No results found
In accordance with the Data Protection Legislation applicable to the Employer at the relevant time, the Employee acknowledges and agrees that his/her Personal Data are Processed by the Employer as the Data Controller. The Processing is carried out under the Employment Contract between the Employee and the Employer, in connection with or in relation to the performance of the Employee’s work and also covers the purposes of use of the Employer’s information systems and compliance with the internal policies of DTTL member firms and their respective subsidiaries and Affiliates.
1.
1 Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited (“DTTL”), its global network of member firms, and their related entities (collectively, the “Deloitte Organization”). DTTL (also referred to as “Deloitte Global”) and each of its member firms and related entities are legally separate and independent entities, which cannot obligate or bind each other in respect of third parties. DTTL and each DTTL member firm and related entity is liable only for its own acts and omissions, and not those of each other. DTTL does not provide services to clients. Please see www.deloitte.com/about to learn more.
2Deloitte Ukraine refers to Deloitte entities operating within Ukraine , in particular:
1. Limited Liability Company “Deloitte & Touche Ukrainian Services Company”, registration number: 25642478, address: 48, 50a Zhylyanska Street, 01033, Kyiv, Ukraine.
2. Limited Liability Company “Deloitte Technology Services”, registration number: 45088483, address: 48, 50a Zhylyanska Street, 01033, Kyiv, Ukraine.
2.
3. Limited Liability Company “Deloitte & Touche”, registration number: 20043783, address: 48, 50a Zhylyanska Street, 01033, Kyiv, Ukraine.
A.
Definitions:
The definitions set out in this Notice serve for nomenclature purposes solely and in specific cases, in particular, where a contractor is engaged, do not establish any existence of the employment relationship in accordance with the Labor Code of Ukraine, as amended (hereinafter, the “Labor Code”).
Unless defined elsewhere in this Notice, the terms used herein shall have the meanings given to them in the Local Policy Employees’ Personal Data Protection prepared by the Employer and providing additional data protection principles set out in the Applicable Laws and the professional requirements applicable to Deloitte Ukraine (hereinafter, the “Local Policy”).
B.
Extent of the Processing:
The Employer Processes the Employee’s Personal Data to the following extent:
C.
Legitimate Circumstances and Purpose of Processing of the Employee’s Personal Data by the Employer:
The Employer Processes the Employee’s Personal Data only if at least one of the Legitimate Circumstances (as defined, for the avoidance of doubt, in the Local Policy Employees’ Personal Data Protection) is met.
The purpose of Processing the Personal Data is for the Employer to exercise its rights and obligations pursuant to, in each case, the extent applicable, the Labor Code, the Employment Contract, and other Applicable Laws, in particular, with regard to maintaining HR and payroll agenda, to acts relating to performance of the Employee’s obligations related to the Employment, the Employee’s trainings and education, benefits, and connected to offering and providing the Employer’s services to the clients as specified in more detail in paragraph below and/or the Local Policy.
The Employer is also entitled to Process the Employee’s Personal Data for the purpose of monitoring the Employee’s compliance with relevant Employer’s policies relating to security of the Employer’s devices and system. Processing in this extent is based on the relevant Legitimate Circumstances, including the Employee’s consent and the protection of the Employer’s legitimate interest in ensuring its business continuity and protection of its economic, commercial, and financial interests and, in particular, compliance with the rules of confidentiality. This includes, among others, prevention and remedy of any technical problems, prevention and suppression of activities that are intentionally illegal, contrary to the public order or that are willfully damaging to any third party’s rights and dignity, prevention and suppression of any violation of intellectual property rights, as well as confidentiality and integrity of the Employer’s data, the security and good technical functioning of its systems and the costs relative thereto, as well as the material protection of all Employer’s resources.
D.
The Employer is entitled to provide the Employee’s Personal Data to the following Recipients that are the Employer’s Data Processors who Process the Personal Data on behalf of the Employer, under the conditions and to the extent agreed with the Employer in a written authorization/contract. In particular, for the purpose of the Employee’s records in the HR systems, processing of his/her HR and payroll records, providing the Employee’s benefits and also to provide IS services, document archiving, e-mail services, and other hosted applications services, and to the extent necessary for the performance of rights and obligations arising from the employment relationship between the Employee and the Employer or as agreed between the Employee and the Employer, as well as for the purpose of monitoring the Employee’s compliance with relevant Employer’s policies relating to security of the Employer’s devices and system based on the relevant Legitimate Circumstances, including the Employee’s consent and the protection of the Employer’s legitimate interest in ensuring its business continuity and protection of its economic, commercial, and financial interests and, in particular, compliance with the rules of confidentiality.
The list of the Employer’s Data Processors within Deloitte CE is published and accessible here: 1611.01 List of the Employee’s Personal Data Processors. The list of the local Employer’s Data Processors is published and accessible here: Deloitte CE Policies & Procedures.
Paper versions of the above-mentioned lists are available at the local HR department and are provided to the Employee upon his/her request.
The Employee’s Personal Data may also be disclosed to the competent authorities as authorized by the Applicable Laws.
The Employee is hereby informed that the Employer may provide the Employee’s Personal Data for the purposes as specified above and/or by the Local Policy to Deloitte CE and DTTL member firms and their respective subsidiaries and Affiliates during the term of the Employment, even to countries outside of the EU territory and/or Ukraine which do not always ensure the same level of protection as required by the EU and/or the Ukrainian legislation. Such transfers to countries outside of the EU and/or Ukraine either to the Processor (as indicated in the list of the Employer’s Data Processors within Deloitte CE) or the Controller are based on, to the extent required by the Applicable Laws, the EU approved Standard Contractual Clauses and/or any of the applicable Legitimate Circumstances, including the Employee’s consent. In specific situations, such as, e.g., mobility program or cross-border cooperation provision, the Employee’s Personal Data can be transferred to the Recipient outside the EU or Ukraine and it is responsibility of such a Recipient to comply with the local law when Processing the Personal Data.
E.
The Employee’s Personal Data will be Processed until the purposes of Processing of such Personal Data are fulfilled; or as required by the Applicable Laws. The Employer is entitled to Process the Employee’s Personal Data for a period of three months after the employment relationship is terminated or as required by the Applicable Laws. After this period expires, the Employee’s Personal Data will be anonymized or permanently deleted.
The Employee is responsible for the accuracy and update of the Personal Data he/she has provided to the Employer. The Employee undertakes to notify the Employer of any changes in the Personal Data provided without undue delay.
F.
During and after the employment relationship, the Employee is obliged to keep confidential the Personal Data of the Employer’s Employees, clients, external suppliers, and other natural persons met by the Employee in the course of his/her Employment, which are Processed in connection with his/her job duties performed for the Employer; he/she may not use the Personal Data for personal purposes, and he/she may not publish them or make them accessible without the Employer’s or the particular natural person’s consent. Other obligations of the Employee related to work with the Personal Data are specified in the Employer’s internal policies and regulations, of which the Employee was informed and which he/she undertakes to comply with.
G.
The Employer may use the CCTV system for the purpose of recording activities in the Employer's premises, which may be used to establish facts in case of incidents, and to ensure the safety and protection of Employees.
Detailed information (about the purposes and scope of the use of the CCTV system, the periodicity of reviewing the rules for its use, the procedure for storing records and other information) is published and accessible here: 1601.05 Physical Security and CCTV Policy - Ukraine.
Video recordings are stored no longer than necessary to achieve the above-mentioned purposes. The standard storage period for video recordings is 30 days. After this period, the recordings are automatically deleted unless they are needed for incident investigations or are subject to requests from competent authorities.
H.
The Employer shall establish technological, physical, administrative, and procedural safeguards all in line with the industry accepted standards in order to protect and ensure the confidentiality, integrity, or accessibility of the Personal Data Processed; prevent the unauthorized use of or unauthorized access to the Personal Data or prevent a Personal Data breach (security incident) in accordance with Deloitte instructions, policies, and applicable laws. Deloitte is a holder of ISO 27001 certification – a widely recognized global information standard.
I.
The Data Subjects’ Rights
The Employee has, among others, the right to:
The Employee may object to the Processing, as well as execute his/her right to data portability (receive a copy of the Personal Data which the Employee provided to the Employer in a structured machine-readable format and request the Employer to transmit such data to another data recipient).
Further, the Employee has other rights set out under the Applicable Laws, including, without limitation, under Article 8 of the Law of Ukraine No. 2297-VI “On Personal Data Protection” (as may be amended or replaced from time to time).
The Employee can enforce all rights described herein by sending e-mail to: ceuaprivacy@deloittece.com or HR Department.
The Employee can also contact CEprivacy@deloittece.com for any questions related to Processing of his/her Personal Data, including the security safeguards, when transferring the data outside of Ukraine and/or the EU region.
It is also the right of each Employee to lodge a complaint with a local data protection supervisory authority in Ukraine in case the Employee is of an opinion that the Processing of his/her Personal Data infringes the Data Protection Legislation.
To learn more about the Employee’s Data Subject’s rights, please read “1604.03 Data Subjects’ Rights Execution policy” available here: 1604.03 Data Subjects’ Rights Execution. By signing, the Employee confirms that he/she was informed of:
ІНФОРМАЦІЯ ЩОДО ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ
Відповідно до Законодавства про захист даних, що застосовується до Роботодавця у відповідний період, Працівник визнає та погоджується з тим, що його/її Персональні дані обробляються Роботодавцем як Контролером даних. Обробка здійснюється відповідно до умов Трудового договору між Працівником і Роботодавцем, у зв’язку з виконанням Працівником своїх робочих обов’язків, а також охоплює цілі використання інформаційних систем Роботодавця та дотримання внутрішніх політик фірм-учасниць мережі ДТТЛ та їхніх відповідних дочірніх підприємств та Афілійованих компаній.
1Делойт стосується однієї чи більшої кількості декількох юридичних осіб серед організації «Делойт Туш Томацу Лімітед» («ДТТЛ»), фірм учасниць її глобальної мережі, та їхніх пов’язаних юридичних осіб (далі разом – «Організація Делойт»). ДТТЛ (також іменується як «Делойт Глобал») і кожна з фірм-учасниць її мережі та пов’язаних осіб є юридично окремими та незалежними особами, які не вправі зобов’язувати або брати обов’язки перед третіми особами одна за іншу. ДТТЛ, кожна з фірм-учасниць, що входять до мережі ДТТЛ, та кожна пов’язана особа несуть відповідальність тільки за власні дії чи бездіяльність, а не за дії чи бездіяльність одна одної. ДТТЛ не надає послуг клієнтам. Дізнатися більше можна за посиланням: www.deloitte.com/about.
2Делойт в Україні стосується юридичних осіб Делойт, які провадять свою операційну діяльність в Україні, а саме:
1. Товариство з обмеженою відповідальністю «Делойт енд Туш Юкрейніан Сервісез Компані», реєстраційний номер: 25642478, адреса: вул. Жилянська, 48, 50а, Київ, 01033, Україна.
2. Товариство з обмеженою відповідальністю «Делойт Технологічні Послуги», реєстраційний номер: 45088483, адреса: вул. Жилянська, 48, 50а, Київ, 01033, Україна.
3. Товариство з обмеженою відповідальністю «Делойт і Туш», реєстраційний номер: 20043783, адреса: вул. Жилянська, 48, 50а, Київ, 01033, Україна.
A.
Визначення:
Визначення, викладені у цьому Повідомленні, використовуються виключно для номенклатурних цілей і, в окремих випадках, зокрема, коли залучається підрядник, не встановлюють наявності будь-яких трудових відносин відповідно до Кодексу законів про працю України, зі змінами та доповненнями (далі – «Кодекс законів про працю»).
Якщо інше не визначено в цьому Повідомленні, терміни, що використовуються, мають значення, наведені в Локальній політиці Захисту персональних даних працівників, розробленій Роботодавцем, яка встановлює додаткові принципи захисту даних відповідно до Застосовного законодавства та професійних вимог, що застосовуються до Делойт в Україні (далі – «Локальна політика»).
B.
Обсяг Обробки:
Роботодавець обробляє Персональні дані Працівника, зокрема в такому обсязі:
C.
Законні підстави та Мета Обробки Персональних даних Працівника Роботодавцем:
Роботодавець обробляє Персональні дані Працівника лише за наявності принаймні однієї з Законних підстав (як це визначено, для уникнення сумнівів, у Локальній політиці Захисту персональних даних працівників).
Метою Обробки Персональних даних є реалізація Роботодавцем своїх прав і обов’язків відповідно до, в кожному конкретному випадку та наскільки це застосовно, Кодексу законів про працю, Трудового договору та іншого Застосовного законодавства, зокрема, щодо виконання плану управління персоналом і нарахування заробітної плати; вчинення дій, пов’язаних із виконанням Працівником своїх обов’язків, пов’язаних із Роботою, тренінгами та навчанням Працівника, додатковими виплатами, а також пов’язаних із наданням пропозицій та послуг Роботодавця клієнтам, як це зазначено більш докладно в пункті нижче та/або Локальній політиці.
Роботодавець також має право обробляти Персональні дані Працівника з метою моніторингу за дотриманням Працівником відповідних політик Роботодавця щодо безпеки пристроїв і систем Роботодавця. Така Обробка даних виконується на відповідних Законних підставах, включно із згодою Працівника та захистом законних інтересів Роботодавця щодо забезпечення безперервності його діяльності та захисту його економічних, комерційних і фінансових інтересів, зокрема дотримання правил конфіденційності. Це передбачає, серед іншого, запобігання та усунення будь-яких технічних проблем, запобігання та припинення діяльності, яка є завідомо незаконною, суперечить громадському порядку або навмисно завдає шкоди правам та гідності будь-якої третьої сторони, запобігання та припинення будь-якого порушення прав інтелектуальної власності, а також забезпечення конфіденційності і цілісності даних Роботодавця, безпеки та належного технічного функціонування його систем і пов’язаних із цим витрат, а також матеріальний захист всіх ресурсів Роботодавця.
D.
Роботодавець має право надавати Персональні дані Працівника Реципієнтам, які є Процесорами даних Роботодавця, що обробляють Персональні дані від імені Роботодавця, на умовах та в обсязі, погоджених із Роботодавцем у письмовому дозволі/договорі. Зокрема, з метою ведення облікових записів Працівника в системах управління персоналом, обробки його/її кадрової документації та записів про заробітну плату, здійснення виплат Працівникам, а також для надання послуг з інформаційної безпеки, архівування документів, надання послуг електронної пошти та інших послуг з використання розміщених застосунків, та в обсязі, необхідному для виконання прав і обов’язків, що випливають із трудових відносин між Працівником і Роботодавцем або за домовленістю між Працівником і Роботодавцем, а також для здійснення моніторингу за дотриманням Працівником відповідних політик Роботодавця щодо безпеки пристроїв та систем Роботодавця, що виконуються на основі відповідних Законних підстав, включно із згодою Працівника та захистом законних інтересів Роботодавця щодо забезпечення безперервності діяльності та захисту його економічних, комерційних і фінансових інтересів і, зокрема, дотримання правил конфіденційності.
Перелік Процесорів даних Роботодавця у межах «Делойт ЦЄ» опублікований і доступний за посиланням: 1611.01 «Перелік Процесорів Персональних даних Працівника». Перелік локальних Процесорів даних Роботодавця опублікований і доступний за посиланням: Політика та процедури «Делойт ЦЄ».
Паперові версії зазначених вище переліків зберігаються в локальному відділі з управління персоналом і надаються Працівнику на його/її запит.
Персональні дані Працівника також можуть розкриватися компетентним органам у випадках, передбачених Застосовним законодавством.
Цим доводиться до відома Працівника, що Роботодавець може надавати Персональні дані Працівника для цілей, що визначені вище та/або в Локальній політиці, фірмам у складі «Делойт ЦЄ» і ДТТЛ та їхнім відповідним дочірнім підприємствам і Афілійованим компаніям протягом строку дії Роботи, зокрема країнам за межами ЄС та/або України, які не завжди забезпечують такий самий рівень захисту, як це вимагається законодавством ЄС та/або України. Така передача даних Процесору (як зазначено в переліку Процесорів даних Роботодавця у межах «Делойт ЦЄ») або Контролеру в країни за межами ЄС та/або України здійснюється в обсязі, що вимагається Застосовним законодавством, Стандартними договірними положеннями ЄС та/або будь-якими застосовними Законними підставами, зокрема за згодою Працівника. В окремих випадках, як-от, наприклад, під час реалізації програми мобільності або транскордонного співробітництва, Персональні дані Працівника можуть бути передані Реципієнту за межами ЄС або України, і такий Реципієнт нестиме відповідальність за дотримання локального місцевого законодавства під час обробки Персональних даних.
E.
Персональні дані
Працівника оброблятимуться до досягнення цілей Обробки таких Персональних даних або відповідно до вимог Застосовного законодавства. Роботодавець має право обробляти Персональні дані Працівника протягом трьох місяців після припинення трудових відносин або відповідно до вимог Застосовного законодавства. Після закінчення цього періоду Персональні дані Працівника будуть анонімізовані або остаточно видалені. Працівник несе відповідальність за достовірність та актуальність Персональних даних, які він/вона надає Роботодавцю. Працівник зобов'язується повідомляти Роботодавця про будь-які зміни в наданих Персональних даних.
F.
Під час та після закінчення трудових відносин Працівник зобов’язується зберігати конфіденційність Персональних даних Працівників Роботодавця, клієнтів і зовнішніх постачальників Роботодавця, а також інших фізичних осіб, з якими Працівник взаємодіяв під час виконання своєї Роботи, і які обробляються у зв’язку з виконанням Працівником своїх посадових обов’язків для Роботодавця. Працівник не має права використовувати Персональні дані в особистих цілях, а також не має права публікувати такі Персональні дані або робити їх доступними без отримання згоди Роботодавця або відповідної фізичної особи. Інші обов’язки Працівника, пов’язані з роботою із Персональними даними, визначаються внутрішніми правилами та положеннями Роботодавця, з якими Працівник був ознайомлений і яких він/вона зобов’язується дотримуватись.
G.
Роботодавець може використовувати Систему відеоспостереження для фіксації діяльності у приміщеннях Роботодавця, що може використовуватися для встановлення фактів у разі виникнення інцидентів, а також для забезпечення безпеки та захисту Працівників.
Детальна інформація (про цілі та обсяг використання системи відеоспостереження, періодичність перегляду правил її використання, порядок зберігання записів та інші відомості) опублікована і доступна за посиланням: 1601.05 «Фізична безпека та Політика Системи відеоспостереження – Україна».
Відеозаписи зберігаються не довше, ніж це необхідно для досягнення вищезазначених цілей. Стандартний термін зберігання відеозаписів становить 30 днів. Після закінчення цього терміну записи автоматично видаляються, окрім випадків, коли вони потрібні для розслідування інцидентів або не є предметом вимог компетентних органів.
H.
Роботодавець зобов’язується встановити технологічні, фізичні, адміністративні та процедурні засоби захисту відповідно до всіх прийнятих у галузі стандартів для захисту та забезпечення конфіденційності, цілісності чи доступності Персональних даних, які обробляються; запобігати несанкціонованому використанню чи несанкціонованому доступу до Персональних даних або запобігати витоку Персональних даних (інцидентам безпеки) відповідно до інструкцій і політики «Делойт ЦЄ» та вимог чинного законодавства. Делойт має сертифікат ISO 27001 – загальновизнаний у світі інформаційного стандарту.
I.
Права Суб’єктів даних
Працівник, окрім іншого, має право:
Працівник може висловити заперечення проти Обробки, а також реалізувати своє право на перенесення даних (отримати копію Персональних даних, які Працівник надав Роботодавцю, у структурованому, машинозчитувальному форматі, і звернутися до Роботодавця із запитом передати такі дані іншому реципієнту).
Крім того, Працівник має інші права, передбачені Застосовним законодавством, у тому числі, серед іншого, статтею 8 Закону України № 2297-VI «Про захист персональних даних» (зі змінами та доповненнями).
Працівник може вимагати реалізації своїх прав, описаних вище, надіславши електронного листа на адресу: ceuaprivacy@deloittece.com або до Відділу з управління персоналом.
Працівник може також звернутися на електронну адресу CEprivacy@deloittece.com для вирішення будь-яких питань, пов’язаних з oбробкою його/її Персональних даних, зокрема питань щодо заходів безпеки під час передачі даних за межі України та/або регіону ЄС.
Кожен Працівник також має право подати скаргу до локального наглядового органу з питань захисту даних в Україні, якщо він/вона вважає, що Обробка його/її Персональних даних порушує Законодавство про захист даних.
Докладніше про права Працівника як Суб’єкта даних можна ознайомитися у документі «1604.03 Політика щодо реалізації прав Суб’єктів даних», який доступний за посиланням: 1604.03 Реалізація прав Суб’єктів даних. Своїм підписом Працівник підтверджує, що до його/її відома було доведено інформацію про: