматизованій системі (наприклад, 1С), але мета обробки цих даних однакова (зокрема, забезпечення реалізації трудових відносин, відносин у сфері управління людськими ресурсами, кадровим потенціалом), то такі відомості на розсуд володільця можуть розглядатися як одна база (у цьому разі вона вважається базою, до якої застосовується змішаний, тобто автоматичний та неавтоматичний, спосіб обробки даних).
     Заява про реєстрацію бази персональних даних
     Бази персональних даних реєструють за результатами розгляду заяв володільців баз персональних даних про таку реєстрацію.
Реєстрація здійснюється ДСЗПД.
     Форми заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних і порядок їх подання затверджені наказом Міністерств юстиції України від 8 липня 2011 р. № 1824/5  (далі— Наказ № 1824/5).
     Заяву подає володілець бази або уповноважена ним особа (далі — заявник). При цьому, щодо кожної бази даних, яка перебуває у володінні заявника, подається окрема заява. Так, якщо окрім бази персональних даних найманих працівників підприємство веде базу персональних даних клієнтів, як правило, реєстрації підлягають обидві бази за окремими заявами.
     Заява заповнюється державною мовою та подається в паперовій або електронній формі.
     В електронній формі заяви подаються відповідно до вимог Законів України «Про електронний цифровий підпис» від 22 травня 2003 р. № 852-ІУ та «Про електронні документи та електронний документообіг» від 22 травня 2003 р. № 851-IV. При цьому ДСЗПД обробляє заяви у формі електронного документу, підписані володільцями, що отримують послуги електронного цифрового підпису (ЕЦП) у акредитованих центрах сертифікації ключів, які надали у розпорядження ДСЗПД надійні засоби ЕЦП.
     Перелік акредитованих центрів, які надали у розпорядження ДСЗПД надійні засоби ЕЦП, розміщено на сайті www.zpd.gov.ua у розділі «Реєстрація баз персональних даних».
     Звертаємо увагу, що з серпня 2011 року заявники отримали можливість подавати заяви безпосередньо через сайт Державного реєстру баз персональних даних https://rpbd.informjust.ua, який створено адміністратором Реєстру — ДП «Інформаційний центр» Міністерства юстиції України. На таку заяву також накладається ЕЦП згідно з вимогами статті 3 Закону № 852, у такому разі паперову копію заяви подавати не потрібно.
     У разі подання заяв у паперовій формі (див. Додаток) заявник підписує кожну сторінку заяви та скріплює її печаткою (за наявності). Бажано подавати також і електронну копію заяви.
     При заповненні заяви вибрана заявником ознака зазначається символом «х».
     Назву підприємства — юридичної особи слід зазначати повністю, без скорочень відповідно до установчих документів та/або свідоцтва про державну реєстрацію юридичної особи.
     У полі «Місцезнаходження бази персональних даних» (розділ II) зазначається: для баз даних у вигляді картотек — адреса фактичного розміщення, для баз даних в електронній формі — фактичні адреси зберігання носіїв інформації {у Додатку наведено приклад, коли адреса підприємства та адреса фактичного розміщення баз відрізняються).
     У разі реєстрації бази персональних даних працівників розділ IV, що містить інформацію про розпорядників бази персональних даних, як правило, не заповнюється.
     Сторінки 4 і 5 форми заяви заповнюються та подаються лише за необхідності (у разі якщо розпорядників та/або місць знаходження бази персональних даних більше одного).
     Усі дати в заяві слід вказувати арабськими цифрами у форматі — день, місяць, рік (наприклад, 22.09.2011).
     Сторінки заяв нумеруються, на кожній сторінці заяви зазначаються номер сторінки та загальна кількість сторінок.
     У разі якщо необхідно заповнити більше ніж один раз розділи, які містять інформацію про володільця, розпорядників, найменування, місцезнаходження бази персональних даних та мету обробки персональних даних, заявник заповнює у заяві відповідні розділи необхідну кількість разів.
     При заповненні заяви на реєстрацію бази персональних даних найманих працівників зверніть увагу, що заява повинна містити такі відомості:
     - звернення про внесення бази персональних даних до Реєстру;
     - інформація про володільця бази персональних даних:
     - найменування, резидент/нерезидент, код платника податків згідно з ЄДРПОУ або податковий номер (для резидента), місцезнаходження — для юридичних осіб;
     - прізвище, ім'я та по батькові (за наявності), громадянство, номер, серія паспорта та орган, що його видав, а також для громадян України реєстраційний номер облікової картки платника податків (не подається фізичними особами, які через свої релігійні переконання відмовилися від присвоєння реєстраційного номера облікової картки платника податків та офіційно повідомили про це відповідним органам державної влади, що підтверджується відміткою в паспорті), місце проживання — для фізичних осіб;
     - інформація про найменування і місцезнаходження бази персональних даних:
     - адреса фактичного розміщення — для баз даних у формі картотек;
     - фактичні адреси зберігання носіїв Інформації — для баз даних в електронній формі;
     - інформація про мету обробки персональних даних у базі персональних даних з посиланням на нормативно-правові акти, положення, установчі чи інші документи, які регулюють діяльність
     - володільця бази персональних даних, у т. ч. про їх категорії та правові підстави такої обробки; - документ, що підтверджує зобов'язання стосовно виконання вимог законодавства щодо захисту персональних даних.
     Свідоцтво про державну реєстрацію бази персональних даних
     Про отримання заяви ДСЗПД повідомляє заявникові не пізніше наступного робочого дня з дня надходження заяви.
     Наказ Міністерства юстиції України «Про затвердження форм заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних і порядку їх подання» від 8 липня 2011 р. № 1824/5, зареєстровано в Мін'юсті 19 липня 2011 р. за № 890/19628
     ДСЗПД у зв'язку з отриманням заяви вносить до Реєстру такі відомості:
     - інформація про заявника;
     - найменування бази персональних даних;
     - дата реєстрації заявником та вихідний номер (за наявності) заяви.
     Після внесення до Реєстру відомостей про заяву їй автоматично (з використанням програмного забезпечення Реєстру) присвоюється реєстраційний номер. При цьому фіксуються дата і час реєстрації заяви.
     Протягом десяти робочих днів з дня надходження відповідної заяви ДСЗПД приймає рішення про реєстрацію бази персональних даних шляхом видання її володільцю свідоцтва про державну реєстрацію бази персональних даних чи повідомлення про відмову в реєстрації, про що вносить запис до Реєстру.
     ДСЗПД відмовляє у реєстрації бази персональних даних у разі, коли подані відомості є неповними чи недостовірними.
     Зразок свідоцтва про державну реєстрацію бази персональних даних затверджено наказом Міністерства юстиції України від 19 липня 2011 р. №889/19627.
     Згідно з пунктом 10 Порядку подання заяв, затвердженого Наказом № 1824/5, свідоцтво видається заявнику або уповноваженому ним представнику за довіреністю та пред'явленим документом, що посвідчує особу, або ДСЗПД надсилає свідоцтво поштою рекомендованим листом з описом вкладення.
     Повідомлення про зміни відомостей щодо володільця бази або її місцезнаходження
     Про кожну зміну щодо володільця та розпорядників бази персональних даних, місцезнаходження бази володілець бази персональних даних зобов'язаний не пізніш як протягом десяти робочих днів з дня настання такої зміни повідомляти ДСЗПД шляхом подання заяви про внесення змін до відомостей Державного реєстру баз персональних даних.
     Заява подається за формою, затвердженою Наказом № 1825/5.
     ДСЗПД повідомляє заявника про прийняте рішення щодо внесення змін до відомостей Державного реєстру баз персональних даних у тій самій формі, в якій було отримано таку заяву.