Персональные данные в трудовых отношениях. Как организовать обработку и защиту информации
Трудовой кодекс РФ. Глава 14. Защита персональных данных работника
Персональные данные работника — информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.
Обработка персональных данных работника — получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.
Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты
В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:
1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, настоящим Кодексом и иными федеральными законами;
3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;
4) работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни.
В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;
5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных настоящим Кодексом или иными федеральными законами;
(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)
6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном настоящим Кодексом и иными федеральными законами;
(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)
8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;
(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)
9) работники не должны отказываться от своих прав на сохранение и защиту тайны;10) работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.
Статья 87. Хранение и использование персональных данных работников
Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований настоящего Кодекса и иных федеральных законов.
(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)
Статья 88. Передача персональных данных работника
При передаче персональных данных работника работодатель должен соблюдать следующие требования:
не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами;
(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)
не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.
Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности).
Данное положение не распространяется на обмен персональными данными работников в порядке, установленном настоящим Кодексом и иными федеральными законами;
(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)
осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;
(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)
разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
передавать персональные данные работника представителям работников в порядке, установленном настоящим Кодексом и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)
Статья 89. Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя
В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на:
полную информацию об их персональных данных и обработке этих данных;
свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
определение своих представителей для защиты своих персональных данных;
доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Кодекса или иного федерального закона.
При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия.
Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)
требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.
Статья 90. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника
Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном настоящим Кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)
Источник: https://www.SuperJob.ru/trudovoj-kodeks/14-zaschita-personalnyh-dannyh-rabotnika.html
Защита персональных данных работников
Статьей 86 Трудового кодекса РФ предусмотрены основные обязанности работодателя при обработке персональных данных работника и гарантии их защиты.
Подробный порядок организации работы с персональными данными содержатся в Федеральном законе «О персональных данных» № 152-ФЗ от 27.07.2006.
Обработка персональных данных работника может осуществляться исключительно в целях:
- Обеспечения соблюдения законов и иных нормативных правовых актов;
- Содействия работникам в трудоустройстве, получении образования и продвижении по службе;
- Обеспечения личной безопасности работников;
- Контроля количества и качества выполняемой работы;
- Обеспечения сохранности имущества.
Пункт 10 статьи 86 ТК РФ предусматривает, что работодатель вправе издавать локальные нормативные акты о защите персональных данных работников и, в частности, предусматривать меры защиты такой информации в коллективном договоре.
Пункт 7 статьи 86 ТК РФ предусматривает также, что защита персональных данных от неправомерного использования или утраты должна обеспечиваться работодателем за счет его средств.
Условия защиты персональных данных работника
Все персональные данные работника по общему правилу запрашиваются у него лично.
Письменное согласие работника на обработку персональных данных обязательно в большинстве случаев, если его персональные данные возможно получить только у третьей стороны.
Работник, кроме того, должен быть извещен о целях, предполагаемых источниках и способах получения персональных данных, а также о характере получаемых персональных данных и последствиях отказа работника дать письменное согласие на получение персональных данных.
Персональные данные работника о его политических, религиозных и иных убеждениях, его членстве в общественных объединениях или его профсоюзной деятельности, а также о его частной жизни неприкосновенны и не подлежат обработке работодателем.
персональных данных работника
Персональные данные работника содержат три группы сведений:
- Информация, получаемая работодателем из разных источников, но только с волеизъявления самого работника.
- Информация, получаемая работодателем от самого работника в обязательном порядке независимо от желания последнего. К такой информации относятся сведения, содержащиеся в документах, которые работник предоставляет при заключении трудового договора согласно ст. 65 ТК:
- Паспорт или иной документ, удостоверяющий личность;
- Трудовую книжку;
- Страховое свидетельство государственного пенсионного страхования;
- Документы воинского учета;
- Документ об образовании и (или) о квалификации или наличии специальных знаний;
- Справка о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования.
- Информация, формируемая самим работодателем.
Это сведения о работнике, которые работодатель накапливает в течение всей трудовой деятельности лица, например:
Способы обработки персональных данных
Сбор и обработка персональных данных, в соответствии с законодательством, осуществляются двумя способами: автоматизированным и неавтоматизированным.
Под автоматизированной обработкой персональных данных понимается их обработка при помощи средств вычислительной техники. Средствами вычислительной техники могут быть электронные вычислительные машины, комплексы и сети, вспомогательные и периферийные устройства, в том числе и установленное программное обеспечение.
В соответствии с пунктом первым Положения «Об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденного Постановлением Правительства РФ № 687, неавтоматизированной обработкой являются любые действия с персональными данными, при условии, что использование, уточнение, распространение и уничтожение персональных данных осуществляются при непосредственном участии человека. Причем обработку нельзя признать автоматизированной только потому, что персональные данные содержатся в информационной системе или извлечены из нее.
Особенности автоматизированной защиты персональных данных
Автоматизированная защита персональных данных представляет собой в первую очередь внедрение у работодателя специальной системы защиты конфиденциальной информации.
Создание системы защиты персональных данных — это комбинация целого ряда организационно-распорядительной документации и технических средств защиты.
Таким образом, осуществлять данные мероприятия могут только организации имеющие лицензию на деятельность по технической защите конфиденциальной информации, полученную в соответствии с Постановлением Правительства РФ от 03.02.2012 № 79.
Особенности неавтоматизированной обработки персональных данных
Для этого способа работы с конфиденциальной информацией издано отдельное Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687.
К анкетным данным относятся:
- Фамилия, имя, отчество;
- Дата и место рождения;
- Паспортные данные;
- Сведения об образовании, имеющихся навыках, повышении квалификации, наличии ученых степеней и званий, ученых трудов;
- Сведения о предыдущей трудовой деятельности;
- Информация о получаемом вознаграждении за труд. В случае, если сбор персональных данных соискателей осуществляется посредством типовой формы анкеты соискателя, то она должна соответствовать требованиям п. 7 Положения об особенностях обработки персональных данных.
- Типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать:
- Сведения о цели обработки персональных данных, осуществляемой без Использования средств автоматизации;
- Имя (наименование) и адрес работодателя;
- Фамилию, имя, отчество и адрес субъекта персональных данных;
- Источник получения персональных данных;
- Сроки обработки персональных данных;
- Перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
- Типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, — при необходимости получения письменного согласия на обработку персональных данных;
- Типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
- Типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
Кроме того, анкета соискателя должна содержать информацию о сроке ее рассмотрения и принятия решения о приеме либо отказе в приеме на работу.
В случае отказа в приеме на работу сведения, предоставленные соискателем, должны быть уничтожены в течение 30 дней.
Хранение персональных данных работников
Статья 87 ТК РФ предусматривает, что хранение персональных данных работника осуществляется в соответствии с порядком, который определяется работодателем.
Документы кадрового учета, которые содержат персональные данные:
- Трудовая книжка;
- Приказы о приеме работника на работу, переводе на другую работу, предоставлении отпуска;
- Личная карточка работника;
- Другие документы в соответствии с перечнем документации по учету труда и его оплаты, сформированном работодателем на основании Постановления Госкомстата России от 05.01.2004 № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты».
Приведенные документы с информацией о работниках, как правило, хранятся в кадровой службе организации.
на рассылку и получай первым самую свежую и актуальную информацию от Факультета Медицинского Права. Отправляя заявку, вы соглашаетесь с условиями обработки и использования персональных данных.
Срок хранения персональных данных работника
В соответствии с ч. 7 ст.
5 Федерального закона «О персональных данных» хранение персональных данных, получаемых в связи с их обработкой с использованием средств автоматизации или без использования таких средств, должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
Работодателю следует помнить о регламентных сроках хранения некоторой документации. Например, личное дело работника должно храниться 75 лет (Приказ Минкультуры РФ от 25.08.
2010 N 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения»).
Передача персональных данных работника
Статья 88 ТК РФ устанавливает требования к работодателям, которые они должны соблюдать при передаче персональных данных работника.
Прежде всего, работодатель при передаче персональных данных работника не должен сообщать эти данные третьей стороне без письменного согласия работника (за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, и в других случаях, установленных федеральным законом), а также не должен сообщать их в коммерческих целях без согласия работника.
Обработка персональных данных медицинских работников
Одним из примеров ситуации, когда получение работодателем согласия на обработку персональных данных не требуется, служит особый режим обработки персональных данных медицинских работников
Согласно п. 7 ч. 1 ст. 79 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» медицинская организация обязана информировать граждан в доступной форме, в том числе с использованием сети Интернет, об осуществляемой медицинской деятельности и о медицинских работниках, об уровне их образования и об их квалификации.
Источник: https://www.kormed.ru/baza-znaniy/medicinskie-kadry/prava-i-obyazannosti-rabotodatelya/zashchita-personalnykh-dannykh-rabotnikov/
Каковы цели обработки персональных данных в организации
Все организации собирают, хранят и используют сведения о своих сотрудниках. Информация личного характера сейчас имеет высокую ценность, а при попадании в руки мошенников она становится средством для совершения преступлений. В этой статье мы расскажем, как и с какой целью компании обрабатывают персональные данные и должны ли они получать на это согласие работников.
Что такое обработка персональных данных
Понятие «обработка персональных данных» включает любые действия, совершаемые оператором с индивидуальной информацией. Среди них:
- сбор;
- уточнение;
- систематизация;
- использование;
- удаление;
- хранение.
Все организации и предприятия являются операторами персональных данных, поскольку обрабатывают их. В ст. 22 закона № 152-ФЗ дается правовое основание обработки персональных данных. Исходя из текста статьи, работодатель вправе совершать действия с личной информацией работников без уведомления об этом намерении органов Роскомнадзора.
Раньше к персональным данным относились только ФИО, место рождения, адрес регистрации и паспортные данные. Сейчас это любые сведения о человеке, включая его семейное положение, образование, уровень доходов.
Работодатель не вправе обрабатывать данные о политических взглядах, вероисповедании и частной жизни работника. Подробнее о том, что относится к персональным данным — читайте в этой статье https://otdelkadrov.
online/5841-ponyatie-vidy-personalnyh-dannyh
Для совершения действий с личной информацией применяются несколько способов. Автоматизированная обработка персональных данных — это обработка на компьютере. Неавтоматизированный способ предполагает использование бумажных носителей. Сейчас в большинстве случаев применяется смешанная обработка, которая сочетает в себе элементы автоматизированной и неавтоматизированной.
Цели обработки персональных данных на предприятии
Выделяют следующие цели обработки персональных данных в организации:
- Заключение, исполнение и прекращение гражданско-правовых договоров с гражданами, юридическими лицами, ИП и другими лицами в ситуациях, предусмотренных законодательством и Уставом предприятия.
- Организация кадрового учета организации, обеспечение соблюдения законов, заключение и исполнение обязательств по трудовым и гражданско-правовым договорам.
- Ведение кадрового делопроизводства, содействие работникам в трудоустройстве, обучении и продвижении по службе, пользовании льготами.
- Исполнение требований налогового законодательства по вопросам исчисления и уплаты налога на доходы физлиц и единого социального налога, пенсионного законодательства при формировании и передаче в ПФР персонифицированных данных о каждом получателе доходов, которые учитываются при начислении взносов на обязательное пенсионное страхование.
- Заполнение первичной статистической документации в соответствии с Трудовым, Налоговым кодексом и федеральными законами.
Что такое согласие на обработку персональных данных
Вместе с предоставлением необходимых документов при заключении трудового договора подписывается согласие работника на обработку персональных данных работника. Согласно ст. 3 ФЗ №152, к таким данным относятся все сведения о человеке — от имени и фамилии до записей в трудовой книжке.
Персональные данные делятся на 3 категории:
- Общедоступные — основные анкетные данные, включая ФИО, пол, дату и место рождения.
- Биометрические — информация о внешности и некоторых физиологических особенностях, если они определяются визуально.
- Специальные — национальность, вероисповедание, состояние здоровья, судимости, частично — сведения о работе (причины увольнения и др.).
Персональные данные конфиденциальны (за исключением общедоступных), поэтому для их обработки необходимо получать согласие человека.
В обязательном порядке устанавливается срок действия согласия на обработку персональных данных. Моментом его окончания становится либо конкретная дата, либо определенное событие, в том числе отзыв работником своего согласия. Это требование указано в п. 4 ст. 9 ФЗ №152.
В каких случаях нужно согласие на обработку персональных данных
согласие требуется на обработку специальных и биометрических данных. общедоступную информацию разрешается свободно использовать, если только это не противоречит закону, а также общепринятым нормам морали и этики.
ситуации, когда согласие на обработку персональных данных не требуется
исключение составляют случаи, когда расследуется уголовное дело, проводятся оперативно-розыскные мероприятия. биометрические данные могут понадобиться, чтобы установить личность при отсутствии у человека документов. в таких ситуациях не требуется согласие на обработку личной информации.
заявление о согласии на обработку личной информации подается на имя руководителя организации в письменной форме. в шапке документа указываются:
- должность руководителя и наименование организации, которую он возглавляет;
- фио руководителя;
- должность работника;
- фио работника;
- дата;
- место составления.
возможен ли отказ от обработки персональных данных с позиции закона
По закону, отказ от согласия на обработку персональных данных не несет юридических последствий. В ч. 1 ст. 9 ФЗ №152 указано, что само согласие выражается свободно и добровольно.
Обратите внимание
За разглашение персональных данных Трудовым кодексом предусмотрены виды ответственности. Подробнее читайте на нашем сайте здесь
Ч. 5 ст. 6 того же закона допускает отсутствие согласия на обработку личной информации в случае, если это требуется для исполнения договора, в том числе трудового.
Поэтому работодатели, выполняя свои обязанности, в интересах сотрудников могут обрабатывать их персональные данные без получения на то согласия. Это касается только работников, которые уже числятся в штате. Принять человека на работу при его отказе от обработки персональных данных нельзя.В таком случае еще не заключен трудовой договор. Раз этого документа нет, то и обязанности исполнять его у работодателя не возникает.
Иногда отказ от обработки личной информации чреват негативными последствиями. Если на предприятии действует пропускной режим, то при таких обстоятельствах работнику нельзя будет оформить либо заменить пропуск — такое действие выйдет за рамки служебных целей. Поэтому отсутствие согласия повлечет за собой невозможность выполнения трудовых функций.
Источник: https://otdelkadrov.online/5837-pravovoe-obosnovanie-neobhodimost-obrabotki-personalnyh-dannyh-v-organizatsii
Как организовать защиту персональных данных сотрудников
Работодатель обязан обеспечить защиту персональных сведений о своих работниках. Такое требование содержит Трудовой кодекс РФ (глава 14).
Что считать персональными данными
Персональные данные работника – это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. А именно:
- паспортные данные;
- семейное положение;
- сведения об образовании;
- номер страхового свидетельства обязательного пенсионного страхования;
- сведения о трудовой деятельности и др.
Эта информация необходима работодателю, чтобы заключить трудовой договор, заполнить личную карточку № Т-2, помочь работнику в обучении, продвижении по службе, обеспечить его личную безопасность, контролировать количество и качество выполняемой им работы.
Понятие персональных данных содержит Перечень сведений конфиденциального характера (утвержден Указом Президента РФ от 6 марта 1997 г. № 188 «Об утверждении сведений конфиденциального характера»).
Это сведения о фактах, событиях и обстоятельствах частной жизни человека.
Однако статья 85 Трудового кодекса ограничивает персональные данные только теми сведениями и обстоятельствами, которые характеризуют гражданина как работника.
Персональные данные относятся к конфиденциальной информации то есть к которой нет свободного доступа. Поэтому работодатель обязан получать все персональные данные о работнике только у него самого.
Если по каким-то причинам сделать это невозможно, то запрашивать такие сведения у посторонних лиц работодатель вправе только с письменного согласия работника.
При этом ему нужно сообщить о целях, источниках, способах получения персональных данных, о том, какая именно информация интересует работодателя, а также о последствиях отказа работника дать письменное согласие на получение этих сведений.
Из этого правила есть исключение: работодатель вправе запрашивать информацию, например, из различных медицинских учреждений о противопоказаниях и ограничениях в трудовой деятельности своих работников.
цель такого исключения – предупредить и предотвратить угрозу жизни и здоровью работника.
Передавать конфиденциальную информацию о работнике другим лицам разрешается только с письменного согласия самого работника. Исключение возможно только в двух случаях:
- это необходимо в целях защиты жизни и здоровья работника (степень угрозы определяет работодатель);
- это предусмотрено в федеральном законе (например, ст. 228 ТК РФ прямо определяет, что если на производстве произошел несчастный случай, то об этом в обязательном порядке должны быть незамедлительно проинформированы родственники пострадавшего, а также ряд государственных и местных властных структур).
Обратите внимание
Не допускается передача личных сведений о работнике с коммерческой целью (ст. 88 ТК РФ).
Журналы учета персональных данных
Работодатель обязан соблюдать конфиденциальность при работе с персональными данными работников. Для этого следует вести специальные журналы учета.
Журнал учета внутреннего доступа к персональным данным работников
В журнале учета внутреннего доступа к персональным данным работников указывают: дату выдачи и возврата документов (личных дел) работникам организации; цели выдачи, наименование выдаваемых документов, срок пользования.
Если документов было много, и их выдавали по описи, при возврате нужно проверить их наличие по описи. Сотрудник, возвращающий документы, обязан присутствовать при этом.
Выдавая документы, предупредите, что делать в них пометки и исправления, вносить новые записи, извлекать документы (например, из личного дела) или помещать новые нельзя.
Журнал учета выдачи персональных данных работников организациям и государственным органам
В журнале учета выдачи персональных данных работников организациям и государственным органам регистрируют: поступающие запросы (дату получения, номер и дату входящего документа, от какого органа получен запрос); дату передачи персональных данных; содержание переданной информации; дату уведомления об отказе в предоставлении информации (в случае такового).
Кроме того, кадровик должен регулярно проверять наличие документов и других носителей информации, содержащих персональные данные работников. Для этого также следует вести специальный журнал.
Какие сведения указывают в Положении о защите персональных данных
Порядок хранения и использования персональных данных работников фирмы определяет Положение о защите персональных данных. Это обязательный внутренний (локальный) документ фирмы, его разрабатывает кадровая служба.
Закон не установил строгой формы этого документа, но он должен соответствовать требованиям, которые предъявляет к защите персональных данных работника ТК РФ.
В Положении должны быть указаны:
- цель и задачи фирмы в области защиты персональных данных;
- понятие и состав персональных данных;
- в каких структурных подразделениях и на каких носителях (бумажных, электронных) накапливаются и хранятся эти данные;
- как происходит сбор персональных данных;
- как они обрабатываются и используются;
- кто (по должностям) в компании имеет к ним доступ;
- как персональные данные защищаются от несанкционированного доступа;
- права работника в целях обеспечения защиты своих персональных данных;
- ответственность за разглашение конфиденциальной информации, связанной с персональными данными работников.
Кто утверждает Положение о защите персональных данных
Положение о защите персональных данных работника утверждает руководитель фирмы или уполномоченное им лицо. А вводится в действие этот документ приказом руководителя. Положение о защите персональных данных выглядит так:
Каждый работник, который в силу своих должностных обязанностей имеет доступ к персональным данным других работников, должен подписать обязательство об их неразглашении.
Перечень лиц, которые имеют доступ к персональным данным работника, обычно оформляют в виде приложения к Положению.
В первую очередь это сотрудники кадровой службы, поскольку они собирают и формируют данные о работнике, руководители структурных подразделений (например, главный бухгалтер, начальники отделов).
Однако последние вправе запрашивать только те данные, которые необходимы для выполнения конкретных трудовых функций (например, чтобы рассчитать льготы по налогам, бухгалтерия получит не все сведения о работнике, а только данные о количестве его иждивенцев). Оформляют приложение так:Работодатель обязан ознакомить работника с Положением о защите персональных данных, а работник – расписаться в этом. Факт ознакомления обычно оформляют распиской, которая остается у работодателя. Вот ее образец:
Уведомление об обработке персональных данных
Согласно ст. 22 Закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», с 1 июля 2011 года все юридические и физические лица, деятельность которых связана со сбором и обработкой персональных данных (ПД) в электронном виде (оператор ПД), должны уведомить об этом Роскомнадзор.
Это госорганы, имеющие дело с персональными данными, практически все работодатели, имеющие кадровую службу, перевозчики, страховщики, банки Приказом от 19 августа 2011 года № 706 Роскомнадзор утвердил рекомендации по заполнению формы уведомления, а форму утвердило Минкомсвязи России приказом от 21 декабря 2011 года № 346.
Уведомление формируют в виде таблицы на бланке оператора. В отдельном поле указывают полное и сокращенное наименование, организационно-правовую форму, ИНН и адрес оператора. В отдельном – «цели обработки данных», соответствующие уставным задачам и осуществляемой деятельности.
В поле «категории ПД» указывается, какие данные (персональные, биометрические, специальные) подвергаются обработке. В поле «категории субъектов, ПД которых обрабатываются» следует указать эту категорию, например, «работники, состоящие в трудовых отношениях с оператором».
В поле «правовое основание обработки ПД» указываются статьи нормативно-правового акта, касающиеся обработки ПД: например, «ст. 85–90 Трудового кодекса РФ», «ст. 85.1 Воздушного кодекса РФ», «ст.
12 Федерального закона “Об актах гражданского состояния”» и др.
В отдельном поле указываются действия оператора и способы обработки ПД (неавтоматизированная, исключительно автоматизированная с передачей полученной информации по сети или без, смешанная).
В поле «дата начала обработки ПД» указываются число, месяц, год фактического начала любого действия.
Если у Вас есть вопрос — задайте его здесь >>
Источник: https://otchetonline.ru/art/yuristu/49714-kak-organizovat-zaschitu-personal-nyh-dannyh-sotrudnikov.html
Защита персональных данных сотрудников — как обеспечить?
В 7 статье Федерального закона от 27.07.2007 № 152 ФЗ «О персональных данных» (далее — 152-ФЗ), ст. 88 Трудового кодекса РФ, указано, что работодатель обязан не допускать раскрытия персональных данных (не сообщать персональные данные) своих сотрудников третьим лицам. За нарушение этого требования предусмотрены:
- Дисциплинарная ответственность. Применяется к сотрудникам, которые нарушили правила работы с личными данными (ст. 192 Трудового Кодекса). Вплоть до увольнения;
- Материальная ответственность. Если нарушение правил работы с персональными данными привело к причинению прямого ущерба (ст. 233 ТК РФ);
- Административная ответственность. Штрафы, накладываемые контролирующим органом (ч.1ст.13.11. КоАП РФ):
- 5000-10000 рублей для ответственного должностного лица;
- 30000-50000 рублей для организации.
Штраф может быть разным в зависимости от состава правонарушения (ст.13.11 КоАП РФ из 7-ми частей. Размер штрафа приведёт по части 1).
За соблюдением требований законодательства в области защиты персональных данных следит Роскомнадзор (ст.23.44 КоАП РФ, Постановление Правительства РФ от 16.03.
2009 N 228), поэтому, чтобы не было проблем с проверками из этого ведомства, нужно позаботиться о защите персональных данных сотрудников вашей организации.
Какие сведения относятся к персональным данным сотрудников?
Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Точного перечня 152-ФЗ не содержит.
Исходя из определения 152-ФЗ это, в частности:
- ФИО;
- Дата и место рождения;
- Адрес (прописки и фактического проживания);
- Образование;
- Социальное, семейное и имущественное положение;
- Профессия;
- Доходы;
- Прочая информация (например, сведения о здоровье).
Что нужно сделать, чтобы не было проблем с Роскомнадзором?
Вам нужно будет проследить за следующими основными моментами:
1. Соблюдение законодательства в области персональных данных
В первую очередь, помимо 152-ФЗ, это положения гл. 14 ТК РФ .
2. Документы, устанавливающие нормы работы с персональными данными
Согласно статье 87 Трудового Кодекса, в организации должны быть локальные нормативные акты, регулирующие порядок хранения и использования персональных данных работников.
Это Положение об обработке и защите персональных данных» – документ, в котором указаны цели и законные основания работы с персональными данными, ваши права и обязанности, права и обязанности сотрудников, предоставляющих данные.
Также сотрудники, так или иначе имеющие доступ к персональным данным работников организации должны подписать обязательство о неразглашении персональных данных.
Также нужно назначить администратора безопасности персональных данных (сотрудника, отвечающего за техническую безопасность) и ответственного за организацию обработки данных (организационная нагрузка). Назначаются они приказом руководителя организации, особое внимание уделяйте точности формулировок – сверяйтесь с законодательством.
ВАЖНО: В каждом кабинете, где ведётся работа с персональными данными на бумажных носителях, должно быть чётко установленное место хранения этих данных. Это может быть сейф, стеллаж, шкаф.
Также должен быть ответственный за хранение персональных данных именно в этом кабинете.Издаётся соответствующий приказ руководителя: «В кабинете №1 ответственным за хранение персональных данных назначить ФИО, место хранения утвердить стеллаж инв. Номер 00000».
3. Журналы
При проверке сотрудники Роскомнадзора – для того, чтобы убедиться, что деятельность по защите персональных данных ведётся на постоянной основе – требуют:
- Журнал учёта мероприятий по контролю над обеспечением защиты персональных данных;
- Журнал инструктажа по информационной безопасности (за технической стороной следит ФСТЭК России, Роскомнадзор больше будет интересоваться документами и организационными вопросами);
- Журнал учёта проверок юридических лиц контролирующими органами;
- Журнал учёта обращений граждан-субъектов персональных данных о выполнении их законных прав.
4. Получение согласия работников на обработку персональных данных
Если не заключено дополнительное соглашение, персональные данные работника можно получать только у него самого. Например, нельзя даже позвонить в организацию, где сотрудник работал раньше, чтобы уточнить мнение о нём, без письменного согласия самого сотрудника.
Поэтому мы рекомендуем при приёме на работу предлагать сотруднику заполнить анкету с пунктом «Не возражаю против получения данных обо мне в…» и список организаций, в которые можно обратиться. Не лишним будет также указать «Не возражаю против проверки предоставленных данных».
ВАЖНО: Если у вас запрашивают персональные сведения о ваших работниках или бывших работниках, ни в коем случае не предоставляйте их без ознакомления с письменным согласием субъекта! Официальным органам – например, сотрудникам полиции – данные предоставляются по письменному запросу или после предъявления служебного удостоверения сотрудника и приказа, в котором указаны цели сбора сведений.
Общие рекомендации по защите персональных данных сотрудников
Следите за тем, чтобы:
- Сотрудники организации – например, отдела кадров – получали доступ только к тем данным, которые необходимы для выполнения их должностных обязанностей;
- Данные использовались строго в соответствии с целями, указанными в «Положении»;
- Каждый сотрудник организации подписал согласие на обработку персональных данных (при договорных отношениях оно не требуется, но остаётся актуальным для специальных категорий персональных данных, а также снимает многие вопросы у проверяющих).
Следуйте советам, указанным в этой статье, аккуратно оформляйте все документы, и проблем с проверками Роскомнадзора у вас не будет.
Источник: https://Osnova.capital/blog/zashchita-personalnyh-dannyh-sotrudnikov-kak-obespechit