0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Организация работы с персональными данными

Персональные данные: как работать по закону?

Персональные данные в организации есть всегда. Порой работодатель даже не представляет, как много информации о сотрудниках обрабатывается с нарушением закона. Как правильно организовать работу с персональными данными, как составить внутренние документы, что можно упустить, а что учесть обязательно? Читайте консультацию-памятку от эксперта трудового права Анны Никурадзе.

Ошибки в работе с персональными данными чаще всего случаются по незнанию, а не из-за попытки обойти нормативные требования. Вот самый распространенный пример: будущий работник подает пакет документов по списку, куда входит ИНН или справка о составе семьи. Принимая такие документы, работодатели не берут согласия на их обработку, поскольку думают, что в этом нет необходимости, чем невольно нарушают закон. Но если вы вооружены достаточными знаниями, административных рисков можно избежать.

Для начала разберемся, какие сведения о работниках считаются персональными данными: любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Такое определение дано в п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее Закон N 152-ФЗ):

То есть, к персональным данным относят:

  • фамилию, имя, отчество, дату и место рождения;
  • сведения об образовании (в том числе послевузовском профессиональном) — номера дипломов, названия образовательных организаций, квалификацию, присвоенную гражданину, ученую степень и пр.;
  • семейное, социальное и имущественное положение работника;
  • профессию и места работы;
  • любые документы, которые содержат вышеперечисленные данные;
  • документы, содержащие сведения о членах семьи и иных третьих лицах;

Кроме этого, персональные данные содержатся в документах, обязательно предъявляемых при трудоустройстве. Их перечень указан в ст. 65 Трудового кодекса РФ и эта статья позволяет работодателю принимать и обрабатывать перечисленные в ней документы без предварительного согласия.

Некоторые работодатели (видимо, по старой привычке) до сих пор требуют фото для вклеивания в личную карточку Т2, однако не спрашивают официального согласия работника. Есть мнение, что фотография не относится к персональным данным, но с этим можно поспорить. Ведь законодатель говорит, что персональными данными считаются любые сведения , позволяющие идентифицировать определенного человека, даже без использования его имени, фамилии и даты рождения. Таким образом, если специалист запрашивает фото работника, об этом обязательно надо упомянуть в письменном согласии на обработку персональных данных, с указанием целей обработки.

Возможно, прочитав предыдущие утверждения, вы сделали вывод, что персональные данные — это вся информация, которую человек предоставляет о себе, и обрабатывать ее можно только с его письменного разрешения.

Однако мы помним, что законодатель все же идет навстречу оператору и оговаривает возможность не брать согласие на обработку сведений, перечисленных в ст. 65 ТК РФ. Но в этот список не входят справки о составе семьи, ИНН, справки о состояния здоровья.

Так, в момент приема на работу некоторые компании запрашивают ИНН сотрудника, поскольку он понадобится для отчетности и закон периодически требует включать их в отчетные формы. Для того чтобы оформить человека на должность, и в дальнейшем поддерживать с ним трудовые отношения, ИНН не требуется. Поэтому если организации все-таки нужны эти данные, обязательно следует получить письменное согласие работнику.

Что еще должен делать работодатель при обработке персональных данных?

Согласно п. 7 ст. 86 Трудового кодекса РФ, работодатель обязан обеспечить за счет своих средств защиту персональных данных работника от неправомерного использования или утраты, а также выполнять установленный законом порядок их использования и хранения.

Исходя из указанных требований, работодатель издает локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного использования или утраты. Этот документ должен содержать:

  • описание внешнего и внутреннего доступа к персональным данным;
  • перечень лиц, которым предоставлен такой доступ;
  • ответственность за разглашение сведений;
  • порядок работы с персональными данными;
  • регламент защиты персональных данных (включая защиту от третьих лиц).

С соответствующими положениями и своими правами работники должны ознакомиться под роспись.

Обычно в организации таким локальным нормативным актом признается отдельное Положение о защите персональных данных. Структура его может быть следующей:

1) «Общие положения» – в данном разделе прописываются общие моменты, цели создания документа и сфера его распространения;

2) «Основные понятия» – указываются используемые определения;

3) «Перечень персональных данных и цели обработки» – здесь перечисляется, какие сведения могут быть использованы оператором

4) «Обработка персональных данных» – в этом разделе следует указать, какие условия должны быть соблюдены при обработке персональных данных работника;

5) «Передача персональных данных» – тут необходимо отразить порядок передачи персональных данных работников внутри организации, а также сторонним лицам и государственным органам;

6) «Доступ к персональным данным» — в указанном разделе будет прописан порядок доступа к персональным данным – внешний (передача информации третьим лицам) и внутренний (обработка персональных данных внутри компании);

7) «Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных» — здесь будет расписана дисциплинарная и материальная ответственность лиц, работающих с персональными данными;

8) «Угрозы безопасности» – в этом разделе описывается модель и степень угрозы, а также что предпринимается для защиты персональных данных;

Читать еще:  Партнерство поиск партнеров по бизнесу на PartnerSearchRU

8) «Заключительные положения» – сюда включаются положения о вступлении в силу акта, длительность его действия, и порядок его изменения.

Как защитить персональные данные сотрудников

Работодатель обязан создать все условия для защиты персональных данных: систему, которая обеспечивает конфиденциальность, недоступность, а также целостность и безопасность информации в процессе деятельности компании.

Закон предусматривает внутреннюю и внешнюю защиту.

  • Для обеспечения внешней защиты персональных данных работников компания может, например, ввести пропускной режим для посетителей и использовать программно-технический комплекс защиты информации на электронных носителях.
  • Для обеспечения внутренней защиты персональных данных компания может установить регламент состава работников, чьи функциональные обязанности требуют доступа к персональным данным других работников. При этом следует избирательно и обоснованно распределить документы и информацию, содержащую персональные данные, между лицами, уполномоченными на работу с такими данными, и оборудовать рабочие места таким образом, чтобы не было возможности беспрепятственно проникнуть и «подсмотреть» информацию, и так далее.

Комплекс защитных мер зависит от уровня угрозы безопасности. Чем уровень выше, тем больше действий необходимо предпринимать.

Выделяют три типа угроз, которые создают актуальную опасность несанкционированного доступа к персональным данным при их обработке в информационной системе. Тип угрозы, характерный для информационной системы, работодатель определяет самостоятельно. Исходя из этого, применяется один из четырех уровней защиты.

Состав и содержание мер по обеспечению безопасности персональных данных для каждого уровня защиты определены Приказом ФСТЭК России от 18.02.2013 N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Обеспечение достойного уровня безопасности включает множество различных требований, которые надо строго соблюдать.

Так, чтобы обеспечить минимальный (четвертый) уровень защиты персональных данных работников, необходимо:

  • обезопасить от неконтролируемого проникновения помещения, в которых установлена информационная система;
  • обеспечить сохранность носителей персональных данных;
  • защитить информацию с помощью средств, прошедших процедуру оценки соответствия;
  • издать приказ (распоряжение) в произвольной форме с перечнем работников, имеющих в силу трудовых обязанностей доступ к персональным данным в информационной системе.

Персональные данные потенциальных сотрудников: как поступать с кандидатами

Еще один интересный вопрос связан с персональными данными соискателей: какие действия разрешены работодателю, когда люди приходят на собеседования?

Резюме считается общедоступной информацией, и при его использовании не нужно письменное согласие. Но если соискатель заполняет анкету с указанием личных данных и специалист службы персонала снимает копии с документов (паспорт, диплом и т.п.), письменное согласие брать обязательно.

В заключение хотелось бы подчеркнуть, что работа с персональными данными — это высочайший уровень ответственности. Не стоит пренебрегать правилами и недооценивать важность получения согласия и формирования защиты. Кроме того помните, что сейчас трудовая инспекция особенно строго следит за соблюдением трудового законодательства довольно тщательно и не упускает ни одну из нормативных сфер. Один короткий документ, полученный от работника или кандидата, обезопасит вас от административной ответственности.

Анна Никурадзе, старший юрист Департамента трудового права Института профессионального кадровика

Документальное обеспечение при организации защиты персональных данных на предприятии

При подписании трудового договора, оказании медицинской помощи, оформлении кредитов и в иных ситуациях личные сведения граждан становятся доступными для других лиц. В целях защиты от незаконного разглашения законодатель предусмотрел специальные правила и определил меры ответственности.

Нормативная база

Главным документом в области использования информации о физических лицах, является Закон от 27.07.2006 года № 152-ФЗ. Его положения и принципы раскрываются в подзаконных актах, принятых Президентом России, Правительством РФ, Роскомнадзора, ФСБ и другими органами, которые курируют данное направление.

Постановление Правительства РФ от 01.11.12 № 1119, которое утверждает свои требования к организации защиты:

  • частную модель угроз для безопасности персональных сведений в информационной системе (п. 7);
  • инструкцию пользователя конфиденциальной информации (п. 13);
  • инструкцию администратора данных (п. 13);
  • журнал учета носителей информации, содержащих персональные данные (п. 13 (б));
  • список (перечень) лиц, которые допущены к обработке (п. 13 (в));
  • электронный журнал обращений (п. 15, 16);
  • приказ с перечнем мест хранения (п. 13).

Политика предприятия в области защиты персональных данных

До начала работы с личными сведениями граждан организация-оператор уведомляет об этом Роскомнадзор. Законодатель не называет, сколько локальных актов должно быть у организаций.

Руководитель определяет круг лиц, которые имеют доступ к таким сведениям, с возложением индивидуальной ответственности.

Внутренние документы регулируют:

  • общие принципы работы;
  • порядок обработки на бумажных носителях;
  • правила работы в информационных системах;
  • особенности хранения;
  • порядок передачи;
  • инструкция для сотрудников;
  • другие моменты.

Перечень основных локальных документов

Перечень локальных актов и их наполнение нормами зависит от особенностей деятельности конкретной организации. Во исполнение требований Закона № 152-ФЗ могут быть введены в действие следующие документы:

  • положение об обработке персональных данных (ст. 22);
  • план мероприятий для проведения контроля (ст. 18.1);
  • распорядительный акт о назначении ответственных (ст. 22.1);
  • внесение дополнений в должностные инструкции (ст. 22.1);
  • форма согласия на обработку персональных данных (ст. 6 и 9);
  • форма запроса на доступ (ст. 14);
  • формы уведомлений о внесенных изменениях, предпринятых мерах, об устранении нарушений, об уничтожении (ст. 20 и 21).
Читать еще:  Наказание за езду без прав после лишения как ездить

Внутренние нормативные акты указывают на то, какие еще правила разрабатываются и утверждаются в компании.

Алгоритм утверждения положения о защите персональных сведений

Положение, регламентирующее процесс работы с персональной информацией, раскрывает, как должны храниться и использоваться сведения, относящиеся к служащим фирмы, пациентам лечебного учреждения, клиентам и т.д. Законодатель не устанавливает, какая форма должна быть у документа. Компании разрабатывают его самостоятельно.

Процесс принятия и внедрения локального акта состоит из нескольких этапов:

  • создание проекта;
  • получение согласования от компетентных специалистов компании;
  • введение в действие путем подписания приказа;
  • доведение документа до сотрудников, которые знакомятся с ним под роспись.

В большинстве организаций к личной относится информация о сотрудниках, поэтому разработкой положения занимается кадровая служба. Приказ о внедрении локального акта в работу составляется в свободном виде.

Основные разделы Положения

Положение разбивается на смысловые разделы с учетом требований Закона 152-ФЗ. Рекомендуется включить в документ следующие разделы:

  • общие сведения;
  • список информации и документов, содержащих данные о гражданах;
  • обязательства нанимателя;
  • процедура предоставления личных сведений;
  • способы и виды работы с информацией о гражданах;
  • оформление доступа к сведениям;
  • защита конфиденциальной информации;
  • права и обязанности субъекта;
  • ответственность должностных лиц и компании.

Перечень информации, относящейся к персональной

Закон № 152-ФЗ (статьи 8, 10, 11) разделяет данные о физических лицах на:

  • обезличенные – по ним нельзя определить конкретное лицо;
  • общие – первичные и основные;
  • специальные – здоровье, религия, раса, нация и т.д.;
  • биометрические – физиология и биология.

В перечень входит:

  • фамилия, имя, отчество;
  • число и населенный пункт рождения;
  • адрес проживания;
  • информация о документе, удостоверяющем личность;
  • СНИЛС;
  • ИНН;
  • сведения о дипломах;
  • информация о полученных доходах и оплате труда;
  • семейный статус;
  • другое.

Методы сбора и защиты ведомостей

Компания получает информацию для конкретных целей. Они должны быть отражены в положении и бланке информированного согласия.

Собрать информацию можно автоматизированными и неавтоматизированными способами. В первой ситуации лицо заполняет специальные электронные формы, из которых сведения попадают в базу данных. Во второй – информация передается при личном общении, путем изучения документов, через других лиц и т.д.

Согласно Закону № 152-ФЗ фирма обязана:

  • определить, кто будет отвечать за организацию процесса обработки личных данных;
  • ввести в работу внутренние документы;
  • обеспечивать безопасное применение и использование;
  • контролировать процесс работы с информацией;
  • предотвращать вред, если будет нарушено законодательство;
  • знакомить с правилами работы граждан, принимаемых по трудовому договору.

Закон от 27.07.2006 № 149-ФЗ называет методы защиты:

  • реализация правил конфиденциальности;
  • пресечение неразрешенного доступа;
  • выявление фактов незаконного доступа и устранение вреда;
  • организация защиты технических средств;
  • запись резервных копий.

Назначение ответственных за хранение и обработку

Фирма назначает лиц, которые отвечают за обработку и хранение личных данных (ст. 18.1 Закона № 152-ФЗ). Доступ к информации оформляется приказом с перечислением конкретных работников. Обычно ответственными сотрудниками являются:

  • начальник кадрового отдела;
  • инспекторы отдела по работе с персоналом;
  • работники бухгалтерии;
  • специалисты отдела информатизации.

Как обрабатываются данные?

Статья 6 Закона № 152-ФЗ раскрывает условия обработки персональных данных:

  • взятие у гражданина согласия;
  • согласованность с поставленными задачами и целями.

В процессе обработки информации оператор выполняет следующие действия:

Нарушения положения и ответственность должностных лиц

Компания не должна допускать несанкционированное использование личных сведений. За нарушение законодательства назначаются административные, уголовные, дисциплинарные наказания. Виновное лицо также можно привлечь к гражданско-правовой ответственности, т.е. воспользоваться процедурой возмещения вреда.

Административная ответственность (КоАП РФ):

  • ст. 13.11 – нарушение порядка работы с информацией;
  • ст. 13.12 – несоблюдение правил защиты;
  • ст. 13.14 – разглашение сведений;
  • ст. 19.5 – невыполнение предписания контролирующего органа.

В качестве меры административной ответственности применяются штрафы, которые налагаются на организацию, предпринимателя или должностное лицо.

Уголовная ответственность предусмотрена ст. 137 УК РФ, которая запрещает посягать на частную жизнь граждан. В случае признания лица виновным, оно должно заплатить штраф либо отбыть обязательные, исправительные или принудительные, работы. Суд может запретить заниматься профессиональной деятельностью или наложить арест на два года.

Ст. 90 ТК РФ устанавливает ответственность сотрудников, которые получили доступ к конфиденциальным сведениям. Провинившегося можно уволить по решению работодателя.

Если пострадавшему причинен моральный вред, он вправе его взыскать в порядке, который предусматривает ГК РФ.

Инструкция для работников

В повседневной жизни фирмы сотрудники работают со средствами автоматизации и программным обеспечением на персональных компьютерах. Поэтому помимо положения может быть разработана инструкция, определяющая порядок использования информационных систем. Документ включает в себя правила:

  • безопасного использования различных программ и технических средств;
  • применения логинов и паролей;
  • предоставления доступа;
  • антивирусной защиты;
  • работы с носителями;
  • другие моменты.

Таким образом, следует внимательно изучить законодательство, устанавливающее правила работы с личными сведениями граждан и правильно организовать процесс их сбора и защиты. Это позволит защитить заинтересованных лиц и избежать юридической ответственности.

О том, как организовать защиту информации на предприятии, рассказано в видео ниже.

Как работать с персональными данными работника, чтобы не оштрафовали

Работодатель, принимая персональные данные[1] от работника, обязуется хранить и обрабатывать их определенным образом. За разглашение таких сведений ему грозят различные виды ответственности. В статье выясним, как работать с персональными данными и к чему ведет нарушение правил работы с ними.

Читать еще:  Несчастный случай на производстве действия работодателя в 2019 - 2020 году

Каждый человек имеет определенный «набор» информации, с помощью которой его можно идентифицировать: Ф.И.О., дата рождения, образование, семейное положение, национальность, религия и многое другое.

Работодатель при трудоустройстве работника вынужден запрашивать у него некоторые персональные данные, чтобы оформить трудовые отношения. Трудовой кодекс РФ обязывает работника предоставить при трудоустройстве паспорт, трудовую книжку и т.д., то есть документы, содержащие персональные данные.

ПОРЯДОК РАБОТЫ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ

Шаг 1. Определяем, какие документы организации содержат персональные данные

Прежде всего необходимо понять, какая информация относится к персональным данным, в каких документах она содержится.

Работу с персональными данными регламентирует Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»[2], гл. 14 ТК РФ.

Персональными данными работника будет следующая информация:

• фамилия, имя, отчество;

• дата и место рождения;

• образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;

• семейное положение, наличие детей, родственные связи;

• факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);

• изображение человека (фотография и видеозапись), которое позволяет установить личность;

• деловые и иные личные качества, которые носят оценочный характер;

• другие сведения, которые могут идентифицировать человека.

Эти документы, будь то в бумажном или электронном виде, хранятся в таких условиях, чтобы персональные данные не стали известны лицам, не имеющим на то полномочий.

К документам организации, содержащим персональные данные работников, относятся:

• анкета, автобиография, личный листок по учету кадров, которые заполняются работником при приеме на работу;

• копии документов, хранящиеся в личном деле работника: документа, удостоверяющего личность работника (паспорт), документов воинского учета, документа обязательного пенсионного страхования, свидетельств о заключении брака, рождении детей, документов об образовании;

• личная карточка по форме № Т-2;

• трудовой договор и дополнительные соглашения к нему;

• подлинники и копии приказов по личному составу;

• документы оплаты труда;

• документы об обучении, оценке, аттестации работников;

• базы данных, обрабатываемые автоматически (например, таблицы Excel, базы программы «1С»);

• при необходимости – иные документы, содержащие персональные данные работников.

Основное правило, определяющее работу с персональными данными, устанавливает ст. 7 Федерального закона № 152-ФЗ:

Именно этим правилом должен руководствоваться работодатель при организации работы с персональными данными работников. Определив документы, содержащие персональные данные, и способы получения персональных данных, работодателю необходимо организовать систему защиты персональных данных.

Шаг 2. Разрабатываем и вводим в действие положение о защите персональных данных

Статья 86 ТК РФ обязывает работодателя принять локальный нормативный акт (далее – ЛНА), который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является положение о защите персональных данных работников.

Согласно п. 8 ст. 86 ТК РФ работники должны быть ознакомлены под роспись с таким положением. Если работник принимается на работу и в организации уже есть такое положение, то он знакомится с ним до подписания трудового договора в силу ч. 3 ст. 68 ТК РФ.

Обязательное наличие в организации ЛНА, закрепляющего порядок хранения и использования персональных данных, подтверждается также судебной практикой (см. постановление Мирового судьи Судебного участка № 1 Воробьевского района Воронежской области от 30.06.2017 по делу № 5-209/2017).

Пример положения о защите персональных данных приведен в Приложении.

Шаг 3. Назначаем лицо, ответственное за обработку персональных данных

Согласно п. 1 ст. 22.1 Федерального закона № 152-ФЗ работодателю необходимо назначить лицо, ответственное за обработку персональных данных. Он будет следить за сохранностью персональных данных как на бумажных носителях, так и в электронном виде.

Можно назначить двух ответственных: одного – за работу с персональными данными на бумажных носителях (например, специалиста отдела кадров), другого – за работу с персональными данными в электронном виде (например, системного администратора).

Назначение ответственного лица оформляется приказом (Пример 1). Данная обязанность отражается в должностной инструкции работника.

Шаг 4. Закрепляем права доступа к персональным данным в приказе

Согласно ст. 88 ТК РФ работодатель обязан разрешить доступ к персональным данным работников только специально уполномоченным на это лицам. Необходимо определить, кто работает с персональными данными работников. Именно этим специалистам и необходимо дать доступ к «секретным материалам», оформив приказ (Пример 2).

В приказе согласно закону необходимо отразить, кто (должности, Ф.И.О.), к каким персональным данным и с какой целью (какие функции выполняет с использованием персональных данных работников) имеет доступ; отразить данные о сотрудниках, имеющих доступ к персональным данным как на бумажных носителях, так и в электронном виде.

[1] См. также Куролес И.И. Конфиденциальность информации. Что нужно знать секретарю // Секретарь-референт 2018. № 1. С. 78.

[2] В ред. от 29.07.2017, далее – Федеральный закон № 152-ФЗ.

[3] Пункт 1 части первой ст. 3 Федерального закона № 152-ФЗ.

Ю.Ю. Жижерина, независимый консультант по трудовому праву

Материал публикуется частично. Полностью его можно прочитать в журнале «Секретарь-референт» № 5, 2018.

Ссылка на основную публикацию
Adblock
detector