Регистрация базы персональных данных от А до Я

12 декабря, 2011 | рубрика Отчетность и бланки Отметьте если Вам понравилось |  Распечатать

Хотя процедура регистрации персональных данных довольно простая, но все равно пользователи сталкиваются с рядом проблем. В этом материале предлагаем Вам детальную информацию, которая пригодится и тем предприятиям, которые уже зарегистрировали базу.

ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ. ЩО ПОТРІБНО ЗРОБИТИ ПІДПРИЄМСТВУ?

31 січня 2012 року запроваджується адміністративна і кримінальна відповідальність за порушення законодавства у сфері захисту персональних даних. За допомогою ПОКРОКОВИХ ДІЙ ви зможете своєчасно та без помилок дотримати вимоги Закону України «Про захист персональних даних», визначити, які бази персональних даних є на вашому підприємстві, чи є у цих баз розпорядники.

1 січня 2011 року набрав чинності Закон України «Про захист персональних даних» від 1 червня 2010 р. № 2297-УІ {далі - Закон № 2297). Протягом року розроблено низку підзаконних актів, які кон­кретизують порядок дій підприємства, установи, організації, спрямованих на виконання Закону № 2297.

Давайте систематизуємо, що має зробити підприємство покроково, щоб забезпечити дотримання вимог законодавства та упевнено почуватися при перевірках.

1. Опановуємо нормативну базу у сфері захисту персональних даних

Захист персональних даних - нова для вітчизняної правової систе­ми сфера. Безумовно, керівник підприємства, його заступники, керівни­ки та працівники юридичних, кадрових, бухгалтерських служб, керівник ІТ-відділу мають ознайомитися з прийнятими нормативними актами:

• Закон № 2297;
• Положення про Державну службу України з питань захисту персо­нальних даних (Указ Президента України від 6 квітня 2011 р. № 390/2011 )*:
• Положення про Державний реєстр баз персональних даних та по­рядок його ведення (постанова Кабінету Міністрів України від 25 травня 2011р. №61 б)*;
• «Про затвердження форм заяв про реєстрацію бази персональ­них даних та про внесення змін до відомостей Державного реєстру баз персональних даних і порядку їх подання» (наказ Міністерства юстиції України від 8 липня 2011 р. № 1824/5, зареєстровано в Мін’юсті 19 липня 2011 р. за №890/19628)*;
• «Про затвердження зразка свідоцтва про державну реєстрацію бази персональних даних» (наказ Міністерства юстиції України від 8 липня 2011 р. № 1823/5, зареєстровано в Мін’юсті 19 липня 2011 р. за № 889/19627}*.

Зверніть увагу, що для цілей закону використовується такий термін як обробка персональних даних - будь-яка дія або сукупність дій, здій­снених повністю або частково в інформаційній (автоматизованій) систем та/або в картотеках персональних даних, які пов’язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновлен­ням, використанням і поширенням (розповсюдженням, реалізацією, пе­редачею), знеособленням, знищенням відомостей про фізичну особу.

Приймаючи особу на роботу або укладаючи цивільно-правовий до­говір на виконання робіт (надання послуг), підприємство отримує від особи паспортні дані, ідентифікаційний код, у необхідних випадках - документи про освіту, склад сім’ї  як передбачено трудовим або госпо­дарським законодавством. У цьому контексті отримання відомостей - це і є збирання персональних даних.

Відомості про працівників систематизуємо та зберігаємо в особо­вих картках (типова форма № П-2), особових справах, інколи - в ін­формаційних базах бухгалтерських чи кадрових програм. Отже, гово­римо про накопичення персональних даних та їх зберігання.

При цьому зберігання персональних даних передбачає дії щодо забезпечення їх цілісності та відповідного режиму доступу до них (ст.13 Закону № 2297; зокрема, маємо обмежити доступ до місць зберігання персональних даних, а у випадках електронних баз - розмежувати доступ відповідно до повноважень поса­дових осіб, забезпечити захист інформації в інформаційних системах).

Працівниця вийшла заміж, змінила прізвище, змінилися паспортні дані… Вно­симо зміни до особової картки, особової справи, трудової книжки, інших облікових документів - і говоримо про зміну пер­сональних даних.

Дійсно, термінологія нова і незвична, але упевнені, мине зовсім небагато часу і нові поняття стануть частиною щоденної практики. То є лише справою часу.

Проаналізувавши зазначені норматив­ні акти, визначаємо комплекс дій: що слід зробити, аби привести процеси та проце­дури обробки персональних даних у від­повідність до Закону № 2297.

Інформація про фізичну особу

1.   інформація про фізичну особу (персональні дані) - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована,

2.   Не допускаються збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та захисту прав людини. До конфіденційної інформації про фізичну особу належать, зокрема, дані про її національність, освіту, сімейний стан, релігійні переконання, стан здоров’я, а також адреса, дата і місце народження.

Кожному забезпечується вільний доступ до інформації, яка стосується його особисто, крім випадків, передбачених законом

Стаття 11 Закону України «Про інформацію» від 2 жовтня 1992 р. № 2657-ХІІ

2. Готуємо проект наказу про приведення процесів та процедур обробки персональних даних у відповідність до законодавства

Дії щодо приведення процесів та процедур обробки персональних даних у відповідність до законодавства слід зафіксувати у розпорядчо­му документі - наказі з основної діяльності

Приклад оформлення наказу про приведення процесів та процедур

обробки персональних даних у відповідність до законодавства

Товариство з обмеженою відповідальністю «Грамота»

НАКАЗ

05.12.2011                              м. Київ         N«234

Про приведення процесів та процедур

обробки персональних даних

у відповідність до законодавства

На виконання Закону України «Про захист персональних даних» від 1 червня 2010 р. К» 2297-УІ, відповідно до Положення про Державний реєстр баз персональних даних та порядок його ведення, затвердженого постановою Кабінету Міністрів України від 25 травня 2011 р. № 616, наказу Міністерства юстиції України від 8 липня 2011р. № 1824/5, з метою створення дієвої системи управління персональними даними.

НАКАЗУЮ:

1.    Створити робочу групу з визначення баз персональних даних, що обробляються

у діяльності Товариства, у складі:

голова групи -   Панченко В. К., заступник директора; члени групи -    Соловейко О. М., начальник відділу кадрів;

Бакаляр П. Р., начальник юридичного відділу;

Радченко Г. Д., заступник головного бухгалтера;

Кузьменко І. Г., начальник відділу інформаційних технологій.

2.    Робочій групі:

2.1. До 09.12.2011:

2.1.1.Провести аналіз процесів обробки персональних даних відповідно до основних завдань і функцій.

2.1.2.             Відповідно до пунктів 2,3 статті 6 Закону України «Про захист персональних даних» проаналізувати склад та зміст персональних даних, що обробляються, та визначити, чи не є вони надмірними стосовно мети їх обробки.

2.1.3.             Визначити мету обробки персональних даних та кількість баз персональних да¬них, що підлягають державній реєстрації; наявність розпорядників баз.

2.1.4.             Результати роботи групи подати директору у письмовій формі для погодження.

2.2. До 20.12.2011розробити проект Положення про захист персональних даних у ТОВ  «Грамота».

3.    Бакаляру П. Р, начальнику юридичного відділу, підготувати до 08.12.2011 проект змін до Статуту Товариства щодо формулювання мети обробки персональних даних у Товаристві (згідно з п. 1 ст. 6 Закону України «Про захист персональних даних»).

4.    Соловейко О. М., начальнику відділу кадрів, до 09.12.2011:

4.1. Забезпечити отримання документованої згоди на обробку персональних даних від працівників.

4.2. Письмово повідомити працівників про права, визначені законодавством у сфері захисту персональних даних, мету обробки персональних даних та осіб, яким передаються персональні дані, у строки, визначені законодавством.

4.3. Привести посадові інструкції працівників відділу кадрів у відповідність до законодавства про захист персональних даних та подати проекти посадових інструкцій на затвердження директору.

5.    Соловейко О. М., Бакаляр П. Р.:

5.1. Провести 12.12.2011 семінар з керівниками структурних підрозділів Товариства з метою інформування про вимоги законодавства у сфері захисту персональних даних.

5.2. Визначити до 15.12,2011 перелік посад, виконання обов’язків за якими пов’язано з обробкою персональних даних, та підготувати проекти змін до відповідних посадових інструкцій, погодити проекти з керівниками структурних підрозділів, подати посадові інструкції на затвердження до 29.12.2011.

5.3. Отримати до 20.12.2011 від працівників, робота яких пов’язана з обробкою персональних даних, письмові зобов’язання щодо недопущення розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв’язку з виконанням професійних чи службових або трудових обов’язків.

6.    Панченку В. К. до 14.12.2011:

6.1. Організувати роботу з отримання згоди на обробку персональних даних від фізичних осіб, дані яких включаються до баз персональних даних, та забезпечити повідомлення зазначених осіб про права, визначені законодавством у сфері захисту персональних даних, та мету обробки персональних даних.

6.2. Подати заяви про реєстрацію баз персональних даних згідно з погодженим директором переліком баз до Державної служби України з питань захисту персональних даних.

7.    Призначити Панченка В. К. відповідальним за організацію роботи, пов’язаної із захистом персональних, даних при їх обробці.

8.    Контроль за виконанням наказу залишаю за собою.

Директор                  ____________________________________

Візи усіх осіб робочої групи

3. Визначаємо, які бази персональних даних є на підприємстві

Відповідно до статті 2 Закону № 2297 персональні дані - це відомос­ті чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Так, до персональних, безумовно, належать паспортні дані, адреса місця реєстрації, номери домашнього та мобільного телефонів тощо.

Важливо, що термін «персональні дані» стосується лише фізичних осіб.

Фіксуючи персональні дані у певному порядку у картотеці, файлі, ми впритул підходимо до терміну «база персональних даних».

Важливо розуміти, що база персональних даних - це умовне аб­страктне поняття. Закон № 2297 визначає цей термін як «іменована су­купність упорядкованих персональних даних в електронній формі та/ або у формі картотек персональних даних», для якої володілець пови­нен визначити та затвердити мету обробки, встановити склад персо­нальних даних та процедури їх обробки.

Картотека особових карток (типова форма № П-2), усі особові справи працівників, довідник з відомостями про працівників у бухгалтерській програмі  - все це може бути визначено як одна умовна база персональних даних «Працівники» або як складова частина такої бази, що залежить від визначеної мети обробки, складу персональних даних та процедур їх обробки. Історії хвороби, амбулаторні картки хворих, інші відомості про фізичних осіб, які звернулися до лікарні, можуть бути визначені як одна умовна база «Пацієнти».

Кожне підприємство при провадженні господарської діяльності має справу з фізичними особами: з працівниками, з особами, що виконують роботи (надають послуги) за цивільно-правовими договорами. І контр­агенти можуть бути фізичними особами, і клієнти… Звісно, підприємство отримує від фізичних осіб їхні персональні дані.

Отже, у більшості випадків на підприємстві можна виділити кілька умовних баз персональних даних. За наявності найманих працівників буде база персональних даних «Працівники». Також, як правило, буде база, яку можемо назвати, наприклад, так: «Фізичні особи, персональ­ні дані яких обробляються у ході ведення господарської діяльності». До цієї бази можемо зарахувати персональні дані фізичних осіб - під­рядників, клієнтів, контрагентів або персональні дані фізичних осіб, що перебувають у трудових відносинах з юридичною особою - під­рядником, клієнтом, контрагентом. Акціонерне товариство може від­нести до цієї бази персональні дані фізичних осіб - акціонерів.

«Плодити» безліч баз немає потреби - все, що пов’язано з госпо­дарською діяльністю, може бути згруповано в одну умовну базу.

Тож, перше завдання - визначити, які саме бази існують на підпри­ємстві.

4. Визначаємо мету обробки по кожній з баз персональних даних

Далі маємо з’ясувати, з якою метою обробляються персональні дані по кожній з баз (у подальшому при оформленні різних документів мету обробки персональних даних доведеться зазначати часто).

Визначити мету обробки можна, скориставшись примірним перелі­ком типових цілей обробки персональних даних.

Так, типовими цілями обробки персональних даних є забезпечен­ня реалізації:

• трудових відносин;
• відносин у сфері управління людськими ресурсами, зокрема, ка­дровим потенціалом;
• адміністративно-правових (у т. ч. відносин у сфері державного управління), податкових відносин та відносин у сфері бухгалтер­ського обліку;
• відносин у сфері економічних, фінансових послуг та страхування;
• відносин у сфері реклами та збору персональних даних у комер­ційних цілях;
• відносин у сфері телекомунікаційних послуг;
• відносин у сфері громадської, політичної та релігійної діяльності, культури, дозвілля, спортивної та соціальної діяльності;
• відносин у сфері освіти;
• відносин у сфері охорони здоров’я;
• відносин у сфері безпеки, включаючи пи­тання приватних розслідувань, побудови системи приватної безпеки та приватної охорони;
• відносин у сфері транспорту;
• відносин у сфері науки, історичних дослі­джень та статистики;
• інших відносин, що вимагають обробки пер­сональних даних.

З наведеного переліку підприємство може само­стійно вибрати те, що відповідає специфіці його ді­яльності та категорії осіб, дані яких обробляються.

Розглянемо на прикладах.

Персональні дані у базі «Працівники» ми обро­бляємо з метою забезпечення реалізації трудових відносин (пригадайте ст. 24 КЗпП, відповідно до якої при прийнятті на роботу особа повинна на­дати паспорт та інші документи), адміністративно-правових, податкових відносин. І звісно відносин у сфері бухгалтерського обліку.

Лікарня оброблятиме дані пацієнтів для забезпе­чення реалізації відносин у сфері охорони здоров’я.

Торгова мережа, яка пропонує покупцям запо­внити анкету і отримати дисконтну картку, обро­блятиме відповідні персональні дані з метою за­безпечення реалізації відносин у сфері реклами та збору персональних даних у комерційних цілях (до цього можна додати й «для реалізації марке­тингових досліджень»).

База персональних даних «Студенти» у виші об­робляється з метою забезпечення відносин у сфе­рі освіти.

З точки зору Закону № 2297 підприємство є володільцем бази (баз). Закон визначає що володілець бази - це фізична або юридична осо­ба, якій законом або за згодою суб’єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональ­них даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом.

Зверніть увагу, що мета (цілі) обробки персональних даних повинні відповідати цілям діяльності володільця бази персональних даних, що зафіксовані в його установчих документах та/або передбачені законодавством України, що регулює діяльність володільця бази.

5. Визначаємо, чи є розпорядники баз персональних даних

Відповідно до статті 2 Закону № 2297 розпорядник бази персо­нальних даних - фізична чи юридична особа, якій володільцем бази персональних даних або законом надано право обробляти ці дані.

Володілець бази персональних даних може доручити обробку пер­сональних даних розпоряднику бази персональних даних відповідно до договору в письмовій формі.

Розпорядники є далеко не завжди, але можна виділити кілька ситуа­цій, коли розпорядники присутні.

Наприклад, якщо на підприємстві немає відділу кадрів, а кадрове діловодство ведеться сторонньою консалтинговою чи аутсорсінговою фірмою, ця фірма може вважатися розпорядником бази «Праців­ники».

6. Аналізуємо, чи не є склад та зміст персональних даних надмірними

Пунктами 2 та 3 статті б Закону № 2297 встановлено, що персональні дані їх склад та зміст мають бути точними, достовірними, відповідними та ненадмірними стосовно визначеної мети їх обробки.

Що це означає, пояснимо на прикладі. Кілька тижнів тому експертам редакції журналу довелося заповнювати картки гостя в одному з готе­лів Дніпропетровська. Аби поселитися, потрібно було переписати до картки усі паспортні дані, вказати вік, номери домашнього та мобільно­го телефонів, електронну адресу, місце роботи, посаду, адресу видав­ництва. Яким чином ці відомості допоможуть готелю у господарській діяльності ще можна зрозуміти, але з якою метою до картки гостя вклю­чено графу «Місце народження» з’ясувати так і не вдалося… Очевидно, що ці відомості є надмірними.

Отже, проаналізувавши склад і зміст персональних даних, підприєм­ство має визначити, чи всі складові дійсно потрібні.

7. Готуємо проект змін до установчих документів

Відповідно до пункту 1 статті б Закону № 2297 мета обробки персо­нальних даних має бути сформульована у законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регу­люють діяльність володільця бази персональних даних, та відповідати законодавству про захист персональних даних.

На виконання наказу про приведення процесів та процедур оброб­ки персональних даних у відповідність до законодавства необхідно внести зміни до установчих документів підприємства щодо визначення мети обробки персональних даних. На практиці внесення змін до статуту (положення про підприємство) зазвичай покладається на юридичну службу (юрисконсульта).

8. Отримуємо від працівників документовану згоду на обробку персональних даних, розробляємо шаблон заяви про згоду на обробку персональних даних

3 метою приведення кадрової документації у відповідність до законодавства, від усіх працівників, прийнятих на підприємство після 1 січня 2011 року, слід отримати документовану згоду на обробку їхніх персональних даних, наприклад, у формі заяв. У подальшому таку заяву слід отримувати від кожного працівника, якого приймають на підприємство.

Отримувати заяви на працівників, прийнятих у попередні роки, не потрібно, адже закон не має зворотної сили у часі. Уважається, що обробка персональних даних провадиться на підставі вільного волевиявлення сторін відповідно до правовідносин, що виникли до набрання чинності Закону №2297.

Щодо отримання згоди від інших фізичних осіб у допомозі стане нижченаведений приклад:

Директору ТОВ «Грамота»

Головачу А. С.

Жиленко Інни Василівни

прізвище, ім’я, по батькові

Заява

Відповідно до Закону України «Про захист персональних, даних» від 1 червня 2010 р. № 2297-УІ даю згоду на обробку моїх персональних даних з первинних джерел (у т. ч. паспортні дані, ідентифікаційний код) з метою забезпечення реалізації податкових відносин та відносин у сфері бухгалтерського обліку.

Підприємство може розробити окремі трафаретні форми (шаблони) заяв для різ­них категорій фізичних осіб, персональні дані яких обробляються. Фізичним особам буде потрібно лише вказати прізвище, ім’я, по батькові, проставити дату, підпис.

Звісно, деякі фізичні особи відмовляти­муться надавати згоду, насамперед, через нерозуміння законодавчого підґрунтя об­робки персональних даних, необізнаність у нових вимогах законодавства.

Можна роз’яснювати, навіщо проси­мо про згоду, кожній фізичній особі пер­сонально а можна додати роз’яснення до трафаретної форми заяви.

Ще один варіант - розмістити у місцях обробки (збирання) персональних даних інформаційний стенд з відповідним повідомленням. Наприклад, у готелі текст повідомлення, розміщений у місці оформлення поселення, може бути таким:

«Шановні гості!

При заповненні картки гостя ви надаєте готелю свої персональні дані. У подальшому ці дані використовуватимуться готелем для ре­алізації адміністративно-правових, податкових відносин, відносин у сфері бухгалтерського обліку, а також з метою маркетингових до­сліджень.

Відповідно до Закону України «Про захист персональних даних», який набрав чинності 1 січня 2011 року, ми забезпечуємо захист ваших персональних даних, що стали відомі готелю, зокрема, від несанкціоно­ваного доступу, незаконного використання.

Просимо надати згоду на обробку ваших персональних даних відповід­но до законодавства з метою забезпечення зазначених вище відносин.».

9. Повідомляємо працівників про їхні права у сфері захисту персональних даних, мету обробки персональних даних, розпорядників бази персональних даних (за їх наявності)

Відповідно до статті 12 Закону № 2297 збирання персональних даних є складовою процесу їх обробки, що передбачає дії з підбору чи впо­рядкування відомостей про фізичну особу та внесення їх до бази персо­нальних даних.

Суб’єкта персональних даних протягом десяти робочих днів з дня включення його персональних даних до бази персональних даних не­обхідно повідомити про його права, визначені цим Законом, мету збо­ру даних та осіб, яким передаються його персональні дані, виключно у письмовій формі.

Повідомлення не здійснюється, якщо персональні дані збираються із загальнодоступних джерел.

Зібрані відомості про суб’єкта персональних даних, а також інфор­мація про їх джерела надаються цьому суб’єкту персональних даних за його вимогою, крім випадків, установлених законом.

Отже, наступний крок, який має зробити саме кадрова служба, - повідомити працівників, прийнятих після 1 січня 2011 року, про права, визначені законодавством у сфері захисту персональних даних, мету обробки персональних даних, розпорядників бази персональних даних (за їх наявності).

Направляти повідомлення працівникам, прийнятим у попередні роки, не потрібно. У подальшому маємо надавати таке повідомлення кожному працівнику, прийнятому на роботу, у десятиденний строк з дня оформ­лення особової картки (особової справи) або включення відомостей про працівника до електронної бази даних (бухгалтерська чи кадрова про­грама, зокрема, 1С).

10. Реєструємо бази персональних даних

Відповідно до статті 9 Закону № 2297 база персональних даних під­лягає державній реєстрації шляхом внесення відповідного запису упо­вноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних.

Державний реєстр баз персональних даних - єдина державна ін­формаційна система збору, накопичення та обробки відомостей про за­реєстровані бази персональних даних - створена на виконання вимог Закону №2297.

Реєстрацію баз персональних даних розпочато з 1 липня 2011 року.

Реєстрація здійснюється за заявочним принципом та є безкоштов­ною для володільців БПД.

Державній реєстрації підлягають усі бази персональних даних в елек­тронному вигляді та/або у формі картотек, у яких обробляються персо­нальні дані, незалежно від обсягу та форми їх застосування, виду діяль­ності підприємства. Тобто, вимогу щодо реєстрації баз мають дотримати і комерційні підприємства, і бюджетні організації, заклади, установи, ор­гани державної влади і місцевого самоврядування.

Радимо не відкладати реєстрацію баз на потім. Адже з 1 січня 2012 року набирають чинності зміни до Кодексу України про адміністратив­ні правопорушення, згідно з якими ухилення від державної реєстрації бази персональних даних тягне за собою накладення штрафу на громадян від 300 до 500 неоподатковуваних мінімумів доходів громадян (нмдг) і на посадових осіб, громадян - суб’єктів підприємницької діяльності - від 500 до 1000 нмдг (до 17 000 грн.; ст. 188-39 КУАП).

Визначившись з кількістю баз персональних даних, що фактично є на підприємстві, метою обробки, складом та змістом персональних даних, розпорядниками бази, уповноважені наказом керівника підприємства працівники мають заповнити заяви про реєстрацію бази персональних даних і надіслати (або особисто передати) їх до Державної служби України з питань захисту персональних даних {далі - Служба) за адресою 02660, м. Київ, вул. М. Раскової, 15, каб. 1205.

На кожну з фактично наявних баз слід заповнити окрему заяву, при цьому безпосередньо бази подавати до Служби не потрібно - лише за­яви про їх реєстрацію.

Заяви заповнюють українською мовою за типовою формою, затвердже­ною наказом Міністерства юстиції України від 8 липня 2011 р. № 1824/5.

Про отримання заяви Служба має повідомити підприємство не пізні­ше наступного робочого дня з дня надходження заяви.

Протягом десяти робочих днів з дня надходження відповідної зая­ви Служба приймає рішення про реєстрацію бази персональних даних шляхом видання її володільцю свідоцтва про державну реєстрацію бази персональних даних чи повідомлення про відмову в реєстрації, про що вносить запис до Реєстру (Служба відмовляє у реєстрації бази персональних даних у разі, коли подані відомості є неповними чи недо­стовірними).

Зразок свідоцтва про державну реєстрацію бази персональних да­них затверджено наказом Міністерства юстиції України від 19 липня 2011р. №889/19627.

Згідно з пунктом 10 Порядку подання заяв, затвердженого наказом Міністерства юстиції України від 8 липня 2011 р. № 1824/5, свідоцтво видається заявнику або уповноваженому ним представнику за дові­реністю та пред’явленим документом, що посвідчує особу, або Служба надсилає свідоцтво поштою рекомендованим листом з описом вкла­дення.

Отримані свідоцтва зберігаються на підприємстві. Строк зберігання цих документів радимо встановлювати як «Доки не мине потреба».

11. Приводимо посадові інструкції працівників кадрової служби у відповідність до законодавства про захист персональних даних

Отже, у зв’язку з появою нових законодавчих вимог кадрова служба набуває нових обов’язків та відповідальності.

Давайте розберемось. Чи вважаємо ми зміною істотних умов пра­ці необхідність подання нового звіту до служби зайнятості або органу статистики? Звісно, ні, адже у цьому разі ми просто дотримуємо вимог законодавства. Аналогічну ситуацію маємо і з захистом персональних даних.

Нові обов’язки і відповідальність вводяться з метою приведення процесів та процедур обробки персональних даних, а також докумен­тації підприємства, у відповідність до законодавства про захист пер­сональних даних. Зміни істотних умов праці у цьому разі не відбува­ється.

Радимо затвердити посадові інструкції працівників, які мають справу з обробленням персональних даних, у новій редакції. Не забудьте озна­йомити працівників зі зміненими інструкціями під підпис.

12. Отримуємо від працівників підприємства, які обробляють персональні дані інших осіб, зобов’язання щодо нерозголошення персональних даних

Відповідно до статті 10 Закону № 2297 використання персональних
даних працівниками суб’єктів відносин, пов’язаних з персональними
даними, повинно здійснюватися лише відповідно до їхніх професійних
чи службових або трудових обов’язків. Ці працівники зобов’язані не до­
пускати розголошення у будь-який спосіб персональних даних, які їм
було довірено або які стали відомі у зв’язку з виконанням професійних
чи службових або трудових обов’язків. Таке зобов’язання чинне після
припинення ними діяльності, пов’язаної з персональними даними, крім
випадків, установлених законом.

Отже, необхідно отримати від працівників, які за посадовими обов’язками мають справу з персональними даними інших осіб, письмові зобов’язання щодо нерозголошення персональних даних, які їм було довірено або які стали відомі у зв’язку з виконанням посадових обов’язків. Важливо, аби працівник зазначив, що таке зобов’язання чинне після припинення ним діяльності, пов’язаної з обробкою персональних даних.

Письмові зобов’язання можна зберігати в окремій справі. За невеликої кількості працівників, робота яких пов’язана з обробкою персональних даних, можна зберігати зобов’язання у справі Із заявами про згоду та повідомленнями про мету обробки персональних даних.

Приклад оформлення письмового зобов’язання працівника

Директору ТОВ «Грамота»

Головачу А. С.

інспектора з кадрів Ластівки Олени Миколаївни

Зобов’язання

Відповідно до статті 10 Закону України «Про захист персональних даних» від 1 червня 2010 р. № 2297-VI зобов’язуюсь не розголошувати у будь-який спосіб персональні дані ін­ших осіб, у т. ч. працівників Товариства, що стали відомі мені у зв’язку з виконанням по­садових обов’язків.

Підтверджую, що зобов’язання буде чинним після припинення мною діяльності, пов’я­заною з обробкою персональних даних, крім випадків, установлених Законом.

13.   Розробляємо положення про захист персональних даних

Згідно із Законом № 2297 володілець бази персональних даних повинен забезпечити захист цих даних.

На підприємстві доцільно розробити локальний нормативний акт, яким регламентуватиметься процес обробки персональних даних на підприємстві, наприклад, Положення про захист персональних даних. Одна із основних функцій цього документа - запровадження процедур доступу до персональних даних, що обробляються на підприємстві.

Наразі Державною службою України з питань захисту персональних даних розроблено проект Типового порядку обробки персональних даних {далі - Типовий порядок).

Проектом Типового порядку передбачено, що з метою створення дієвої системи управління персональними даними володільцем має бути визначено структурний підрозділ або відповідальну особу, яка організовуватиме роботу, пов’язану із захистом персональних даних при їх обробці відповідно до законодавства України, яке регулює його діяльність, та/або установчих документів володільця бази персональних даних.