Горячая линия бесплатной юридической помощи:
Москва и область:
Москва И МО:
+7(499) 110-93-26 (бесплатно)
Санкт-Петербург и область:
СПб и Лен.область:
+7 (812) 317-74-92 (бесплатно)
Регионы (вся Россия):
8 (800) 550-95-86 (бесплатно)
Организация защиты персональных данных работников

Организация защиты персональных данных работников

Организация защиты персональных данных работников
СОДЕРЖАНИЕ
0

Организация защиты персональных данных работников компании

Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Точного перечня 152-ФЗ не содержит. 

Исходя из определения 152-ФЗ это, в частности:

  • ФИО;
  • Дата и место рождения;
  • Адрес (прописки и фактического проживания);
  • Образование;
  • Социальное, семейное и имущественное положение;
  • Профессия;
  • Доходы;
  • Прочая информация (например, сведения о здоровье).

Следите за тем, чтобы:

  • Сотрудники организации – например, отдела кадров – получали доступ только к тем данным, которые необходимы для выполнения их должностных обязанностей;
  • Данные использовались строго в соответствии с целями, указанными в «Положении»;
  • Каждый сотрудник организации подписал согласие на обработку персональных данных (при договорных отношениях оно не требуется, но остаётся актуальным для специальных категорий персональных данных, а также снимает многие вопросы у проверяющих).

Следуйте советам, указанным в этой статье, аккуратно оформляйте все документы, и проблем с проверками Роскомнадзора у вас не будет.

Эти документы – новшество ТК РФ. Если ранее за отсутствие таких локальных нормативных актов не наказывали, то ст.90ТК РФ установлено, что виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, лица несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность.

Поскольку ТК РФ говорит о документах, устанавливающих порядок обработки персональных данных во множественном числе, то таких документов должно быть как минимум два:

    Положение о защите персональных данных сотрудников (утверждается и вводится в действие приказом руководителя организации).

    Обязательство о неразглашении персональных данных сотрудников (подписывается теми, кто имеет доступ к таким данным: сотрудниками отдела кадров, бухгалтерии, службы охраны и др.).

Проверив наличие документов по защите персональных данных сотрудников компании, государственный инспектор по труду поинтересуется, как в организации собираются данные о сотрудниках (насколько законно). По общему правилу всю информацию о сотруднике можно узнать только у него самого. Если приходится обращаться в другие организации, даже для того, чтобы просто поинтересоваться, работал ли там человек, не говоря уже о получении о нем каких-то оценочных данных, необходимо получить письменное согласие сотрудника.

В связи с этим кадровики идут на хитрость. При поступлении на работу соискатель заполняет анкету, содержащую пункт следующего содержания: “Не возражаю против получения данных обо мне в…”, а затем сам вписывает те организации, в которые работодатель может обратиться за получением сведений о нем. Иногда в анкете указывается отдельной строчкой: “Не возражаю против проверки представленных данных”.

Будьте очень осторожны, если у вас спрашивают персональные сведения о сотруднике, который когда-то у вас работал. Уже имеются случаи, когда сотрудники подают в суд за разглашение их персональных данных. Ни в коем случае нельзя давать подобную информацию по телефону. Обязательно попросите заявление о передаче данных о сотруднике от самого сотрудника или запрос от работодателя с приложением письменного согласия сотрудника.

Организация защиты персональных данных работников

Если персональные данные о работающем требуют сотрудники милиции или других контролирующих организаций, попросите письменный запрос, а если они пришли к вам лично – служебное удостоверение и приказ, где указаны цели сбора подобной информации.

ТК РФ требует знакомить работников под расписку с документами организации, устанавливающими порядок обработки персональных данных сотрудников компании. Кто разрабатывает эти документы и как они должны называться?

С вступлением в силу ТК РФ перед работниками кадровых служб была поставлена задача защиты персональных данных сотрудников компании от неправомерного их использования или утраты (гл.14ТК РФ).

Порядок хранения и использования персональных данных сотрудников в организации устанавливается работодателем (ст.87ТК РФ).

Передача персональных данных сотрудников в пределах одной организации должна осуществляться в соответствии с локальным нормативным актом организации, с которым сотрудник компании должен быть ознакомлен под расписку (ст.88ТК РФ).

Локальный нормативный акт, связанный с проблемой сбора, обработки, передачи, хранения и защиты от несанкционированного доступа персональных данных сотрудника, разрабатывается кадровой службой организации в виде положения, инструкции, правил или в какой-либо другой форме.

Круг лиц, участвующих в согласовании, устанавливается по усмотрению организации.

Как и все документы этой группы, положение (инструкция, правила) должно быть подписано разработчиком (руководителем кадровой службы) и утверждено работодателем. Работодатель может утвердить документ лично, расписавшись в грифе утверждения, или издать приказ, об утверждении данного документа и вводе его в действие.

Наряду с названным локальным нормативным актом следует разработать форму обязательства о неразглашении персональных данных сотрудника компании, т.к. лица, получающие персональные данные, обязаны соблюдать режим секретности (конфиденциальности), о чем прямо сказано в ст.88ТК РФ.

I. Общие положения.

Нормативной базой, регламентирующей положения настоящей Инструкции, является ст.24Конституции РФ, гл.14Трудового кодекса РФ, ст.137Уголовного кодекса РФ.

II. К персональным данным сотрудника компании, необходимым работодателю в связи с трудовыми отношениями, относятся:

    сведения об образовании;

    сведения о предыдущем месте работы, опыте работы и занимаемой должности;

    сведения о составе семьи и наличии иждивенцев;

    сведения о состоянии здоровья и наличии заболеваний (когда это необходимо в случаях, установленных законом);

    сведения об отношении к воинской обязанности.

III. Порядок обработки персональных данных сотрудника компании.

1. При обработке персональных данных сотрудника компании, т.е. их получении, хранении, комбинировании, передаче или любом другом использовании, сотрудники отдела кадров обязаны соблюдать следующие общие требования:

    1.1. Обрабатывать персональные данные сотрудника компании исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности сотрудников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

    1.2. Все персональные данные сотрудника компании следует получать у него самого. Если персональные данные сотрудника возможно получить только у третьей стороны, то сотрудник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

    1.3. Сотрудник отдела кадров не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, непосредственно связанных с вопросами трудовых отношений с письменного согласия работника, а также случаев предусмотренных федеральным законом.

    1.4. Персональную ответственность за соблюдение всеми сотрудниками отдела кадров настоящей Инструкции, а также контроль за ее соблюдением возложен на Начальника отдела кадров (Ф.И.О.).

    1.5. Все сотрудники отдела кадров должны быть ознакомлены с настоящей Инструкцией под расписку.

IV. Хранение персональных данных сотрудников компании.

Хранение документов, содержащих персональные данные работающих, осуществляется в несгораемых шкафах (сейфах), ключи от которых находятся у Начальника отдела кадров, а в его отсутствие у лица его замещающего. Другие сотрудники отдела кадров могут использовать данные документы только с разрешения вышеназванных лиц.

Организация защиты персональных данных работников

V. Передача персональных данных сотрудников компании.

1. При передаче персональных данных работающего сотрудник отдела кадров должен соблюдать следующие требования:

    1.1. Не сообщать персональные данные сотрудника третьей стороне без письменного согласия сотрудника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работающего, а также в случаях, установленных федеральным законом, а также не сообщать соответствующие сведения в коммерческих целях без письменного согласия работника.

    1.2. При передаче персональных данных работников предупредить лиц, получающих персональные данные, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены.

    1.3. Сотруднику отдела кадров разрешается доступ только к тем персональным данным сотрудников, которые необходимы для выполнения им его должностных обязанностей.

    1.4. Сотрудник отдела кадров не имеет права запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

VI. Ответственность.

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных сотрудника компании, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

В соответствие с действующими нормами и правилами по защите персональных данных работников, указанных в главе 14 Трудового Кодекса Российской Федерации «Защита персональных данных работника», а также в Федеральном законе от 27.07.2006 г. № 152-ФЗ «О персональных данных», мероприятия  (операции) связанные с персональными данными работников (получение, обработка, передача, блокирование, хранение, ликвидация), требуют особых мер предосторожности и конкретных правил выполнения.

К персональным данным работников относится любая информация о работнике, в том числе ФИО, дата рождения, адрес регистрации или проживания, семейное положение, образование, уровень доходов, наличие судимостей, стаж работы, занимаемая должность и т.д.

  1. Разработать положение о защите персональных данных работников Компании, в котором необходимо подробно прописать порядок осуществления операций с персональными данными, порядок организации (ограничения) доступа к персональным данным работников, обязанности и ответственность сотрудников, имеющих доступ к персональным данным.

  2. Утвердить и ввести в действие положение о защите персональных данных работников Компании приказом по организации. Также приказом определить перечень должностей, допущенных к работе с персональными данными работников с определением полноты доступа к ним и ограничений.

  3. Ознакомить всех работников организации с положением о защите персональных данных работников Компании в специальном журнале регистрации ознакомления с Положением или листе ознакомления с Положением под роспись.

  4. Собрать обязательства о неразглашении персональных данных со всех работников, допущенных к персональным данным физических лиц.

Правила обработки персональных данных

В ту минуту, когда первый принятый в штат сотрудник передает кадровику копии своих документов, компания автоматически приобретает статус оператора персональных данных со всеми вытекающими последствиями. В процессе функционирования она будет производить с ними массу действий (сбор, упорядочивание, хранение, передача, уничтожение), и все эти манипуляции регулируются ст. 86 ТК РФ:

  • Согласие. Каждый служащий подписывает согласие на обработку персональных данных. Лишь после этого оператор может приступать к работе с ними.
  • Ознакомление. Человека нужно поставить в известность, кто и по каким правилам обрабатывает его личную информацию. Под роспись всех сотрудников ознакомляют с Положением о защите ПДн.
  • Цели обработки строго определены. Это сугубо профессиональные задачи, а также вопросы личной безопасности и соблюдения законодательства.
  • Разумный объем. Не стоит собирать всю подряд информацию о человеке, если она не требуется для его трудовой деятельности.
  • Личная передача. Недопустимо собирать сведения через третьих лиц. Это некорректно и противозаконно.
  • Частная жизнь. Наниматель не вправе требовать информацию о личных взглядах, предпочтениях человека, его религиозных или политических убеждениях.

  • За счет работодателя. Именно компания оплачивает все расходы на защиту ПДн, это ее обязанность.

Всё реже можно встретить компании, хранящие документацию только в бумажном виде. Большинство организаций используют ИСПДн (информационные системы) – базы данных, в которых удобно не только хранить, но и структурировать информацию, вести учет, делать нужные выборки. Однако, для таких систем требуется особая защита, оговоренная в Пост. Правительства РФ от 01.11.2012 №1119.

В вопросе защиты персональных данных в 2018 решающее значение имеет письменное согласие сотрудника. Этот документ разрешает оператору вести обработку, а субъекту гарантирует конфиденциальность его сведений.

Ст. 6,10,11 ФЗ №152 предусматривают обстоятельства, в которых можно обойтись без одобрения человека. Это передача сведений в:

  • ПФРФ (ст. 9 Закона от 1 апреля 1996 г. № 27-ФЗ);
  • ФНС;
  • ФОМС, ФСС;
  • военкоматы;
  • суды, прокуратуру и т. п.

►5 документов, с которыми избежите новых штрафов за нарушения в персданных

Письмо Роскомнадзора от 14.12.2012 г. определяет еще ряд случаев, например, при обработке:

  • ПДн родных служащего, зафиксированных в его досье (при праве на алименты, на соцвыплаты и допуске к государственной тайне);
  • медицинской информации, связанной с возможностью выполнения трудовой функции;
  • ПДн, требующихся для пропуска;
  • размещении ПДн персонала в интернете.

I. Общие положения.

Что нужно сделать, чтобы не было проблем с Роскомнадзором?

В первую очередь, помимо 152-ФЗ, это положения гл. 14 ТК РФ . 

Согласно статье 87 Трудового Кодекса, в организации должны быть локальные нормативные акты, регулирующие порядок хранения и использования персональных данных работников. Это Положение об обработке и защите персональных данных» – документ, в котором указаны цели и законные основания работы с персональными данными, ваши права и обязанности, права и обязанности сотрудников, предоставляющих данные.

Также сотрудники, так или иначе имеющие доступ к персональным данным работников организации должны подписать обязательство о неразглашении персональных данных. 

Организация защиты персональных данных работников

Также нужно назначить администратора безопасности персональных данных (сотрудника, отвечающего за техническую безопасность) и ответственного за организацию обработки данных (организационная нагрузка). Назначаются они приказом руководителя организации, особое внимание уделяйте точности формулировок – сверяйтесь с законодательством.

ВАЖНО: В каждом кабинете, где ведётся работа с персональными данными на бумажных носителях, должно быть чётко установленное место хранения этих данных. Это может быть сейф, стеллаж, шкаф. Также должен быть ответственный за хранение персональных данных именно в этом кабинете. Издаётся соответствующий приказ руководителя: «В кабинете №1 ответственным за хранение персональных данных назначить ФИО, место хранения утвердить стеллаж инв. Номер 00000».

3. Журналы

При проверке сотрудники Роскомнадзора – для того, чтобы убедиться, что деятельность по защите персональных данных ведётся на постоянной основе – требуют:

  • Журнал учёта мероприятий по контролю над обеспечением защиты персональных данных;
  • Журнал инструктажа по информационной безопасности (за технической стороной следит ФСТЭК России, Роскомнадзор больше будет интересоваться документами     и организационными вопросами);
  • Журнал учёта проверок юридических лиц контролирующими органами;
  • Журнал учёта обращений граждан-субъектов персональных данных о выполнении их законных прав.

Если не заключено дополнительное соглашение, персональные данные работника можно получать только у него самого. Например, нельзя даже позвонить в организацию, где сотрудник работал раньше, чтобы уточнить мнение о нём, без письменного согласия самого сотрудника.

Поэтому мы рекомендуем при приёме на работу предлагать сотруднику заполнить анкету с пунктом «Не возражаю против получения данных обо мне в…» и список организаций, в которые можно обратиться. Не лишним будет также указать «Не возражаю против проверки предоставленных данных».

ВАЖНО: Если у вас запрашивают персональные сведения о ваших работниках или бывших работниках, ни в коем случае не предоставляйте их без ознакомления с письменным согласием субъекта! Официальным органам – например, сотрудникам полиции – данные предоставляются по письменному запросу или после предъявления служебного удостоверения сотрудника и приказа, в котором указаны цели сбора сведений.

Организация защиты персональных данных работников компании

Шаг 1. Разработать и утвердить Положение о защите персональных данных.

Шаг 2. Оформить лист ознакомления с Положением, в котором каждый служащий расписывается после знакомства с документом с проставлением даты.

Шаг 3. Разработать и утвердить Инструкцию для ответственного (можно оформить приложением к Положению).

Организация защиты персональных данных работников

Уведомлять Роскомнадзор о начале сбора ПДн сотрудников не нужно, поскольку он ведется в рамках трудовых отношений.

Шаг 4. Издать приказ об организации обработки ПДн на предприятии.

Шаг 5. Составить и утвердить Перечень персональных данных, обрабатываемых в организации.

1. Организационные:

  • положение о защите ПДн;
  • должностные инструкции;
  • приказы (о назначении ответственных и имеющих доступ и т.д.)

2. Технологические (инструкции).

3. Методические (правила работы с ПДн).

I. Общие положения.

Инструкция по правилам обработки, хранения и передачи персональных данных работника (один из вариантов).

I. Общие положения.

ПДн собраны в досье служащего, а срок его хранения определен в 75 лет. Исключение составляют данные руководителей, работников, имеющих звания (премии, награды, ученые степени) – их следует хранить постоянно.

Предлагаем ознакомиться:  Как по номеру квартиры и дома узнать
Комментировать
0
Комментариев нет, будьте первым кто его оставит

Это интересно
Adblock detector