Skip to main content

Avature – Privacy notice

Information on processing your personal data for Onboarding process

In accordance with the Data Protection Legislation applicable to the Employer at the relevant time, the Employee acknowledges and agrees that his/her Personal Data are Processed by the Employer as the Data Controller. The Processing is carried out under the Employment Contract between the Employee and the Employer, in connection with or in relation to the performance of the Employee’s work and also covers the purposes of use of the Employer’s information systems and compliance with the internal policies of DTTL member firms and their respective subsidiaries and Affiliates.

1.

1 Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited (“DTTL”), its global network of member firms, and their related entities (collectively, the “Deloitte Organization”). DTTL (also referred to as “Deloitte Global”) and each of its member firms and related entities are legally separate and independent entities, which cannot obligate or bind each other in respect of third parties. DTTL and each DTTL member firm and related entity is liable only for its own acts and omissions, and not those of each other. DTTL does not provide services to clients. Please see www.deloitte.com/about to learn more.

 

2Deloitte Ukraine refers to Deloitte entities operating within Ukraine , in particular:

 

1. Limited Liability Company “Deloitte & Touche Ukrainian Services Company”, registration number: 25642478, address: 48, 50a Zhylyanska Street, 01033, Kyiv, Ukraine.

 

2. Limited Liability Company “Deloitte Technology Services”, registration number: 45088483, address: 48, 50a Zhylyanska Street, 01033, Kyiv, Ukraine.

2.

3. Limited Liability Company “Deloitte & Touche”, registration number: 20043783, address: 48, 50a Zhylyanska Street, 01033, Kyiv, Ukraine. 

A.  
Definitions:
The definitions set out in this Notice serve for nomenclature purposes solely and in specific cases, in particular, where a contractor is engaged, do not establish any existence of the employment relationship in accordance with the Labor Code of Ukraine, as amended (hereinafter, the “Labor Code”).

Unless defined elsewhere in this Notice, the terms used herein shall have the meanings given to them in the Local Policy Employees’ Personal Data Protection prepared by the Employer and providing additional data protection principles set out in the Applicable Laws and the professional requirements applicable to Deloitte Ukraine (hereinafter, the “Local Policy”). 

  • The “Controller” shall mean the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the Processing of the Personal Data. In relation to the Employees’ Personal Data, the Controllers are their Employers/Affiliates of Deloitte CE.  
  • The “Data Protection Legislation” means the following legislation to the extent applicable to the Employer from time to time: (a) national laws implementing the Directive on Privacy and Electronic Communications (2002/58/EC); (b) the General Data Protection Regulation (2016/679); and (c) any other similar Ukrainian laws and subordinate legislation relating to the privacy, confidentiality, processing, and protection of the Personal Data,  and, in particular, the Law of Ukraine No. 2297-VI “On Personal Data Protection” (as may be amended or replaced from time to time).  
  • The “Employee” shall mean any person in Employment or in a similar employment relationship (contract for work) or other contractual relationship with the Employer, including statutory representatives, proxies, professional advisors, and consultants.   
  • The “Employment”, under this Notice, shall also include similar employment relationships or other contractual relationships of individuals active for the Employer when applicable.  • The “Employment Contract” under this Notice shall mean the contract establishing the Employment as defined above.  
  • The “Personal Data” means any information relating to an identified or identifiable natural person; an identifiable natural person is one who can be identified, directly or indirectly.  • The “Processor” means a natural or legal person, public authority, agency or other body which Processes the Personal Data on behalf of the Data Controller.  
  • Deloitte Ukraine” means Deloitte entities operating within Ukraine, in particular:   Limited Liability Company “Deloitte & Touche Ukrainian Services Company”, registration number: 25642478, address: 48, 50a Zhylyanska Street, 01033, Kyiv, Ukraine;  Limited Liability Company “Deloitte Technology Services”, registration number: 45088483, address: 48, 50a Zhylyanska Street, 01033, Kyiv, Ukraine; and  Limited Liability Company “Deloitte & Touche”, registration number: 20043783, address: 48, 50a Zhylyanska Street, 01033, Kyiv, Ukraine.  
  • The “Recipient” means a natural or legal person, public authority, agency, or another body to which the Personal Data are disclosed. In relation to the Employee’s Personal Data, the Recipients can be, e.g., the Employee(-s) of the Controller, the Processor(-s) or the Employee(-s) of the Processor. Public authorities which may receive the Personal Data in the framework of a particular inquiry in accordance with the law shall not be regarded as the Recipients.   
  • The “CCTV” means a Closed Circuit Television (system of cameras to monitor the Premises).   
  • “Deloitte Ukraine” means Deloitte entities operating within Ukraine, in particular:   

    Limited Liability Company “Deloitte & Touche Ukrainian Services Company”, registration number: 25642478, address: 48, 50a Zhylyanska Street, 01033, Kyiv, Ukraine;
    Limited Liability Company “Deloitte Technology Services”, registration number: 45088483, address: 48, 50a Zhylyanska Street, 01033, Kyiv, Ukraine; and  
    Limited Liability Company “Deloitte & Touche”, registration number: 20043783, address: 48, 50a Zhylyanska Street, 01033, Kyiv, Ukraine.  
  • The “Recipient” means a natural or legal person, public authority, agency, or another body to which the Personal Data are disclosed. In relation to the Employee’s Personal Data, the Recipients can be, e.g., the Employee(-s) of the Controller, the Processor(-s) or the Employee(-s) of the Processor. Public authorities which may receive the Personal Data in the framework of a particular inquiry in accordance with the law shall not be regarded as the Recipients.   
  • The “CCTV” means a Closed Circuit Television (system of cameras to monitor the Premises).   



B.
Extent of the Processing:
The Employer Processes the Employee’s Personal Data to the following extent:

  • The Personal Data to the extent required by the Applicable Laws;  
  • The Personal Data submitted by the Employee before entering into the employment relationship;  
  • The Personal Data relating to the Employee’s professional qualifications and experience;  
  • Other Personal Data relating to the Employee’s Employment with the Employer and performance of his/her obligations related to the employment relationship (for example: performance management data, data on training and e-learning attendance, phone call lists, usage of Deloitte devices and systems, etc.); and  
  • Photographs, video and audio recordings of the Employee.   

C.
Legitimate Circumstances and Purpose of Processing of the Employee’s Personal Data by the Employer:

The Employer Processes the Employee’s Personal Data only if at least one of the Legitimate Circumstances (as defined, for the avoidance of doubt, in the Local Policy Employees’ Personal Data Protection) is met.    

The purpose of Processing the Personal Data is for the Employer to exercise its rights and obligations pursuant to, in each case, the extent applicable, the Labor Code, the Employment Contract, and other Applicable Laws, in particular, with regard to maintaining HR and payroll agenda, to acts relating to performance of the Employee’s obligations related to the Employment, the Employee’s trainings and education, benefits, and connected to offering and providing the Employer’s services to the clients as specified in more detail in paragraph below and/or the Local Policy.

The Employer is also entitled to Process the Employee’s Personal Data for the purpose of monitoring the Employee’s compliance with relevant Employer’s policies relating to security of the Employer’s devices and system. Processing in this extent is based on the relevant Legitimate Circumstances, including the Employee’s consent and the protection of the Employer’s legitimate interest in ensuring its business continuity and protection of its economic, commercial, and financial interests and, in particular, compliance with the rules of confidentiality. This includes, among others, prevention and remedy of any technical problems, prevention and suppression of activities that are intentionally illegal, contrary to the public order or that are willfully damaging to any third party’s rights and dignity, prevention and suppression of any violation of intellectual property rights, as well as confidentiality and integrity of the Employer’s data, the security and good technical functioning of its systems and the costs relative thereto, as well as the material protection of all Employer’s resources.  

D.
 The Employer is entitled to provide the Employee’s Personal Data to the following Recipients that are the Employer’s Data Processors who Process the Personal Data on behalf of the Employer, under the conditions and to the extent agreed with the Employer in a written authorization/contract. In particular, for the purpose of the Employee’s records in the HR systems, processing of his/her HR and payroll records, providing the Employee’s benefits and also to provide IS services, document archiving, e-mail services, and other hosted applications services, and to the extent necessary for the performance of rights and obligations arising from the employment relationship between the Employee and the Employer or as agreed between the Employee and the Employer, as well as for the purpose of monitoring the Employee’s compliance with relevant Employer’s policies relating to security of the Employer’s devices and system based on the relevant Legitimate Circumstances, including the Employee’s consent and the protection of the Employer’s legitimate interest in ensuring its business continuity and protection of its economic, commercial, and financial interests and, in particular, compliance with the rules of confidentiality.  

The list of the Employer’s Data Processors within Deloitte CE is published and accessible here: 1611.01 List of the Employee’s Personal Data Processors. The list of the local Employer’s Data Processors is published and accessible here: Deloitte CE Policies & Procedures

Paper versions of the above-mentioned lists are available at the local HR department and are provided to the Employee upon his/her request. 

The Employee’s Personal Data may also be disclosed to the competent authorities as authorized by the Applicable Laws.

The Employee is hereby informed that the Employer may provide the Employee’s Personal Data for the purposes as specified above and/or by the Local Policy to Deloitte CE and DTTL member firms and their respective subsidiaries and Affiliates during the term of the Employment, even to countries outside of the EU territory and/or Ukraine which do not always ensure the same level of protection as required by the EU and/or the Ukrainian legislation. Such transfers to countries outside of the EU and/or Ukraine either to the Processor (as indicated in the list of the Employer’s Data Processors within Deloitte CE) or the Controller are based on, to the extent required by the Applicable Laws, the EU approved Standard Contractual Clauses and/or any of the applicable Legitimate Circumstances, including the Employee’s consent. In specific situations, such as, e.g., mobility program or cross-border cooperation provision, the Employee’s Personal Data can be transferred to the Recipient outside the EU or Ukraine and it is responsibility of such a Recipient to comply with the local law when Processing the Personal Data.  

E. 
The Employee’s Personal Data will be Processed until the purposes of Processing of such Personal Data are fulfilled; or as required by the Applicable Laws. The Employer is entitled to Process the Employee’s Personal Data for a period of three months after the employment relationship is terminated or as required by the Applicable Laws. After this period expires, the Employee’s Personal Data will be anonymized or permanently deleted. 

The Employee is responsible for the accuracy and update of the Personal Data he/she has provided to the Employer. The Employee undertakes to notify the Employer of any changes in the Personal Data provided without undue delay. 

F.
During and after the employment relationship, the Employee is obliged to keep confidential the Personal Data of the Employer’s Employees, clients, external suppliers, and other natural persons met by the Employee in the course of his/her Employment, which are Processed in connection with his/her job duties performed for the Employer; he/she may not use the Personal Data for personal purposes, and he/she may not publish them or make them accessible without the Employer’s or the particular natural person’s consent. Other obligations of the Employee related to work with the Personal Data are specified in the Employer’s internal policies and regulations, of which the Employee was informed and which he/she undertakes to comply with. 

G.
The Employer may use the CCTV system for the purpose of recording activities in the Employer's premises, which may be used to establish facts in case of incidents, and to ensure the safety and protection of Employees. 

Detailed information (about the purposes and scope of the use of the CCTV system, the periodicity of reviewing the rules for its use, the procedure for storing records and other information) is published and accessible here: 1601.05 Physical Security and CCTV Policy - Ukraine.

Video recordings are stored no longer than necessary to achieve the above-mentioned purposes. The standard storage period for video recordings is 30 days. After this period, the recordings are automatically deleted unless they are needed for incident investigations or are subject to requests from competent authorities.  

H.
The Employer shall establish technological, physical, administrative, and procedural safeguards all in line with the industry accepted standards in order to protect and ensure the confidentiality, integrity, or accessibility of the Personal Data Processed; prevent the unauthorized use of or unauthorized access to the Personal Data or prevent a Personal Data breach (security incident) in accordance with Deloitte instructions, policies, and applicable laws. Deloitte is a holder of ISO 27001 certification – a widely recognized global information standard.  

I.
The Data Subjects’ Rights   
The Employee has, among others, the right to: 

  •  Request access to his/her Personal Data (including a request to copy his/her Personal Data that the Employer Processes);
  • Request the Employer to update and correct his/her Personal Data (right to rectification);   
  •  Request the Employer to delete his/her Personal Data (where possible); or   
  • Require a restriction on the Processing of his/her Personal Data.  

The Employee may object to the Processing, as well as execute his/her right to data portability (receive a copy of the Personal Data which the Employee provided to the Employer in a structured machine-readable format and request the Employer to transmit such data to another data recipient).  

Further, the Employee has other rights set out under the Applicable Laws, including, without limitation, under Article 8 of the Law of Ukraine No. 2297-VI “On Personal Data Protection” (as may be amended or replaced from time to time). 

 The Employee can enforce all rights described herein by sending e-mail to: ceuaprivacy@deloittece.com or HR Department. 

The Employee can also contact CEprivacy@deloittece.com for any questions related to Processing of his/her Personal Data, including the security safeguards, when transferring the data outside of Ukraine and/or the EU region.

It is also the right of each Employee to lodge a complaint with a local data protection supervisory authority in Ukraine in case the Employee is of an opinion that the Processing of his/her Personal Data infringes the Data Protection Legislation.

To learn more about the Employee’s Data Subject’s rights, please read “1604.03 Data Subjects’ Rights Execution policy” available here: 1604.03 Data Subjects’ Rights Execution. By signing, the Employee confirms that he/she was informed of:

  • His/her rights arising from the Data Protection Legislation and other Applicable Laws;   
  • The scope and purposes of the Personal Data Processing pursuant to this Notice,  
  • The Controller of the Personal Data, along with the list of persons to whom his/her Personal Data may be transferred ; and  
  • The fact that the provision of the Personal Data processed under this Notice is compulsory.  

ІНФОРМАЦІЯ ЩОДО ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ

Відповідно до Законодавства про захист даних, що застосовується до Роботодавця у відповідний період, Працівник визнає та погоджується з тим, що його/її Персональні дані обробляються Роботодавцем як Контролером даних. Обробка здійснюється відповідно до умов Трудового договору між Працівником і Роботодавцем, у зв’язку з виконанням Працівником своїх робочих обов’язків, а також охоплює цілі використання інформаційних систем Роботодавця та дотримання внутрішніх політик фірм-учасниць мережі ДТТЛ та їхніх відповідних дочірніх підприємств та Афілійованих компаній. 

1Делойт стосується однієї чи більшої кількості декількох юридичних осіб серед організації «Делойт Туш Томацу Лімітед» («ДТТЛ»), фірм учасниць її глобальної мережі, та їхніх пов’язаних юридичних осіб (далі разом – «Організація Делойт»). ДТТЛ (також іменується як «Делойт Глобал») і кожна з фірм-учасниць її мережі та пов’язаних осіб є юридично окремими та незалежними особами, які не вправі зобов’язувати або брати обов’язки перед третіми особами одна за іншу. ДТТЛ, кожна з фірм-учасниць, що входять до мережі ДТТЛ, та кожна пов’язана особа несуть відповідальність тільки за власні дії чи бездіяльність, а не за дії чи бездіяльність одна одної. ДТТЛ не надає послуг клієнтам. Дізнатися більше можна за посиланням: www.deloitte.com/about.

2Делойт в Україні стосується юридичних осіб Делойт, які провадять свою операційну діяльність в Україні, а саме:

 1. Товариство з обмеженою відповідальністю «Делойт енд Туш Юкрейніан Сервісез Компані», реєстраційний номер: 25642478, адреса: вул. Жилянська, 48, 50а, Київ, 01033, Україна. 
2. Товариство з обмеженою відповідальністю «Делойт Технологічні Послуги», реєстраційний номер: 45088483, адреса: вул. Жилянська, 48, 50а, Київ, 01033, Україна. 
3. Товариство з обмеженою відповідальністю «Делойт і Туш», реєстраційний номер: 20043783, адреса: вул. Жилянська, 48, 50а, Київ, 01033, Україна.  


A.
Визначення:
Визначення, викладені у цьому Повідомленні, використовуються виключно для номенклатурних цілей і, в окремих випадках, зокрема, коли залучається підрядник, не встановлюють наявності будь-яких трудових відносин відповідно до Кодексу законів про працю України, зі змінами та доповненнями (далі – «Кодекс законів про працю»).
 
Якщо інше не визначено в цьому Повідомленні, терміни, що використовуються, мають значення, наведені в Локальній політиці Захисту персональних даних працівників, розробленій Роботодавцем, яка встановлює додаткові принципи захисту даних відповідно до Застосовного законодавства та професійних вимог, що застосовуються до Делойт в Україні (далі – «Локальна політика»).  

 

  • «Контролер» означає фізичну або юридичну особу, державний орган, агентство чи інший орган, що самостійно або спільно з іншими визначає цілі та засоби Обробки Персональних даних. Щодо Персональних даних Працівників, Контролерами є їхні Роботодавці/Афілійовані особи «Делойт ЦЄ».  
  •  «Законодавство про захист даних» означає законодавство, яке час від часу застосовує Роботодавець: (a) національне законодавство, у якому впроваджена Директива про конфіденційність та електронні засоби зв’язку (2002/58/ЄК); (б) Загальний регламент про захист даних (2016/679); та (в) будь-які інші аналогічні українські закони та підзаконні акти, що стосуються конфіденційності, приватності, обробки та захисту Персональних даних, зокрема, Закон України № 2297-VI «Про захист персональних даних» (зі змінами та доповненнями).  
  • «Працівник» означає будь-яку особу, яка перебуває на Роботі або в аналогічних трудових відносинах (за договором виконання робіт) чи інших договірних відносинах із Роботодавцем, у тому числі офіційних представників, довірених осіб, професійних радників та консультантів.   
  • «Робота», для цілей цього Повідомлення, також охоплює аналогічні трудові відносини або інші договірні відносини осіб, які виконують роботу для Роботодавця, коли це застосовно.  
  • «Трудовий договір», для цілей цього Повідомлення, означає договір, в якому викладені умови Роботи, як визначено вище.  
  • «Персональні дані» означає будь-яку інформацію, що стосується фізичної особи, яка ідентифікована або яку можна ідентифікувати; фізична особа, яку можна ідентифікувати, — це особа, яку можна ідентифікувати прямо чи опосередковано.  
  • «Процесор» означає фізичну або юридичну особу, державний орган, агентство чи інший орган, що обробляє Персональні дані від імені Контролера даних.  
  • «Делойт в Україні» означає юридичних осіб Делойт, які провадять свою діяльність в Україні, а саме:  
    • Товариство з обмеженою відповідальністю «Делойт енд Туш Юкрейніан Сервісез Компані», реєстраційний номер: 25642478, адреса: вул. Жилянська, 48, 50а, Київ, 01033, Україна; 
    • Товариство з обмеженою відповідальністю «Делойт Технологічні Послуги», реєстраційний номер: 45088483, адреса: вул. Жилянська, 48, 50а, Київ, 01033, Україна; та
    • Товариство з обмеженою відповідальністю «Делойт і Туш», реєстраційний номер: 20043783, адреса: вул. Жилянська, 48, 50а, Київ, 01033, Україна.  

  •  «Реципієнт» означає фізичну або юридичну особу, державний орган, агентство чи інший орган, якому розкриваються Персональні дані. Реципієнтами Персональних даних Працівника, можуть бути, наприклад: Працівник(и) Контролера, Процесор(и) або Працівник(и) Процесора. Реципієнтами не вважаються органи державної влади, які можуть отримувати Персональні дані у межах конкретного запиту відповідно до вимог законодавства.
  • «Система відеоспостереження» означає систему замкненого телебачення (система камер для спостереження за приміщеннями).  


 
B.
Обсяг Обробки:
Роботодавець обробляє Персональні дані Працівника, зокрема в такому обсязі:

  • Персональні дані в обсязі, передбаченому Застосовним законодавством;  
  • Персональні дані, які Працівник надає до вступу в трудові відносини;   
  • Персональні дані, що стосуються професійної кваліфікації та досвіду Працівника;  
  • інші Персональні дані, що стосуються Роботи Працівника у Роботодавця та виконання його/її обов’язків, пов’язаних із трудовими відносинами (наприклад, дані про управління ефективністю, дані про відвідування тренінгів та електронного навчання, списки телефонних дзвінків, використання пристроїв та систем Делойт тощо); та  
  • фотографії, відео- та аудіозаписи Працівника.  

C.
Законні підстави та Мета Обробки Персональних даних Працівника Роботодавцем:

Роботодавець обробляє Персональні дані Працівника лише за наявності принаймні однієї з Законних підстав (як це визначено, для уникнення сумнівів, у Локальній політиці Захисту персональних даних працівників). 
Метою Обробки Персональних даних є реалізація Роботодавцем своїх прав і обов’язків відповідно до, в кожному конкретному випадку та наскільки це застосовно, Кодексу законів про працю, Трудового договору та іншого Застосовного законодавства, зокрема, щодо виконання плану управління персоналом і нарахування заробітної плати; вчинення дій, пов’язаних із виконанням Працівником своїх обов’язків, пов’язаних із Роботою, тренінгами та навчанням Працівника, додатковими виплатами, а також пов’язаних із наданням пропозицій та послуг Роботодавця клієнтам, як це зазначено більш докладно в пункті нижче та/або Локальній політиці.  
Роботодавець також має право обробляти Персональні дані Працівника з метою моніторингу за дотриманням Працівником відповідних політик Роботодавця щодо безпеки пристроїв і систем Роботодавця. Така Обробка даних виконується на відповідних Законних підставах, включно із згодою Працівника та захистом законних інтересів Роботодавця щодо забезпечення безперервності його діяльності та захисту його економічних, комерційних і фінансових інтересів, зокрема дотримання правил конфіденційності. Це передбачає, серед іншого, запобігання та усунення будь-яких технічних проблем, запобігання та припинення діяльності, яка є завідомо незаконною, суперечить громадському порядку або навмисно завдає шкоди правам та гідності будь-якої третьої сторони, запобігання та припинення будь-якого порушення прав інтелектуальної власності, а також забезпечення конфіденційності і цілісності даних Роботодавця, безпеки та належного технічного функціонування його систем і пов’язаних із цим витрат, а також матеріальний захист всіх ресурсів Роботодавця.  

D.
Роботодавець має право надавати Персональні дані Працівника Реципієнтам, які є Процесорами даних Роботодавця, що обробляють Персональні дані від імені Роботодавця, на умовах та в обсязі, погоджених із Роботодавцем у письмовому дозволі/договорі. Зокрема, з метою ведення облікових записів Працівника в системах управління персоналом, обробки його/її кадрової документації та записів про заробітну плату, здійснення виплат Працівникам, а також для надання послуг з інформаційної безпеки, архівування документів, надання послуг електронної пошти та інших послуг з використання розміщених застосунків, та в обсязі, необхідному для виконання прав і обов’язків, що випливають із трудових відносин між Працівником і Роботодавцем або за домовленістю між Працівником і Роботодавцем, а також для здійснення моніторингу за дотриманням Працівником відповідних політик Роботодавця щодо безпеки пристроїв та систем Роботодавця, що виконуються на основі відповідних Законних підстав, включно із згодою Працівника та захистом законних інтересів Роботодавця щодо забезпечення безперервності діяльності та захисту його економічних, комерційних і фінансових інтересів і, зокрема, дотримання правил конфіденційності. 

Перелік Процесорів даних Роботодавця у межах «Делойт ЦЄ» опублікований і доступний за посиланням: 1611.01 «Перелік Процесорів Персональних даних Працівника». Перелік локальних Процесорів даних Роботодавця опублікований і доступний за посиланням: Політика та процедури «Делойт ЦЄ»

Паперові версії зазначених вище переліків зберігаються в локальному відділі з управління персоналом і надаються Працівнику на його/її запит. 

Персональні дані Працівника також можуть розкриватися компетентним органам у випадках, передбачених Застосовним законодавством.

Цим доводиться до відома Працівника, що Роботодавець може надавати Персональні дані Працівника для цілей, що визначені вище та/або в Локальній політиці, фірмам у складі «Делойт ЦЄ» і ДТТЛ та їхнім відповідним дочірнім підприємствам і Афілійованим компаніям протягом строку дії Роботи, зокрема країнам за межами ЄС та/або України, які не завжди забезпечують такий самий рівень захисту, як це вимагається законодавством ЄС та/або України. Така передача даних Процесору (як зазначено в переліку Процесорів даних Роботодавця у межах «Делойт ЦЄ») або Контролеру в країни за межами ЄС та/або України здійснюється в обсязі, що вимагається Застосовним законодавством, Стандартними договірними положеннями ЄС та/або будь-якими застосовними Законними підставами, зокрема за згодою Працівника. В окремих випадках, як-от, наприклад, під час реалізації програми мобільності або транскордонного співробітництва, Персональні дані Працівника можуть бути передані Реципієнту за межами ЄС або України, і такий Реципієнт нестиме відповідальність за дотримання локального місцевого законодавства під час обробки Персональних даних. 

E. 
Персональні дані
Працівника оброблятимуться до досягнення цілей Обробки таких Персональних даних або відповідно до вимог Застосовного законодавства. Роботодавець має право обробляти Персональні дані Працівника протягом трьох місяців після припинення трудових відносин або відповідно до вимог Застосовного законодавства. Після закінчення цього періоду Персональні дані Працівника будуть анонімізовані або остаточно видалені.  Працівник несе відповідальність за достовірність та актуальність Персональних даних, які він/вона надає Роботодавцю. Працівник зобов'язується повідомляти Роботодавця про будь-які зміни в наданих Персональних даних.  

 F.
Під час та після закінчення трудових відносин Працівник зобов’язується зберігати конфіденційність Персональних даних Працівників Роботодавця, клієнтів і зовнішніх постачальників Роботодавця, а також інших фізичних осіб, з якими Працівник взаємодіяв під час виконання своєї Роботи, і які обробляються у зв’язку з виконанням Працівником своїх посадових обов’язків для Роботодавця. Працівник не має права використовувати Персональні дані в особистих цілях, а також не має права публікувати такі Персональні дані або робити їх доступними без отримання згоди Роботодавця або відповідної фізичної особи. Інші обов’язки Працівника, пов’язані з роботою із Персональними даними, визначаються внутрішніми правилами та положеннями Роботодавця, з якими Працівник був ознайомлений і яких він/вона зобов’язується дотримуватись.  

G.
Роботодавець може використовувати Систему відеоспостереження для фіксації діяльності у приміщеннях Роботодавця, що може використовуватися для встановлення фактів у разі виникнення інцидентів, а також для забезпечення безпеки та захисту Працівників.


Детальна інформація (про цілі та обсяг використання системи відеоспостереження, періодичність перегляду правил її використання, порядок зберігання записів та інші відомості) опублікована і доступна за посиланням: 1601.05 «Фізична безпека та Політика Системи відеоспостереження – Україна». 

Відеозаписи зберігаються не довше, ніж це необхідно для досягнення вищезазначених цілей. Стандартний термін зберігання відеозаписів становить 30 днів. Після закінчення цього терміну записи автоматично видаляються, окрім випадків, коли вони потрібні для розслідування інцидентів або не є предметом вимог компетентних органів.   

H.
Роботодавець зобов’язується встановити технологічні, фізичні, адміністративні та процедурні засоби захисту відповідно до всіх прийнятих у галузі стандартів для захисту та забезпечення конфіденційності, цілісності чи доступності Персональних даних, які обробляються; запобігати несанкціонованому використанню чи несанкціонованому доступу до Персональних даних або запобігати витоку Персональних даних (інцидентам безпеки) відповідно до інструкцій і політики «Делойт ЦЄ» та вимог чинного законодавства. Делойт має сертифікат ISO 27001 – загальновизнаний у світі інформаційного стандарту.    

I.
Права Суб’єктів даних
Працівник, окрім іншого, має право:

  • подавати запит на отримання доступу до своїх Персональних даних (зокрема запит на копіювання своїх Персональних даних, що обробляються Роботодавцем);  
  • подавати запит Роботодавцю на оновлення та виправлення своїх Персональних даних (право на виправлення);  
  • подавати запит Роботодавцю на видалення своїх Персональних даних (коли це можливо); або  
  • вимагати обмежити Обробку своїх Персональних даних. 

Працівник може висловити заперечення проти Обробки, а також реалізувати своє право на перенесення даних (отримати копію Персональних даних, які Працівник надав Роботодавцю, у структурованому, машинозчитувальному форматі, і звернутися до Роботодавця із запитом  передати такі дані іншому реципієнту). 

Крім того, Працівник має інші права, передбачені Застосовним законодавством, у тому числі, серед іншого, статтею 8 Закону України № 2297-VI «Про захист персональних даних» (зі змінами та доповненнями).  

Працівник може вимагати реалізації своїх прав, описаних вище, надіславши електронного листа на адресу: ceuaprivacy@deloittece.com або до Відділу з управління персоналом. 

 Працівник може також звернутися на електронну адресу CEprivacy@deloittece.com для вирішення будь-яких питань, пов’язаних з oбробкою його/її Персональних даних, зокрема питань щодо заходів безпеки під час передачі даних за межі України та/або регіону ЄС.  

Кожен Працівник також має право подати скаргу до локального наглядового органу з питань захисту даних в Україні, якщо він/вона вважає, що Обробка його/її Персональних даних порушує Законодавство про захист даних. 

Докладніше про права Працівника як Суб’єкта даних можна ознайомитися у документі «1604.03 Політика щодо реалізації прав Суб’єктів даних», який доступний за посиланням: 1604.03 Реалізація прав Суб’єктів даних. Своїм підписом Працівник підтверджує, що до його/її відома було доведено інформацію про:

  • його/її права, які передбачені Законодавством про захист даних та іншим Застосовним законодавством;  
  • обсяг та цілі Обробки Персональних даних згідно з цим Повідомленням,  
  • Контролера Персональних даних, а також перелік осіб, яким можуть бути передані його/її Персональні дані; та  
  • те, що надання Персональних даних, які обробляються згідно з цим Повідомленням, є обов’язковим.