Положение об персональных данных

Содержание

Цель обработки персональных данных в организации

5/5 (1)

Что такое обработка персональных данных

Понятие «обработка» представляет собой действия, совершаемые с объектом.

Применительно к информации о гражданах эти действия включают в себя:

  • сбор данных;
  • проверку;
  • представление в виде системы;
  • применение;
  • ликвидацию;
  • сохранение.

Любое юридическое лицо представляет собой оператора обработки персональных данных, поскольку оно так или иначе работает с ними. Ст. 22 Федерального закона № 152-ФЗ от 27.01.2006 г. «О персональных данных» регламентирует основы такой обработки.

Ее положения позволяют оператору самостоятельно обрабатывать персональную информацию, не извещая об этом дополнительно Роскомнадзор.

Ранее закон относил к персональным (личным) данным только фамилию гражданина, его имя с отчеством, место регистрации и данные паспорта. Сейчас этот перечень расширен и включает в себя семейный статус, полученное образование, размер дохода и благосостояния.

Заметьте! Не подлежат обработке работодателем политическая приверженность, принадлежность к определенной религии и другие аспекты личной жизни сотрудников.

Закон позволяет производить обработку информации несколькими методами. Под обработкой автоматизированным способом понимается использование компьютера. Соответственно, неавтоматизированная обработка подразумевает работу с бумажными документами. В настоящее время в большинстве организаций применяется сочетание первого и второго методов.

Состав персональных данных работника

Ч. 2 ст. 86 ТК РФ предписывает устанавливать количественный и качественный состав персональных данных сотрудника исходя из Конституции России и соответствующих ей законов.

Работа с личной информацией сотрудников заключается в использовании документации двух типов:

  • представляемой гражданином при трудоустройстве в соответствии со ст. 65 ТК РФ. Сюда включаются личные фотографии, информация о рождении, принадлежность к гражданам страны, сведения о семейном статусе, адресе регистрации, полученном образовании и присвоенной специальности. Соответственно, это паспорт гражданина России, свидетельство СНИЛС, документ военнообязанного лица (военный билет) и пр.;
  • составляемой администрацией предприятия без участия гражданина. Речь идет о документации в сфере учета рабочего времени и оплаты труда. Сюда относятся разного рода приказы, издаваемые руководством, карточка сотрудника, табели и платежные ведомости.

ЧИТАЙТЕ ТАКЖЕ: Порядок приема на работу по Трудовому кодексу РФ.

Цели обработки персональных данных на предприятии

Организация обрабатывает личные данные работников в следующих целях:

  • создание, заключение, выполнение и расторжение договоров гражданско-правового характера. Сюда включаются отношения и с физическими, и с юридическими лицами, а также с предпринимателями. Такие отношения регулируются законами и документами о деятельности компании;
  • учет в кадровой сфере, контроль исполнения законов в общей деятельности и области гражданского права;
  • осуществление делопроизводства, соответствующего требованиям закона, правильное оформление приема на работу, помощь в карьерном росте сотрудникам, применение льгот;
  • правильное применение норм налогового права в области налогообложения доходов граждан и отчисления взносов в фонды, формирование данных учета и передача их в Пенсионный фонд РФ;
  • ведение статистики и оформление документации, требуемой нормами налогового и трудового права.

Посмотрите видео. Как составить согласие на обработку персональных данных:

Что такое согласие на обработку

Передавая работодателю документы, необходимые для оформления приема на работу, гражданин сразу же письменно подтверждает, что согласен на обработку своих данных. Статья 3 Закона № 152-ФЗ включает в состав таких сведений всю информацию о работнике, в том числе и о предыдущей работе.

Принято делить персональные сведения на три раздела:

  • сведения общего доступа – ФИО, пол, информация о рождении гражданина;
  • биометрические – относящиеся к физическому состоянию и внешним данным, которые определяются обычным осмотром;
  • особые – национальная принадлежность, принадлежность к религии, наличие судимостей, состояние здоровья, дополнительная информация о прежней работе, например статья, по которой гражданин уволен.

Сведения общего доступа не являются конфиденциальными, все остальные могут обрабатываться только при получении на то согласия обладателя.

Обратите внимание! Согласие гражданина не может быть бессрочным. Давая его, работник позволяет работать с информацией до какой-либо даты либо до наступления события. Допускается и отзыв работником своего согласия (п. 4 ст. 9 Закона № 152-ФЗ).

В каких случаях согласие требуется

Цель получения и обработки личной информации зависит от того, к какой категории принадлежит сам субъект. Это может быть сотрудник, претендент, клиент и т. д.

В отдельных случаях обработка вызвана исключительно требованиями закона. Речь идет, например, о нормах трудового права. Также закон обязывает кредитные организации публиковать для общего сведения перечень аффилированных лиц.

Открытые АО не имеют права скрывать состав своих акционеров. В этом случае организация исполняет требования закона, и дополнительных действий от нее не требуется.

В других случаях компания самостоятельно решает произвести какие-либо действия, требующие работы с личными данными. Тогда она обязана предварительно испросить у гражданина его согласие.

Имейте ввиду! Так, при оформлении трудового договора компания не обязана брать письменное согласие работника на внесение в документы сведений о его ФИО, дате рождения и месте прописки.

Но если в организации зарплата перечисляется исключительно на банковские карты, то для передачи в банк сведений согласие работника потребуется. Дело в том, что трудовое законодательство не содержит указания на обязательность таких действий. Руководствоваться следует ст. 9 Закона № 152-ФЗ.

Нередко магазины и интернет-площадки пользуются в качестве рекламы рассылками на телефонные номера и электронные адреса клиентов. В этом случае им следует заранее сообщить покупателям, для чего нужна подобная информация, и как она будет использоваться.

Ст. 15 Закона № 152-ФЗ обязывает рекламодателей взаимодействовать с клиентами таким образом только при наличии согласия второй стороны. Статьи 10 и 11 Закона № 152-ФЗ посвящены тем данным, использование которых может причинить вред самому субъекту. Речь идет о биометрической информации и данных специальной (особой) категории.

Биометрическая информация, как правило, требуется в тех случаях, когда организация устанавливает у себя особые системы доступа к данным. Тогда бывают нужны сведения о внешнем виде гражданина.

Особая категория – это личные данные, касающиеся принадлежности к народу, расе, вере, политической партии или объединению. Сюда же относятся сведения о внутренней жизни гражданина, не подлежащие обнародованию. Закон выделяет их в совершенно отдельную категорию, поскольку разглашение такой информации строго запрещено, кроме специально оговоренных случаев. Одним из таких исключений является письменное согласие гражданина на обработку сведений о нем.

Передача данных за границу регламентируется отдельно, статьей 12 вышеуказанного закона. Статья 19 предлагает руководствоваться при обработке данных требованиями трех видов.

Правовые меры

Компании-оператору следует определить, как именно будет осуществляться обработка и с какой целью. Далее в организации должен быть издан внутренний документ, включающий в себя все основные правила.

Он может именоваться Положением об обработке персональных данных или соответствующей Политикой. Руководитель организации должен издать приказ, назначив сотрудника, ответственного за исполнение установленных правил, и порядок реализации.

Меры организационные

Изданный в организации документ должен быть доступен для ознакомления всем работникам. На практике обычно он размещается на специальном стенде, где доступ к нему имеют и работники, и посетители.

Знайте! Закон предусматривает возможность любого гражданина направить в организацию запрос относительно того, ведет ли она обработку его данных. Также он вправе узнать, как и с какой целью осуществляется этот процесс. Также законодатель позволяет физическому лицу установить запрет на обработку его личной информации.

Получив от субъекта персональных данных любой запрос или запрет подобного рода, оператор обязан дать ему обоснованный ответ. Более подробно эти моменты рассмотрены в статьях 20 и 21 Закона № 152-ФЗ.

Технические меры при обработке информации

Закон предусматривает, помимо прочего, меры защиты информации. Они могут относиться к способам физической защиты (опечатывание, хранение бумаг в сейфах, установление замков и решеток).

Также защита информации может осуществляться с помощью современных технологий. К ним относятся антивирусные программы, криптографическая защита и прочее.

Оператор, приступая к обработке информации, должен:

  • определить, каковы основания и цели его действий в этой сфере применительно к определенным субъектам;
  • изучить закон и установить порядок исполнения его положений. Сформировать соответствующие правовые акты компании, предусмотрев в них все важные положения;
  • издать «Положение об обработке персональных данных» или такую же «Политику…» и выполнять в дальнейшем те правила, которые там будут отражены;
  • принять меры, обеспечивающие безопасность хранимой и обрабатываемой информации.

Важное дополнение. В настоящий момент закон достаточно подробно регламентирует правовую сторону обработки данных и организационные мероприятия, которые должны в этой области осуществляться, в отношении всех операторов.

Что касается мер технической защиты, здесь положение дел несколько иное. Для государственных органов и учреждений разработана целая система мер безопасности, которые успешно применяются.

Для коммерческих организаций этот вопрос решен только в общем виде. Какие именно технические меры и в каком объеме будут применяться, решает сама компания. Закон предоставляет коммерческим организациям свободу выбора в решении этого вопроса.

Следует помнить, что вопрос очень серьезен, поскольку ответственность в случае применения неподходящих способов защиты возлагается на самого оператора.

ЧИТАЙТЕ ТАКЖЕ: Как составить жалобу в Роскомнадзор об использовании персональных данных?

Когда не требуется согласие

Закон не обязывает оператора запрашивать согласие субъекта на обработку его данных в следующих случаях:

  • она предусмотрена условиями заключенного с гражданином соглашения или включена в состав полномочий и общих функций работодателя. Примеры таких ситуаций: ответы на официальные запросы государственных органов, направление сведений в ПФР РФ и т. д.;
  • в организации имеется коллективный договор или иное соглашение с работниками. Также сюда относятся и иные нормативные акты компании, соответствующие ст. 372 ТК РФ;
  • закон обязывает данную категорию работодателей делать доступной информацию о состоящих в штате сотрудниках. Пример: медицинские учреждения, которые обязаны информировать население о количестве своих работников, их уровне образования и результатах пройденной аттестации;
  • информация о состоянии здоровья гражданина напрямую связана с его допуском к определенной работе. Например, работники сферы образования должны проходить регулярное медицинское освидетельствование, о чем извещается работодатель;
  • обработку данных осуществляет Прокуратура в рамках возложенных на нее законодателем полномочий;
  • обработка данных связана с личностями членов семьи работника, указанных в карточке Т-2. Сюда относятся случаи взыскания алиментов, предоставления дополнительных выплат, оформления допуска к закрытым сведениям и пр.;
  • трудовые обязанности гражданина напрямую связаны с обработкой данных;
  • в организации применяются особые формы предоставления доступа на отдельные территории, требующие обработки данных;
  • существует непосредственная и прямая угроза жизни работника и его здоровью, и ее устранение требует передачи другим лицам личной информации о гражданине. Другие подобные случаи могут быть оговорены в законе;
  • обрабатываются данные сотрудников, уже уволенных из организации, – обычно речь идет о работе бухгалтерии;
  • обрабатываемые данные были переданы работником в обычных документах при оформлении приема на работу согласно ст. и ч. 4 ст. 275 ТК РФ.

Рекомендации Роскомнадзора более глубоко рассматривают каждый из приведенных пунктов. Для лучшего понимания их сути рекомендуется изучить эти положения полностью.

Далее будут приведены отдельные положения из данных рекомендаций. Они касаются необходимости согласия сотрудника на передачу его личных данных по запросу от государственных органов, а также компаний, которые изначально такими правами не обладают.

Запомните! Сведения предоставляются без получения согласия гражданина, если их запросили в пределах своей компетенции: правоохранительные органы, надзорные органы (в том числе Прокуратура и Государственная Инспекция труда), органы системы государственной безопасности, а также другие органы, правомочия которых в этой сфере были закреплены на федеральном законодательном уровне.

Запрос должен быть правильно оформлен. В нем указывается цель, статьи законов, дающие подобное право, а также четкий перечень необходимых данных.

Если запрос получен из организации, которую закон не наделял правом получения подобной информации, сведения могут передаваться только с согласия работника. При этом работодатель обязан известить получателя информации, что он не вправе распоряжаться полученной информацией иначе как в целях, которые указаны в запросе.

Также работодатель вправе истребовать у получателя информации подтверждение того, что это условие соблюдалось или будет соблюдаться.

Организация может передавать сведения о сотруднике в кредитную организацию, не заручившись его официальным согласием, при работе с банковскими картами в следующих ситуациях:

  • банк предварительно заключил с гражданином договор обслуживания, где оговаривалась возможность получения и обработки банком его личных данных;
  • работник выдал работодателю доверенность, дающую тому право быть его представителем при оформлении отношений с банковской организацией при выпуске и обслуживании карты;
  • коллективный договор компании изначально предусматривает оплату труда с использованием форм обработки данных (ст. 41 ТК РФ).

Согласие: как правильно оформить

Ч. 3 ст. 9 Закона № 152-ФЗ содержит такое положение: оператор обязан либо получить у субъекта официальное согласие на обработку его данных либо представить обусловленные правовыми нормами основания для осуществления подобной деятельности без согласия лица.

Оператору предлагается руководствоваться статьями 2 –11, ч. 1 ст.6, ч.2 ст. 10 и ч. 2 ст. 11 Закона № 152-ФЗ. Ответственность за соблюдение этих норм возлагается на него.

Поскольку статьи 6 и 9 указанного закона обязывают получить согласие работника на такую обработку информации, работодателю рекомендуется подстраховаться, заранее заручившись согласием сотрудника на подобные действия.

ЧИТАЙТЕ ТАКЖЕ: Вторжение в личную жизнь.

При оформлении согласия на работу с персональными данными в текст документа нужно включить:

  • полностью ФИО гражданина, его адрес, данные паспорта, в том числе сведения о его месте и дате выдачи;
  • если речь идет о представителе – ФИО, адрес проживания, данные паспорта, включая сведения о месте и дате выдачи, номер и дата выдачи доверенности, дающей соответствующие полномочия;
  • полное наименование работодателя (если это ИП, то следует указать полностью ФИО);
  • цель работы с информацией;
  • перечень сведений, которые будут подвергнуты обработке;
  • наименование компании или ФИО с адресом гражданина, который проводит обработку сведений в пределах своих обязанностей и компетенции;
  • указание на конкретные способы обработки, которые будут применены к личным сведениям;
  • период времени, в течение которого действует данное работником согласие, и способы отказа от него;
  • подпись гражданина.

Оформляя согласие работника, необходимо придерживаться следующих требований:

  • личные сведения о работнике передаются им работодателю лично;
  • согласие на обработку информации должно даваться исключительно добровольно;
  • согласие на обработку данных предоставляется при передаче работодателю сведений;
  • текст документа о согласии должен быть достаточно подробным, информативным и понятным. Работник подписывает его осознанно.

Можно ли отказаться от обработки персональных данных с позиции закона

Гражданин вправе отказаться от обработки его данных без каких-либо правовых последствий такого решения. Ст. 9 указанного выше закона говорит о том, что согласие должно быть добровольным.

Ч. 5 ст. 6 уже упомянутого закона разрешает работодателю обрабатывать сведения о работнике без его официального согласия, если это связано с исполнением трудового соглашения. Работодатель вправе производить такие действия без дополнительного согласия гражданина. Положение касается только лиц, принятых в штат компании.

Важно осознавать последствия отказа от обработки данных в каждом отдельном случае. Если речь идет об оформлении приема на работу, такое решение станет причиной отказа в заключении трудового договора.

Работодатель не обязан заключать трудовой договор при отсутствии возможности работать с информацией. Также отказ подобного рода может отрицательно сказаться на работе, если в организации введен пропускной режим. В таком случае несогласие с обработкой данных влечет невозможность получения и обновления прав доступа к конкретному объекту.

Такой работник не может выполнять закрепленные за ним трудовые обязанности, следовательно, не в состоянии продолжать работу в организации, не имея прав доступа.

Внимание! Наши квалифицированные юристы окажут вам помощь бесплатно и круглосуточно по любым вопросам.

Защита персональных данных: ответственность за нарушение законодательства

Законодатель, подробно оговаривая условия обработки информации, предусматривает наказание за их нарушение.

За нарушение правил защиты персональных данных предусматривается ответственность различного рода: административные меры воздействия, дисциплинарные наказания, меры гражданско-правовой, материальной и уголовной ответственности.

При этом отдельные последствия могут наступать не только для граждан и должностных лиц, но и для юридических лиц.

Статья 150 ГК РФ предписывает обеспечивать защиту частной жизни, а также личной тайны. Закон предусматривает как возмещение причиненного ущерба, так и компенсацию морального вреда.

В рассматриваемой сфере эти две категории взаимосвязаны. Изначально нарушение правил обработки информации и ее разглашение причиняют гражданину неимущественный вред, из которого проистекает и имущественный ущерб.

Гражданин вправе оценить каждую из этих категорий и предъявить нарушителю соответствующий иск в судебном порядке. При этом моральный вред также подлежит объективной оценке и возмещается в виде денежной суммы.

П. 7 ст. 243 ТК РФ гласит, что работник, виновный в разглашении личной информации, несет ответственность в полном объеме причиненного вреда.

Виновный в подобном нарушении сотрудник привлекается, помимо прочего, к дисциплинарной ответственности, вплоть до увольнения. Право работодателя применять к работнику санкции закреплено статьей 192 ТК РФ.

Если степень вины работника не слишком велика, вместо увольнения могут применяться выговор либо замечание. В каждом случае этот вопрос решается отдельно.

К сведению! Если должностные обязанности работника так или иначе связаны с обработкой персональных сведений о других лицах, его права и обязанности должны быть четко определены. Они закрепляются в трудовом договоре, а также в нормативно-правовых актах, изданных в данной организации применительно к рассматриваемой области.

Перечень полномочий сотрудника и связанных с ними обязательств нужно максимально четко оговорить, чтобы исключить возможные недоразумения.

Административные санкции (статьи 13.11 и 13.14 КоАП РФ) за нарушения в процессе сбора личной информации, ее хранения и работы с ней включают в себя вынесение предупреждения и наложение штрафа:

  • для граждан – 1 000 – 3 000 руб.;
  • для должностных лиц – 5 000 – 10 000 руб.;
  • для организаций – 20 000 – 50 000 руб.

Если при ведении сотрудником профессиональной деятельности или несении государственной службы произошло разглашение персональных данных лиц, передавших их в данную организацию для обработки, размеры штрафов таковы:

  • для граждан – 500 – 1000 руб.;
  • для должностных лиц – 4 000 – 5 000 руб.

Уголовный кодекс РФ предусматривает меры наказания за вторжение в частную жизнь и нарушение ее неприкосновенности в статье 137. В это понятие включаются также и нарушения в области обработки информации, подпадающие под понятие преступления.

Закон в этом случае более суров, соответственно, санкции здесь таковы:

  • штраф до 200 000 руб., взыскание дохода, полученного нарушителем в течение 18 мес., применение обязательных работ продолжительностью 120 – 180 часов;
  • применение исправительных работ продолжительностью до года;
  • арест гражданина на период до 4 мес.

Если преступление подобного рода было совершено сотрудником, использовавшим для этого свое положение на службе, применяется более строгое наказание.

Оно может заключаться в следующем:

  • штраф 100 000 руб. – 300 000 руб., взыскание заработка или прочего дохода, полученного за период до 2 лет;
  • запрет на ведение конкретной деятельности или работу в определенной должности на срок 2 – 5 лет;
  • арест на период от 4 до 6 месяцев.

Посмотрите видео. Ограничение обработки персональных данных:

Дорогие читатели нашего сайта! Наши статьи рассказывают о типовых способах решения юридических вопросов, но каждый случай носит уникальный характер.

Если вы хотите узнать, как решить именно вашу проблему — обращайтесь в форму онлайн консультанта справа. Это быстро и бесплатно! Или позвоните нам по телефонам:

+7-495-899-01-60

Москва, Московская область

+7-812-389-26-12

Санкт-Петербург, Ленинградская область

5 шагов по организации учета и хранения персональных данных

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Работодатель, принимая сотрудника на работу, должен запросить у него определенные сведения, которые необходимы в рамках трудового, налогового и бухгалтерского законодательства. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» требует от работодателя, который в данном случае является оператором персональных данных и выполняет их обработку, обеспечить безопасность этой информации.

Какие данные являются персональными

Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон о персональных данных).

К общим персональным данным можно отнести следующие сведения:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • адрес (место регистрации);
  • образование, профессия;
  • изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (Разъяснения Роскомнадзора от 30 августа 2013 года «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»);
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • финансовое положение. Сведения о заработной плате также являются персональными данными (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
  • деловые и иные личные качества, которые носят оценочный характер;
  • прочие сведения, которые могут идентифицировать человека.

Кроме того, в Законе о персональных данных упоминаются:

  • специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). По общему правилу обработка этих данных не допускается. Исключение — случаи, предусмотренные частью 2 статьи 10 Закона о персональных данных;
  • биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение — случаи, установленные ч. 2 ст. 11 Закона о персональных данных.

Работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора (например, сведения о социальном и имущественном статусе человека не имеют отношения к его трудовому процессу). Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:

  • в паспорте или ином документе, удостоверяющем личность;
  • трудовой книжке;
  • документах о воинском учете, образовании, составе семьи;
  • справке о доходах с предыдущего места работы;
  • анкете, заполняемой при трудоустройстве;
  • личной карточке работника (форма Т-2);
  • свидетельствах о заключении брака, рождении ребенка;
  • медицинских справках и др.

У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.

Обработка персональных данных

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ст. 3 Закона о персональных данных).

Закон о персональных данных обязывает работодателя соблюдать определенные требования по обработке этих данных. Например, обработка персональных данных осуществляется только с согласия работника (п. 1 ст. 6, ст. 9 Закона о персональных данных). Во избежание судебных споров лучше, если это согласие будет оформлено письменно. То же самое правило действует в отношении соискателей.

В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона о персональных данных). Например, письменное согласие работника на обработку его персональных данных требуется:

1) при получении персональных данных работника у третьей стороны (п. 3 ст. 86 ТК РФ). Но в этом случае работника нужно предварительно уведомить об этом и получить его письменное согласие (п. 3 ст. 86 ТК РФ).

В уведомлении необходимо указать (п. 3 ст. 86 ТК РФ):

  • цели получения персональных данных работника у третьего лица;
  • предполагаемые источники информации (лица, у которых будут запрашиваться данные);
  • способы получения данных, их характер;
  • возможные последствия отказа работодателю в получении персональных данных работника у третьего лица. При отказе работника ознакомиться с уведомлением о предполагаемом получении его персональных данных у другого лица целесообразно составить соответствующий акт.

Если работник передумал, то в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных).

В такой ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии веских причин. Они перечислены в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10, части 2 статьи 11 Закона о персональных данных (ч. 2 ст. 9 Закона о персональных данных).

Определенную информацию (которая не имеет отношения к перечисленным в пункте 1 статьи 86 ТК РФ целям), работодатель не вправе запрашивать у третьих лиц даже, если работник согласен.

2) при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ);

3) для обработки специальных категорий персональных данных работника, непосредственно связанных с вопросами трудовых отношений (п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 Закона о персональных данных). К этим данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.

При недееспособности работника письменное согласие на обработку его данных дает его законный представитель (родитель, опекун) (ч. 6 ст. 9 Закона о персональных данных). А в случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни (ч. 7 ст. 9 Закона о персональных данных).

Не во всех случаях требуется согласие работника на обработку персональных данных. Например, в том случае, если данные получены (п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона о персональных данных, абз. 1 Разъяснений Роскомнадзора):

  1. из документов (сведений), предъявляемых при заключении трудового договора;
  2. по результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК РФ, п. 3 Разъяснений Роскомнадзора от 14 декабря 2012 года «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», далее — Разъяснения Роскомнадзора от 14.12.2012);
  3. в объеме, предусмотренном унифицированной формой № Т-2, в том числе персональных данных близких родственников, и в иных случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) (п. 2 Разъяснений Роскомнадзора от 14.12.2012);
  4. от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012);
  5. от соискателя, который сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц (п. 10 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ, абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012).

Работодатель с согласия работника может поручить обработку его персональных данных другому лицу (ч. 3 ст. 6 Закона о персональных данных, абз. 2 п. 5 Разъяснений Роскомнадзора от 14.12.2012). Но при этом именно работодатель несет ответственность перед работником за действия указанного лица (ч. 5 ст. 6 Закона о персональных данных).

Вебинары для бухгалтеров в Контур.Школе: изменения законодательства, особенности бухгалтерского и налогового учета, отчетность, зарплата и кадры, кассовые операции.

Организация учета и хранения персональных данных

Работодатель должен обеспечивать защиту персональных данных работника от неправомерного их использования или утраты за счет своих средств (п. 7 ст. 86 ТК РФ).

Разберем пошагово действия работодателя по учету и хранению персональных данных в организации.

Шаг 1. Работодатель должен издать локальный акт, который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является Положение о персональных данных работников, с которым работники должны быть ознакомлены под подпись (п. 8 ст. 86 ТК РФ). Ознакомиться с Положением о персональных данных, как и с остальными локальными нормативными актами, работник должен до подписания трудового договора (ст. 68 ТК РФ). Ознакомить работника с документом путем рассылки его по электронной почте нельзя, это не будет считаться ознакомлением под подпись. При отсутствии подписи работника работодатель не сможет доказать, что работник был ознакомлен с данным документом.

Положение о персональных данных, как и любой другой локальный нормативный акт, издается и утверждается приказом, который подписывает руководитель организации или иное уполномоченное на это лицо.

В случае проверки организации, проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники. Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения работодателя к ответственности согласно части 1 статьи 5.27 КоАП РФ, а в случае совершения аналогичного нарушения повторно — по части 2 статьи 5.27 КоАП РФ. Такой вывод также подтверждается судебной практикой (Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06 № А40-20745/06-148-194).

Шаг 2. Работодатель утверждает документ, содержащий перечень персональных данных, которые используются в деятельности организации. В этот документ включаются все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

Помимо этого в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

Шаг 3. Работодатель приказом должен назначить ответственных за работу с персональными данными и ответственных за обеспечение безопасности персональных данных. Таким ответственным может быть как конкретное лицо, так и подразделение. В последнем случае личную ответственность несет руководитель такого подразделения. Этот приказ необходимо довести до сведения всех указанных в нем сотрудников, что должно подтверждаться их подписью.

Шаг 4. На случай проверки во избежание споров с проверяющими лучше подготовить следующие документы:

  • заявления работников о согласии на обработку персональных данных;
  • журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам;
  • журнал проверок наличия документов, содержащих персональные данные работника.

Шаг 5. Приказом руководителя организации установить перечень мест хранения документации, являющейся носителем персональных данных работников, а также перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия. Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются. Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.

Подведем итоги

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

  • от всех ли работников получено согласие на обработку персональных данных;
  • ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
  • должным ли образом осуществляется хранение и защита персональных данных;
  • соответствует ли документация об их обработке требованиям законодательства и т.д.

Открыть в формате Word

1. Общие положения

1.1. Целью данного Положения является защита персональных данных работников от несанкционированного доступа, неправомерного их использования или утраты.

1.2. Настоящее Положение разработано на основании статей Конституции РФ, Трудового Кодекса РФ, Кодекса об административных правонарушениях РФ, Гражданского Кодекса РФ, Уголовного Кодекса РФ, а также Федерального закона «Об информации, информатизации и защите информации»

1.3. Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.

1.4. Настоящее Положение утверждается и вводится в действие приказом генерального директора и является обязательным для исполнения всеми работниками, имеющими доступ к персональным данным сотрудников.

2. Понятие и состав персональных данных

2.1. Персональные данные работника — информация, необходимая работодателю в связи с трудовыми отношениями и касающиеся конкретного работника. Под информацией о работниках понимаются сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность.

2.2. В состав персональных данных работника входят:

— анкетные и биографические данные;

— образование;

— сведения о трудовом и общем стаже;

— сведения о составе семьи;

— паспортные данные;

— сведения о воинском учете;

— сведения о заработной плате сотрудника;

— сведения о социальных льготах;

— специальность,

— занимаемая должность;

— наличие судимостей;

— адрес места жительства;

— домашний телефон;

— место работы или учебы членов семьи и родственников;

— характер взаимоотношений в семье;

— содержание трудового договора;

— состав декларируемых сведений о наличии материальных ценностей;

— содержание декларации, подаваемой в налоговую инспекцию;

— подлинники и копии приказов по личному составу;

— личные дела и трудовые книжки сотрудников;

— основания к приказам по личному составу;

— дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;

— копии отчетов, направляемые в органы статистики.

2.3. Данные документы являются конфиденциальными, хотя, учитывая их массовость и единое место обработки и хранения — соответствующий гриф ограничения на них не ставится.

3. Обработка персональных данных

3.1. Под обработкой персональных данных работника понимается получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

3.2. В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

3.2.1. Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

3.2.2. При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым Кодексом и иными федеральными законами.

3.2.3. Получение персональных данных может осуществляться как путем представления их самим работником, так и путем получения их из иных источников.

3.2.4. Персональные данные следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а так же о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

3.2.5. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений данные о частной жизни работника (информация о жизнедеятельности в сфере семейных бытовых, личных отношений) могут быть получены и обработаны работодателем только с его письменного согласия.

3.2.6. Работодатель не имеет право получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.

3.3. К обработке, передаче и хранению персональных данных работника могут иметь доступ сотрудники:

— бухгалтерии;

— сотрудники службы управления персоналом;

— сотрудники компьютерных отделов.

3.4. Использование персональных данных возможно только в соответствии с целями, определившими их получение.

3.4.1. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.

3.5. Передача персональных данных работника возможна только с согласия работника или в случаях, прямо предусмотренных законодательством.

3.5.1. При передаче персональных данных работника работодатель должен соблюдать следующие требования:

— не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;

— не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

— предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;

— разрешать доступ к персональным данным работников только специально уполномоченным лицам, определенным приказом по организации, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

— не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

— передавать персональные данные работника представителям работников в порядке, установленном Трудовым Кодексом, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

3.5.2. Передача персональных данных от держателя или его представителей внешнему потребителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.

3.5.3. При передаче персональных данных работника потребителям (в том числе и в коммерческих целях) за пределы организации работодатель не должен сообщать эти данные третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника или в случаях, установленных федеральным законом.

3.6. Все меры конфиденциальности при сборе, обработке и хранении персональных данных сотрудника распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

3.7. Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу.

3.8. Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.

3.9. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения. Работодатель учитывает личные качества работника, его добросовестный и эффективный труд.

4. Доступ к персональным данным

4.1. Внутренний доступ (доступ внутри организации).

4.1.1. Право доступа к персональным данным сотрудника имеют:

— генеральный директор организации;

— руководители структурных подразделений по направлению деятельности (доступ к личным данным только сотрудников своего подразделения);

— при переводе из одного структурного подразделения в другое, доступ к персональным данным сотрудника может иметь руководитель нового подразделения;

— сам работник, носитель данных.

— другие сотрудники организации при выполнении ими своих служебных обязанностей.

4.1.2. Перечень лиц, имеющих доступ к персональным данным работников, определяется приказом генерального директора организации.

4.2. Внешний доступ.

4.2.1. К числу массовых потребителей персональных данных вне организации можно отнести государственные и негосударственные функциональные структуры:

— налоговые инспекции;

— правоохранительные органы;

— органы статистики;

— страховые агентства;

— военкоматы;

— органы социального страхования;

— пенсионные фонды;

— подразделения муниципальных органов управления;

4.2.2. Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.

4.2.3. Организации, в которые сотрудник может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным работника только в случае его письменного разрешения.

4.2.4. Другие организации.

Сведения о работающем сотруднике или уже уволенном могут быть предоставлены другой организации только с письменного запроса на бланке организации, с приложением копии нотариально заверенного заявления работника.

Персональные данные сотрудника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого сотрудника.

В случае развода бывшая супруга (супруг) имеют право обратиться в организацию с письменным запросом о размере заработной платы сотрудника без его согласия. (УК РФ).

5. Защита персональных данных

5.1. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.

5.2. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.

5.3. Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности компании.

5.4. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральным законом.

5.5. «Внутренняя защита».

5.5.1. Основным виновником несанкционированного доступа к персональным данным является, как правило, персонал, работающий с документами и базами данных. Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий между руководителями и специалистами организации.

5.5.2. Для обеспечении внутренней защиты персональных данных работников необходимо соблюдать ряд мер:

— ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний;

— строгое избирательное и обоснованное распределение документов и информации между работниками;

— рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;

— знание работником требований нормативно — методических документов по защите информации и сохранении тайны;

— наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;

— определение и регламентация состава работников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника;

— организация порядка уничтожения информации;

— своевременное выявление нарушения требований разрешительной системы доступа работниками подразделения;

— воспитательная и разъяснительная работа с сотрудниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами;

— не допускается выдача личных дел сотрудников на рабочие места руководителей. Личные дела могут выдаваться на рабочие места только генеральному директору, работникам отдела персонала и в исключительных случаях, по письменному разрешению генерального директора, — руководителю структурного подразделения. (например, при подготовке материалов для аттестации работника).

5.5.3. Защита персональных данных сотрудника на электронных носителях.

Все папки, содержащие персональные данные сотрудника, должны быть защищены паролем, который сообщается руководителю службы управления персоналом и руководителю службы информационных технологий

5.6. «Внешняя защита».

5.6.1. Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.

5.6.2. Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности компании, посетители, работники других организационных структур. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в отделе персонала.

5.6.3. Для обеспечения внешней защиты персональных данных сотрудников необходимо соблюдать ряд мер:

— порядок приема, учета и контроля деятельности посетителей;

— пропускной режим организации;

— учет и порядок выдачи удостоверений;

— технические средства охраны, сигнализации;

— порядок охраны территории, зданий, помещений, транспортных средств;

— требования к защите информации при интервьюировании и собеседованиях.

5.7. Все лица, связанные с получением, обработкой и защитой персональных данных, обязаны подписать обязательство о неразглашении персональных данных работников.

5.8. По возможности персональные данные обезличиваются.

5.9. Кроме мер защиты персональных данных, установленных законодательством, работодатели, работники и их представители могут вырабатывать совместные меры защиты персональных данных работников.

6. Права и обязанности работника

6.1. Закрепление прав работника, регламентирующих защиту его персональных данных, обеспечивает сохранность полной и точной информации о нем.

6.2. Работники и их представители должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

6.3. В целях защиты персональных данных, хранящихся у работодателя, работник имеет право:

— требовать исключения или исправления неверных или неполных персональных данных.

— на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные;

— персональные данные оценочного характера дополнить заявлением, выражающим его собственную точку зрения;

— определять своих представителей для защиты своих персональных данных;

— на сохранение и защиту своей личной и семейной тайны.

6.4. Работник обязан:

— передавать работодателю или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен Трудовым кодексом РФ.

— своевременно сообщать работодателю об изменении своих персональных данных

6.5. Работники ставят работодателя в известность об изменении фамилии, имени, отчества, даты рождения, что получает отражение в трудовой книжке на основании представленных документов. При необходимости изменяются данные об образовании, профессии, специальности, присвоении нового разряда и пр.

6.6. В целях защиты частной жизни, личной и семейной тайны работники не должны отказываться от своего права на обработку персональных данных только с их согласия, поскольку это может повлечь причинение морального, материального вреда.

7. Ответственность за разглашение конфиденциальной информации, связанной с персональными данными

7.1. Персональная ответственность — одно из главных требований к организации функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы.

7.2. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.

7.3. Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, несет персональную ответственность за данное разрешение.

7.4. Каждый сотрудник организации, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

7.5. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

7.5.1. За неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера работодатель вправе применять предусмотренные Трудовым Кодексом дисциплинарные взыскания.

7.5.2. Должностные лица, в обязанность которых входит ведение персональных данных сотрудника, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации — влечет наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.

7.5.3. В соответствии с Гражданским Кодексом лица, незаконными методами получившие информацию, составляющую служебную тайну, обязаны возместить причиненные убытки, причем такая же обязанность возлагается и на работников.

7.5.4. Уголовная ответственность за нарушение неприкосновенности частной жизни ( в том числе незаконное собирание или распространение сведений о частной жизни лица, составляющего его личную или семейную тайну, без его согласия), неправомерный доступ к охраняемой законом компьютерной информации, неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если эти деяния причинили вред правам и законным интересам граждан), совершенные лицом с использованием своего служебного положения наказывается штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью, либо арестом в соответствии с УК РФ.

7.6. Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в судебном порядке.

Составил:

менеджер по персоналу Е.Н.Побегайло

СОГЛАСОВАНО

Юрисконсульт

__________________С.Г.Дмитраш

Обработка персональных данных работника

В ходе трудовой деятельности на постоянной основе осуществляется обработка персональных данных работника. Требования к этой процедуре устанавливает Закон “О персональных данных”. Мероприятия по защите персональных данных работника устанавливает глава 14 Трудового кодекса РФ.

Что такое обработка персональных данных работника

По сути, обработка персональных данных начинается еще на стадии до заключения трудового договора. Ведь чтобы его заключить работодатель должен, как минимум, знать фамилию, имя, отчество соискателя, паспортные данные, стаж работы и т.п.

Обработка персональных данных согласно ст. 3 Закона о персональных данных – любые действия с данными. Это и сбор, запись, систематизация, хранение, уточнение, передача и т.п. Документы, которые содержат данные и включаются в термин “обработка персональных данных работника”, это и анкета соискателя, и паспорт, трудовая книжка, свидетельство о заключении брака, о рождении ребенка и т.п. Поэтому мы и рекомендуем согласие на обработку персональных данных получать даже от соискателя.

Требования к процедуре

Общие требования устанавливает ст. 86 Трудового кодекса РФ и ст. 5 Закона о персональных данных:

  • обработка персональных данных производится только с целью, связанной с трудовой деятельностью. Например, в целях трудоустройства, повышения квалификации, прохождении аттестации и т.п.
  • персональные данные работодатель получает только от работника. Если эти сведения можно получить только от третьих лиц, то получите письменное согласие работника.
  • работодатель обязан ознакомить работника с локальными актами, которые касаются работы с персональными данными. Это приказ об утверждении положения о персональных данных, о допуске к данным и т.п.
  • хранятся данные только до достижения целей обработки (действие трудового договора и требования по срокам хранения личных дел)
  • меры по защите персональных данных работодатель вырабатывает совместно с работниками

Огромное значение правильной обработки персональных данных является издание локальных актов работодателя. Образцы и примеры составления которых мы разместили на нашем сайте.

По общему правилу специальные и биометрические категории персональных данных работодатель не обрабатывает.

Порядок обработки данных работника

Работодатель организует обработку данных либо с использованием средств автоматизации, либо без использования таких средств.

В настоящее время действует Положение об особенностях обработки персональных данных без средств автоматизации. Постановление Правительства РФ № 687 от 15.09.2008 г. Такой порядок предполагает обработку данных при непосредственном участии человека.

Причем такие действия, как использование, уточнение, распространение, уничтожение. То есть даже если сотрудник кадров использует компьютер для хранения данных, то это все равно обработка без автоматизации. Важно, чтобы их хранение было обособлено от другой информации. Например, данных можно хранить на отдельных носителях. Причем если цели разные, то и носители должны быть разными. Как и место хранения этих носителей, которое должен организовать работодатель. Также он устанавливает перечень лиц, имеющих допуск к персональным данным.

Что касается обработки информации с использованием средств автоматизации, то это использование вычислительной техники. Здесь для использования пригодится Постановление Правительства РФ от 01.11.2012 № 1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных”.

Нарушение принципов и порядка обработки персональных данных работника

Что ждет работодателя, если он нарушит правила обработки персональных данных работника? Во-первых, это административная ответственность. Штрафы трудовой инспекции за нарушение трудового законодательства (ст. 5.27. КоАП РФ) – не ознакомили работников с локальными актами. Во-вторых, ст. 13.11 КоАП РФ – это как раз про обработку персональных данных.

Если какой-то сотрудник распространил сведения о частной жизни работника, которые стали ему известны при обработке персональных данных работника, то может настать уголовная ответственность (ч. 2 ст. 137 УК РФ).

About the author

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *