Как ведется работа с персональными данными в организации?

Содержание

8(499)938-71-68

Меры по защите персональных даных сотрудников

За рубежом сложились два основных подхода к определению персональных данных: в некоторых государствах (Нидерланды, Швеция, Новая Зеландия и др.

) они отождествляются с любой информацией, имеющей отношение к конкретному лицу, в других – прослеживается детализация, установление определенных критериев отнесения информации к указанной категории (Великобритания и др.).

В Великобритании не допускается сбор данных о расовом происхождении, политических, религиозных и прочих взглядах работников, их физическом и умственном здоровье, сексуальной жизни, судимости.

В США многие штаты приняли законы, запрещающие предпринимателям проводить расследования прошлого нанимаемых работников. Согласно этим законам, прежде чем вступить в контакт с прежним работодателем, новый наниматель должен получить согласие на это кандидата на рабочее место.

У нас в соответствии с ТК РФ под персональными данными подразумевается информация, необходимая работодателю в связи с установлением трудовых отношений и касающаяся конкретного работника (ст. 85). При этом законодатель не устанавливает перечня таких сведений.

А это означает, что круг сведений и вид информации, которые составляют персональные данные работника, компаниям следует определять в локальном нормативном акте, но в пределах, установленных федеральным законодательством.

Другой документ, где дается характеристика персональным данным, – это ФЗ № 152 «О персональных данных».

В нем указывается, что персональные данные – это любая информация, относящаяся к определенному или определяемому на ее основе физическому лицу (субъекту персональных данных).

Она включает фамилию, имя, отчество, число, месяц, год и место рождения, а также адрес, сведения о семейном, социальном, имущественном положении, об образовании, профессии, доходах и иные.

Обязательное и добровольное предоставление данных

Предоставление данных может быть обязательным и добровольным. Обязательное предусмотрено федеральными законами (например, ФЗ от 01.04.

1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования») в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства (перечень приведен в п. 2 ст. 9 ФЗ «О персональных данных»).

Без получения согласия субъекта может осуществляться обработка его персональных данных в целях исполнения договора, одной из сторон которого он является, либо в случае, если это необходимо для доставки почтовых отправлений и т. п. Полный перечень таких исключений приведен в п. 2 ст. 6 ФЗ № 152

Соблюдения конфиденциальности не требуется и в отношении общедоступных персональных данных.

Так, столичный мировой суд отказал советнику Президента РФ Сергею Дубику в претензиях к порталу «Гражданский контроль», обнародовавшему неправомерно, по мнению чиновника, его персональные данные.

Суд признал законной публикацию на сайте «Гражданский контроль» фамилии и должности советника Путина, и судья постановила, что использование в публикациях информации об именах и должностях госслужащих не является нарушением закона.

Является ли ваша компания оператором?

Если организация, например, передает данные работника в банк для выпуска «зарплатной» карты, то она является оператором. Если у фирмы есть клиенты – физические лица, то ее также следует считать оператором. Если предприятие осуществляет передачу персональных данных в другие организации, любым лицам, то и оно – оператор.

Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных сообщать в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такой процесс.

Уведомления должны быть посланы в письменной форме и подписаны уполномоченным лицом или отправлены в электронном виде и подписаны электронной цифровой подписью Операторам необходимо зарегистрироваться в Реестре операторов персональных данных на сайте Роскомнадзора: rsoc.

ru/p582/p585/ и указать цель обработки персональных данных.

Это может быть, например, кадровый учет сотрудников по трудовому договору; исполнение трудового договора; подбор кадров; поддержка иностранных сотрудников; продвижение товаров на рынке; продажа рекламных мест; возврат утерянных паспортов; учет обращений в медицинский кабинет; организация пропускного режима; автоматизация обмена почтовыми сообщениями.

Что касается оснований, при которых работодатель вправе обрабатывать персональные данные без уведомления Роскомнадзора, то они перечислены в ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». В частности, это можно делать, если персональные данные работника используются в соответствии с трудовым законодательством.

Обрабатывать такие данные разрешается исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, оказания содействия работникам в трудоустройстве, обучении и продвижении по службе, создания условий для личной безопасности персонала и сохранности имущества организации, контроля качества выполняемой работы (ст. 86 ТК РФ).

Итак, направлять уведомления об обработке персональных данных в Роскомнадзор нет необходимости в том случае, когда персональные данные работников обрабатываются согласно трудовому законодательству.

При этом, если работодатель планирует в рамках совместного с банком «зарплатного» проекта выплачивать зарплату работнику через банковскую карту или оформить ему договор добровольного медицинского страхования, то такие отношения выходят за рамки трудового законодательства.

В такой ситуации необходимо отослать в Роскомнадзор уведомление установленного образца.

Защита персональных данных

Любое юридическое лицо в силу требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обязано принимать меры по защите персональных данных, при этом перечень таких мер оно вправе определять самостоятельно.

Мероприятия по защите персональных данных можно разделить на две большие подгруппы: по внутренней и внешней защите персональных данных.

К мерам по внутренней защите персональных данных относятся следующие действия:

• ограничение числа работников (с регламентацией их должностей), которым открыт доступ к персональным данным. Кого может включать этот перечень? Абсолютно всех, кто имеет доступ к личным делам, т. е.

сотрудников отделов кадров или ответственных за кадровое делопроизвод- 
ство, работников бухгалтерии, секретарей-делопроизводителей, специалистов, которые заключают договоры с физическими лицами, а также инженеров, программистов, юристов;

• назначение ответственного лица, обеспечивающего исполнение организацией законодательства в рассматриваемой сфере;

• утверждение перечня документов, содержащих персональные данные;

• издание внутренних документов по защите персональных данных, осуществление контроля за их соблюдением;

• ознакомление работников с действующими нормативами в области защиты персональных данных и локальными актами; проведение систематических проверок соответствующих знаний работников, обрабатывающих персональные данные, и соблюдения ими требований нормативных документов по защите конфиденциальных сведений. Следует иметь в виду, что все сотрудники, которые имеют доступ к персональным данным других людей, должны быть ознакомлены с особенностями законодательства в области защиты персональных данных;

• рациональное размещение рабочих мест для исключения несанкционированного использования защищаемой информации;

• утверждение списка лиц, имеющих право доступа в помещения, в которых хранятся персональные данные;

• утверждение порядка уничтожения информации;

• выявление и устранение нарушений требований по защите персональных данных;

• проведение профилактической работы с сотрудниками по предупреждению разглашения ими персональных данных.

Среди мер по внешней защите персональных данных следует выделить такие:

• введение пропускного режима, порядка приема и учета посетителей;

• внедрение технических средств охраны, программных средств защиты информации на электронных носителях и др.

Несмотря на то что законом не установлены конкретные требования к количеству и содержанию локальных актов, принимаемых в организации по вопросам обработки и защиты персональных данных, практика реализации данного нормативного акта сформировала необходимый минимум документов, которые должны быть разработаны в компании:

• общий документ, определяющий политику фирмы в отношении обработки персональных данных, например положение о персональных данных;

•  список лиц, обрабатывающих персональные данные;

• приказ о назначении сотрудника, ответственного за организацию обработки персональных данных.

Указанное лицо должно осуществлять внутренний контроль за соблюдением компанией и ее работниками законодательства о персональных данных, в том числе требований к их защите, доводить до сведения персонала положения законодательства о персональных данных, локальных актов по вопросам их обработки, а также требования к защите таких данных, организовывать прием и обработку обращений и запросов субъектов персональных данных и (или) контролировать прием и обработку таких обращений и запросов;

• положение о правовых, организационных и технических мерах защиты персональных данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.

В данном положении рекомендуется прописать конкретные меры по защите персональных данных (введение пропускного режима, применение программных средств защиты информации – паролей, антивирусных программ, хранение персональных данных обособленно от других сведений, на отдельных материальных носителях и в специально оборудованных помещениях с ограниченным доступом и т. д.);

•  локальный акт, устанавливающий процедуры,направленные на предотвращение и выявление нарушений законодательства в сфере защиты персональных данных, устранение последствий таких нарушений.

Так, в компании могут быть разработаны план мероприятий по внутреннему контролю безопасности персональных данных, инструкция о порядке проведения служебного расследования по фактам нарушений законодательства в сфере защиты персональных данных, вестись журнал антивирусных проверок и контроля работы с персональными данными, журнал обучения, инструктажа и аттестации по вопросам защиты персональных данных.

Иные организационные и технические меры, направленные на защиту персональных данных

Следует позаботиться также об организационных и технических мерах, предназначенных для защиты персональных данных. Вот как может выглядеть их список:

• утверждение требований к помещению, где хранятся персональные данные.

Следует иметь в виду, что законодательством они не установлены.

Однако если исходить из имеющихся аналогичных законов, учитывать положения Трудового кодекса РФ, то во избежание несанкционированного доступа к персональным данным на бумажных носителях необходимо оборудовать помещение, где они хранятся, запирающимися шкафами.

В локальном нормативном акте следует установить требования к помещению, где хранятся персональные данные, а также издать приказ об определении помещений, где обрабатываются персональные данные, и утвердить перечень лиц, имеющих допуск туда;

• обеспечение программной защиты информационной системы организации.

При использовании электронных систем обработки персональных данных необходимо учитывать требования по обеспечению безопасности таких данных, установленные в Положении об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных.

В том числе следует ограничить доступ к определенным сведениям в информационных системах (например, установить пароли и т. д.).

Целесообразно также ограничить доступ к электронным базам данных, содержащим персональные данные акционеров, двухуровневой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли должны устанавливаться администратором баз данных и администратором сети соответственно и сообщаться индивидуально сотрудникам, имеющим доступ к персональным данным, при этом их следует как можно чаще (например, ежемесячно) менять;

• ведение журнала учета работы с персональными данными. В целях соблюдения конфиденциального режима работы с персональными данными целесообразно вести журнал учета выдачи персональных данных другим лицам, организациям и государственным органам.

В нем следует регистрировать поступающие запросы, а также фиксировать сведения о лице, направившем запрос, дате передачи персональных данных или факте уведомления об отказе в их предоставлении, а также отмечать, какая именно информация была передана.

Передача персональных данных третьим лицам

Поводов для передачи персональных данных третьим лицам может быть масса – заключение договоров дополнительного медицинского страхования, получение «зарплатных» банковских карт и т. д.

Если организация большая – несколько тысяч работников, то получение с каждого из них согласия на обработку персональных данных может занять много времени. Да и сами работники от этого будут не в восторге.

Таким образом, возникает вопрос: можно ли заранее решить эту проблему, включив данный пункт в трудовой договор?

По своему опыту скажу, что собирать со всех согласие на передачу данных в любом случае придется. В трудовой договор, конечно, можно включить соответствующий пункт, но все равно необходимо будет выполнить требование о получении согласия работника. Причем проще будет оформить это согласие отдельно.

Сделайте коллективный договор с работниками и перечислите там всех тех третьих лиц, которым будут передаваться персональные данные, указав их наименование, адрес, цель передачи им данных, включив перечень их возможных действий с персональными данными и обозначив срок, в течение которого они будут обрабатывать эти данные. Все работники распишутся – и дело будет закрыто.

Какие контрольные органы вправе затребовать персональные данные

Суды и другие правоохранительные органы могут беспрепятственно получать от компаний персональные данные сотрудников, клиентов или контрагентов без согласия последних. Но ответ на вопрос о том, имеют ли аналогичные права другие контролирующие структуры и какие именно, приходится искать не только в законах, но и в судебной практике.

Источник: http://hr-portal.ru/article/mery-po-zashchite-personalnyh-danyh-sotrudnikov

Защита персональных данных: что надо знать бухгалтеру

Вот уже больше года, как закон о защите персональных данных работает в полной мере, без каких-либо оговорок и исключений. А контролирующие органы, которые активно подключились к проверкам по соблюдению закона, не скупятся на штрафы. О том, как не допустить нарушений, за которые положены штрафы, мы погорим в настоящей статье.

Ответственность за нарушения в сфере охраны персональных данных законодатель отнесен к административной. Значит, санкции за подобные проступки надо искать в Кодексе об административных правонарушениях.

Заглянув туда, мы обнаружим, что штрафы не так уж и высоки. Согласно статье 13.

11 КоАП РФ они составляют 5-10 тысяч рублей для организации и 500-1000 рублей для ее руководителя, если в нарушении есть его вина.

Однако надо учитывать, что этот штраф может налагаться за каждое допущенное нарушение. А правил для тех, кто работает с персональными данными, законодатели установили очень много (них мы подробно поговорим чуть ниже). Так что 10 тысяч рублей штрафа легко могут превратиться в 50 или 100 тысяч рублей даже в рамках одной проверки. А за год эти суммы могут оказаться еще внушительнее.

Раз уж мы затронули вопрос проверок, то сразу скажем, что ведомством, полномочным контролировать соблюдение режима персональных данных, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (сокращенно — Роскомнадзор).

Однако права налагать и взыскивать штрафы у этой организации нет. Все материалы по тем проверкам, где обнаружены нарушения, Роскомнадзор передает в прокуратуру. Прокурор уполномочен принимать решения о возбуждении производства по административному правонарушению (п. 1 ст. 28.4 КоАП РФ).

Вопрос же о наложении штрафов решается судьей (п. 1 ст. 23.1 КоАП РФ).

Статистическая справка

По данным Роскомнадзора, всего с момента возложения на эту организацию полномочий по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации нами (т.е. с ноября 2007 года) проведено 3307 проверок.

Результатами этих проверок стали более чем 4500 предписаний об устранении выявленных нарушений, и 7591 протокол об административных правонарушениях.

В 2011 году проведено 1743 проверки — то есть, более половины от общего числа за 4 года! При этом количество плановых и внеплановых (т.е. тех, которые проводятся по жалобам) проверок примерно равно 954 и 789 соответственно. При этом количество жалоб, поступающих от граждан и организаций, также постоянно растет — с 465 в 2009 году до 3240 на 26 декабря 2011 года.

По результатам проверок в 2011 году в прокуратуру было передано около 900 материалов.

Возросли в прошлом году и суммы взыскиваемых штрафов. Так, за период с 2007 по 2009 год к административной ответственности было привлечено всего 37 организаций и взыскано административных штрафов на общую сумму чуть менее 22 тысяч рублей. А на сегодняшний день эта сумма уже превысила 12,5 миллионов рублей. При этом средний размер штрафа не так уж и велик и составляет 3-5 тысяч рублей.

Источник: сайт Роскомнадзора.

Запасаемся бумагами

Итак, с ответственностью за нарушение правил работы с персональными данными мы разобрались. Давайте теперь посмотрим, что же надо сделать организации, дабы избежать штрафов.

Надо отметить, что правила, установленные Федеральным законом от 27.07.06 № 152-ФЗ «О персональных данных», касаются не только тех организаций, которые имеют дело с клиентскими базами данных.

Соблюдать требования этого закона должны все организации, в которых есть хотя бы один работник. Связано это с тем, что к персональным данным законодатели среди прочего отнесли и те сведения, которые предприятие получает от своих сотрудников, принимая их на работу.

А это значит, что организация обязана их защищать в полном соответствии с законом.

Отметим, что закон не делает каких-то различий между тем, на каких носителях в организации существуют документы, содержащие персональные данные.

Так что, и тот работодатель, который внедрил высокотехнологические информационные системы, и тот, который ведет работу с кадровыми документами на бумаге, обязаны принять ряд организационных и технических мер по защите персональных данных сотрудников.

Именно формальное выполнение этих мер в большинстве случаев и контролируют специалисты Роскомнадзора.

Первое, что захотят увидеть проверяющие, — это приказ руководителя о назначении ответственного за работу с персональными данными и обеспечении их защиты. Таким ответственным может быть как конкретное лицо (образец приказа можно скачать здесь), так и подразделение (образец приказа можно скачать здесь). В последнем случае личную ответственность несет руководитель такого подразделения.

Далее потребуется утвердить документ, содержащий перечень персональных данных (образец приказа можно скачать здесь), которые реально используются в деятельности организации. Составляя такой документ, не забудьте включить в него все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

В этом перечне должны быть:

  • заявление о приеме на работу;
  • анкета сотрудника;
  • личная карточка;
  • личное дело;
  • трудовой договор;
  • приказы;
  • трудовая книжка;
  • материалы аттестационных комиссий.

Это один раздел перечня. Если же в организации имеется внутренний документооборот, содержащий сведения о сотрудниках (например, отчеты и материалы, которые составляются для акционеров, учредителей, головной организации и т.п.), то эти отчеты тоже нужно включить в перечень.

Помимо этого, в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

Здесь заметим, что подготовка такого перечня важна не только для соблюдения требований законодательства. Он позволит упорядочить работу с персональными данными внутри организации. Дело в том, что трудоемкость защиты персональных данных напрямую зависит от степени важности обрабатываемых сведений.

Например, информация о политических и религиозных взглядах, личной жизни человека, здоровье, национальности законом отнесена к категориям информации, которые подлежат более надежным методам и средствам защиты, чем данные, идентифицирующие личность.

Поэтому анализ составленного перечня и исключение из него данных, не являющихся безусловно необходимыми в деятельности организации, позволит существенно удешевить систему защиты персональных данных.

Следующий этап работы — подготовка и утверждение списка лиц, допущенных к работе с персональными данными. Этот документ утверждается приказом руководителя и доводится под подпись до всех указанных в нем сотрудников (образец приказа можно скачать здесь).

Еще один документ, который нужно подготовить и утвердить — Положение о работе с персональными данными (примерный образец Положения см. здесь; на основании этого образца нужно составить свое Положение, дополнив его особенностями сбора, обработки и использования персональных данных работников вашей компании).

В Положении о работе с персональными данными нужно детально прописать все требования к получению, хранению, комбинированию, передаче и любому другому использованию персональных данных, а также гарантии по их защите.

С Положением нужно под подпись ознакомить всех сотрудников, включенных в список лиц, допущенных к работе с персональными данными.

Каким должно быть содержание Положения

Что же должно быть зафиксировано в Положении о персональных данных? На практике такой документ обычно состоит из разделов, описывающих каким именно образом в организации должен происходить сбор и обработка персональных данных; кто и в каком порядке имеет доступ к этим данным; какие меры предпринимаются для предотвращения разглашения персональных данных.

Так что начать Положение мы рекомендуем с раздела «Сбор и обработка персональных данных».

В нем обязательно нужно зафиксировать, что персональные данные в организации можно получить и обрабатывать исключительно на основании письменного согласия работника (образец согласия можно скачать здесь).

А значит, не лишним будет сразу разработать и утвердить форму такого заявления. На подпись такое заявление работнику надо давать сразу при приеме на работу. А по действующим сотрудникам такую работу придется провести сразу же после утверждения Положения.

Далее может следовать раздел «Доступ к персональным данным». В нем последовательно описывается порядок доступа к таким данным работников организации и третьих лиц (отдельно родственников, государственных органов, представителей других организаций).

При необходимости тут можно ввести уровни доступа в зависимости от должности сотрудника.

Например, директор и аппарат дирекции имеют доступ ко всем персональным данным; сотрудники бухгалтерии — только к тем сведениям, которые необходимым для расчета заработной платы и налогов; представители кадровой службы — к сведениям, необходимым для оформления кадровой документации и т.п.

Продолжит Положение раздел «Порядок обработки и передачи данных». Здесь надо зафиксировать правила для передачи данных о сотрудниках определенным  органам или лицам.

В случаях, когда передача данных регулируется законодательно (налоговые органы, органы статистики, Пенсионный фонд и т.п.) достаточно сделать ссылки на порядок передачи сведений, установленный законодательством.

Но при этом следует обязательно зафиксировать, кто и в каком порядке вправе готовить данные сведения для передачи в госорганы.

А вот родственникам, членам семьи, страховым компаниям, банкам, благотворительным организациям, негосударственным пенсионным фондам и т. п. персональные данные предоставляются только при наличии письменного согласия работника на каждый конкретный факт передачи данных.

Закончить Положение лучше разделом «Ответственность». Тут изобретать велосипед не нужно — достаточно будет сделать ссылки (или привести целиком) на нормы Трудового кодекса (увольнение за разглашение персональных данных по статье 81 ТК РФ), Кодекса об административных правонарушениях (уже знакомая нам статья 13.11 КоАП РФ) и, если есть такая необходимость  Уголовного кодекса (ст. 137 УК РФ).

Обязательно ли уведомлять Роскомнадзор?

Есть еще один немаловажный момент. Речь идет об уведомлении Роскомнадзора о том, что организация работает с персональными данными. Ситуация тут крайне неоднозначная.

На первый взгляд, закон освобождает от подачи такого уведомления, если обрабатываются только персональные данные сотрудников.

Однако на практике органы Роскомнадзора зачастую требуют предоставлять уведомление, даже если кроме работы с данными сотрудников организация никакой другой работы с персональными данными не ведет. При этом контрольное ведомство пользуется противоречивостью положений закона.

Статья 22 Закона о персональных данных, которая освобождает от необходимости направлять уведомление в части персональных данных сотрудников организации, сформулирована так, что использование данных сотрудников в отношениях с банком при начислении им заработной платы, а также с государственными органами при предоставлении сведений о работниках формально под это исключение не подпадает. Поэтому во избежание лишних споров и штрафов советуем все же направить уведомление.

Источник: https://www.buhonline.ru/pub/comments/2012/4/5895

Правовые аспекты работы с персональными данными сотрудников организации

в журнале “Советник юриста” №12 год – 2011

Семёнова Е.А., заместитель директора по правовым вопросам некоммерческого партнерства

«Исследовательский центр права «ЮРВЕДЪ»

Право работника на защиту сведений о частной жизни базируется на солидной нормативной базе.

Конституция Российской Федерации гарантирует каждому гражданину право на неприкосновенность частной жизни, личную и семейную тайну. Сбор, хранение, использование и распространение информации о частной жизни человека не допускаются без его согласия (ст. 23 ч. 1 ст. 24)(1).

Указом Президента Российской Федерации от 6 марта 1997 г.

№ 188 утвержден перечень сведений конфиденциального характера, к числу которых относятся и сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях(2).

В целях защиты прав и свобод граждан при обработке их персональных данных принят Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее по тексту – Закон о персональных данных или Федеральный закон от 25 июля 2011 г. № 261-ФЗ)(3).

Согласно подп. 1 ст. 3 Закона о персональных данных в ред. Федерального закона от 25.07.2011 № 261-ФЗ таковыми являются любые сведения, прямо или косвенно относящиеся к определенному.

Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными, именуется
Оператором (подп. 2 ст. 3 Закона о персональных данных).

(1) Собрание законодательства РФ. – 1994. – № 32. – Ст. 3301. (2) Там же. – 1997. – № 10. – Ст. 1127.

(3) Там же. – 2006. – № 31 (ч. 1). – Ст. 3451.

Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, является обработкой персональных данных (подп. 3 ст. 3 Закона о персональных данных).

Общие принципы работы с персональными данными определены в ст. 5 Федерального закона от 25 июля 2011 г.

№ 261-ФЗ, согласно которой обработка осуществляется на законной и справедливой основе и ограничивается достижением конкретных, заранее определенных целей; содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки; при обработке должны быть обеспечены точность и достаточность персональных данных, а в  необходимых случаях – актуальность по отношению к целям обработки.

Вопросы обработки личных сведений о человеке регламентируются также

Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации»(1) и постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»(2).

В сфере трудовых отношений принципы и требования к работе с данной категорией информации конкретизируются в Трудовом кодексе Российской Федерации от 30 декабря 2001 г. № 197-ФЗ (ред. от 18.07.2011) (далее – ТК РФ)(3).

В соответствии со ст. 85 ТК РФ под персональными данными работника понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

Требования к обработке персональных данных работника излагаются в ст. 86 ТК РФ.

В частности, в ней указано, что обработка персональных данных работника может осуществляться исключительно в целях содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности, контроля количества и качества выполняемой работы; все персональные данные работника следует получать у него самого.

Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях, о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных ТК РФ или иными федеральными законами.

Информацию о частной жизни в случаях, непосредственно связанных с трудовыми отношениями, работодатель вправе получать и обрабатывать только с письменного согласия работника.

Следовательно, работодатель имеет право требовать от работника только информацию, которая характеризует его как сторону трудового договора, но с учетом специфики работы в конкретной организации. Например, работодателю, осуществляющему торговую деятельность продуктами питания, продавец помимо прочих обязан предоставить сведения о состоянии здоровья.

(1) Собрание законодательства РФ. – 2006. – № 31 (ч. 1). – Ст. 3448. (2) Там же. – 2008. – № 38. – Ст. 4320.

(3) Там же. – 2002. – № 1 (ч. 1). – Ст. 3.

Если работодатель в процессе получает информацию о соискателе на должность, в которой содержатся его персональные данные, то требования о сборе, обработке, хранении, защите персональных данных применяются и к ней.

Исходя из смысла вышеуказанных нормативных актов выполнение их требований обязательно как для организаций, применяющих при обработке персональных данных информационные системы, так и для тех, которые ведут работу с документами на бумажных носителях.

Как правило, персональные данные сотрудников содержат следующие документы: – копия паспорта, где указаны фамилия, имя, отчество, дата рождения, реквизиты данного документа; – трудовая книжка со сведениями о трудовом стаже и предыдущих местах работы; – документы об образовании, подтверждающие квалификацию работника как основание для занятия определенной должности; – трудовой договор, содержащий информацию о месте работы, должности, заработной плате работника; – анкета, личный листок по учету кадров и прочие документы, содержащие биографические данные работника; – копии свидетельств о заключении брака, рождении детей, если они нужны для предоставления работнику льгот, определенных трудовым и налоговым законодательством; – документы воинского учета для выполнения работодателем обязательств перед военкоматом; – документы обязательного пенсионного страхования работника для уплаты работодателем соответствующих взносов; – подлинники и копии приказов по личному составу, в которых содержится информация о приеме, переводе, увольнении и других фактах трудовой  деятельности работника; – информация об аттестации сотрудников;

– иные документы, содержащие персональные данные работников.

По вопросу получения от работника согласия на обработку его персональных данных, связанных с трудовыми отношениями, существуют две позиции.

Первая из них базируется на п. 1 ч. 1 ст. 6 Федерального закона от 25 июля 2011 г. № 261-ФЗ, в соответствии с которой обработка персональных данных осуществляется с согласия субъекта персональных данных на их обработку.

согласия определено ст. 9 Закона о персональных данных.

Вторая позиция основывается на п. 5 ч. 1 ст. 6 того же Закона, по смыслу которой согласия субъекта персональных данных не требуется, когда обработка их необходима для исполнения договора, стороной которого является субъект персональных данных.

Кроме того, ст. 65 ТК РФ определяет перечень документов, предъявляемых лицом, поступающим на работу. Документы, определенные законодателем для заключения трудового договора, содержат персональные данные работника.

Поэтому некоторые организации при оформлении приема на работу требуют от работника заполнения письменного согласия на обработку его персональных данных, другие обходятся без согласия исходя из того, что работник является стороной трудового договора.

В соответствии со ст. 87 ТК РФ организация обязана разработать и ввести в действие локальный нормативный акт, которым определяется порядок хранения и использования персональных данных работников.

Несоблюдение данного требования может обернуться для организации наложением административного штрафа.

Так, постановлением Государственной инспекции труда по г. Москве на основании протокола об административном правонарушении ОСАО «Ингосстрах» за нарушение трудового законодательства привлечено к ответственности по ч. 1 ст. 5.27 КоАП РФ в виде штрафа в размере 30 тыс. руб.

Источник: https://dis.ru/library/664/28366/

Персональные данные: хранение и ответственность

С 2006 года в России ведется усиленная работа над защитой персональных данных.

В течение этого времени был  принят закон «О персональных данных», внесены поправки в Трудовой кодекс РФ, подписан приказ «О методах и способах защиты информации», которым должен следовать каждый, кто участвует в процессе получения, обработки и хранения персональных данных.

Теперь на работодателя ложится большая ответственность за защиту данных о сотруднике. Пострадать за небрежное отношение к персональным данным может и вся организация, и отдельный сотрудник отдела кадров, например. Но и рядовые сотрудники должны держать ухо востро, знать, как положено защищать информацию о них, и что вообще считать «личным».

Что относится к персональным данным?

На самом деле, почти все, что позволяет вас идентифицировать, – это персональные данные: ФИО, дата и место рождения, место жительства, семейное положение, образование, профессия, зарплата и др. Список законодатель оставил открытым.

Какие законы защищают персональные данные?

Основной документ в этом вопросе – Федеральный закон «О персональных данных» (№ 152-ФЗ). Согласно нему, любой государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, обязаны защитить их.

С 1 июля 2011 года все отношения, связанные с обработкой и хранением персональных данных, должны быть приведены в соответствие с требованиями настоящего Федерального закона.  

В Трудовом кодексе РФ защите персональных данных сотрудника со стороны работодателя посвящена глава 14.

Мнение эксперта

Дегтярь О. А., юрист, специалист по управлению персоналом и сервисом, кадровому делопроизводству

«Защита персональных данных в трудовых отношениях представляет собой регламентированный технологический процесс, предупреждающий нарушение установленного порядка доступности, целостности, достоверности и конфиденциальности персональных данных. Работодателем должны быть приняты следующие меры:

  • пропускной режим,
  • особый порядок приема, учета и контроля деятельности посетителей,
  • использование технические средств охраны,
  • лицензированное ПО, которое, как предполагается, защищает от его кражи злоумышленниками. Однако, с другой стороны, использование лицензированного ПО (а это, как правило, Windows), теоретически позволяет трансграничный съем любых данных с компьютеров. Поэтому, подписывая согласие на обработку персональных данных, важно указывать цели такой обработки, получить информацию о держателе базы (куда можно отправить отзыв согласия на обработку), и запрет на трансграничную передачу данных.

C июля 2009 года в закон были внесены поправки, отменившие обязанность операторов шифровать данные при их передаче или обработке. То есть, если отдельным законом эта обязанность не налагается, то работодателя не могут обязать обеспечить активную защиту. Но пассивную защиту ваших данных путем удаленного доступа к ним работодатель обеспечить обязан».

Что нужно защищать работодателю?

  • Личную информацию о сотрудниках.
  • Внутреннюю документацию организации.
  • Информацию о контрагентах.

От кого защищать? Есть три источника угрозы: третьи лица; сотрудники, имеющие доступ к персональным данным; сам сотрудник.

Как защищать?

Согласно главе 14 ТК РФ, внутри организации должен действовать локальный нормативный акт, регулирующий порядок использования и хранения персональных данных. С этим актом должны быть ознакомлены все сотрудники. Кроме того, каждый принимаемый на работу кандидат должен знать об условиях обработки его персональных данных еще до заключения трудового договора (статья 68 ТК РФ).

Работодатель по закону берет на себя обеспечение технической защиты. Должны быть сейфы с кодами доступа или шкафы, запирающиеся на замок, для персональных данных, обрабатываемых без автоматизации. Доступ к ним должен быть только у сотрудников, допущенных к работе с персональными данными.

Важно, чтобы прием сторонних посетителей и прием сотрудников осуществлялся в отделе кадров в разное время. На столе работника, ведущего прием, не должно быть никаких документов, кроме тех, которые касаются конкретного посетителя.

Персональные данные, которые обрабатываются в информационных системах, также должны быть защищены. Методы защиты перечислены в приказе ФСТЭК РФ от 5 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных». Среди них:

  • реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;
  • учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;
  • резервирование технических средств, дублирование массивов и носителей информации;
  • использование защищенных каналов связи;
  • предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок.

Мнение эксперта

Дегтярь О. А., юрист, специалист по управлению персоналом и сервисом, кадровому делопроизводству

 «Понять сотруднику, что меры безопасности по сохранности персональных данных предпринимаются в компании, можно по наличию (и ознакомлению под подпись) положения о защите персональных данных, приказа о доступе к персональным данным, наличию сейфа для кадровой документации, паролей на компьютерах.

Опасность для сотрудника заключается в том, что с лицензионного ПО можно получить персональные данные на конкретного сотрудника, сформировать любое досье на него, зарплатах, связях, родственниках, переписке.

И в дальнейшем, так как все-таки идея тотальной электронизации овладела миром, при получении виз, оформлении загранпаспортов, в случае определенного интереса органов опеки к вашей семье, можно получить информацию о вас, ваших обязанностях, доходе, т.е.

тех сведениях, которые можно использовать против вас».

Наказания

За несоблюдение положений закона 152-ФЗ «О персональных данных» предусмотрены гражданская, уголовная, административная, дисциплинарная и другие виды ответственности. В некоторых случаях может быть приостановлена деятельность организации или отзыв лицензии.

Трудовой кодекс предусматривает в качестве одного из оснований увольнения разглашение персональных данных другого работника (статья 81). 

Но уволить за разглашение персональных данных можно только того работника, которому такие сведения стали известны в связи с исполнением трудовых обязанностей.

Среди этих сотрудников: работники отдела кадров, бухгалтерии, руководители организаций и их заместители.

Важный момент: для увольнения работника за разглашение персональных данных не важно, был ли проступок совершен умышленно или по неосторожности. 

Если работник узнал персональные данные случайно и в его должностные обязанности не входит работа с личными сведениями, увольнять по статье 81-й – незаконно.

Наша справка:

16 мая Минэкономразвития России обнародовал законопроект «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», в котором предлагается существенно увеличить штрафы за нарушения, предусмотренные ст. 13.11 КоАП.

Так, штраф за нарушение установленного законодательством РФ процесса обработки персональных данных увеличится для граждан с 300 – 500 руб. до 3 000 – 5 000 руб., для должностных лиц – с 500 – 1 000 руб. до 30 000 – 50 000 руб., для юридических лиц – с 5 000 – 10 000 руб. до 200 000 – 500 000 руб.

Вводится штраф и для индивидуальных предпринимателей – в размере 30 000 – 50 000 руб. 

Какое отношение к закону «О персональных данных»?

Большинство признает, что закон нужный, но, кажется, работодатели пока не готовы к его соблюдению. Система документооборота, отделов управления персоналом и т. д. должны пересматриваться. Только формальное соблюдение закона не даст эффекта в плане защиты данных и несет лишние финансовые затраты. Пока работодатель воспринимает соблюдение этого закона как еще одну головную боль.

«Продвинутые» сотрудники вовсю обсуждают закон в Интернете. И также большинство сходится во мнении, что закон сырой, а то, что написано на бумаге, не всегда работает в жизни.

Рядовые же сотрудники даже не в курсе, что и кому можно предоставлять. Мы проходим опросы, оставляем свои контактные данные, не интересуясь, как их сохранят. Не читая подписываем договоры. Предъявляем паспорт везде, где его спрашивают.

Не следим за тем, что оставляем на рабочем компьютере.

Чтобы закон начал работать, его должны соблюдать на всех уровнях.

«Год назад я работал в небольшой IT-компании. Система безопасности там была в зачаточном состоянии. Пользовательские пароли на компьютерах были «12345» что у главного бухгалтера, что у менеджеров. Пароли на админки не менялись – «qwerty». Я предложил начальству заменить пароли. С большим трудом это сделали. Со стороны менеджеров были препятствия – «Зачем? Моим компьютером никто больше не пользуется». Со стороны других сисадминов – «Не сейчас. Полно другой работы». Они даже не понимали, насколько это важно для безопасности компании и каждого из них».

Мусьтакова Елена

Источник: http://rjob.ru/articles/personalnye_dannye_khranenie_i_otvetstvennost/

Добавить комментарий