Background check в контексті захисту персональних даних: як його проводити в Україні?

Інформація
16 Січ 2026
Дата публікації
Data privacy compliance
Категорія
Автори
Анастасія Полтавцева
Privacy юристка в Legal IT Group

Background check – це перевірка даних кандидата або вже працевлаштованого працівника, яка дозволяє роботодавцю оцінити його надійність та відповідність вимогам до посади. У бізнес-практиці такі перевірки зазвичай можуть охоплювати підтвердження освіти, досвіду роботи, отримання відгуків від попередніх колег, перевірку судимості, фінансову репутацію, а також аналіз публічної активності кандидата. 

Для роботодавця background check – це, передусім, інструмент управління ризиками: погодьтесь, наймати фінансового директора без належної перевірки, а через деякий час дізнатись, що він був причетний до корпоративних махінацій у минулому – не надто далекоглядний крок. 

Водночас слід пам’ятати: такі перевірки тісно межують з втручанням у приватне життя особи, тож збір інформації, яка не має прямого зв’язку з майбутніми професійними обов’язками або надмірно висвітлює особисті аспекти життя особи, створює для бізнесу серйозні юридичні ризики. Тому, перш ніж запускати background check, компанії потрібно відповісти на ключове питання: на якій правовій підставі ми проводимо цю перевірку і якою вона може бути? 

Правові підстави для обробки персональних даних при background checks

З точки зору європейського регламенту про захист даних (GDPR) та Закону України «Про захист персональних даних» будь-яка перевірка кандидата чи працівника є обробкою персональних даних. А отже, бізнес повинен чітко визначити правову підставу для цього процесу. 

Поширена помилка – покладатися на згоду кандидата. Незважаючи на те, що в Україні згода є практично універсальною підставою для обробки даних (станом на момент підготовки статті – вересень 2025 року), і причиною цього є не лише застаріла редакція Закону України «Про захист персональних даних», а й правозастосовна практика, за GDPR згода апріорі не може вважатись добровільною в ситуації, коли кандидат знаходиться у нерівному становищі з роботодавцем (і потенційним роботодавцем в тому числі), й підписує документ лише зі страху втратити шанс на роботу. 

Тож враховуючи, що законопроєкт 8153, який на даний час розглядається Верховною Радою України й невдовзі оновить чинну редакцію Закону України «Про захист персональних даних», імплементуючи GDPR в Україні, бізнесу вже зараз варто подбати про те, щоб почати використовувати належні правові підстави для перевірок своїх кандидатів та працівників.

По-перше, мова йде про легітимний інтерес бізнесу – він працює тоді, коли користь від конкретної обробки для компанії явно переважає ризики для приватності кандидата, й потребує документування у вигляді оцінки легітимного інтересу.

По-друге, виконання юридичного обов’язку – у певних сферах закон прямо вимагає здійснювати перевірки (наприклад, щодо відсутності судимості чи протипоказань за станом здоров’я при працевлаштуванні на певні посади).

Правові підстави для обробки персональних даних при background checks

Категорії персональних даних у background checks

На практиці компанії часто не обмежують себе у обсязі даних, які збираються під час перевірки, особливо коли остання проводиться за наявності достатніх ресурсів внутрішньою службою безпеки. Але намір перевірити кандидата “по максимуму” може створити для бізнесу ризик замість захисту – все через дію принципів GDPR, які імплементуються в новій редакції Закону України «Про захист персональних даних».

Варто розрізняти дві великі групи даних:

  • Звичайні персональні дані – ідентифікаційні відомості, контактні дані, історія працевлаштування, дипломи та сертифікати – тут усе більш-менш зрозуміло: ці дані логічно пов’язані з процесом працевлаштування і оцінкою професійної компетенції кандидата.
  • Чутливі категорії даних – і ось тут починаються нюанси. Це інформація про стан здоров’я, належність до профспілок, політичні чи релігійні переконання, а також дані про судимість – і саме обробка цих даних викликає найбільше питань.

Тож бізнесу варто чітко визначити – які персональні дані не можуть оброблятись та враховуватись у оцінці професійних якостей кандидата в конкретному випадку. 

Проєкт Закону України «Про захист персональних даних» № 8153 від 25.10.2022 передбачає:

Дані про оцінку відповідності професійних компетентностей особи, можуть зберігатись роботодавцем виключно з метою оцінки її професійно-ділових якостей або відповідності компетентностей вимогам умов праці та технологічних процесів. 

Роботодавець не може обробляти чутливі персональні дані особи, які стали підставою для оцінки її професійних компетентностей, після отримання результатів такої оцінки від компетентної особи.

Персональні дані, які оброблялись роботодавцем з метою здійснення внутрішнього (службового) розслідування, результати якого не призвели до негативних рішень для особи, щодо якої проводилось таке розслідування, повинні бути видалені роботодавцем після ознайомлення з матеріалами розслідування всіх осіб, які мають право на таке ознайомлення, але не раніше спливу строку позовної давності.

А тепер трохи практики. Подумайте: чим обґрунтувати потребу знати релігійні погляди або сімейний стан та наявність дітей у кандидатки на посаду офіс-менеджера? З цього прикладу ми можемо побачити головне правило: збирати лише ті дані, які дійсно необхідні для конкретної посади і обробку яких ми можемо обґрунтувати релевантними аргументами. 

Погодьтесь, якщо йдеться про CFO, який матиме доступ до фінансових активів компанії, чи про лаборанта стратегічного підприємства в структурі ВПК, то обсяг перевірки вже може бути значно ширшим.

Важливо й те, що навіть “безпечні” на перший погляд дані можуть ставати проблемними, якщо їх збирати безсистемно або з неперевірених джерел. Зокрема, йдеться про збір інформації у соцмережах: навіть якщо вам здалося, що кандидат “не дуже серйозний” на фото з вечірки в його особистому профілі, використати цю інформацію як аргумент для відмови в працевлаштуванні буде сумнівним рішенням з юридичної точки зору.

Тож як відрізнити обґрунтовану перевірку від надмірного збору інформації? 

Принципи: пропорційність і мінімізація даних

Два золоті принципи GDPR, що визначають наші можливості в обробці будь-яких даних – пропорційність і мінімізація.

Пропорційність означає, що обсяг перевірки має відповідати меті. Іншими словами, якщо вам потрібно переконатися, що кандидат має диплом бухгалтера, то цього достатньо. Мінімізація ж вимагає збирати тільки ті дані, без яких ви точно не зможете прийняти рішення.

Так, у нашому попередньому прикладі з офіс-менеджеркою, CFO та лаборантом стратегічного підприємства яскраво проявляється принцип пропорційності: різні посади –  різний рівень перевірки. 

І навіть якщо ви збираєте дані обґрунтовано і в межах пропорційності, особа має знати, що саме ви перевіряєте і навіщо. Це підводить нас до наступного принципу прозорості, який вимагає інформування кандидатів та працівників про проведення background checks.

Прозорість та інформування кандидатів / працівників

Один із найпоширеніших міфів серед бізнесу звучить так: 

“Якщо ми перевіряємо наших кандидатів тихо і непомітно, то це безпечніше для нас”. 

Насправді все навпаки. GDPR, а невдовзі й новий Закон України «Про захист персональних даних» прямо вимагають, що особа має знати, які дані про неї збирають, з яких джерел і з якою метою – інакше навіть найкоректніше з точки зору пропорційності збирання даних може перетворитися на порушення.

Тож бізнесу варто подбати про те, щоб у політиці конфіденційності кандидатам  обов’язково надавалась у зрозумілій та доступній формі, зокрема, наступна інформація: 

  • які дані ви будете збирати;
  • з яких джерел;
  • з якою метою;
  • як довго ці дані зберігатимуться;
  • які права має кандидат.

Але навіть коли всі принципи дотримані, залишається певна зона ризику і вона залежить від того, як бізнес поводиться з результатами перевірок.

Ризики для бізнесу 

Більшість проблем з background checks у бізнесу виникає тоді, коли стається витік конфіденційної інформації з корпоративних джерел або кандидат вирішує оскаржити відмову у працевлаштуванні і через неналаштовані процеси випадково отримує на руки реальний обсяг даних, який про нього збирався. 

Як і будь-який бізнес-процес, background check потребує системності. Без чітких правил перевірки перетворюються з інструмента управління ризиками на їх джерело. 

GDPR та законопроєкт 8153, що імплементує його в Україні, передбачають серйозні штрафи за обробку даних без належної правової підстави, а також надмірний збір інформації та відсутність прозорості – через регулювання відносин з обробки принципами, про які ми говорили вище.

Тож якщо бізнес прагне захищати себе – в умовах нового законодавства про захист персональних даних він має перебудувати існуючі процедури перевірки кандидатів та працівників, а це означає, передусім, чіткі внутрішні політики, прозорі правила та контроль.

Практичні кроки для побудови процесу перевірок 

  • Внутрішні політика перевірок – документ, який відповідає на питання: кого перевіряємо, які дані збираємо, звідки їх беремо, хто проводить перевірки, хто має доступ до результатів. Завдяки цьому зникає суб’єктивність і з’являється прозорість.
  • Оцінка легітимного інтересу (Legitimate Interest Assessment, LIA) – документ, який дозволяє проводити background check на законній підставі.
  • Оцінка ризиків (Data Protection Impact Assessment, DPIA) – якщо ви плануєте проводити “глибокі” перевірки (наприклад, для топменеджменту чи в стратегічно важливих галузях), корисно провести оцінку впливу на захист даних. Це спосіб заздалегідь убезпечити себе у випадку розслідувань контролюючих органів, скарг, судових процесів. 
  • Робота з контрагентами – якщо перевірки робить зовнішній підрядник, потрібно чітко визначити його роль: процесор чи контролер, повноваження, порядок взаємодії з вами тощо, а також закріпити всі зобов’язання у договорі – від умов про конфіденційність до строків зберігання зібраної за вашим дорученням інформації.
  • Навчання HR та менеджерів – жодна політика не працює, якщо команда не розуміє, як її застосовувати. Мінімальне тренінгове заняття може зекономити бізнесу сотні тисяч гривень на штрафах.
  • Механізм оскарження – кандидат повинен мати можливість поставити питання або оскаржити результат перевірки, якщо він базується на помилкових даних. 

Ці прості кроки дозволять зробити background check керованим і передбачуваним бізнес-процесом. 

Є запитання до юристів?
до 500 символів
Сталася помилка
Запит надіслано Дякуємо за ваше повідомлення! Ми обробимо його якнайшвидше.

Статті по темі

Data privacy compliance
Відповідність GDPR: як досягти за 10 кроків у 2026 році
Зоряна Буравцова
21 Січня, 17:36
Data privacy compliance
Захист персональних даних для фінансових компаній та fintech-проєктів в Україні
Євгеній Кандирал
21 Січня, 14:22
Data privacy compliance
Marketing compliance. Як продавати і не порушувати приватність
Соломія Бельська
20 Січня, 12:58
Data privacy compliance
Торговельна марка для fashion бренду у США. Бренд для Amazon
Legal IT Group
19 Січня, 11:54
Data privacy compliance
Чому варто провести IP аудит продуктів ІТ компанії вже зараз?
Андрій Желтов Legal IT Group
Андрій Желтов
19 Січня, 10:29

Топ публікацій

Data privacy compliance
GDPR Compliance: від теорії до практики
Intellectual property
IP-документація для ІТ: як убезпечити свій бізнес
Спори та суди
NDA працює? ІТ-адвокати відповідають. Судова практика
Intellectual property
Дія. Сіті: алгоритм реєстрації та вимоги до компанії
Data privacy compliance
GDPR-навчання для юридичного департаменту компанії
Анастасія Полтавцева
24 Грудня, 10:47
Data privacy compliance
Політика конфіденційності для додатку та сайту. Як об’єднати і зробити ефективною?
Соломія Бельська
23 Грудня, 11:33
Data privacy compliance
Територія застосування GDPR
Legal IT Group
17 Грудня, 09:46
Data privacy compliance
Захист персональних даних у Бразилії: особливості сфери дії LGPD та нова штрафна практика
Legal IT Group
16 Грудня, 17:45
Data privacy compliance
MedTech у США: головні правила гри для роботи з медданими
Антон Демчук Legal IT Group
Антон Демчук
15 Грудня, 16:27
Перейти до блогу