Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Организация защиты персональных данных работников». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.
Соблюдение требований Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных» 1 обеспечивается комплексом организационных и технологических мероприятий. В реализации организационных мер активную роль играют службы делопроизводства и кадров. В связи со вступлением в силу с 1 марта 2021 года изменений в Закон № 152‑ФЗ служба делопроизводства может стать активным участником внутренних процедур аудита системы работы с персональными данными в организации.
Какие есть требования к согласию на обработку ПД
Согласие на обработку персональных данных должно быть предметным и однозначным, в частности, в отношении:
- цели обработки персональных данных;
- перечня персональных данных, на обработку которых даёт согласие их субъект;
- наименования или ФИО и адреса лица, осуществляющих обработку персональных данных по поручению оператора;
- перечня действий с персональными данными, в отношении которых даётся согласие, и описания способов обработки персональных данных, которые использует оператор;
- срока, в течение которого действует согласие субъекта персональных данных и способу его отзыва.
Если субъект ПД отказывается предоставить обязательные персональные данные, ему нужно разъяснить последствия такого отказа (ч. 2 ст. 18 Закона № 152-ФЗ)!
Для каждой цели обработки персональных данных нужно отдельно указывать:
- категории и перечень персональных данных
- категории субъектов, персональные данные которых обрабатываются;
- способы и сроки хранения персональных данных;
- порядок уничтожения персональных данных при достижении целей их обработки (ст. ст. 18.1, 21 Закона № 152-ФЗ).
Хранение и использование персональных данных
В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем. Работодатель должен издать соответствующий локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты. С соответствующим актом, а также со своими правами в сфере защиты персональных данных работники должны быть ознакомлены под подпись.
Работодатель утверждает перечень сотрудников, которые будут обрабатывать персональные данные и которые имеют к ним доступ. Чаще всего это входит в обязанности бухгалтера и кадрового специалиста. Таким сотрудникам будут доступны только те данные, которые необходимы для выполнения конкретных функций, то есть по конкретным направлениям их деятельности (ст. 88 ТК РФ).
Порядок допуска к персональным данным сотрудников закон не устанавливает. Поэтому работодатель вправе определить его самостоятельно и прописать в локальном акте организации, например, в Регламенте допуска работников к обработке персональных данных. В этом документе также необходимо указать конкретный перечень сотрудников, которые имеют доступ к персональным данным других сотрудников.
Также издайте приказ, в котором пропишите должности и фамилии сотрудников, а также закрепленные за ними объекты обработки персональных данных.
Риски при нарушении требований к обработке персональных данных работников организации
В соответствии со ст. 13.14 КоАП РФ разглашение подобной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:
- — на граждан — от 500 до 1 000 руб.;
- — на должностных лиц — от 4 000 до 5 000 руб.
Следовательно, если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных
За нарушение законодательства в области персональных данных работодатель может быть привлечен к административной ответственности по ст. 13.11 КоАП РФ.
В частности, обработка персональных данных без письменного согласия работника (когда оно необходимо), если эти действия не содержат уголовно наказуемых деяний, влечет наложение штрафа (ч. 2 ст. 13.11 КоАП РФ):
- — на граждан — от 6 до 10 тыс. руб., повторное нарушение — от 10 до 20 тыс. руб.;
- — должностных лиц — от 20 до 40 тыс. руб., повторное нарушение — от 40 до 100 тыс. руб.;
- — юридических лиц — от 30 до 150 тыс. руб., повторное нарушение — от 300 до 500 тыс. руб.
Защита персональной информации, полученной из анкет
Зачастую работодатели используют анкеты как инструмент первичного отбора кандидатов. В этой ситуации также надо помнить про защиту персональной информации соискателя. Необходимо обратить внимание на такие моменты:
- любая такая анкета должна включать сведения о сроке ее рассмотрения;
- нужно четко указать цель обработки персональной информации, которая получена через анкетирование. Цель должна обозначаться через указание конкретных действий и сроков их осуществления;
- в анкете должен быть пункт, в котором соискатель указывает, что он согласен на обработку персональной информации;
- у анкеты не должно быть технической возможности объединить поля для внесений информации, цели обработки которой изначально не совместимы.
Оператор по обработке персональных данных
Согласно Закону N 152-ФЗ лицо (юридическое или физическое), которое организует и (или) осуществляет обработку персональных данных, определяет их состав, цели обработки, действия, совершаемые с персональными данными, называют оператором (п. 2 ст. 3 Закона N 152-ФЗ). В нашем случае это работодатель.
Обработка персональных данных — любое совершаемое с ними действие. Операции по обработке персональных данных:
- сбор;
- запись;
- систематизация;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передача (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление;
- уничтожение персональных данных.
Если в компании есть профсоюз, с ним нужно согласовать Положение. Для этого проект положения направляют в выборный орган профсоюза (ст. 372 ТК РФ). Тот должен выразить свое мнение (в письменной форме) не позднее пяти рабочих дней со дня получения проекта. Если профсоюз не согласен с проектом или имеет предложения по его совершенствованию, у администрации есть два выхода. Первый — согласиться. Второй — в течение трех дней после получения мотивированного мнения провести дополнительные консультации с профсоюзом в целях достижения взаимоприемлемого решения. Если и это не поможет, следует оформить протокол разногласий. После этого администрация имеет право принять Положение без учета требований профсоюза. Однако тот сможет обжаловать Положение или начать процедуру коллективного трудового спора в порядке, предусмотренном гл. 61 Трудового кодекса.
- Законы в сфере сбора и обработки ПД ужесточились, контроль усилился, а штрафы выросли;
- Почти все юридические лица и ИП, которые собирают информацию о пользователе на сайте, считаются операторами персональных данных и попадают под действие 152-ФЗ.
- Закон чётко не определяет, что такое персональные данные. К ним относится любая информация о пользователе: имя, фамилия, телефон, ссылка на профиль в социальных сетях и другое.
Чтобы соблюдать 152-ФЗ, как минимум, надо:
- зарегистрироваться как оператор ПД,
- составить политику обработки ПД и согласие на обработку персональных данных,
- повесить на сайт уведомление о сборе метаданных;
Основные права и обязанности оператора персональных данных
В ФЗ-152 нет четкого упоминания о том, на что имеет право предприятие, муниципальный, государственный орган или физическое лицо, осуществляющее операции с ПДн. Прописаны только права субъектов на доступ к информации, принятие решения при автоматизированной обработке, обжалование бездействия либо действий организации. Определение того, что конкретно могут делать операторы, представлено в согласии на обработку ПДн, которое подписывает гражданин, и соответствующем уведомлении в РКН. Речь может идти о:
- сборе и накоплении;
- анализе и систематизации;
- уточнении (коррекции либо дополнении);
- извлечении и использовании;
- передаче третьим лицам;
- блокировке и обезличивании;
- уничтожении и удалении.
Административная ответственность
Меры административной ответственности (в основном предусмотрены штрафы, дисквалификация в данном случае не применяется) для предприятия и его должностных лиц за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников приведены в табл. 3.
Таблица 3. Ответственность за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников
Нарушение | Ответственность | Норма законодательства |
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) | Для должностных лиц: от 500 до 1000 руб.; для юридических лиц: от 5000 до 10 000 руб. | Статья 13.11 КоАП РФ |
Разглашение информации, доступ к которой ограничен (персональных данных), лицом, получившим к ней доступ в связи с исполнением служебных или профессиональных обязанностей | Для должностных лиц: от 4000 до 5000 руб. | Статья 13.14 КоАП РФ |
Когда работодатель вправе собирать персональные данные
В соответствии с 152-ФЗ, если субъект — получатель выгоды и сведения о нем требуются для исполнения соглашения (договора), согласия субъекта не требуется. Под этот пункт попадают трудовые договора. Но если наймодатель запрашивает информацию, которая не влияет на исполнение договора, например контакты, то для ее сбора согласие работника необходимо.
Трудовой кодекс обязывает работодателей предоставлять сотрудникам политику персональных данных. Сотрудники вправе понимать, что за данные у них берут, для чего, кто и как их будет обрабатывать. Каждый новый сотрудник должен поставить подпись в документе — Положении о хранении и использовании персональных данных.
В положении указывают:
-
личные сведения, с которыми работают официальные лица;
-
категории субъектов данных;
-
способы и сроки обработки данных;
-
порядок допуска к данным;
-
процедуру передачи данных внутри и вне компании;
-
реестр людей, кому внутри компании доступны персональные данные;
-
список мест, где хранятся личные сведения;
-
порядок уничтожения данных.
За обработку данных отвечает назначенный сотрудник. Он должен подчиняться руководителю компании, иметь возможность давать указания руководителям подразделений в рамках защиты конфиденциальной личной информации.
Когда точно нужно согласие работника:
-
если работник предоставляет свои личные сведения через третью сторону;
-
если нужно запросить информацию о работнике в другой организации.
В ряде случаев работодателю приходится запрашивать у сотрудников сведения о супругах и детях. Это происходит, когда в компании оформляют документы, касающиеся налоговых вычетов и пособий для женщин с маленькими детьми, или вносят изменения в документы сотрудника, потому что он сменил фамилию или имя.
В таких ситуациях предоставлять согласие должны и совершеннолетние родственники сотрудников. Чтобы наймодатель мог работать с данными несовершеннолетних детей, согласие за них дают родители — сотрудники компании.
Для передачи сведений третьей стороне у работника также запрашивают согласие. Но оно не нужно, если личную информацию нужно представить, чтобы предотвратить опасность жизни и самочувствию, а также когда данные передаются:
-
фондам — пенсионному, социального страхования;
-
банкам, с которыми ведется зарплатный проект;
-
третьему лицу, если у работодателя есть доверенность на представление интересов сотрудника;
-
при утверждении коллективного договора — в нем должна быть форма согласия на обработку персональных данных.
Порядок оформления доступа к персональным данным лица, осуществляющего обработку персональных данных
Во время проверок контролирующие органы уделяют внимание документам, которые регулируют политику компании по обработке ПДн, достаточности мер защиты от неправомерного использования информации, правилам доступа к конфиденциальной информации.
Поэтому компания должна правильно оформить лицо, ответственное за обработку данных:
- Издать приказ о назначении ответственного лица и ознакомить с приказом сотрудника под подпись.
- Внести соответствующие дополнения в должностную инструкцию и (или) трудовой договор.
- Если до назначения сотрудника за безопасность ПДн отвечали другие работники, издать приказ и снять с них ответственность за организацию обработки информации. При этом обязанность работников не разглашать данные необходимо сохранить.
- Составить перечень работников, которые допущены к обработке данных и утвердить перечень приказом.
- Со всеми приказами работники должны быть ознакомлены под подпись.
Т.В. Кузнецова, проф. РГГУ
- Законодательно-правовые акты, регламентирующие работу с персональными данными.
- Приказ о назначении ответственного за работу с персональными данными.
- Список лиц, допущенных к работе с персональными данными.
- Положение о работе с персональными данными.
Одна из первостепенных задач сегодняшнего дня в каждой организации – регламентация работы с персональными данными.
В Федеральном законе от 27.07.2006 «О персональных данных» (в ред. от 23.12.2010) в ст. 3 главы 6 «Заключительные положения» указано: «Информационные системы персональных данных, созданные до 1 января 2010 г., должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 июля 2011 года». Эти требования на основании ст. 1 Закона распространяются на всех юридических лиц, осуществляющих обработку персональных данных, как с использованием средств автоматизации, так и без использования таких средств. Служба кадров организации любой организационно-правовой формы обязана привести обработку персональных данных своих работников в соответствии с действующими нормативно-правовыми актами.
К сожалению, такая работа проведена сегодня еще не во всех организациях. Дата 1 июля 2011 г. и есть изменение, внесенное в Закон 23.12.2010. Прежняя дата – 01.01.2011 − оказалась невыполнима, и срок продлен еще на полгода.
В любой организации собирают, хранят и каким-либо образом используют личную информацию своих сотрудников, в учебных заведениях еще и учащихся, в поликлиниках и больницах – пациентов, в нотариальных конторах − клиентов и т. д.
Персональные данные относятся к конфиденциальной информации. Именно с них начинается перечень сведений конфиденциального характера, утвержденный Указом Президента РФ от 06.03.1997 № 188: «Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях».
Работе с персональными данными отведена глава 14 Трудового кодекса Российской Федерации – «Защита персональных данных работника», в которой дано определение персональных данных работника как «…информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника» (ст. 85). Обратите внимание в определении на слова «необходимая работодателю», они означают, что информация о работнике может требоваться в различном объеме в зависимости от специфики организации.
В ст. 86 Трудового кодекса РФ изложены общие требования к обработке персональных данных. Обработка данных может проводиться только с согласия работников. 27 июля 2006 г. подписан отдельный Закон «О персональных данных», и в 2007−2008 гг. выходят постановления Правительства РФ, детализирующие положения Закона:
- от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
- от 08.07.2008 № 512 «Об утверждении Требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
- от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Следовательно, выполнение требований Закона и постановлений Правительства обязательно как для организаций, применяющих информационные системы при обработке персональных данных, так и организаций, ведущих пока еще работу с документами по традиционным технологиям на бумажных носителях.
Для организации работы с документами, содержащими персональные данные, необходимо провести ряд мероприятий, закрепив их в документах.
Во-первых, следует приказом руководителя назначить лицо или подразделение, если организация крупная и приходится обрабатывать большое количество данных, ответственное за работу с персональными данными и обеспечение их защиты, и наделить их соответствующими полномочиями.
Во-вторых, надо уточнить перечень персональных данных, необходимых для данной организации. Трудоемкость защиты персональных данных напрямую зависит от степени важности обработки сведений. Например, информация о политических и религиозных взглядах, личной жизни человека, здоровье, национальности законом отнесена к категориям информации, которые подлежат более надежным методам и средствам защиты, чем данные, идентифицирующие личность. Следовательно, надо уточнить, какие данные не являются необходимыми для организации, и максимально исключить их из собираемых и, следовательно, обрабатываемых.
В-третьих − подготовить список лиц, допущенных к работе с персональными данными. Список может иметь табличную форму.
№ | Должность | Фамилия Имя Отчество | Основания для доступа |
1 | 2 | 3 | 4 |
|
|
|
|
|
|
|
|
|
|
|
|
Оператор по обработке персональных данных
Согласно Закону N 152-ФЗ лицо (юридическое или физическое), которое организует и (или) осуществляет обработку персональных данных, определяет их состав, цели обработки, действия, совершаемые с персональными данными, называют оператором (п. 2 ст. 3 Закона N 152-ФЗ). В нашем случае это работодатель.
Обработка персональных данных — любое совершаемое с ними действие. Операции по обработке персональных данных:
- сбор;
- запись;
- систематизация;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передача (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление;
- уничтожение персональных данных.
Что включают персональные данные работника
Персональные данные — это любая информация, относящаяся к прямо или косвенно определенному физическому лицу (субъекту персональных данных). Как правило, эти данные позволяют идентифицировать конкретного человека.
В рамках трудовых отношений работодатель может запрашивать только те персональные данные, которые нужны для выполнения трудовой функции. К ним относятся ФИО, сведения о предыдущей работе, документы, которые необходимы для устройства на работу (паспорт, трудовая книжка и т.д.), сведения об образовании. Такие сведения, как вероисповедание, работодатель запрашивать не имеет права, так как они не требуются для выполнения трудовой функции.