Перейти до основного вмісту
AGENTIS Legal Platform

HR DPA для працівників 2026 ТОВ ФОП — ст. 9 GDPR | AGENTIS

Оновлено: 10.05.2026·Правова база: ст. 28 GDPR, ст. 6 GDPR, ст. 9 GDPR

Коротка відповідь

DPA для HR-обробки персональних даних працівників — це договір між ТОВ/ФОП-Контролером (роботодавець) і HR-tool/outsourcing-Процесором (BambooHR, Workable, PeopleForce, Hurma, Recruitee, payroll сервіс) щодо обробки даних працівників, кандидатів, контрагентів-фізособ. Обов'язковий за ст.

Потрібен документ для вашої ситуації? Створіть готовий договір за 5 хвилин — з реквізитами, обов’язковими статтями і коректною формою.

Створити документ →

DPA для HR-обробки персональних даних працівників — це договір між ТОВ/ФОП-Контролером (роботодавець) і HR-tool/outsourcing-Процесором (BambooHR, Workable, PeopleForce, Hurma, Recruitee, payroll сервіс) щодо обробки даних працівників, кандидатів, контрагентів-фізособ. Обов'язковий за ст. 28 Регламенту (ЄС) 2016/679 (GDPR) + ст. 24 Закону України «Про захист персональних даних» від 01.06.2010 № 2297-VI. Підстава ст. 6 GDPR — переважно (1)(b) договір (трудовий) + (1)(c) legal obligation (КЗпП, податкове, ЄСВ). Consent — слабка підстава для HR (працівник не може вільно відкликати).

Коли потрібен HR-DPA для ТОВ/ФОП

Будь-який сервіс, що обробляє дані працівників від імені роботодавця:

  • HRIS — BambooHR, Workday, Hurma, PeopleForce — повна база даних працівників (контракт, salary, evaluations, tenure).
  • Recruitment — Workable, Recruitee, Greenhouse, Lever — кандидати, CV, інтерв'ю-нотатки, оцінки.
  • Payroll — Українські (Дебет-Кредит, M.E.Doc) і EU (Personio) — зарплата, ЄСВ, ПДФО, банк-реквізити.
  • Performance management — Lattice, Culture Amp — 360-feedback, OKR, 1-on-1 нотатки.
  • Time tracking — Toggl, Hubstaff, Time Doctor — робочий час + screenshots (special category-adjacent).
  • Benefits — health insurance брокери, медогляди — special categories (health data) ст. 9 GDPR.
  • Background check — HireRight, Checkr — кримінальний record (special category).
  • Communication — Slack, MS Teams Workplace edition — повідомлення працівників.

Особливості HR vs клієнтського DPA

Параметр HR DPA Client DPA
Підстава ст. 6 GDPR (b) контракт + (c) legal obligation (a) consent / (b) контракт / (f) legitimate interest
Special categories ст. 9 health (медогляди), biometric (entry systems) переважно немає
Тривалість зберігання трудовий + 75 років (архівне законодавство) + 3 роки post-termination per договір + retention policy
Right to erasure обмежене (legal obligation override) стандартне
Cross-border важливо для remote teams + EU compliance per use-case
Sub-процесори payroll integrations, recruitment partners різні
Audit щорічно + on critical incidents risk-based

Покроково: укладення HR DPA

  1. Класифікація даних. Базові (ім'я, ідентифікатори, контакти, посада) / фінансові (salary, банк-реквізити) / health (медогляди, страхування) / behavior (time tracking, screenshots) / criminal (background checks).
  2. Підстава для кожної категорії. Базові — (b) контракт + (c) legal obligation (КЗпП ст. 24). Salary — (c) legal obligation (ПДФО, ЄСВ). Health — (b) контракт + ст. 9(2)(b) GDPR (employment law). Background checks — (a) consent + ст. 9(2)(g) GDPR (substantial public interest).
  3. Sign DPA від HR-tool. BambooHR DPA, Workable DPA, Hurma DPA — generic. Adapt Annex 1 з details своєї HR-операції.
  4. Annex 1: природа обробки. HRIS (employee records), recruitment (CV processing), payroll (salary calculation + tax filings), performance (360 feedback), benefits (health insurance broker integration).
  5. Annex 2: sub-процесори. Payroll → bank, ДПС, ПФУ. Recruitment → CV parser sub-tools. Background checks → external providers. Job boards → LinkedIn, Robota.ua, Work.ua.
  6. Annex 3: безпека. Особливо важливо для HR — RBAC (role-based access), encryption at rest для salary/SSN/passport scans, audit logs для PII access, retention policy + automatic deletion.
  7. Cross-border (remote teams). Якщо ТОВ має EU-працівників — повна GDPR-compliance + SCC 2021 для US-tools. Якщо US-працівники — CCPA + GDPR-compliance combo.
  8. Retention policy. КЗпП + ст. 30 ЗУ "Про відпустки" + Перелік типових документів архівації — деякі дані 75 років (особова справа), деякі 3 роки (CV unsuccessful candidates), відмова — stored 3 роки + delete.
  9. Right to erasure обмеження. Працівник звільнений ≠ delete one all data. Для частини — legal obligation override (зарплатні документи). Для іншого (CV, performance) — delete після retention period.
  10. Termination DPA. Export data + handover до нового HR-tool + delete from old + certificate.

Special categories (ст. 9 GDPR / ст. 7 ЗУ № 2297-VI)

Health, biometric, criminal records — посилений захист:

Категорія Правова підстава Recipe
Health (медогляди, лікарняні) ст. 9(2)(b) employment law + ст. 7 ЗУ № 2297-VI ч. 2 (1) encrypted storage + restricted access + DPO consultation
Biometric (face recognition for entry, fingerprint clock-in) ст. 9(2)(b) + явна письмова згода (ст. 7 ЗУ № 2297-VI) DPIA обов'язковий + alternative non-biometric option
Criminal records (background checks) ст. 9(2)(g) substantial public interest + явна згода ЛИШЕ для специфічних ролей (security, finance) + retention 1 рік
Trade union membership ст. 9(2)(b) employment + ст. 7 ЗУ № 2297-VI restricted access (тільки HR + legal) + no automatic profiling

Critical 2024-2025: EDPB Guidelines на біометрію 2024 — face recognition for clock-in заборонена за замовчуванням; only якщо алтернативи неможливі + DPIA + явна згода + opt-out.

Часті помилки в HR DPA

1. Consent як єдина підстава. Працівник не може вільно відкликати consent (employment power imbalance). CNIL Guidance 2024: consent для HR — лише як додаткова підстава, primary — контракт/legal obligation.

2. CV кандидатів зберігаються вічно. Без retention policy — порушення ст. 5(1)(e) (storage limitation). Recipe: 6-12 місяців для unsuccessful candidates + delete + (опціонально) talent pool з renewed consent.

3. Time tracking screenshots без notification. Hubstaff, Time Doctor роблять screenshots — це обробка персональних даних + risk privacy violation. Recipe: notify працівників + DPIA + minimize (тільки робочі години + only blurred / opt-out).

4. Health data у regular HRIS без segregation. Медогляди, sick leave reasons змішуються з general HR data. Recipe: окремий repository з encrypted storage + restricted access (тільки HR Director + medical advisor).

5. Slack/Teams — без message retention policy. Повідомлення працівників зберігаються вічно → ризик при audit / litigation. Recipe: retention policy 90-365 днів + auto-delete.

6. Cross-border remote team без SCC. ТОВ + Польща employee + payroll US tool — без SCC + TIA. Recipe: EU-region payroll tool або SCC 2021 модуль C2P.

7. Background check без специфікації + consent. Включає кримінальний record для general позицій — порушення ст. 9 GDPR. Recipe: ЛИШЕ для специфічних ролей (фінанси, security) + явна згода + retention 1 рік.

8. Sub-процесори payroll невідомі працівнику. Працівник не знає, що зарплата обробляється через external tool. Recipe: Privacy Notice for Employees включає список sub-процесорів + jurisdictions.

Privacy Notice для працівників

Обов'язковий документ за ст. 13 GDPR + ст. 8, 12 ЗУ № 2297-VI. Зміст:

  • Identity Контролера (ТОВ "X").
  • DPO contact (якщо призначений).
  • Категорії даних, що обробляються.
  • Підстави обробки (per category).
  • Sub-процесори (high-level + ссылка на full list).
  • Retention periods.
  • Cross-border трансфери + safeguards.
  • Права суб'єкта (access, rectification, erasure, portability, objection).
  • Контакт для скарг (Контролер + Уповноважений ВРУ з прав людини).

Notice — у трудовий пакет + intranet + accessible anytime.

Воєнний стан і HR-обробка 2024-2026

  • Реєстр «Оберіг» (ЗУ № 3633-IX від 11.04.2024) — обробка даних чоловіків 18-60 років. Інтегрований з payroll, але обробка через держави сервіси, не через приватні HR-tools.
  • Mobilization status працівника — sensitive дані; обробляються тільки уповноваженими особами + restricted access.
  • Remote work з EU/UK/US — потребує remote-work agreement + cross-border transfer mechanism (SCC 2021).

FAQ

Чи можу я використовувати face recognition для контролю входу у офіс? Тільки якщо: 1) ст. 9 GDPR exception (зазвичай consent + явна письмова згода); 2) DPIA проведено; 3) alternative non-biometric option доступний (badge / PIN). Без alternative — biometric processing вважається coercive.

Чи можу я перевіряти кримінальний record кандидатів? Лише для специфічних ролей з legal/regulatory підставою (security, finance, working with vulnerable populations). Загальний background check без spec ролі — порушення ст. 9 GDPR.

Скільки потрібно зберігати CV unsuccessful candidates? 6-12 місяців за recommended best practice (для повторного contact-у). Більше — потрібна додаткова підстава (новий consent для talent pool).

Чи Hurma DPA достатній для українського ТОВ? Hurma — український продукт з infrastructure у EU (AWS Frankfurt) — generally sufficient. Перевірте Annex 1 на specific описи + ensure data residency.

AGENTIS — інформаційний інструмент. Не замінює адвоката і не є юридичною консультацією.

Готовий шаблон HR DPA з Annex 1-3 + Privacy Notice для працівників — згенеруйте чернетку DPA через AGENTIS.

Пов'язані матеріали:

Зовнішні джерела: GDPR Art. 9 на gdpr-info.eu · Закон 2297-VI на zakon.rada.gov.ua

Потрібен документ для цієї ситуації?

Генератор AGENTIS створить документ за ст. 28 GDPR, ст. 6 GDPR з вашими реквізитами і валідаторами.

Створити документ →

Створити документ за вашою ситуацією

Генератор AGENTIS створить договір з вашими реквізитами, валідаторами (ЄДРПОУ, РНОКПП, IBAN) і посиланнями на чинне законодавство України.

Згенерувати документАбо проаналізувати ситуацію →

Інформація носить довідковий характер і не є юридичною консультацією. Для вирішення конкретної ситуації скористайтесь AI-аналізом.