Правила работы с персональными данными

Содержание

Организация работы с персональными данными

Правила работы с персональными данными

С конца лета Закон о персональных данных действует в новой редакции. Изменились правила получения и защиты информации. Для работодателя это означает лишь одно – дополнительный документооборот. В статье расскажем о том, как составить положение о работе с персональными данными сотрудников и назначить ответственного за организацию работы с персональными данными.

Что такое персональные данные

Федеральный закон от 27.07.2006 N 152-ФЗ “О персональных данных” (далее – Закон N 152-ФЗ) определяет персональные данные как любую информацию, прямо или косвенно относящуюся к физическому лицу (субъекту персональных данных). Об этом сказано в п. 1 ст. 3 Закона N 152-ФЗ.

Согласно ч. 1 ст. 85 Трудового кодекса под персональными данными сотрудника понимают информацию, касающуюся конкретного работника, которая необходима работодателю в связи с трудовыми отношениями. Речь идет о таких данных, как:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • пол;
  • адрес;
  • семейное положение;
  • должность (профессия);
  • зарплата, другие доходы;
  • владение недвижимым имуществом, денежные вклады и др.;
  • образование, квалификация, профессиональная подготовка, сведения о повышении квалификации;
  • привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);
  • факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • физиологические особенности, здоровье;
  • деловые и иные личные качества;
  • другие сведения.

Перечень кадровых документов, в которых содержатся персональные данные работников, приведен в табл. 1 на с. 76.

Таблица 1. Документы, в которых содержатся персональные данные работников

NДокументСведения
1Анкета, автобиография, личный листок по учету кадров (заполняется при приеме на работу)Анкетные и биографические данные работника
2Копия документа, удостоверяющего личность работникаФ.И.О., дата рождения, адрес регистрации, семейное положение, состав семьи
3Личная карточка (форма N Т-2, утверждена Постановлением Госкомстата России от 05.01.2004 N 1)Ф.И.О. работника, место его рождения,состав семьи, образование, а также данные документа, удостоверяющего личность
4Трудовая книжкаСведения о трудовом стаже, предыдущихместах работы
5Копии свидетельств о заключениибрака, рождении детейСостав семьи, изменения в семейном положении
6Документы воинского учетаИнформация об отношении работника к воинской обязанности, необходимая работодателю для осуществления воинского учета работников
7Справка о доходах с предыдущегоместа работыФ.И.О., данные о сумме дохода и удержанного НДФЛ
8Документы об образованииПодтверждают квалификацию работника, обосновывают занятие определенной должности
9Документы обязательного пенсионного страхованияФ.И.О., личные данные
10Трудовой договорСведения о должности работника, заработной плате, месте работы, рабочем месте, а также иные персональные данные работника
11Приказы по личному составуИнформация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности работника

Оператор по обработке персональных данных

Согласно Закону N 152-ФЗ лицо (юридическое или физическое), которое организует и (или) осуществляет обработку персональных данных, определяет их состав, цели обработки, действия, совершаемые с персональными данными, называют оператором (п. 2 ст. 3 Закона N 152-ФЗ). В нашем случае это работодатель.

Обработка персональных данных – любое совершаемое с ними действие. Операции по обработке персональных данных:

  • сбор;
  • запись;
  • систематизация;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передача (распространение, предоставление, доступ);
  • обезличивание;
  • блокирование;
  • удаление;
  • уничтожение персональных данных.

Положение о работе с персональными данными

Порядок выполнения обработки оператором персональных данных может быть установлен в Положении о работе с персональными данными сотрудников (далее – Положение). Унифицированной формы документа нет.

Рассмотрим, как составить этот документ с учетом требований Закона N 152-ФЗ. Положение состоит из нескольких разделов. Они представлены в табл. 2. В ней же кратко указаны сведения, которые должны содержать разделы.

Развернутая информация представлена во фрагменте Положения о персональных данных работников, которое приведено на с. 80.

Таблица 2. Структура Положения о персональных данных работников

NОбязанность раздела
1Общие положенияЦель принятия Положения
Вопросы, которые регулирует Положение
Ссылки на нормативные акты. Указывают, на основании каких документов составляется Положение. В организациях, где работают государственные гражданские служащие, дается ссылка на: – Федеральный закон от 27.07.2004 N 79-ФЗ “О государственной гражданской службе РоссийскойФедерации”; – Указ Президента РФ от 30.05.2005 N 609 “Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела”; – нормативные акты субъекта РФ
2Основные понятия. Состав персональных данных работниковОсновные понятия. Даются определения понятий “персональные данные”, “обработка персональных данных”, “использование персональных данных”, указывается срок хранения документов и т.д. Отдельно должно быть указано, что относится к персональным данным в конкретной компании с учетом ее особенностей (данные, используемые в работе, например сведения о работе на режимных объектах, об оформлении допуска к государственной тайне, о соответствии здоровья для профессий, связанных с тяжелыми и вредными условиями, и т.д.)
Перечень документов организации, которые содержат персональные данные
3Получение персональных данных работниковПроцедура получения персональных данных. Указывается, что данные получают и обрабатывают на основании письменного согласия работника. Указываются случаи, когда согласие не нужно
4Использование персональных данныхЦели использования личной информации сотрудников
5Обработка персональных данныхУсловия, соблюдаемые при обработке персональных данных работника
6Передача персональных данных (доступ к персональным данным)Порядок передачи персональных данных внутри организации (внутренний доступ), сторонним лицами государственным органам (внешний доступ)
7Ответственность за нарушение норм, регулирующих обработку и защиту персональных данныхУказывают тех, кто несет ответственность за нарушение правил хранения и использования персональных данных

Фрагмент Положения о персональных данных работников

Введение Положения в действие

Положение о персональных данных утверждается руководителем компании и вводится в действие приказом по организации (образец приведен на с. 90). Запись об утверждении Положения нужно сделать в журнале регистрации локальных нормативных актов.

Образец приказа

Если есть профсоюз

Если в компании есть профсоюз, с ним нужно согласовать Положение. Для этого проект положения направляют в выборный орган профсоюза (ст. 372 ТК РФ). Тот должен выразить свое мнение (в письменной форме) не позднее пяти рабочих дней со дня получения проекта.

Если профсоюз не согласен с проектом или имеет предложения по его совершенствованию, у администрации есть два выхода. Первый – согласиться.

Второй – в течение трех дней после получения мотивированного мнения провести дополнительные консультации с профсоюзом в целях достижения взаимоприемлемого решения. Если и это не поможет, следует оформить протокол разногласий.

После этого администрация имеет право принять Положение без учета требований профсоюза. Однако тот сможет обжаловать Положение или начать процедуру коллективного трудового спора в порядке, предусмотренном гл. 61 Трудового кодекса.

Ознакомление работников с Положением

Работники должны быть ознакомлены с Положением под роспись (п. 8 ст. 86 ТК РФ). Данный факт может фиксироваться:

  • в тексте трудового договора каждого работника (перечисление локальных нормативных актов, с которыми работник ознакомлен до подписания договора);
  • – листе ознакомления с Положением (образец на с. 91);
  • – журнале ознакомления работников с локальными нормативными актами (образец на с. 91).

Образец листа ознакомления с локальными нормативными актами

N п/пНаименование локального нормативного актаДатаПодпись
1Правила внутреннего трудового распорядка ООО “Черный лес”

Источник: https://hr-portal.ru/article/organizaciya-raboty-s-personalnymi-dannymi

Персональные данные сотрудника: как с ними работать

Правила работы с персональными данными

Основные документы, на которые нужно ориентироваться при обработке персональных данных, — это Конституция РФ (ст. 24) и Федеральный закон от 27.07.2006 № 152-ФЗ (далее — Закон о персональных данных).

В ст. 24 Конституции РФ говорится, что «сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются».

Закон о персональных данных определяет значение не только ключевых понятий, с которыми придется сталкиваться на практике каждому работодателю, но и вводит принципы и условия обработки персональных данных, права субъекта персональных данных и другие важные моменты. 

Вопросам защиты персональных данных работника посвящена гл. 14 ТК РФ.

Что включают персональные данные работника

Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных). Как правило, эти данные позволяют идентифицировать конкретного человека.  

В рамках трудовых отношений работодатель может запрашивать только те персональные данные, которые нужны для выполнения трудовой функции.

К ним относятся ФИО, сведения о предыдущей работе, документы, которые необходимы для устройства на работу (паспорт, трудовая книжка и т.д.), сведения об образовании.

Такие сведения, как вероисповедание, работодатель запрашивать не имеет права, так как они не требуются для выполнения трудовой функции.

Сложность обработки персональных данных заключается в том, что на разных этапах взаимодействия и при решении различных трудовых задач у работодателя могут возникнуть вопросы.

Например, считается ли та информация, которая содержится в резюме кандидата, персональными данными? Должен ли он давать согласие в этом случае, даже если его не возьмут на работу? Нужно ли как-то согласовывать с работником факт передачи данных для оформления пропуска? Можно ли размещать фотографию работника на доске почета без его согласия? Допускается ли размещение «черных списков» сотрудников на сайте компании? Что делать с данными уволенных сотрудников? 

На все эти вопросы важно знать ответы. Тем более что периодически разъяснения по ним публикуют Минтруд, Роструд, Роскомнадзор.

Что делать с персональными данными кандидата

Еще на этапе просмотра резюме компания начинает собирать персональные данные кандидатов. Она может сохранять резюме в специальных программах, распечатывать их, сохранять контакты для дальнейшей связи и т.д.

В резюме обычно представлен целый перечень персональных данных — от номера телефона до сведений об образовании и предыдущих местах работы.

Роскомнадзор предупреждает о том, что обработка персональных данных соискателей предполагает получение соответствующего согласия от них. Согласие следует оформлять на период принятия решения о приеме либо отказе в приеме на работу.

Но есть и исключения, когда такое согласие не требуется:

  • если от имени соискателя действует кадровое агентство, с которым кандидат заключил договор;
  • при самостоятельном размещении резюме в интернете.

В согласии нужно обязательно указать цель получения персональных данных — рассмотрение кандидата на вакантную должность. Можно воспользоваться образцом согласия на обработку персональных данных.

Если работодатель получает резюме соискателя по электронной почте, ему нужно дополнительно провести мероприятия, которые бы служили подтверждением факта направления резюме самим соискателем. Например, это может быть приглашение соискателя на собеседование или ответ на его письмо по электронной почте.

Что делать, если персональные данные собираются с помощью анкеты

Нередко работодатель осуществляет сбор персональных данных кандидатов с помощью типовой анкеты. Во-первых, такая анкета должна содержать информацию о сроке её рассмотрения и принятия решения о приеме либо отказе в приеме на работу.

А во-вторых, она должна соответствовать требованиям п. 7 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации. Это значит, что:

  • в анкете должны быть сведения о цели обработки персональных данных, имя (наименование) и адрес оператора, ФИО и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых работодателем способов обработки данных;
  • в анкете должно быть поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку;
  • анкета должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими данными, не нарушая прав и законных интересов других;
  • в анкете не должно быть предусмотрено объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

Обычно анкета размещается в электронном виде на сайте компании, и согласие на обработку персональных данных подтверждается с помощью проставления «галочки» в соответствующем поле.

Что делать с данными кандидата, которого не взяли на работу

В таком случае предоставленные соискателем данные нужно уничтожить в течение 30 дней.

Есть в этой ситуации исключения — случаи, предусмотренные законодательством о государственной гражданской службе. Тогда хранить персональные данные соискателя придется в течение 3-х лет.

Направление запросов на прежние места работы

На этапе собеседования работодателю может потребоваться уточнение некоторых данных о работнике или получение дополнительной информации у прежних работодателей.

Для этого ему обязательно нужно заручиться согласием соискателя.

Сбор и обработка персональных данных при приеме на работу

Трудовое законодательство определяет перечень документов, которые работодатель запрашивает у работника при приеме на работу. На этом этапе, согласно ст. 65 ТК РФ, запрашиваются:

  • паспорт или иной документ, удостоверяющий личность;
  • трудовая книжка;
  • документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;
  • при необходимости: документы воинского учета, документ об образовании и (или) о квалификации или наличии специальных знаний, справка о наличии (отсутствии) судимости.

На то, чтобы внести персональные данные из этих документов в трудовой договор, согласие работника не требуется. Когда он подписывает трудовой договор, то тем самым уже дает свое согласие.

Оформление зарплатной карты и персональные данные работника

Многие организации при приеме на работу оформляют работникам зарплатную карту. В связи с этим может возникнуть вопрос — нужно ли на передачу персональных данных работника банку получать согласие? Да, нужно.

При этом важно, чтобы:

  • перечень персональных данных строго соответствовал тому, что передается в банк;
  • была указана цель для получения персональных данных, а именно — для оформления зарплатной карты.

Роскомнадзор определяет случаи, когда передача персональных данных работника банку для открытия зарплатных карт должна происходить без согласия:

  • договор на выпуск банковской карты заключался напрямую с работником и в его тексте прямо предусмотрены положения о передаче данных работника;
  • у работодателя есть доверенность на представление интересов работника при заключении договора с банком на выпуск карты и её обслуживание;
  • соответствующая форма и система оплаты труда прописана в коллективном договоре (ст. 41 ТК РФ).

Стоит учесть, что работник может отказаться подписать согласие на передачу данных банку, с которым работает компания. У него могут быть уже открыты счета и карты в другом банке, и поэтому для него удобнее продолжать обслуживаться в своем банке.

В прошлом году была установлена ответственность за «зарплатное рабство». Это значит, что сотруднику нельзя отказать в праве на изменение кредитной организации, в которую будет перечисляться зарплата. 

Сотрудник сменил фамилию — что делать с трудовым договором?

В этом случае нужно обязательно внести изменения в трудовой договор. Главное — сделать это правильно.

Часто работодатели оформляют дополнительное соглашение, хотя им, как правило, меняются условия, а не сведения трудового договора. Фамилия относится именно к сведениям о работнике.

Правильно будет внести изменение непосредственно в текст трудового договора, вручную. 

Размещение «черных списков» сотрудников на сайте

Иногда работодатель смело публикует в открытом доступе списки бывших работников, которые были уволены, например за утрату доверия или неоднократное неисполнение обязанностей.

Следует отметить, что это расценивается законом, как нарушение требований к обработке персональных данных. Об этом, в частности, предупреждает Минтруд в Письме от 08.10.2018 N 14-2/В-803.

В данном случае, публикуя причины увольнения, работодатель сообщает личную информацию сотрудника третьим лицам. Делать это без согласия работника нельзя.

Роскомнадзор в своих рекомендациях формулирует следующие требования:

  1. согласия должно быть конкретным и информированным. То есть по информации можно сделать однозначный вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых данных.
  2. Допускается оформление согласия в виде отдельного документа или в виде части текста трудового договора.
  3. Согласие должно отвечать требованиям, предъявляемым к его содержанию, согласно ч. 4 ст. 9 Закона о персональных данных.

Оформление доски почета

Противоположная ситуация — это поощрение работника в виде доски почета. Но и здесь есть свои тонкости.

Обычно на доске почета размещается фотография человека, указывается его ФИО. И всё это персональные данные, которые работодатель не имеет права выставлять на всеобщее обозрение у себя в офисе, даже если цель его действий — поощрить успешных сотрудников и мотивировать тем самым остальной коллектив.

Для использования фото сотрудника тоже придется заручиться согласием.

Персональные данные для пропуска

В большинстве организаций сейчас действует пропускной режим. Соответственно, новым работникам требует оформление пропуска.

В данном случае нет необходимости в получении согласия на обработку персональных данных, если:

  • компания самостоятельно осуществляет пропускной режим;
  • если обработка соответствует порядку, предусмотренному коллективным договором, локальными актами, принятыми в соответствии со ст. 372 ТК РФ.

В том случае, если пропускной режим находится под контролем сторонней организации, то согласие обязательно.

Кадровый и бухгалтерский учет на аутсорсе и персональные данные

Если работодатель решает вопросы кадрового и бухгалтерского характера при помощи аутсорса, то есть силами сторонних организаций, то он должен соблюдать требования, обозначенные ч. 3 ст. 6 Закона о персональных данных.

Что делать с персональными данными уволенных сотрудников

Нужно учитывать, что существуют требования к обработке персональных данных в рамках бухгалтерского и налогового учета.

Так, например, работодатели обязаны в течение 4-х лет обеспечивать сохранность документов, необходимых для исчисления, удержания и перечисления налога (пп. 5 п. 3 ст. 24 НК РФ). И здесь согласия уже бывших сотрудников, хотят они того или нет, не требуется.

Роскомнадзор напоминает, что по истечении сроков, определенных законодательством, личные дела работников переходят на архивное хранение на срок 75 лет. Но на саму организацию хранения в архиве и использование архивных документов с персональными данными работников Закон о персональных данных не распространяется.

Источник: https://kontur.ru/articles/5844

Работа с персональными данными: к чему придирается Роскомнадзор

Правила работы с персональными данными

Практически каждой организации приходится работать с персональными данными как своих сотрудников, так и клиентов. При этом важно соблюдать правила, регламентируемые Федеральным законом №152-ФЗ «О персональных данных».

За соблюдением этого закона следит Роскомнадзор. Он контролирует, чтобы данные использовались с согласия владельца и никуда не просочились.

О том, как соответствовать требованиям 152-ФЗ, рассказывает Анна Веденеева, генеральный директор «Бухгалтерского бюро Анны Веденеевой».

Для начала стоит разобраться какие данные считаются персональными.

Персональные данные — это любая информация, с помощью которой можно идентифицировать человека, как конкретное физическое лицо.

К ним относят такие сведения, как: паспортные данные, Фамилия Имя Отчество, номер телефона, ИНН, СНИЛС, образование, профессия, имущество и доход, cookie в браузере, семейное положение, фото, ссылка на профиль в социальной сети.

Если в адресе электронной почты фигурирует личная информация — Фамилия Имя Отчество или дата рождения (ivanov1979@mail.du), то она тоже относится к личным данным. То есть для того, чтобы идентифицировать человека важны скорее не сами данные, а их совокупность.

Плановая проверка

Специалисты Роскомнадзора составляют график плановых проверок еще до начала года и публикуют его на своем официальном сайте. Каждая организация может заблаговременно узнать о проверке. А также за три дня по почте придет уведомление, в котором будет указано на какую дату она назначена.

Плановые проверки проводятся раз в три года, для отдельных категорий — раз в два года.

Внеплановая проверка

Они не включены в график, проводятся по жалобам граждан, которые считают, что их права нарушили. Люди обычно жалуются на SMS-спам, назойливые звонки и прочее. Также проверку могут организовать по требованию прокурора.

О внеплановой вы будете извещены лишь за 24 часа до ее начала.

Количество внеплановых проверок неограниченно, одной жалобы достаточно, чтобы инспекторы выехали к вам.

Документарная проверка

В этом случае Роскомнадзор запрашивает копии необходимых документов или какие-либо пояснения по определенной ситуации. Запрос происходит письменно — вы получаете соответствующее письмо. И ответит на него надо в течение пяти дней.

Такие проверки проводятся исключительно по плану.

Текущий контроль

В этом случает проверка проходит без участия организации или ИП. Специалисты проверяют информацию о компании. Для того они изучают сайт, а также другие сведения, находящиеся в открытом доступе.

О такой проверке можно узнать, только в том случае, если специалисты найдут нарушения. В этом случае вы получите требование об устранении недостатков. Его надо выполнить, иначе вас оштрафуют.

Вас может заинтересовать наш материал«Как начать бизнес правильно»

Нарушения, которые может выявить Роскомнадзор

  • Не уведомили территориальный орган Роскомнадзора об обработке персональных данных.

Если вы собираете личные сведения на сотрудников, в рамках трудовых отношений, уведомлять никого не нужно.

При работе с персональными данными клиентов, необходимо отправить уведомление в Роскомнадзор. А также уведомлять нужно, если вы собираетесь обрабатывать данные уволенных сотрудников или кандидатов на вакансии. Для этого используйте специальную форму на сайте ведомства. Уведомление также следует отправить и в бумажном виде.

  • Не разработали политику обработки персональных данных.

Ее нужно не только сгенерировать, но и предоставить в публичном доступе — на сайте организации, в офисе или мобильном приложении.

  • Отсутствует согласие на обработку персональных данных.

Согласие граждан необходимо получать в обязательном порядке. Это базовый документ, в котором прописано, какие данные и с какими целями вы планируете собрать.

Если собираете данные через интернет, то понадобится опубликованная на сайте политика конфиденциальности, а получать согласие можно будет через форму сбора данных, на которой человек ставит галочку, тем самым соглашаясь на обработку персональных данных.

  • Не позаботились о системе технической защиты персональных данных.

Серверы с базами данных необходимо размещать в защищенном месте, чтобы к ним имели доступ только те, кто имеет на это право. Необходимо установить антивирусные программы.

Издайте приказ, который утвердит порядок хранения персональных данных и утвердите перечень работников, которые будут иметь к ним доступ. Назначьте ответственного за обработку личной информации.

Персональные данные на бумаге храните в сейфе или в архиве.

Если компания не защитит данные, и кто-то получит к ним доступ, то ее оштрафуют. А если в результате утечки данных пострадает человек, то компания должна будет компенсировать ущерб.

  • Отсутствуют внутренние документы с правилами обработки и защиты персональных данных в вашей компании.
  • В личных делах сотрудников лишние документы.

К примеру, документы сотрудник должен предъявить лишь при оформлении трудовых отношений. Поэтому после завершения процедуры хранить их копии в отделе кадров не нужно.

Если в компании приняты все меры, документы поддерживаются в актуальном состоянии, уведомление подано, то контролирующему органу не к чему будет придраться.

Если вам понравилась наша статья, то, пожалуйста, поставьте лайк и подпишитесь нанаш канал.

Статья была подготовлена для вас порталом Sovcom.pro

Источник: https://zen.yandex.ru/media/sovcom_pro/rabota-s-personalnymi-dannymi-k-chemu-pridiraetsia-roskomnadzor-5ee892dfc2a70a25b386e730

Персональные данные работника в 2020 году: инструкция – Институт Профессионального Кадровика

Правила работы с персональными данными
25 ноября

24185

#CNT# data-template-html-inactive=В избранное #CNT#>

Работодатель сталкивается с вопросом о персональных данных постоянно.

Даже когда потенциальный сотрудник еще не работает в организации, а только направляет резюме — он уже предоставляет в распоряжение работодателя свои персональные данные.

Постоянная работа с личными данными происходит при кадровом делопроизводстве — организация ежедневно коммуницирует с внешним миром, служба кадров обрабатывает огромный массив документов и во всех содержатся чьи-либо личные сведения.

Персональные данные — это любая информация, относящаяся к конкретному лицу непосредственно. Это информация, при помощи которой можно идентифицировать человека.

Получение, хранение, уточнение, корректировка и иные действия с данными — это их обработка. Обработкой персональных данных занимаются чаще всего кадровые службы.

Оператором обработки является любая организация, которая собирает и хранит данные. То есть абсолютно любая организация.

Что нового появилось в трудовом законодательстве на этой неделе расскажет Валентина Митрофанова. Смотрите новый выпуск  «Кадрового обзора».

О персональных данных в российском правовом поле информируют:

  • Конституция России.
  • Трудовой кодекс.
  • Федеральный закон «О персональных данных» №152-ФЗ.
  • Кодекс об административных правонарушениях.
  • Уголовный кодекс.

Конституция гарантирует, что каждый гражданин имеет право на личную, семейную или профессиональную тайну, имеет право контролировать распространение информации об этом, пресекать это распространение. Если же данные распространяются недобросовестно, то гражданин вправе рассчитывать на защиту чести и достоинства.

Трудовой кодекс говорит о том, что собирать персональные данные работника кадровик или руководитель может исключительно с ясными и адекватными целями. ТК РФ однозначно запрещает хранение избыточного количества данных «на всякий случай».

В федеральном законе №153-ФЗ отмечена необходимость соблюдения полной безопасности данных, обозначены права, обязанности и ответственность граждан и операторов обработки.

КоАП РФ и УК устанавливают ответственность за нарушение указанных норм.

Нормативные акты устанавливают два важных понятия, которые необходимо иметь в виду руководителю и ответственному сотруднику кадровой службы, чтобы не навлечь на себя и на организацию огромные штрафы и судебные иски.
  1. Избыточность.
  2. Целеполагание.

То есть работодатель имеет право собирать исключительно те данные, которые необходимы для осуществления трудового процесса, и только с целью поддержания этого процесса.

Какие данные являются персональными:

  • фамилия, имя, отчество;
  • дата, место рождения;
  • биометрия – отпечатки пальцев, ДНК, радужная оболочка глаз, рост, вес, фотографии и видео с изображением человека, если его можно там идентифицировать;
  • адрес прописки или фактического жительства;
  • семейное положение, состав семьи; 
  • биографические данные;
  • профессиональная информация – образование, квалификация, должность, трудовой стаж, предыдущие места работы;
  • сведения о доходах и имуществе;
  • номера ИНН и СНИЛС; контакты – телефон, электронная почта;
  • информация о воинской обязанности;
  • медицинская информация и диагнозы.

Обычно выделяют четыре категории персональных данных, хотя в законах такой классификации нет:

  1. Общедоступные. ФИО, дата и место рождения, профессия, контакты могут использоваться в открытых источниках. Например, в справочниках и телефонных книгах, если субъект данных дал на это свое согласие.
  2. Биометрические. Позволяют идентифицировать человека по физиологическим параметрам. Данные собираются исключительно с согласия гражданина и в обоснованных законом целях.
  3. Специальные. Раса, национальность, политические и религиозные взгляды, философские воззрения и подробности интимной жизни. Обработка таких данных запрещена, кроме случаев, когда субъект согласился на это письменно или когда он сам открыто опубликовал их, сделав общедоступными.
  4. Иные. Не вошедшие в эти категории.

Шаг 1. Выпустить положение о персональных данных. Этого требуют и федеральный закон, и здравый смысл. В локальном акте нужно прописать все правила хранения и обработки данных.

Шаг 2. Утвердить положение. Для этого нужно выпустить соответствующий приказ с подписью руководителя и ознакомить с ним всех сотрудников. Сотрудники должны расписаться в специальном журнале или ведомости.

Шаг 3. Назначить специалиста, ответственного за персональные данные. Вероятнее всего, это будет сотрудник кадровой службы. Желательно, чтобы работа с персональными данными была указана в его трудовом договоре.

Если же договор уже составлен, можно выпустить дополнительное соглашение к нему. В том же приказе нужно установить сотрудников, которые будут иметь доступ к персональным данным.

 Все упомянутые лица должны подписать обязательство о неразглашении данных.

Шаг 4. Собрать со всех сотрудников письменные согласия на обработку персональных данных. В письменном согласии должны быть перечислены конкретные данные и цели их использования. Цели должны сводиться исключительно к поддержанию трудового процесса.

Шаг 5. Хранить данные в строгом порядке. Данные могут храниться и в электронном виде, и в бумажном. Они должны быть абсолютно недоступными для третьих лиц, своевременно пополняться и при необходимости корректироваться.

Шаг 6. Обратиться в Роскомнадзор. Этот пункт не обязателен, если вы:

  • обрабатываете информацию без использования специализированного ПО и баз данных (то есть если массив данных оператор обрабатывает вручную на ПК или на бумаге);
  • обрабатываете данные только своих сотрудников и только в целях составления и ведения трудовых договоров (не более);
  • оформили договор с физическим лицом как подрядчиком, поставщиком или нештатным специалистом;
  • однократно пропустили постороннего человека, не являющегося вашим сотрудником, на территорию предприятия (например, для собеседования).

Велики риски, связанные с неправильным или небезопасным хранением данных. Если организация что-то сделает не так, она навлечет на себя ревизии, проверки, административное производство или уголовный процесс.

Административная ответственность

До 75 тысяч рублей штрафа работодатель может заплатить за:

  • сбор и обработка избыточной информации;
  • отсутствие согласия работника на обработку данных;
  • доступ третьих лиц к персональным данным сотрудников;
  • игнорирование просьб работника об удалении его персональных данных (например, после его увольнения).

Уголовная ответственность

По статье 137 УК РФ:

  • Разглашение данных работника в публичном пространстве, публикация в СМИ сведений, составляющих его личную или семейную тайну. Штраф до 200 тысяч рублей, лишение свободы до 2 лет и запрет занимать определенные должности — до 3 лет.
  • То же самое, с использованием служебного положения — штраф до 300 тысяч рублей, лишение свободы до 5 лет и запрет занимать соответствующую должность — до 6 лет.

Очень важно правильно построить процесс обработки персональных данных, потому что они ценны и составляют основу частной жизни граждан, их репутацию и во многих случаях личную безопасность.

Когда данные попадают в распоряжение работодателя, он должен действовать таким образом, чтобы способствовать трудовому процессу, поддерживать его и при этом не навредить сотрудникам.

Малейшая ошибка – и можно навлечь на себя ответственность вплоть до уголовной. Чтобы помочь руководителям и кадровикам повысить свой профессиональный уровень, мы разработали специальный курс по защите персональных данных.

Программа рассчитана на 36 часов и дает исчерпывающую информацию, актуальную сейчас и в перспективе. О том, как хранить данные, как их обезопасить и как с легкостью пройти все проверки Роскомнадзора.

Почитать программу и записаться на курс можно по ссылке.

 

Источник: https://profkadrovik.ru/articles/work-with-documents/personalnye-dannye-rabotnika/

Основные правила работы с персональными данными: принципы, ответственность, безопасность

Правила работы с персональными данными

По результатам проверок Роскомнадзора видно, что численность правонарушений в сфере защиты личных данных возрастает, и, следовательно, увеличивается количество штрафов предписанных операторам.

Ниже перечислены самые распространенные нарушения операторов по отношению к персональным данным (ПДн).

  1. Сведения, которые указаны в документах об обработке ПДн не соответствуют.
  2. Не дано согласия субъекта ПД на обработку ПДн.

Рассмотрим новые пункты, внесенные в закон о защите персональных данных. Ниже перечислены уточненные формулировки профессиональных терминов.

  1. Обработка ПДн (автоматизированная) – это обработка персональных данных вычислительными машинами. Вычислительные машины (СВТ) – элементы систем для обработки данных, которые в свою очередь способны работать самостоятельно или являться составляющими других систем.  СВТ различают на технические устройства и программы. Также под закон попадает обработка данных, которая осуществляется без средств автоматизации.
  2. Персональные данные – абсолютно любая информация, которая прямо или косвенно относится к физическому лицу (то есть не только реквизиты физического лица).
  3. Оператор – это госорган, юридическое или физическое лицо, муниципальный орган, который  организует и (или) проводит обработку ПДн, а также определяет для чего именно проводится обработка ПДн.
  4. Работа с ПДн (обработка) – это любые действия (операции), произведенные с персональными данными.
  5. Распространение личных данных – действия, впоследствии которых открываются персональные данные другим лицам, не ограниченным по численности.
  6. Предоставление личных данных – действия, в результате которых открываются персональные данные другим лицам, ограниченным по численности.
  7. Обезличивание личных данных – это не односторонний процесс, в ходе которого, пользуясь дополнительной информацией можно понять принадлежность каких-либо данных к конкретному субъекту персональных данных.
  8. Информационная система личных данных – совокупность информационных технологий и  различных технических средств, с помощью которых обеспечивается обработка ПДн и пдн, содержащихся в базах данных.
  9. Полномочия о принятии законов, касающихся сферы защиты персональных данных переданы Банку России и местным органам власти.
  10. Угроза для безопасности ПДн – сочетание каких-либо условий и различных факторов, которые создают опасность несанкционированного, случайного доступа к ПДн, вследствии  чего могут быть уничтожены, изменены, блокированы и прочее ПДн, а также другие неправомерные действия при обработке в ИСПДн;
  11. Порог (уровень защищенности) ПДн – своеобразная черта, по которой можно судить о «качестве» безопасности ПДн при работе с ними.

Принципы обработки персональных данных.

  1. Обработка должна осуществляться по закону и справедливой основе.
  2. Обрабатываемые ПДн должны быть конкретны.
  3. Обрабатываемые ПДн должны быть краткими.
  4. Оператор должен удалять или уточнять неполные или неточные данные.

Ниже перечислены пункты, в которых рассматривается передача ПДн оператора другому лицу.

  1. Оператор вправе передать обработку ПДн другому лицу только с согласия субъекта ПДн и только на основании заключенного договора.
  2. На лицо, которому поручили осуществление обработки ПДн, возлагаются  установленные законы обработки ПДн. В поручении оператора должно излагаться, какие именно действия должны совершаться лицом. Отметить стоит то, что субъект ПДн должен быть проинформирован, что работой с его ПДн будет заниматься другое лицо.
  3. Однако за действия лица перед субъектом ПДн, которому была поручена обработка, несет ответственность оператор ПДн. А лицо несет ответственность за свои действия перед оператором ПДн.

Согласие субъекта ПДн.

Дать разрешение на обработку ПДн может не только субъект ПДн, но и его представитель.

Состав и перечень мер для того, чтобы обеспечить выполнение обязанностей.

  1. Оператор должен назначить ответственное лицо за обработку ПДн.
  2. Должны иметься документы, из которых будет ясно, как именно оператор будет производить обработку ПДн, к тому же к ним должен быть неограничен доступ.
  3. Оператор обязан применять правовые, технические и организационные меры, для того чтобы обеспечить безопасность ПДн.
  4. Осуществление внутреннего мониторинга, в котором стоит определить соответствует ли обработка ПДн порядку его проведения.
  5. Оценить вред, который может быть причинен субъектам ПДн.
  6. Ознакомить сотрудников оператора с положениями об организации работы с ПДн.

Заниматься разработкой обязательных мер для гос. операторов  поручено Правительству РФ.

Ниже перечислены меры, с помощью которых обеспечивается безопасность ПДн.

  1. Определить угрозы безопасности ПДн при их обработке в системах ПДн.
  2. Обеспечить безопасность ПДн путем организационных и технических мер при работе с ними в информационных системах ПДн.
  3. Оценить соответствие средств защиты информации.
  4. Определить эффективность мер, которые принимаются для того, чтобы обеспечить безопасность персональных данных до ввода в использование информационной системы ПДн.
  5. Учитывать машинные носители ПДн.
  6. Вовремя обнаружить несанкционированный доступ к ПДн.
  7. Принять меры по восстановлению ПДн, модифицированных или уничтоженных из-за несанкционированного доступа к ним.
  8. Создавать правила доступа к ПДн, а также вести регистрацию и читывать все действия, совершаемые с ПДн в ИСПДн.
  9. Должен проводиться контроль над принимаемыми мерами по безопасности ПДн и уровнем защищенности ИСПДн.

Ответственность оператора.

  1. Лица ответственные за какую-либо обработку данных должны быть представлены операторами в уполномоченный орган по защите прав субъектов ПДн не позже 1 января 2013 года.
  2. При изменении сведений, а также о прекращении обработки данных нужно обязательно уведомить территориальный орган Роскомнадзора в течение 10 рабочих дней с даты прекращения работы с персональными данными.
  3. Оператор обязан назначить лицо, ответственное за обработку данных.

Лицо, которое назначено ответственным за обработку ПДн обязано выполнять следующие пункты:

  1. Проводить внутренние проверки, касающиеся соблюдения закона  о ПДн, а также защиты ПДн.
  2. Держать в курсе изменений положений законодательства РФ о ПДн, а также требований о защите ПДн своих работников.
  3. Организовать прием обращений субъектов ПДн или их представителей, а также осуществлять контроль над такими обращениями или запросами.

Отметим еще ряд изменений:

  1. Срок для сообщения оператором субъекту ПДн о наличии ПДн, которые относятся к этому субъекту, увеличен на 20 рабочих дней. В этот же срок оператор имеет право подготовить обоснованный ответ для отказа в предоставлении таких сведений.
  2. Оператор должен в течение 7 дней внести изменения в неполные, неточные или неактуальные сведения и сообщить об этом субъекту ПДн (его представителю);
  3. Оператор должен уничтожить сведения, которые получены незаконно, или являются лишними для заявленной цели обработки по сообщению субъектом ПДн, при том сделать это в срок до 7 рабочих дней.
  4. Оператор должен осуществить блокирование неправомерно обрабатываемых ПДн в случае если устанавливается факт неправомерной обработки ПДн по запросу субъектов ПДн.
  5. Информация по запросу должна быть изложена в течение 30 дней с момента получения запроса.
  6. Увеличен срок для уничтожения ПДн/прекращения их обработки с согласия субъекта ПДн на 17 рабочих дней.

Остались вопросы? Просто позвоните нам:

Вам помогла наша статья? Поделитесь в соц сетях!

Источник: https://pravo812.ru/useful/163-zashchita-personalnykh-dannykh.html

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.