У дисертації доведено, що захист персональних даних працівника є елементом трудових правовідносин, а також з метою забезпечення їх одноманітного правового режиму, захист персональних даних працівника слід розглядати як самостійний інститут трудового права. Адже суспільні відносини, пов'язані із захистом персональних даних працівника, є окремими видами правовідносин у сфері праці, які можуть як передувати (надання інформації в ході працевлаштування у певного роботодавця), супроводжувати (приміром, ухвалення рішення про просуванні працівника по службі), так і випливати з трудових правовідносин (приміром, розголошення комерційної таємниці), специфіка яких пов'язана з ключовими суб'єктами трудового права – працівниками та роботодавцями.
Авторкою визначено, що персональні дані працівника – це інформація, яка стосується загальних даних про особу працівника та/або кандидата на посаду, професійної кваліфікації працівника/кандидата на посаду, ділових, професійних якостей, а також інформація щодо спеціальних вимог, які можуть встановлюватися законодавством до працівників/кандидатів на посаду у зв'язку з характером їх роботи (приміром, заповнення декларації про доходи, проходження спеціальної перевірки тощо). Тобто персональні дані працівника мають забезпечувати ідентифікацію його/її не тільки і не стільки як людину, а насамперед як працівника. Це означає, що персональні дані працівника та претендента на посаду – це, в першу чергу, інформація, що стосується професійної кваліфікації, ділових, професійних якостей та відповідності працівника та претендента на посаду вимогам, які можуть бути до нього пред'явлені у зв'язку з характером роботи.
Класифікація персональних даних працівника, в аспекті їх збору, обробки та правового режиму використання має провадитися на такі групи:
а) загальні «анкетні» персональні дані (відомості про прізвище, ім’я, по батькові, дата та місце народження, паспортні дані, відомості про освіту, про професійні навички, відомості про «історію» трудової діяльності тощо);
б) спеціальні персональні дані: расова, національна приналежність, політичні погляди, релігійні чи філософські переконання, стан здоров'я, приватне життя. Збір та обробка цих персональних даних має бути заборонена для роботодавця;
в) персональні дані обмеженого доступу, до яких слід віднести відомості про усиновлення, судимість, участі у кримінальному судочинстві як підозрюваного, наданої чи прийнятої фінансової допомоги, чи послуг, декларація про доходи, результати спеціальної перевірки тощо;
г) біометричні персональні дані – відомості, що містять характеристики фізіологічних та біологічних особливостей людини, що дають можливість встановлення її особистості. Ці дані є «чутливими даними» і мають особливий правовий режим захисту. Для їх обробки роботодавцем потрібне спеціальне погодження Уповноваженим ВРУ.
У дисертації обґрунтовано, що специфіка захисту персональних даних осіб, які здійснюють свою професійну діяльність на підставі трудового договору, проявляється, перш за все, в тому, що основні вимоги щодо обробки персональних даних працівника встановлюються нормами законодавства, а порядок здійснення окремих операцій з персональними даними працівника (збір, зберігання, використання, поширення) може деталізуватися у локальних правових актах. Обов'язок не розголошувати персональні дані також може бути передбачений законами та підзаконними актами для окремих категорій осіб, наприклад, для державних службовців.
Виокремлено чотири послідовні дії для реалізації механізму захисту персональних даних працівника: а) визначити технічні та організаційні заходи, які треба вжити; б) призначити відповідального за обробку і захист персональних даних. Якщо роботодавець — орган влади, ОМС чи підприємство, що обробляє чутливі персональні дані, призначайте відповідального обов’язкового. В інших випадках — за рішенням керівника підприємства; в) розробити Положення про порядок обробки та захисту персональних даних (Додаток А); г) отримати зобов’язання про нерозголошення персональних даних від працівників, які стикаються під час роботи з персональними даними інших осіб. Зареєструвати отримані зобов’язання в Журналі реєстрації зобов’язань про нерозголошення персональних даних.
Доведено, що надання інформації про персональні дані працівника на телефонний запит є неправомірним, позаяк таку інформацію слід надавати тільки за письмовими запитами та за згодою працівника, яку він/вона надав(ла), або володільцю його персональних даних, або запитувачу. Оскільки якщо передавати таку інформацію телефоном, то роботодавець ризикує, адже працівник може поскаржитися омбудсмену на те, що роботодавець незаконно поширив його/її персональні дані, а як наслідок роботодавець може отримати штраф.
