Закон України «Про захист персональних даних» від 1 червня 2010 року № 2297-VI (далі — Закон № 2297) набув чинності 1 січня 2011 року.
Цей Закон регулює відносини, пов’язані із захистом персональних даних фізичних осіб під час їх обробки. Дія Закону не поширюється на діяльність зі створення баз персональних даних (БПД) та обробки персональних даних у цих базах:
- – фізичною особою — виключно для непрофесійних особистих чи побутових потреб;
- – журналістом — у зв’язку з виконанням ним службових чи професійних обов’язків;
- – професійним творчим працівником — для здійснення творчої діяльності.
Суб’єктами відносин, пов’язаних із персональними даними, є:
- – суб’єкт персональних даних;
- – володілець БПД;
- – розпорядник БПД;
- – третя особа;
- – уповноважений державний орган з питань захисту персональних даних;
- – інші органи державної влади та органи місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних.
Володільцем чи розпорядником БПД можуть бути підприємства, установи і організації усіх форм власності, органи державної влади чи органи місцевого самоврядування, фізичні особи — підприємці, які обробляють персональні дані відповідно до закону.
СУБ’ЄКТИ, СТОСОВНО ЯКИХ ЗДІЙСНЮЄТЬСЯ ОБРОБКА ПЕРСОНАЛЬНИХ ДАНИХ Такими суб’єктами є:
- – громадяни;
- – наймані працівники;
- – посадові особи;
- – платники податків та зборів;
- – клієнти;
- – покупці;
- – споживачі;
- – абоненти;
- – пацієнти;
- – пасажири, батьки;
- – суб’єкти відносин у сфері страхування;
- – суб’єкти фінансових відносин;
- – суб’єкти відносин у сфері реклами (рекламодавці, рекламовиробники, розповсюджувачі, споживачі);
- – члени політичних партій / громадських / релігійних організацій;
- – вихованці закладів освіти (учні, студенти, абітурієнти, курсанти, слухачі, стажисти, аспіранти, докторанти, випускники та інші);
- – інші фізичні особи, які подають власні персональні дані при реалізації своїх прав чи обов’язків.
ПЕРСОНАЛЬНІ ДАНІ, ЩО ОБРОБЛЯЮТЬСЯ
Відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована, є персональними даними. бробляються такі дані:
– ідентифікаційні дані (ім’я, адреса, телефон тощо);
– паспортні дані;
– особисті відомості (вік, стать, сімейний стан тощо);
– склад сім’ї;
– освіта;
– професія, спеціальність, кваліфікація;
– біометричні дані (зріст, вага, особливі прикмети тощо);
– психологічні дані (особистість, характер тощо);
– житлові умови; спосіб життя, життєві інтереси та захоплення;
– споживчі звички;
– фінансова інформація;
– електронні ідентифікаційні дані (трафік, IP-адреса тощо);
– електронні дані про локалізацію (GSM, GPS тощо);
– запис зображень (фото, відео);
– звукозапис;
– інші персональні дані.
БАЗА ПЕРСОНАЛЬНИХ ДАНИХ
Первинними джерелами відомостей про фізичну особу є: видані на її ім’я документи; підписані нею документи; відомості, які особа надає про себе.
Таким чином, відомості про працівників, відображені в кадрових документах, зокрема про вік, дату і місце народження, місце проживання, ідентифікаційний номер, соціальний статус, пільги відповідно до закону (одинокі матері, жінки з дітьми віком до трьох років чи іншого віку дітей, «чорнобильці», неповнолітні, пенсіонери тощо) з точки зору Закону № 2297 вважаються персональними даними, які у своїй сукупності складають БПД або її частину.
Відповідно документація підприємств, установ та організацій в електронній формі та/або у формі картотек, що містить певним чином структуровані персональні дані найманих працівників, вважається БПД або її частиною.
Так само кваліфікаційний клас, відомості про штрафи, а також список працівників із вказівкою на їх спеціальні кваліфікаційні документи, сертифікати, нагороди або вчене звання, список клієнтів, передплатників тощо теж є БПД.
Слід зауважити, що відповідно до статті 8 Закону № 2297 особисті немайнові права на персональні дані, які має кожна фізична особа, є невід’ємними і непорушними.
ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ: |
КРОК 1 |
КРОК 2 |
КРОК 3 |
КРОК 4 |
КРОК 5 |
КРОК 6 |
КРОК 7 |
КРОКИ 1–4. Розроблення проектів Порядку обробки персональних даних у БПД, згоди на обробку персональних даних, повідомлення про включення персональних даних до БПД, зобов’язання щодо збереження інформації з обмеженим доступом
Робота на підприємстві, в установі, організації щодо захисту персональних даних фізичних осіб (найманих працівників, посадових осіб, платників податків та ін.) може розпочинатися з усного чи письмового розпорядження керівника, який призначає відповідальних за цю роботу осіб. Вона полягає у вивченні відповідних нормативно-правових документів, аналізі внутрішніх локальних документів і господарсько-правових стосунків із фізичними особами — працівниками і непрацівниками, юридичними особами, контрагентами, клієнтами тощо. Встановлюється мета та наявність законних чи інших підстав для обробки персональних даних фізичних осіб, а вже відповідно до мети визначається кількість баз персональних даних.
Підсумком проведеної роботи буде подання до Державної служби захисту персональних даних відповідних заяв про реєстрацію наявних на підприємстві БПД. Заява про реєстрацію бази персональних даних подається заявником щодо кожної бази даних, яка перебуває у його володінні, за формою та у порядку, затвердженими наказом Міністерства юстиції «Про затвердження форм заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних і порядку їх подання» від 8 липня 2011 року № 1824/5.
Порядок заповнення заяви розглядався у статті «Захист персональних даних: що треба знати кадровикові», яка була опублікована у журналі “Довідник кадровика”, № 10 за 2011 рік, с. 40.
Звісно, що кожне підприємство самостійно формує свою організаційну структуру або згідно із законодавством укладає відповідні господарські договори на здійснення тих чи інших власних функцій іншими особами. Відповідно у кожному підприємстві буде свій порядок роботи з персональними даними працівників. Однак загальна схема організації роботи з персональними даними найманих працівників у багатьох аспектах буде однаковою.
Запропоновані нижче зразки документів можуть використовуватись працівниками кадрових служб підприємств, установ та організацій усіх форм власності, яким відповідно до КЗпП та інших нормативно-правових актів фізичні особи надають свої персональні дані, при розробці власних відповідних документів. У запропонованих зразках документів базу даних умовно названо «база персональних даних «Персонал».
ЗАТВЕРДЖЕНО ПОРЯДОК 1. Загальні положення 1.1. Порядок обробки персональних даних (далі — Порядок) розроблено з метою створення умов для забезпечення захисту цих даних від незаконної обробки, а також від незаконного доступу до них, належного захисту прав працівників підприємства при обробці їх персональних даних відповідно до вимог ст. 24 Закону України «Про захист персональних даних» від 1 червня 2010 року № 2297-VI (далі — Закон № 2297). 1.2. Порядок встановлює вимоги до обробки персональних даних у базі персональних даних «Персонал» (далі — БПД «Персонал») відповідно до законодавства України, насамперед Конституції України, Закону № 2297, Закону України «Про інформацію« від 2 жовтня 1992 року № 2657-ХІІ (далі — Закон № 2657), Закону України «Про ратифікацію Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних та Додаткового протоколу до Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних стосовно органів нагляду та транскордонних потоків даних» від 6 липня 2010 року № 2438-VI, Закону України «Про оплату праці» від 24 березня 1995 року № 108/95-ВР, Закону України «Про захист інформації в автоматизованих системах» від 5 липня 1994 року № 80/94-ВР. 1.3. Персональними даними вважаються об’єктивні та суб’єктивні відомості про фізичну особу, що містяться в первинних та інших джерелах інформації про фізичну особу, в алфавітно-цифровому, графічному чи фотоформаті, аудіо/кіно/відео записах на паперових чи електронних носіях, щодо яких застосовуються загальні чи особливі вимоги обробки, що стосуються фізичної особи безпосередньо або відповідно до яких фізична особа може бути конкретно ідентифікована за допомогою ідентифікаційного коду або одного чи більше факторів, притаманних фізичним, фізіологічним, розумовим, економічним, культурним чи соціальним аспектам її особистості. Обробкою персональних даних вважається будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов’язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу. 1.4. Персональні дані працівників підприємства обробляються у БПД «Персонал» з метою: — ведення кадрового діловодства; 1.5. Персональні дані фізичних осіб, які містяться в БПД «Персонал», за режимом доступу є інформацією з обмеженим доступом. До конфіденційної інформації про фізичну особу належать, зокрема, дані про її національність, освіту, сімейний стан, релігійні переконання, стан здоров’я, а також адреса державної реєстрації та/або місця фактичного проживання, дата і місце народження. 1.6. Персональні дані працівників підприємства незалежно від їх природи, змісту, способів та форм обробки відомостей, застосування загальних чи особливих вимог обробки, а також незалежно від ступеню зв’язку з фізичною особою повинні оброблятися відповідно до встановлених законодавством України принципів обробки персональних даних фізичних осіб. Зокрема, принципами обробки персональних даних працівників підприємства в БПД «Персонал» є: 1) принцип законності: персональні дані повинні оброблятися лише на законних підставах; 1.7. Персональні дані працівників підприємства обробляються у БПД «Персонал» без залучення розпорядника бази персональних даних. 1.8. Персональні дані працівників підприємства можуть передаватись у встановленому законодавством порядку третім особам, якими вважаються будь-які фізичні особи, крім працівників підприємства, чи юридичні особи, крім уповноваженого державного органу з питань захисту персональних даних, яким може здійснюватися передача персональних даних. 2. Обробка персональних даних 2.1. Збирання персональних даних здійснюється працівниками кадрового підрозділу та/або бухгалтерії підприємства при укладенні або зміні умов трудового договору, а також, за необхідності, у період роботи працівника відповідно до мети та принципів обробки персональних даних у БПД «Персонал». Зокрема, при укладенні трудового договору фізична особа особисто подає оригінали та копії паспорта або іншого документа, що посвідчує особу, військового квитка (для військовозобов’язаних), документів про освіту, спеціальність, кваліфікацію в обсязі, що підтверджує відповідність працівника кваліфікаційним вимогам, визначеним відповідним випуском Довідника кваліфікаційних характеристик професій працівників, а також документів про стан здоров’я в обсязі, необхідному для забезпечення вимог трудового законодавства.(Варіанти: наявність групи інвалідності, дані про проходження попереднього та періодичного медичного огляду для працівників, зайнятих на важких роботах, роботах із шкідливими чи небезпечними умовами праці або таких, де є потреба у професійному доборі, обов’язкового медичного огляду працівниками підприємств харчової промисловості, громадського харчування і торгівлі, водопровідних споруд, лікувально-профілактичних, дошкільних і навчально-виховних закладів, об’єктів комунально-побутового обслуговування, інших підприємств, установ, організацій, професійна чи інша діяльність яких пов’язана з обслуговуванням населення і може спричинити поширення інфекційних захворювань, виникнення харчових отруєнь, а також щорічного обов’язкового медичного огляду осіб віком до 21 року). При зміні умов трудового договору або з інших підстав у періоді роботи, зумовлених змінами в організації виробництва і праці або змінами факторів, притаманних фізичним, фізіологічним, розумовим, економічним, культурним чи соціальним аспектам фізичної особи, працівник подає оригінали та копії документів, які згідно із законодавством мають бути ним подані для підтвердження його спроможності виконувати нові трудові обов’язки або необхідності змінити істотні умови праці чи для надання визначених законодавством України або колективним договором чи іншими документами підприємства гарантій, компенсацій, пільг (переведення на посаду, що потребує іншої освіти, спеціальності, кваліфікації чи стану здоров’я, надання легшої роботи, встановлення неповного робочого часу, збереження умов оплати праці, надання відпустки, проведення грошових чи матеріальних виплат відповідно до певних умов, визначених законодавством України або колективним договором чи іншими документами підприємства, тощо). Працівник кадрового підрозділу чи бухгалтерії перевіряє тотожність копії документа його оригіналу та разом із працівником підтверджує достовірність копії. Копія документа підтверджується шляхом вчинення на ній фізичною особою напису такого змісту: «Згіднозоригіналом». Вказується число, місяць, рік вчинення напису арабськими цифрами, ставиться підпис та прізвище й ініціали фізичної особи з одночасним її підписом працівником кадрового підрозділу чи бухгалтерії, який перевіряв тотожність копії, із зазначенням його посади, прізвища та ініціалів і дати перевірки. 2.2. Забороняється вимагати від фізичної особи надання оригіналів та/або копій документів, подання яких не передбачено законодавством та/або які не потрібні для підтвердження права фізичної особи на реалізацію визначених законодавством України або колективним договором чи іншими нормативними документами підприємства гарантій, компенсацій, пільг. Працівник підприємства надає інформацію про членство в професійній спілці (професійних спілках), що діє (діють) на підприємстві, лише за власним бажанням шляхом подання відповідної заяви про відрахування з його заробітної плати профспілкових внесків з наступним їх перерахуванням на рахунки відповідних органів профспілкової організації, копія якої зберігається в його особовій справі та оригінал — у бухгалтерії підприємства. Якщо профспілкові внески сплачуються працівником самостійно, то членство в професійній спілці (професійних спілках), що діє (діють) на підприємстві, може бути підтверджено відповідними документами, виданими працівнику в установленому порядку профспілковою організацією, копії яких підтверджуються в порядку, зазначеному в пункті 2.1. цього Порядку. У разі ненадання працівником до кадрового підрозділу підприємства інформації про членство в професійній спілці (професійних спілках), що діє (діють) на підприємстві, вважається, що такий працівник не є членом професійної спілки (професійних спілок), що діє (діють) на підприємстві. 2.3. При укладенні трудового договору, крім оригіналів та копій документів, фізична особа також подає власноруч заповнені нею листок з обліку кадрів та автобіографію, в яких зазначає інформацію, необхідну для заповнення особової картки працівника за формою, затвердженою наказом Держкомстату та Міністерства оборони України від 25 грудня 2009 року № 495/656 (далі — особова картка працівника). Відповідальна особа кадрового підрозділу перевіряє правильність та достовірність заповнення працівником згоди на збір та обробку персональних даних і посвідчує її написом нижченаведеного змісту та печаткою кадрового підрозділу:
Належно оформлена згода на обробку персональних даних зберігається в особовій справі працівника протягом усього строку обробки персональних даних. 2.4. Персональні дані працівника, відображені у зібраних при укладенні трудового договору відповідних документах, накопичуються працівниками кадрового підрозділу та/або бухгалтерії в особових справах працівників, а також відповідна інформація, зазначена в них, заноситься до особової картки працівника та до електронних баз даних «Кадри», «Штатно-посадове розміщення» (варіант: штатно–посадовакнига), «Перепустка», «Телефон», «Оплата праці». Особові справи працівників, особові картки працівників, накази (розпорядження) про прийняття на роботу та переведення, копії звітів форм № 4-ПН, № 1ДФ, щодо сум нарахованого єдиного соціального внеску, про здійснення відрахування та виплати за виконавчими документами, інших звітів, що містять персоніфіковані дані працівників, розрахунково-платіжні відомості працівників, листки тимчасової непрацездатності працівника, а також електронні бази даних «Кадри», «Штатно-посадове розміщення», «Перепустка», «Телефон», «Оплата праці» у своїй сукупності становлять Базу персональних даних «Персонал» Товариства з обмеженою відповідальністю «Мрія». Відповідальними за обробку та збереження інформації про персональні дані працівників, що містяться в БПД «Персонал», є такі самостійні структурні підрозділи підприємства: 2.4.1. Кадровий підрозділ — за інформацію в особових справах працівників, особових картках працівників, наказах (розпорядженнях) про прийняття на роботу та переведення, копіях звітів форми № 4-ПН та інших звітів, що містять персоніфіковані дані працівників, електронних базах даних «Кадри» та «Штатно-посадове розміщення»; 2.4.2. Підрозділ охорони — за інформацію в електронній базі даних «Перепустка»; 2.4.3. Підрозділ інформаційно–організаційного забезпечення — за інформацію в електронній базі даних «Телефон»; 2.4.4. Підрозділ бухгалтерського обліку та звітності — за інформацію в розрахунково-платіжних відомостях працівників, листках тимчасової непрацездатності працівника, копіях звітів форми № 1ДФ, щодо сум нарахованого єдиного соціального внеску, про здійснення відрахування та виплати за виконавчими документами, інших звітів, що містять персоніфіковані дані працівників, та в електронній базі даних «Оплата праці». 2.4.5. Підрозділ інформаційних ресурсів та технологій — за інформацію в електронних базах даних «Кадри», «Штатно-посадове розміщення», «Перепустка», «Телефон», «Оплата праці». 2.5. Виходячи з мети обробки персональних даних працівників у БПД «Персонал» склад персональних даних окремих складових цієї бази є таким: 2.5.1. В особових справах працівників та електронній базі даних «Кадри» містяться персональні дані працівників щодо їх паспортних даних, у тому числі громадянства, ідентифікаційного коду, свідоцтва про загальнообов’язкове державне соціальне страхування, особистих та інших відомостей в обсязі, визначеному типовою формою особової картки працівника, а також дані працівника, що стосуються його здоров’я в межах, визначених законодавством про працю, та ті, що підтверджують право працівника на пільги, встановлені законодавством про працю. 2.5.2. В наказах (розпорядженнях) про прийняття на роботу містяться персональні дані працівника щодо його прізвища, імені та по батькові, назви професії (посади), кваліфікації, структурного підрозділу, оплати праці та інших умов роботи в обсязі, визначеному типовою формою № П-1 «Наказ (розпорядження) про прийняття на роботу», затвердженою наказом Держкомстату України від 5 грудня 2008 року № 489. Аналогічна інформація міститься в наказах (розпорядженнях) про переведення. 2.5.3. В електронній базі даних «Штатно–посадове розміщення» містяться персональні дані працівника щодо його прізвища, імені та по батькові, назви професії (посади), кваліфікації, структурного підрозділу, умов та розмірів оплати праці, визначених штатним розписом та іншими документами підприємства. 2.5.4. В копіях звітів форми № 4-ПН та інших звітів, що містять персоніфіковані дані працівників, містяться персональні дані працівника щодо його прізвища, імені та по батькові, ідентифікаційного коду, назви професії (посади), кваліфікації, заробітної плати, статі, дати народження, рівня освіти, місця проживання та інші в обсязі, визначеному формами звітів, затверджених наказом Міністерства праці та соціальної політики України від 19 грудня 2005 року № 420 або відповідними нормативно-правовими актами інших органів державної влади. 2.5.5. В електронній базі даних «Перепустка» містяться персональні дані працівника щодо його прізвища, імені та по батькові, табельного номера, назви його професії (посади), кваліфікації, структурного підрозділу, запис його фотографічного зображення, фіксації часу перебування на території та в приміщеннях підприємства. 2.5.6. В електронній базі даних «Телефон» містяться персональні дані працівника щодо його прізвища, імені та по батькові, назви професії (посади), кваліфікації, структурного підрозділу, електронних ідентифікаційних даних (номери телефонів, ІР-адреси тощо). 2.5.7. В електронній базі даних «Оплата праці», копіях звітів № 1ДФ щодо сум нарахованого єдиного соціального внеску, про здійснення відрахування та виплати за виконавчими документами, інших звітів, що містять персоніфіковані дані працівників, та в розрахунково-платіжних відомостях працівників містяться персональні дані працівника про розмір та складові його заробітної плати в обсязі, визначеному типовою формою первинної облікової документації № П-6 «Розрахунково-платіжна відомість працівника», затвердженою наказом Держкомстату України від 5 грудня 2008 року № 489, відповідними формами, затвердженими наказом ДПА України від 24 грудня 2010 року № 1020, постановою правління Пенсійного фонду України від 8 жовтня 2010 року № 22-2, нормативно-правовими актами інших органів державної влади. 2.6. Після занесення персональних даних працівника до БПД «Персонал», але не пізніше ніж протягом десяти робочих днів з дня укладення трудового договору, відповідальна особа кадрового підрозділу повідомляє працівника про його права, мету збору даних та осіб, яким передаються його персональні дані. Повідомлення здійснюється шляхом вручення працівникові тексту такого змісту: Факт отримання вищезазначеного повідомлення працівник підтверджує шляхом власноручного підпису тексту нижченаведеного змісту, який у подальшому зберігається в його особовій справі: 2.7. У разі зміни змісту чи обсягу персональних даних, відображених у БПД «Персонал», працівник зобов’язаний у найкоротший термін подати відповідальній особі кадрового підрозділу та/або бухгалтерії підприємства письмову заяву з проханням внести відповідні зміни до бази персональних даних із зазначенням у ній уточненої інформації та надати оригінали відповідних документів для внесення нових його особистих даних до БПД «Персонал». 3. Захист персональних даних
3.1. Персональні дані працівників підприємства можуть використовуватися лише тими працівниками та посадовими особами підприємства, які за змістом своїх трудових обов’язків мають їх враховувати при вирішенні питань щодо забезпечення здійснення прав та виконання обов’язків працівників підприємства та/або роботодавця у сфері трудових та соціальних правовідносин, та лише в обсязі, необхідному для виконання трудових обов’язків у частині реалізації вищеназваних права та обов’язків працівників підприємства та/або роботодавця. 3.2. Персональні дані працівників підприємства, розміщені в БПД «Персонал», у межах Товариства з обмеженою відповідальністю «Мрія» передаються від одного структурного підрозділу до іншого лише тими працівниками цих підрозділів, які в установленому порядку мають право доступу до відповідних даних, з відміткою факту передачі на копії відповідного документу, що залишається в особи, яка передала ці дані. Зокрема, на копії документа особа, яка отримала документ чи копію документа, що містить інформацію про персональні дані працівника, робить напис такого змісту:
(Варіант: Передача персональних даних розпоряднику бази персональних даних «Персонал» здійснюється з метою, в порядку та на умовах, визначених договором, укладеним між Товариством з обмеженою відповідальністю «Мрія» та юридичною чи фізичною особою, яка зареєстрована розпорядником цієї бази»). 3.3. Працівники та посадові особи підприємства, які відповідно до своїх професійних чи службових або трудових обов’язків використовують персональні дані працівників підприємства, зобов’язані не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які їм стали відомі у зв’язку з виконанням професійних чи службових або трудових обов’язків. Таке зобов’язання є чинним і після припинення ними діяльності, пов’язаної з персональними даними, у тому числі й після переведення на іншу посаду чи звільнення. Для забезпечення нерозголошення у будь-який спосіб персональних даних працівників підприємства, розміщених у БПД «Персонал», посадові особи і працівники ТОВ «Мрія», які мають доступ до цих даних, надають зобов’язання щодо збереження інформації з обмеженим доступом такого змісту: Оформлені належним чином зобов’язання щодо збереження інформації з обмеженим доступом зберігаються в особових справах відповідних працівників. 3.4. Поширення персональних даних з БПД «Персонал» дозволяється лише за згодою суб’єкта персональних даних (працівника). Без згоди суб’єкта персональних даних (працівника) поширення персональних даних з БПД «Персонал» дозволяється у випадках, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини. 3.5. Знищення персональних даних БПД «Персонал» здійснюється працівниками відповідальних структурних підрозділів у порядку, встановленому відповідно до вимог закону із застосуванням методів знищення, які б виключали можливість подальшого їх відновлення. 3.6. У разі якщо персональні дані працівника у БПД «Персонал» є недостовірними чи неточними, посадова особа структурного підрозділу, відповідального за обробку та збереження персональних даних, на вимогу працівника зобов’язана забезпечити внесення необхідних змін до БПД «Персонал» на підставі наданих працівником документів або посвідчених у встановленому порядку їх копій. При цьому недостовірні персональні дані на вимогу працівника мають бути знищені. 3.7. Керівники структурних підрозділів, відповідальних за обробку та збереження персональних даних БПД «Персонал», щороку вживають необхідних організаційних та технічних заходів з метою забезпечення процедури обробки персональних даних відповідно до вимог законодавства, належного рівня захисту персональних даних від несанкціонованого та незаконного доступу інших осіб. Зокрема, такими заходами мають бути: — оцінка поточних процесів та процедур обробки персональних даних з метою приведення їх у відповідність до вимог законодавства України з питань захисту персональних даних; За результатами вжитих заходів керівники структурних підрозділів у разі потреби щороку до 1 червня вносять пропозиції щодо поліпшення стану роботи з обробки та захисту персональних даних БПД «Персонал». |
КРОК 5. Видання наказу про ведення бази персональних даних працівників підприємства
КРОК 6. Внесення змін до положень про структурні підрозділи
До положень про структурні підрозділи, відповідальних за обробку персональних даних та їх захист, мають бути внесені відповідні зміни.
Про Кадровий підрозділ
1. У розділі «Завдання»:
«Організація роботи щодо обробки персональних даних працівників підприємства в базі персональних даних «Персонал» та їх захисту від незаконної обробки та незаконного доступу до них».
2. У розділі «Функції»:
«Здійснює обробку персональних даних працівників підприємства в базі персональних даних «Персонал» в частині особових справ працівників, особових карток працівників, наказів (розпоряджень) про прийняття на роботу та переведення, копій звітів форми № 4-ПН та інших звітів, що містять персоніфіковані дані працівників, електронних баз даних «Кадри» та «Штатно-посадове розміщення». Забезпечує захист персональних даних працівників підприємства, які обробляються.
Здійснює контроль за виконанням відповідних функцій керівниками структурних підрозділів, відповідальних за організацію робіт з обробки персональних даних та їх захисту в частині окремих складових бази персональних даних «Персонал».
Про Підрозділ бухгалтерського обліку та звітності
У розділі «Функції»:
«Здійснює обробку персональних даних працівників підприємства в базі персональних даних «Персонал» в частині розрахунково-платіжних відомостей працівників, листків тимчасової непрацездатності працівників, копій звітів форми № 1-ДФ, щодо сум нарахованого єдиного соціального внеску, про здійснення відрахування та виплати за виконавчими документами, інших звітів, що містять персоніфіковані дані працівників, та електронної бази даних «Оплата праці». Забезпечує захист персональних даних працівників підприємства, які обробляються».
Про Підрозділ охорони
У розділі «Функції»:
«Здійснює обробку персональних даних працівників підприємства в базі персональних даних «Персонал» в частині інформації, розміщеної в електронній базі даних «Перепустка». Забезпечує захист персональних даних працівників підприємства, які обробляються».
Про Підрозділ інформаційно–організаційного забезпечення
У розділі «Функції»:
«Здійснює обробку персональних даних працівників підприємства в базі персональних даних «Персонал» в частині інформації, розміщеної в електронній базі даних «Телефон». Забезпечує захист персональних даних працівників підприємства, які обробляються».
Про Підрозділ інформаційних ресурсів та технологій
У розділі «Функції»:
«Здійснює заходи із захисту персональних даних бази персональних даних «Персонал», розміщених в електронних базах даних «Кадри», «Штатно-посадове розміщення», «Перепустка», «Телефон», «Оплата праці».
Для всіх відповідальних структурних підрозділів
У розділі «Взаємовідносини»:
«Взаємодіє у встановленому порядку з працівниками структурних підрозділів, відповідальних за обробку персональних даних працівників підприємства в базі персональних даних «Персонал» та їх захист».
КРОК 7. Внесення змін до посадових інструкцій працівників
До посадових інструкцій працівників, відповідальних за обробку персональних даних фізичних осіб та їх захист від незаконної обробки і незаконного доступу до них, теж вносяться відповідні зміни.
До посадових інструкцій керівників структурних підрозділів
У розділі «Завдання та обов’язки»:
«Організовує виконання робіт щодо обліку персональних даних працівників підприємства в базі персональних даних «Персонал» в частині функцій, покладених на структурний підрозділ.
Здійснює контроль за дотриманням працівниками структурного підрозділу законодавства України з питань персональних даних фізичних осіб та встановленого на підприємстві порядку обробки персональних даних».
До посадових інструкцій працівників структурних підрозділів, відповідальних за обробку персональних даних
У розділі «Завдання та обов’язки»:
«Виконує роботи з обліку персональних даних працівників підприємства в базі персональних даних «Персонал» в частині функцій, покладених на структурний підрозділ (або: в частині ведення особових справ працівників, особових карток працівників, підготовки проектів наказів проприйняття на роботу та переведення, підготовки звітівформи № 4-ПН та інших звітів, що містять персоніфіковані дані працівників, атакож ведення електронних баз даних «Кадри» та «Штатно–посадове розміщення»).
До посадових інструкцій всіх працівників, відповідальних за обробку персональних даних та їх захист
У розділі «Відповідальність»:
«Несе відповідальність за збереження інформації про персональні дані працівників, відображеної в базі персональних даних «Персонал».
У розділі «Повинен знати»:
«Законодавство України, яке регулює порядок обробки та захист персональних даних фізичних осіб, внутрішні положення та інші розпорядчі документи підприємства з цих питань».