Персональные данные: защита персональных данных

1442
Персональные данные работника нужно хранить как зеницу ока. В противном случае вам не избежать многотысячных штрафов!

С первого дня трудовых отношений работодатель занимается обработкой персональных данных сотрудника. Статья 65 ТК РФ устанавливает список документов, которые необходимо предъявить при трудоустройстве. Паспорт, дипломы и сертификаты, трудовая книжка, страховое свидетельство, военный билет — каждый документ содержит сведения личного характера. И это далеко не полный перечень: специфика отдельных должностей и видов работ позволяет запрашивать у соискателя справки о состоянии здоровья, отсутствии судимости и другие персональные данные, защита которых осуществляется в соответствии с российским законодательством.

Отдельные нормы, устанавливающие порядок обработки конфиденциальных сведений о работниках, содержатся в ТК РФ (ст.85-90), УК РФ (ст.137, 140, 272), КоАП РФ (ст.5.39, 13.11-13.14), ГК РФ (ст.150-152, 946). Но существует и отдельный нормативный акт, в полной мере раскрывающий понятия «персональные данные», «защита персональных данных», «обработка сведений персонального характера». Речь идет о федеральном законе №152-ФЗ от 27.07.2006г. («О персональных данных»). Его действие распространяется на всех работодателей, независимо от сферы деятельности, штатной структуры и организационно-правовой формы.

Скачайте документы по теме:

Персональные данные, защита персональных данных: закон №152-ФЗ

Персональные данные не ограничены каким-то одним видом информации. Выделяют три категории сведений персонального характера — общие, специальные и биометрические. К каждой категории применяется свой порядок обработки.

Справка

Что относится к персональным данным:

К персональным данным относятся сведения о квалификации, образовании и стаже, размере заработка, социальном или имущественном положении, месте жительства и предыдущем месте работы, дате рождения, фамилии, имени и отчестве работника. Собирая информацию такого рода, работодатель, согласно закону №152-ФЗ, получает статус оператора, а работник — субъекта персональных данных. Понятие обработки персональной информации охватывает ее:

  1. сбор;
  2. систематизацию;
  3. накопление;
  4. хранение;
  5. обновление;
  6. использование;
  7. обезличивание;
  8. уничтожение.

Любой способ обработки должен осуществляться в законном порядке. Получать сведения о работнике нужно непосредственно от него, а не через третьих лиц. Если в силу обстоятельств получить необходимую информацию можно только у третьей стороны, следует заранее уведомить об этом субъекта и получить его письменное согласие. Устной договоренности недостаточно! Обязательно сообщите работнику, с какой целью и из какого источника получена информация, а также как она будет в дальнейшем храниться и использоваться (п.3 ст.18 закона №152-ФЗ).

Важно: работодатель обязан поставить Роскомнадзор в известность о предстоящей обработке персональных данных, направив в территориальный орган соответствующее уведомление по обычной или электронной почте (ч.3 ст.22 закона №152-ФЗ), за исключением случаев обработки сведений, получаемых в рамках трудового законодательства.

За нарушение закона о персональных данных в 2017 году предусмотрена дисциплинарная, административная и даже уголовная ответственность. Дисциплинарные меры может применить к должностному лицу, нарушившему общие или локальные правила обработки конфиденциальной информации, сам работодатель. Административные штрафные санкции применяет Роскомнадзор, причем с 1 июля 2017 года размер штрафа за неправильную работу с персональными данными составляет до 75 000 рублей.

Незаконные действия как работодателя, так и отдельных сотрудников организации, допустивших нарушение на любом из этапов обработки, можно обжаловать в судебном порядке. Речь идет о возмещении морального вреда, нанесенного субъекту персональных данных. Получение конфиденциальных сведений незаконными способами и распространение через СМИ или другие общедоступные ресурсы чревато уголовной ответственностью.

Защита личных данных персонала: требования к работодателю

Так или иначе, каждый кадровик в силу профессии имеет дело с обработкой сведений конфиденциального характера, необходимых для начисления зарплаты, расчета пособий и компенсаций, допуска к отдельным видам трудовой деятельности, оформления соглашений. Иногда без них действительно не обойтись — например, при оформлении налогового вычета работнику, имеющего несовершеннолетних детей, или предоставлении инвалиду двухмесячного отпуска за свой счет в качестве льготы.

Заполняя личные карточки и другие документы, содержащие сведения о сотрудниках, необходимо придерживаться принципа целевого использования информации. Нельзя собирать и обрабатывать данные в порядке и объеме, не соответствующим цели сбора. Иными словами, работодатель вправе интересоваться состоянием здоровья работника, составом его семьи и другими аспектами частной жизни только в целях, закрепленных п.1 ст.86 ТК РФ — для:

контроля количества и качества выполняемой работы;
обеспечения сохранности имущества работодателя;
содействия в трудоустройстве, получении образования, продвижении по карьерной лестнице;
обеспечения личной безопасности сотрудников;
контроля за соблюдением федеральных законов и иных нормативно-правовых актов.

Некоторые виды данных работодателям и вовсе запрещено обрабатывать без письменного согласия субъекта. Запрет распространяется на специальные сведения: о расовой и национальной принадлежности, философских и религиозных воззрениях, политических убеждениях, состоянии здоровья и интимной жизни работника (п.1 ст.10 закона №152-ФЗ от 27.07.2006г.), а также о членстве в общественных объединениях и профсоюзной деятельности (п.5 ст.86 ТК РФ).

Общедоступные личные данные

Общедоступными считаются такие сведения, которые можно получить из открытых источников. Если личная информация с согласия самого субъекта вносится в открытый для общего доступа источник — официальное печатное издание, адресную книгу и так далее — ее можно собирать и обрабатывать без особых предосторожностей. Сюда же относится и обезличенная информация, не позволяющая точно идентифицировать человека по базе данных: логин на онлайн-форуме, адрес электронной почты без привязки к паспортным данным, имя и отчество без упоминания фамилии и подобное.

Согласие на обработку личных данных

Справка

В некоторых случаях перед обработкой конфиденциальной информации о сотруднике придется заручиться его письменным согласием. Без согласия нельзя:

  1. запрашивать персональные данные о нем у третьей стороны (п.3 ст.86 ТК РФ);
     
  2. передавать их третьим лицам (ч.2 ст.88 ТК РФ);
     
  3. обрабатывать любые виды сведений, отнесенные к категории специальных или биометрических.

Несоблюдение требований ч.2 ст.88 ТК РФ допустимо только в исключительных обстоятельствах — например, если передача данных третьей стороне вызвана угрозой жизни или здоровью сотрудника, либо при поступлении соответствующего запроса из органов полиции, прокуратуры, службы судебных приставов. Никакие другие причины не могут служить оправданием должностному лицу, отступившему от данного правила.

Получить согласие можно как у самого работника, так и у его законного представителя (в случае недееспособности субъекта). Документ составляется в письменном виде, в произвольной форме, на имя генерального директора организации. В нем указываются:

реквизиты работника и работодателя;
цель, виды и способы обработки, разрешенные на основании документа (автоматизированная, без использования средств автоматизации);
виды персональных данных, подлежащих обработке, в виде перечня;
дата подписания и срок действия согласия.

Образец согласия сотрудника на обработку персональных данных

На каждом предприятии должны применяться локальные нормативные акты, устанавливающие порядок обработки личных данных персонала. Убедитесь, что работник с ними ознакомлен, и добавьте соответствующий пункт в бланк согласия.

Важно: допускается оформление согласия на обработку персональных данных в форме электронного документа, заверенного электронной подписью работника (ч.4 ст.9 закона №152-ФЗ). Отозвать согласие на обработку персональных данных разрешено в любой момент!

Форма отзыва согласия на обработку персональных данных

Общий порядок таков. Без согласия сотрудника обрабатываются лишь строго определенные виды персональных сведений, полученные по результатам обязательного предварительного медосмотра (ст.69 ТК РФ), а также из резюме или документов, которые работник предъявил при трудоустройстве. Опубликованные онлайн резюме и контактные данные соискателей открыты неограниченному кругу лиц и считаются общедоступной информацией, поэтому вполне могут использоваться без письменного согласия. Информацию, необходимую кадровику или делопроизводителю для заполнения личных карточек Т-2 (в том числе о близких родственниках сотрудника), также можно запросить у него без оформления разрешительных документов (п.2 разъяснений Роскомнадзора от 14.12.2012г.).

А когда дело доходит до получения сведений, отсутствие которых не мешает работнику выполнять условия трудового договора (адрес личной электронной почты, номер мобильного телефона и тому подобное), сначала запрашивается его согласие. Аналогичным образом необходимо поступить перед сбором биометрических данных. Запрещено без письменного согласия человека использовать любые сведения, характеризующие его биологические и физиологические особенности, на основании которых можно идентифицировать личность (биометрические персональные данные, защита — закон №152-ФЗ, ст.11). К ним относятся фотографии, видеозаписи, данные дактилоскопической или генетической экспертизы и прочее.

Условия хранения персональной информации о сотрудниках

Как исключить возможность неправомерного или случайного доступа посторонних людей к документам, содержащим персональные данные сотрудников? Порой работодатели, чтобы перестраховаться, проставляют на всех папках с личным делами гриф «Содержит персональные данные», но эта мера не считается обязательной. Актуальное законодательство не требует маркировать такие документы специальным грифом.

Достаточно просто создать безопасные условия хранения электронных и бумажных носителей персональной информации. Конкретный перечень мер, призванных исключить несанкционированный доступ к документам, работодатель определяет самостоятельно и закрепляет на локальном уровне. Создается специальное хранилище (на практике это может быть просто небольшой запирающийся шкаф или сейф), которым могут пользоваться только уполномоченные лица. Для доступа к электронным данным устанавливаются пароли.

pers_dannie_170817

Список специалистов, имеющих право доступа к персональным данным, утверждается приказом. Как правило, в него включаются руководители организации (генеральный директор и заместители), юрист, работники службы безопасности, бухгалтерии и отдела кадров. Правильно оформленный приказ содержит не просто перечень должностей, а ФИО конкретных сотрудников. Если один из вошедших в перечень специалистов увольняется, а ему на смену приходит другой, список пересматривается и обновляется.

Все лица, фигурирующие в списке, должны ознакомиться с приказом и подписать обязательство о неразглашении конфиденциальной информации. В интересах работодателя провести детальный инструктаж. Программа инструктажа разрабатывается с учетом специфики предприятия: чаще всего персонал обучают правилам обработки разных типов сведений, мерам предосторожности при использовании программного обеспечения, поведению при возникновении внештатных ситуаций.

Отсутствие перечня лиц, обрабатывающих персональные данные или в связи с выполнением должностных обязанностей получивших к ним доступ — веский повод для претензий со стороны Роскомнадзора. Поэтому перед очередной проверкой убедитесь, что такой список в организации действительно существует, и в нем фигурируют актуальные сведения о конкретных лицах (фамилия, имя и отчество, табельный номер, должность.)

Персональные данные защита персональных данных

Если доступ к документам конфиденциального характера понадобился для выполнения производственного задания сотруднику, не включенному в перечень, оформляется разовый допуск. Для оформления допуска нужно написать заявку-запрос на обработку данных.

Персональные данные защита персональных данных

Важно: привлечь к дисциплинарной ответственности за разглашение или некорректную обработку личных данных можно только сотрудников, имеющих к ним доступ и подписавших обязательство о неразглашении. Уволить «по статье» работника, случайно получившего информацию персонального характера и разгласившего ее, нельзя.

Уничтожение персональных данных сотрудников

Не используемые работодателем персональные данные сотрудников хранятся в архиве предприятия в течение отведенного законом срока, а затем уничтожаются. Срок хранения личных дел регламентирован «Перечнем типовых управленческих документов», утвержденным приказом Минкультуры России №558 от 25.08.2010г., и составляет 75 лет. (созданные после 2003 года — 50 лет).

В то же время сведения, которые собираются для кратковременных операций, хранятся гораздо меньше и подлежат уничтожению или обезличиванию сразу же, как только достигается цель их сбора (п.7 ст.5 закона №152-ФЗ). Так же следует поступать и с данными, утратившими актуальность.

Уничтожением документов занимается специальная комиссия, члены которой контролируют процесс от начала и до конца. Данные, хранящиеся в операционной системе, удаляются не в корзину, а полностью с жесткого диска. Бумажные носители следует сжечь или измельчить до состояния, не позволяющего восстановить весь документ или его фрагменты. Машиночитаемые носители сжигают или деформируют с последующей полной ликвидацией. Обязательно составляется акт об уничтожении данных, в котором описываются все нюансы процедуры:

дата и время;
ФИО и должности ответственных лиц;
количество и типы уничтоженных носителей;
применяемый способ и основания уничтожения.

Акт заверяется руководителем организации.

Акт об уничтожении кадровых документов

Положение о защите персональных данных-2017

Справка

Каждая организация должна утвердить нормативный акт, устанавливающий локальные правила обработки  персональных данных работников. Содержание документа не должно противоречить федеральному законодательству, название и структура могут быть любыми. Обычно работодатели следуют негласному стандарту, разрабатывая «Положение о персональных данных» на базе типового документа. Готовый к утверждению проект должен содержать:

  1. основные понятия (что такое биометрические, общие и специальные персональные данные, какие способы их обработки применяются организацией);
     
  2. цели и принципы сбора информации о сотрудниках;
     
  3. права и полномочия операторов и лиц, предоставляющих сведения о себе;
     
  4. подробные описания условий сбора, хранения, уничтожения и передачи сведений ограниченного доступа;
     
  5. описание применяемых способов актуализации собранных сведений и технических средств, используемых в процессе их обработки;
     
  6. перечень документов, содержащих информацию личного характера;
     
  7. гарантии конфиденциальности;
     
  8. списки должностей, предполагающих доступ к персональным данным и ответственность за их сохранность.

Положение о работе с персональными данными работников

Сопутствующие таблицы и бланки можно оформить в виде приложений. Целесообразно прикрепить к локальному акту образцы согласия на обработку данных, обязательства о неразглашении конфиденциальной информации, заявки на разовый допуск и т.д. Чем подробнее «Положение», тем проще применять его на практике.

<div class="kd-attachmentsList">{C}{C}{C}{C}{C}{C}{C}{C}{C}{C}<!-- Аттачменты --><noindex>{C}{C}{C}{C}{C}{C}{C}{C}{C}{C}<!-- Определяем иконку аттачмента по расширению --> <p class="doc"><a class="formAttachment" data-cke-saved-href="http://kdelo.ru/doc?doc=/files/download/file/Zayavlenie-sotrudnika-o-perenose-neispolzovannoj-chasti-otpuska-po-grafiku_50556_kdelo_ru.doc.doc" href="http://kdelo.ru/doc?doc=/files/download/file/Zayavlenie-sotrudnika-o-perenose-neispolzovannoj-chasti-otpuska-po-grafiku_50556_kdelo_ru.doc.doc" rel="nofollow" target="_blank" title="">Скачать чистый бланк</a><br /> <span>Скачать в .doc{C}{C}{C}{C}{C}{C}{C}{C}{C}{C}<!-- (90 КБ)--></span></p> </noindex><noindex>{C}{C}{C}{C}{C}{C}{C}{C}{C}{C}<!-- Определяем иконку аттачмента по расширению --> <p class="doc"><a class="formAttachment" data-cke-saved-href="http://kdelo.ru/doc?doc=/files/download/file/Zayavlenie-sotrudnika-o-perenose-neispolzovannoj-chasti-otpuska-po-grafiku_50556_kdelo_ru.doc.doc" href="http://kdelo.ru/doc?doc=/files/download/file/Zayavlenie-sotrudnika-o-perenose-neispolzovannoj-chasti-otpuska-po-grafiku_50556_kdelo_ru.doc.doc" rel="nofollow" target="_blank" title="">Скачать заполненный образец </a><br /> <span>Скачать в .doc{C}{C}{C}{C}{C}{C}{C}{C}{C}{C}<!-- (90 КБ)--></span></p> </noindex><noindex></noindex></div>

Итак, документ согласован и утвержден. Что дальше? Обязательно передаем его для ознакомления всем сотрудникам организации, поскольку речь идет о важном локальном акте, имеющем непосредственное отношение к трудовой деятельности.

Вся документация, посвященная вопросам обработки персональных данных, должна правильно оформляться и содержать доступные для понимания формулировки, не противоречащие нормам действующего законодательства. В противном случае компания неминуемо столкнется с проблемами во время очередной проверки Роскомнадзора. Результаты, к сожалению, предсказуемы — предписания, штрафы и более серьезные меры воздействия. Встретить плановую проверку во всеоружии поможет ответственный подход к делу. Недостаточно просто разработать положение или издать приказ — нужно проконтролировать процесс его реализации, убедившись, что персонал исполняет все предписания.

Читайте также:

Анонсы будущих номеров
    Подробнее о журнале


    Ваша персональная подборка

      Подписка на статьи

      Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

      Рекомендации по теме

      Школа

      Самое выгодное предложение

      Проверь свои знания и приобрети новые

      Записаться

      Самое выгодное предложение

      Самое выгодное предложение

      Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

      Живое общение с редакцией

      А еще...

      САМОЕ ВАЖНОЕ











      © 2011–2017 ООО «Актион кадры и право»

      Журнал «Кадровое дело» –
      практический журнал по кадровой работе

      Все права защищены. Полное или частичное копирование любых материалов сайта возможно только с письменного разрешения редакции журнала «Кадровое дело». Нарушение авторских прав влечет за собой ответственность в соответствии с законодательством РФ.

      Зарегистрировано Федеральной службой по надзору в сфере связи,
      информационных технологий и массовых коммуникаций (Роскомнадзор)
      Свидетельство о регистрации ПИ № ФС77-62263 от 03.07.2015

      
      • Мы в соцсетях
      ×
      Чтобы скачать этот и другие экспертные материалы сайта, получите доступ на сутки.

      Для этого:
      — Введите Ваш E-mail в поле ниже
      — Нажмите кнопку «Подписаться»

      Вам на почту придет ссылка для скачивания.
      Подписаться
      ×
      Профессиональные тесты доступны только после регистрации!

      Только зарегистрированные пользователи могут проходить профессиональное тестирование на сайте. Регистрация бесплатна и займет менее минуты. После нее Вы сможете проверить свои знания, а также получите доступ к материалам и всем сервисам сайта.

      Вас также ждет подарок: 10 кадровых шпаргалок на каждый день.

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      И получить доступ на сайт Займет минуту!
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль
      ×

      По вопросам подписки: 8 800 222-15-37

      Читать

      ×

      По вопросам подписки: 8 800 222-15-37

      Читать

      ×
      Чтобы скачать этот и другие экспертные материалы сайта, получите доступ на сутки.

      Для этого:
      — Введите Ваш E-mail в поле ниже
      — Нажмите кнопку «Подписаться»

      Вам на почту придет ссылка для скачивания.
      Подписаться