Защита персональных данных работника

Компания обязана обеспечить надежную защиту персональных данных. Эксперты расскажут, как разработать положение о защите и какие уровни защищенности использовать.

Скачайте документы по теме:

Как разработать положение о защите персональных данных

Работник предоставляет работодателю сведения, которые носят личный характер, еще на этапе анкетирования и в процессе трудоустройства. Такой вид информации носит конфиденциальный характер и не подлежит разглашению. Положение о защите персональных данных работников относится к документу, в котором прописаны правила обработки и хранения разных видов информации, полученной от работника.

Получать, хранить и передавать личные сведения сотрудников можно только с учетом положений локального нормативного акта, с которым персонал знакомят под подпись.

В пункте восьмом статьи 86 ТК РФ указано, что всех работников необходимо предварительно ознакомить с указанным Положением.

При составлении документа необходимо руководствоваться актуальными требованиями законодательства. В Положение включать шесть тематических разделов.

Положение о работе с персональными данными

Защита персональных данных работника

Смотреть образец

Положение о защите персональных данных работников должно содержать следующие разделы:

  • общие положения;
  • порядок получения и систематизации конфиденциальной информации;
  • порядок хранения, использования и передачи;
  • гарантии сохранения конфиденциальности.

Это стартовая заготовка, структуру которой можно корректировать, дополнять и изменять, объединять разделы.

На базе такого документа удобно разрабатывать такой, который будет полностью соответствовать условиям работы каждой конкретной организации. Особое внимание уделяют разделам сбора, хранения, систематизации информации.

Подробное описание каждого пункта позволит работодателю обезопасить себя на случай возникновения спорных ситуаций и проверок.

Совет от эксперта «Системы Кадры»

Эксперт «Системы Кадры» расскажет, как организовать обработку персональных данных сотрудников. Из статьи вы узнаете:

  • как проводить обработку персданных с согласия и без согласия сотрудников;
  • каким способом обеспечить защиту сведений конфиденциального характера;
  • как подготовить и передать уведомление об обработке в Роскомнадзор;
  • как обезличивать полученные сведения.

Защита персональных данных: как утвердить Положение

Защиту персональных данных в организациях проводят с учетом действующего Положения. Этот документ после составления нужно утвердить. Сделать это можно одним из способов:

  1. Работодатель издает приказ.
  2. На бланке основного документа предусматривается поле для внесения реквизитов: «Заверено». Руководитель ставит свою подпись и печать, указывая, что Положение заверено.

В первом случае, который считается более трудоемким, распоряжение оформляют в общем порядке. Он ничем не отличается от стандартных приказов, которыми утверждают внутренние нормативные акты организации. Проект положения, как правило, разрабатывает созданная рабочая группа.

Что такое защита персональных данных работника

Персональные данные, защита персональных данных (образец) — полное определение этого понятия содержится в законе под №152-ФЗ от 27.07.

2006, который является ключевом нормативным документом, закрепляющим на федеральном уровне основные нормативы и принципы обращения с конфиденциальной информацией сотрудников.

В соответствии со статьей 3 указанного закона к персональным относятся данные, которые прямо или косвенно касаются конкретного субъекта или физического лица.

Государственному органу, работодателю, являющемуся юридическим или физическим лицом, субъект предоставляет о себе определенные сведения.

При этом оператор вправе обрабатывать полученную информацию, передавать ее третьим лицам с согласия самого субъекта на обработку персональных данных (см. образец).

Средства обеспечения безопасности персональных данных поручены стороне, которая их получает.

★ Эксперт журнала «Кадровое дело» расскажет о том, что за персональные данные теперь штрафуют строже. Что важно проверить в организации. Из статьи вы узнаете, когда нужно получать у работников согласие на обработку персональных данных. Как хранить в кадровой службе документы с личной информацией работников

Защита персональных данных работника

Уровни защищенности персональных данных

Требования к защите персональных данных установлены актуальным законодательством, все персональные данные подразделяют на 5 основных видов:

  1. Общие.
  2. Общедоступные.
  3. Обезличенные.
  4. Специальные.
  5. Биометрические.

К общей информации относят паспортные данные человека (ФИО, дата рождения, семейное положение), домашний адрес, номер телефона, сведения о полученном образовании и так далее. Действующее законодательство не дает исчерпывающий перечень общих данных, но весьма подробно описывает разновидности специальных данных, для которых устанавливаются особые правила по сбору, обработке и хранению.

К специальным данным относят:

  • расовую принадлежность;
  • вероисповедание;
  • политические, философские убеждения;
  • наличие судимостей;
  • состояние здоровья и так далее.

Запрашивать спецданные можно только в случаях медицинского обслуживания с соблюдением врачебной тайны, страхового обслуживания, осуществления правосудия, защиты жизни и здоровья субъекта, противодействия терроризму. Специальные сведения не возбраняется обрабатывать, если субъект дал письменное согласие на это или сделал такие сведения общедоступными.

★ Эксперты «Системы Кадров» расскажут, в каких случаях согласие сотрудника на передачу персональных данных не требуется

К биометрическим сведениям относятся данные о биологических, физиологических особенностях человека. Иногда без таких данных невозможно обойтись. Обработка и хранение проводится в соответствии с постановлением Правительства РФ под №512 от 6 июля 2008года.

Как только определенная цель будет достигнута, специальные и общие сведения должны быть обезличены и уничтожены.

По обезличенным данным невозможно установить, какому конкретно субъекту они принадлежат, что актуально для проведения статических опросов, отчетов и так далее.

  • Согласие сотрудника на обработку его персональных данных
  • Защита персональных данных работника
  • Смотреть пример

★ Эксперт «Системы Кадры» расскажет, как защитить персональные сведения, находящиеся в компьютерной базе данных. Из статьи вы узнаете, какие методики применять, чтобы обеспечить надежную защиту данных от несанкционированного использования.

Как защитить персональные данные в организации: пошаговая инструкция

Информационную защиту персональных данных проводят с учетом требований Трудового кодекса РФ, иных федеральных законов (на основании ст. 87 ТК РФ).

Это означает, что работодатель вправе самостоятельно определить общий порядок такой обработки, закрепить его в локальном нормативном акте, в частности, в Положении о работе с персональными данными сотрудников.

При приеме на работу сотрудников знакомят с указанным локальным нормативным актом под подпись.

Защита персональных данных работника

Руководитель назначает приказом ответственное лицо по работе с персданными. Чаще всего им является сотрудник службы персонала, который в силу своего рода деятельности чаще всего сталкивается с информацией конфиденциального характера.

Конкретные меры по обеспечению полной безопасности персональных данных сотрудников при их обработке и хранении предусмотрены статьей девятнадцатой Закона от 27.07.2006 года под № 152-ФЗ и Требованиями, которые утверждены постановлением Правительства РФ от 1.11.2012 года под № 1119.

С учетом этого каждая организация разрабатывает свою систему защиту от несанкционированного использования.

Определиться с ответственным лицом, вам поможет интерактивная подсказка от журнала «Кадровое дело». Нажмите на персонаж, чтобы выяснить, можно ли этого сотрудника назначить ответственным за персональные данные.

Защита персональных данных работника

Конкретные средства защиты конфиденциальной информации для информационной системы обработки персданных выбирает работодатель с учетом нормативно-правовых актов ФСБ России и ФСТЭК России. При обработке в системах можно устанавливать до 4 уровней защищенности в зависимости от соответствующей категории данных и от количества сотрудников, сведения о которых содержатся в системе.

Определение уровня защищенности персональных данных предусмотрены пунктами 13-16 Требований, утвержденных постановлением Правительства РФ от 1.11.2012 года под № 1119.

Устанавливают режим безопасности помещений, назначают лиц, ответственных за такую безопасность и так далее.

Конкретные требования установлены составом и содержанием как организационных, так и технических мер, утвержденными приказом ФСТЭК России от 18.02.2013 года под № 21.

Чтобы обеспечить контроль защищенности, работодатель или уполномоченное им лицо 1 раз в 3 года осуществляют контрольные проверки. На договорной основе к таким проверкам привлекают специализированные организации, имеющие лицензию на проведение таких видов деятельности.

★ Эксперт журнала «Кадровое дело» расскажет, как утвердить политику обработки персональных данных, чтобы избежать штрафа Роскомнадзора. Из статьи вы узнаете, какие персональные данные вправе обрабатывать работодатель. Сколько хранить информацию о сотрудниках. В каких случаях нужно уничтожить персональные данные.

Смотрите видео по теме

  1. Проверяем персональные данные работника при трудоустройстве
  2. Рассказывает Светлана Шнайдер, директор по персоналу ОАО «Развитие активов», член комитета по трудовому законодательству Национального союза кадровика, практикующий юрист

Вывод

Работник предоставляет работодателю сведения, которые носят личный характер, еще на этапе анкетирования и в процессе трудоустройства. Такой вид информации носит конфиденциальный характер и не подлежит разглашению. Положение о защите персональных данных работников относится к документу, в котором прописаны правила обработки и хранения разных видов информации, полученной от работника.

Выбор конкретных средств защиты конфиденциальной информации для информационной системы обработки персданных осуществляется работодателем с учетом нормативно-правовых актов ФСБ России и ФСТЭК России.

При обработке в системах могут устанавливаться до четырех уровней защищенности в зависимости от соответствующей категории данных и от количества сотрудников, сведения о которых содержатся в системе

Источник: https://www.kdelo.ru/art/384739-zashchita-personalnyh-dannyh-instruktsiya-19-m1

Защита персональных данных работника

Что представляет собой защита персональных данных работника, какими законами она регламентируется, и как уберечь такую информацию от слива?

Вы принимаете в штат сотрудников, оформляете документы, а значит, имеете доступ к их персональным данным. По закону, разглашать эту информацию нельзя. Но другие работники могут нарушить правила и передать тайные сведения другим лицам. Какие санкции грозят в случае утечки данных, и как обезопасить себя от неприятной ситуации?

Защита персональных данных работника. Что говорит трудовое право?

Защита персональных данных работников регулируется главой 14 Трудового кодекса РФ.

Фактически существует четыре вида ответственности за разглашение персональных данных: материальная, дисциплинарная, административная и уголовная. Также можно еще выделить гражданско-правовую ответственность, когда потерпевшая сторона подает иск в суд. Однако, чтобы выиграть дело, необходимо доказать вред, причиненный неправомерными действиями вред, на практике такое редко удается.

подробнее о всех видах персональных данных

Материальная и дисциплинарная ответственности

К сожалению, пока что в российских компаниях сотрудники невнимательно относятся к исполнению требований законодательства по персональным данным.

Лучшая тактика – разработать систему дисциплинарной и материальной ответственности. Сюда относятся выговоры, замечания, лишение премий,  штрафы, а в патовых ситуациях – даже увольнение.

Условия дисциплинарной и материальной ответственности нужно прописать в трудовом договоре и/или в должностной инструкции сотрудника, который работает с персональными данными (как правило, это HR или бухгалтер).

Алексей Кондратов, юрист

Следует помнить, любой случай нарушения работником правил обработки персональных данных, в особенности при последующем увольнении виновного, может послужить основанием для проведения проверки в отношении организации — работодателя. И в дальнейшем компания может быть привлечена к административной ответственности.

Читайте также:  Коды кбк, пени, страховые взносы в пфр в 2020 году для юридических лиц

Защита персональных данных работника

Административная ответственность

Здесь действуют статьи Кодекса об административных правонарушениях РФ 13.11. и 13.14. В случае несоблюдения нарушитель должен выплатить штраф граждане – 3-5 тыс. руб.; должностные лица – 10-20 тыс. руб.; юр. лица – 15-75 тыс. руб.

Ответственность по ст. 13.11 КоАП РФ наступает, если нарушитель обрабатывал ПД без согласия работника, либо есть согласие, но информацию использовали не по назначению.

Ответственность по ст. 13.14 КоАП РФ грозит тем, кто разглашал сведения, доступ к которым ограничен федеральным законом.

Антон Ключников, руководитель адвокатского образования «Ключников Групп»:

Чаще всего возникают ситуации, когда информацию используют для передачи банкам (кредитные рассылки). В частности, с такой проблемой столкнулся один наш клиент, который оказывает услуги по организации call-центров.

В штате у этого предпринимателя работает большое количество сотрудников-операторов.

Одна из работниц передала персональные данные банку, который потом рассылал на сотовые телефоны сотрудников различные предложения по кредиту.

В другой ситуации персональные данные сотрудников попали конкурирующему предприятию, после чего эта фирма делала рассылку с целью переманить к себе ценных кадров. В обеих случаях нерадивых работников суд оштрафовал.

Уголовная ответственность

Такая ответственность предусмотрена ст.137 УК РФ «Нарушение неприкосновенности частной жизни». Возможные санкции: штраф, исправительные работы, запрет занимать ряд должностей, ограничение или лишение свободы сроком до 5 лет.

Антон Ключников, руководитель адвокатского образования «Ключников Групп»:

Предприятие уволило бухгалтера, который, в силу служебного положения, имел доступ к персональным данным. Обиженный работник написал в соцсетях ряд постов негативного содержания в отношении членов руководства предприятия.

В этих постах он указал информацию, которой в свободном доступе в сети интернет не было, и она относилась к персональным данным.

По результатам рассмотрения дела суд назначил наказание в виде штрафа и запрет занимать аналогичную должность в течение трех лет.

На заметку. Месть сотрудников – одна из самых распространенных причин утечки ценной информации. Не случайно многие фирмы переводят важные операции на аутсорс.

Сторонние сотрудники, как правило, объективны, лично не заинтересованы в «сливе» и несут прямую ответственность за качество работы.

Если бы бухгалтерией занималась аутсорсинговая компания, клиент мог бы предотвратить случай, описанный выше.

Читайте подробнее, чем грозит разглашение ПД

Чек-лист типичных нарушений

В адвокатской практике уже сложился список самых распространенных случаев нарушения законов о ПД:

  • служба безопасности компании собирает сведения о будущем сотрудников или об уже работающем лице с использованием, в том числе, баз криминалистического учета, сведений о привлечении к административной ответственности и т.п.;
  • в анкете работника не указано, что информация о нем будет фигурировать в корпоративной базе данных на электронных носителях. Тем самым компания не получает на то согласие работника;
  • в трудовом договоре и должностных инструкциях работника, осуществляющего обработку ПД, не конкретизированы соответствующие обязанности;
  • работодатель не ограничил круг лиц, имеющих доступ к электронной базе данных;
  • работник допустил хранение ПД на бумажных носителях;
  • вы сообщили данные о бывшем сотрудники его новому или потенциальному работодателю, либо выложили в сеть Интернет.

Алексей Кондратов, адвокат:

Основополагающий принцип при обработке ПД в трудовых отношениях: цель должна соответствовать существу трудовых отношений, т. е. выполнению работником трудовой функции. Нельзя использовать эту информацию, если она не касается рабочих отношений.

8 причин, по которым уходят хорошие сотрудники

Как защитить персональные данные

Важные шаги, которые помогут уберечься от проблем.

  1. Составьте приказ об утверждении политики обработки персональных данных на предприятии.
  2. Перед подписанием трудового договора ознакомьте нового сотрудника с положением о защите персональных данных работников.
  3. Оформляйте согласие на обработку ПД в любой ситуации, когда вы получаете персональную информацию о сотрудниках.
  4. Собирайте только те сведения, которые нужны для обработки.
  5. Ограничьте круг лиц, которые имеют доступ к такой информации. Для этого составьте отдельный нормативный документ. В нем нужно прописать, кто и с какой целью может использовать ПД. Допуск может быть полным (для гендиректора, начальника отдела кадров) и неполным (для бухгалтера).
  6. Своим приказом назначьте ответственного за обработку персональных данных на предприятии. Он должен вести журнал учета передачи данных и хранить все документы, связанные с ПД.

Бумажные документы с ПД нужно хранить в сейфе, ключ от него выдавать под роспись. Данные в электронном виде нужно защищать с помощью специальных систем.  

Источник: https://www.business.ru/article/2133-zashchita-personalnyh-dannyh-rabotnika

Персональные данные работника: миллионные штрафы за утечку

Депутаты одобрили поправки, предусматривающие введение новых санкций за нарушение закона № 152-ФЗ о персональной информации граждан. Законопроектом предложены следующие штрафы:

  1. За невыполнение оператором обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения данных российских граждан с использованием баз данных, находящихся на территории РФ, граждан планируется штрафовать на 30 000-50 000 рублей, должностных лиц — на сумму 200 000-500 000 рублей, ИП и юридических лиц — от 2 до 6 млн рублей. При повторном нарушении штрафы на граждан увеличиваются до 50 000-100 000 рублей, на должностных лиц — до 0,5-1 млн рублей, а ИП и организации обещают наказывать на 6-18 млн рублей.
  2. За повторные нарушения, предусмотренные ст. 13.31 КоАП РФ (неисполнение обязанностей организаторов распространения информации в сети Интернет), предложены штрафы для граждан — от 5000 до 30 000 рублей (в зависимости от правонарушения), для должностных лиц — от 50 000 до 500 000 рублей, для ИП и организаций — от 0,5 до 6 млн рублей.
  3. Отдельные санкции вводятся для операторов поисковых систем, организаторов сервисов обмена мгновенными сообщениями, владельцев аудиовизуального сервиса информации.

Все новые штрафы подробно описаны в таблице.

Правонарушение Штрафы (рублей) Статья КоАП РФ, которая изменится
для граждан для должностных лиц для ИП и организаций
Невыполнение оператором обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения данных российских граждан с использованием баз данных, находящихся на территории РФ 30 000-50 000 200 000-500 000 2-6 млн 13.11
Повторное невыполнение обязанности по хранению персональных данных в РФ 50 000-100 000 500 000-1 млн 6-18 млн 13.11
Повторное неисполнение обязанностей организатором распространения информации в сети Интернет От 5000 до 30 000 (в зависимости от правонарушения) От 50 000 до 500 000 (в зависимости от правонарушения) От 500 000 до 6 млн (в зависимости от правонарушения) 13.31
Повторное распространение владельцем аудиовизуального сервиса телеканала, телепрограммы, не зарегистрированных в качестве СМИ либо зарегистрированных, но лишенных права на вещание 10 000-20 000 100 000-200 000 700 000-1 млн 13.35
Повторное нарушение владельцем аудиовизуального сервиса правил распространения среди детей информации, причиняющей вред их здоровью и(или) развитию 5000-10 000 50 000-100 000 500 000-1 млн 13.36
Повторное распространение владельцем аудиовизуального сервиса информации и материалов, содержащих призывы к осуществлению террористической и(или) экстремистской деятельности 150 000-300 000 600 000-800 000 От 1,5 до 5 млн 13.37
Повторное неисполнение организатором сервиса обмена мгновенными сообщениями обязанностей 5000-10 000 50 000-70 000 1-2 млн 13.39
Повторное неисполнение оператором поисковой системы обязанности по подключению к информационно-телекоммуникационным сетям, доступ к которым ограничен на территории РФ 30 000-100 000 100 000-500 000 1,5-5 млн 13.40
Повторное неисполнение оператором поисковой системы обязанности по прекращению выдачи по запросам пользователей сведений о информационно-телекоммуникационных сетях, доступ к которым ограничен на территории РФ 30 000-100 000 100 000-500 000 1,5-5 млн 13.40
Повторное неисполнение оператором поисковой системы обязанности по прекращению выдачи по запросам пользователей сведений о доменном имени и об указателях страниц сайтов в сети Интернет, доступ к которым ограничен на основании решения Московского городского суда, или копий заблокированных сайтов 30 000-100 000 100 000-500 000 1,5-3 млн 13.40

Скачать

Объясняя необходимость введения новых санкций, авторы в пояснительной записке к законопроекту пишут, что только штрафы способны остановить нарушителей. Они налагают не только финансовые, но и репутационные издержки, потому являются наиболее эффективной мерой воздействия.

Законопроект пока еще обсуждается, но авторы уверены, что новые санкции заработают уже в начале 2020 года.

С какими персональными данными приходится иметь дело работодателю

Что относится к персональным данным работника организации? В соответствии со ст. 3 закона № 152-ФЗ, персональные данные работника — это любые сведения о нем.

Трудовой кодекс определяет перечень документов, которые человек предъявляет работодателю при поступлении на работу:

  • фамилия, имя, отчество, дата и место рождения;
  • образование (когда и какие образовательные учреждения закончил, номера дипломов, направление подготовки или специальность по диплому, квалификация);
  • выполняемая работа с начала трудовой деятельности (включая военную службу);
  • адрес регистрации и фактического проживания;
  • паспортные данные (серия, номер, кем и когда выдан);
  • номер телефона, адрес электронной почты;
  • отношение к воинской обязанности, сведения по воинскому учету (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу);
  • ИНН;
  • номер страхового свидетельства обязательного пенсионного страхования;
  • результаты обязательного медосмотра при поступлении на работу;
  • семейное положение, Ф.И.О. и даты рождения детей.

Также определенная информация содержится в резюме соискателя и его анкете.

В процессе работы эти данные изменяются и дополняются. Работодатель обязан хранить их в секрете. Эта мера обеспечивается определением конкретных лиц, которые имеют к ним доступ. Это должно быть зафиксировано в документальном виде, для чего необходимо издать внутренний приказ.

Образец приказа о персональных данных работников 2019

Защита персональных данных работника

Скачать

Иногда при приеме на работу нового сотрудника кадровики снимают ксерокопии с предоставленных документов и вкладывают их в его личное дело. По мнению Роскомнадзора, это не допускается.

При проверке соблюдения требований законодательства о защите персональных данных контролирующий орган счел незаконным хранение в личных делах сотрудников ксерокопий их паспортов. Организация обратилась в Арбитражный суд с заявлением о признании этого предписания Роскомнадзора незаконным.

Судом в удовлетворении заявленного требования было отказано. По мнению суда, хранение организацией копий паспортов сотрудников является избыточным, законом не предусмотрено, нарушает права граждан и превышает объем персональных данных работников, предусмотренный ст. 86 ТК РФ (Постановление ФАС Северо-Кавказского округа от 11.03.2014 № Ф08-480/14 по делу № А53-10287/2013).

Читайте также:  Расчетный счет и банковская карта для безналичных расчетов

Образец заявления на обработку персональных данных работника

Источник: https://clubtk.ru/personalnyye-dannyye-rabotnika

Защита персональных данных работника по ТК РФ

Персональные данные о человеке при вступлении в трудовые отношения являются предметом обработки, защиты и хранения. Их основное свойство – конфиденциальность, поэтому для работы с этой информацией разработан особый регламент.

Рассмотрим, как предусмотрены в Трудовом кодексе процедуры, касающиеся персональных данных наемных работников, кому и при каких условиях можно эти данные передавать и каким образом использовать. Полезной будет информация о Положении о персональных данных как обязательном документе для любого работодателя.

Персональные данные: законодательное определение

Когда человек вступает в трудовые отношения, от него требуется предоставить ряд сведений о себе. Вся эта информация, касающаяся будущего сотрудника, позволяющая определить его в том или ином контексте, и объединяется под термином «персональные данные».

Порядок действий с этой информацией определен в таких законодательных документах, как:

  • Конституция Российской Федерации;
  • ст. 85 Трудового кодекса РФ;
  • Федеральный закон № 149 от 27 июля 2006 г. «Об информации, информационных технологиях и о защите информации»;
  • Федеральный закон № 152 от 27 июля 2006 г. «О персональных данных»;
  • Указ Президента России от 06.03.1977 г. № 188.

Эти законодательные акты утверждают сведения, которые подпадают под определение персональных данных, с тем, чтобы оградить приватную жизнь законопослушных граждан от неправомерного вмешательства и гарантировать целевое использование получаемых от них конфиденциальных сведений.

Перечень данных, считающихся персональными:

  • ФИО физического лица;
  • дата рождения;
  • место проживания и/или прописки;
  • полученное человеком образование;
  • состав семьи;
  • социальный статус;
  • сведения, касающиеся владения имуществом;
  • ранее занимаемые им должности;
  • уровень получаемых доходов и их источники;
  • иные сведения, имеющие отношение к трудовой функции, обозначаемой в заключаемом договоре с сотрудником.

КСТАТИ! Информация о политических, религиозных или других убеждениях сотрудника, его участии во всевозможных организациях, помимо работы, а также детали его частной жизни не относятся к персональным данным и не подлежат сбору, обработке, хранению и использованию. Их можно получить только с согласия самого работника. Исключение составляет ситуация, когда информация такого рода прямо относится к трудовой деятельности.

Вопросы здоровья сотрудника не могут попадать в поле зрения кадровых сотрудников, кроме непосредственного влияния на трудовую функцию.

Насколько необходимо Положение о персональных данных

Наниматель, принимая на свое попечение физических лиц с присущим им комплектом персональных данных, законодательно обязан позаботиться об одобренных государством способах их обработки. При этом он обязан руководствоваться вышеприведенной нормативной базой, а индивидуальные тонкости отразить в специальных внутренних документах.

Самостоятельно регламентировать особенности действий с персональными данными сотрудников работодателей обязали недавно. Ст.

90 ТК РФ устанавливает ответственность лица, нанимающего персонал, за утечку или неправомерное использование конфиденциальных сведений, предоставляемых сотрудниками, причем ответственность предусмотрена во всех сферах права – дисциплинарной, административной, уголовной и гражданской.

Поэтому на каждом предприятии необходимо разработать и утвердить как минимум три обязательных внутренних акта, касающихся работы с такими сведениями:

ОБРАТИТЕ ВНИМАНИЕ! Первый документ разрабатывается и закрепляется на основании приказа руководства организации, второй должен быть подписан теми лицами, которые осуществляют сбор персональных данных и имеют к ним доступ (кадровая служба, отдел безопасности, бухгалтерия и др.). Сотрудники обязаны ознакомиться с этой документацией под роспись. Согласие нанимаемого может быть выражено подписью под соответствующей строкой в анкете или личной карточке.

Состав Положения о персональных данных

Разделы данного документа содержат следующие необходимые подпункты:

  • общие сведения;
  • перечисление данных, считающихся персональными в конкретной компании;
  • регламент применения данной информации;
  • особенности доступа к этим сведениям;
  • меры, принимаемые при нарушении принципов обработки информации, и ответственность виновных;
  • приложения (форма заявления для сотрудника о согласии на обработку и/или проверку предоставленных личных данных, форма обязательства не разглашать полученную информацию для сотрудников, у которых она будет в пользовании).

Источник получения персональных данных

Легитимным, с точки зрения официальных законодательных документов, принятых в нашей стране, является только один способ получения конфиденциальной информации – от самого гражданина, пожелавшего добровольно ее сообщить в устной или письменной форме.

Косвенные способы получения персональных сведений о человеке (например, запрос на прежнее место работы) могут использоваться только в том случае, если сотрудник дал на это свое письменное согласие.

К СВЕДЕНИЮ! Чтобы иметь возможность получать информацию о сотруднике не только непосредственно от него, кадровые работники иногда используют не запрещенный законом прием. В анкете, заполняемой при трудоустройстве, может иметься пункт «Не возражаю против проверки предоставленных данных» или «Разрешаю получить информацию обо мне в следующих источниках (указать, в каких)».

Если к работодателю пришел запрос о сотруднике, который когда-то у него работал, лучше перестраховаться и потребовать письменное разрешение на предоставление персональных данных, подписанное самим физическим лицом. Это касается даже ситуаций, когда эти сведения требуют работники правоохранительных органов (вместо разрешения может быть подписанный их руководством приказ).

Что значит обрабатывать персональные данные

Понятие обработки включает все возможные законные действия, которые уполномоченные лица могут производить с получаемыми ими конфиденциальными данными:

  • сбор;
  • фиксация;
  • систематизация;
  • накопление;
  • сбережение;
  • защита;
  • передача;
  • использование.

Лицо или орган, производящее эти действия, называется оператором. При любых операциях с персональными данными он должен соблюдать следующие принципы:

  1. Соответствие способов обработки личных сведений и их целей требованиям законодательства РФ.
  2. Цели, задекларированные при сборе данных, должны совпадать с целями обработки.
  3. Выбирать способы обработки нужно в соответствии с заявленными целями.
  4. Все требования касаются только полных и достоверных персональных данных.
  5. Разглашать полученную информацию или ее часть без письменного согласия владельца строго запрещено законом.

Как передаются персональные данные

Использование конфиденциальной информации о сотрудниках внутри самой компании регламентировано Положением о персональных данных, которое принимается руководителем. Сотрудники непременно должны быть ознакомлены с этим порядком, что подтверждается их личными подписями.

Организация должна предусмотреть круг лиц, которым предоставляется по долгу службы санкционированный доступ к персональным сведениям. Этими лицами должно быть подписано Обязательство о неразглашении, форма которого также разрабатывается в рамках организации.

Требования к передаче персональных данных

  1. Запрещение предоставления данных любым третьим лицам или органам без наличия письменного согласия самого физического лица (исключение – угроза жизни и/или здоровью).
  2. Запрет на коммерческое использование полученных данных.
  3. При передаче четко регламентировать цель сообщения сведений и предупредить о ней получающее лицо.
  4. То или иное лицо, которому разрешено использовать персональные данные, может это делать только в объеме должностной инструкции.
  5. Отклонение от установленного порядка предусматривает серьезную ответственность виновного лица.

Источник: https://assistentus.ru/sotrudniki/zashchita-personalnyh-dannyh/

Что нужно знать работодателю о защите персональных данных?

Защита персональных данных сегодня актуальный вопрос не только в отношениях работник-работодатель, но и в любой сфере, в которой собираются и обрабатываются личные данные.

Получите документы по теме бесплатно

По действующему законодательству работодатели не только должны обеспечивать хранение и защиту персональных данных работников, но и несут ответственность за их разглашение.  Недопустимость распространения информации о частной жизни лица без его согласия изначально гарантирована законодательством РФ.

Хранение личных данных – законодательное регулирование

Отношения, связанные с обработкой персональных данных, регулируются:

  • федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных»;
  • главой 14 Трудового кодекса РФ.

Что конкретно закон понимает под персональными данными? Это любая информация, которая прямо или косвенно относится к физическому лицу (субъекту персональных данных).

А любые действия, совершаемые с персональными данными, такие как: сбор, хранение, запись, накопление, уточнение, передача (распространение), обезличивание и уничтожение называют обработкой персональных данных.

Таким образом так или иначе все организации сталкиваются с обработкой персональных данных не только своих сотрудников, но и клиентов (например, оформляя бонусные или скидочные карты) – в этом случае их называют операторами.

Поскольку ни в Трудовом кодексе, ни в 152-ФЗ не установлено, какие конкретно данные относятся к персональным – то для работы в качестве основы можно использовать Перечень персональных данных федеральных государственных гражданских служащих Минюста, утвержденный Приказом Минюста России от 21.03.2013 N 36.

Обработка персональных данных и их защита

Законодательством ограничивается круг информации, которую работодатель имеет право получать и использовать в отношении своих сотрудников. Это только те сведения, которые характеризуют сотрудника как сторону трудового договора.

Обязательность применения мер безопасности по защите персональных данных возлагается на сторону, которая занимается их обработкой.

Важно! Исходя из норм, установленных ч.1 ст.89 ТК РФ, работодатель обязан знакомить своих сотрудников с информацией об их персональных данных и их обработке.

Кроме этого работники и их представители должны быть ознакомлены под роспись с документами, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.

То есть конкретный порядок доступа работника к своим персональным данным необходимо устанавливать в локальных нормативных актах. При этом нужно учитывать, что данный порядок должен гарантировать свободу доступа работника к своим персональным данным.

Получение персональных данных

Работодателю следует помнить, что все персональные данные работника следует получать у него самого (п. 3 ст. 86 ТК РФ).

В некоторых случаях согласие на обработку персональных данных работника (соискателя) не требуется, если эта информация получена:

  1. из документов, предъявляемых при заключении трудового договора;
  2. по результатам обязательного предварительного медицинского осмотра о состоянии здоровья;
  3. в объеме, предусмотренном личной карточкой N Т-2, в т.ч. персональные данные близких родственников;
  4. от кадрового агентства, действующего от имени соискателя;
  5. из резюме соискателя, размещенного в сети Интернет и доступного неограниченному кругу лиц.

Если персональные данные работника могут быть получены только у третьей стороны, работника нужно уведомить об этом заранее и получить его письменное согласие.

  • В уведомлении необходимо указать:
  • цели получения персональных данных работника у третьего лица;
  • предполагаемые источники данных (у кого будет запрашиваться информация);
  • способы получения данных, их характер;
  • возможные последствия отказа работодателю в получении информации у третьего лица.

Если цели сбора информации отличаются от тех, что перечислены в п. 1 ст. 86 ТК РФ – работодатель не имеет права ее запрашивать у третьих лиц даже с согласия работника.

Читайте также:  Социальная пенсия в 2020 году - размеры, изменения, кто может получить

Меры защиты персональных данных

Для обеспечения внешней защиты персональных данных работников работодатель должен принять следующие меры:

  • установить пропускной режим и особый порядок приема, учета и контроля деятельности посетителей;
  • установить особый порядок выдачи пропусков и удостоверений работников;
  • использовать технические средства охраны;
  • использовать программно-технический комплекс защиты информации на электронных носителях.

Мы уже говорили о том, что законодательство требует, чтобы обработка персональных данных осуществлялась с согласия работника. В случае возникновения спора, чтобы иметь возможность предоставить доказательства – целесообразно оформить такое согласие письменно.

Если работник является недееспособным, письменное согласие на обработку его данных следует получить у его законного представителя. В случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни.

Не следует забывать о том, что работник в любое время имеет право отозвать свое согласие на обработку персональных данных.

В процессе разработки локального акта, который будет определять порядок обработки, хранения и использования персональных данных, можно руководствоваться Постановлением Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Следующее – обязательно обеспечьте раздельное хранение персональных данных, обработка которых осуществляется в различных целях.

При хранении материальных носителей оператор должен принимать меры безопасности для исключения несанкционированного доступа к ним и обеспечить их сохранность.

Перечень мер для обеспечения таких условий, порядок их принятия, а также список лиц, ответственных за реализацию указанных мер, устанавливаются также работодателем.

Передача персональных данных

В процессе трудовой деятельности зачастую возникает необходимость передавать персональные данные работника как внутри организации, так и третьим лицам. А это означает, что работодатель должен вести их строгий учет.

Рекомендуется применять журналы учета, в которых указываются:

  • даты выдачи и возврата документа,
  • наименование документа,
  • срок пользования,
  • цель выдачи,
  • Ф.И.О. и должность лица, получившего документ с персональными данными работника.

Доступ к персональным данным работников должен осуществляться только специально уполномоченными лицами.

При этом они имеют право получать только те данные, которые необходимы для выполнения конкретных функций.

Ситуация: если документы, содержащие персональные данные, составлены более чем на одном листе – при их возврате лицо, которое получало документы, должно присутствовать лично при проверке наличия всех имеющихся документов по описи.

При этом сотрудник, получающий личное дело другого работника во временное пользование, не имеет права делать в нем какие-либо пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые.

Работодателю следует вести журнал учета выдачи персональных данных работников организациям и государственным органам, в котором необходимо регистрировать поступающие запросы, фиксировать сведения о лице, направившем запрос, дату передачи персональных данных или уведомления об отказе в их предоставлении и отмечать, какая именно информация была передана.

Для повышения уровня защиты персональной информации в систему учета можно ввести обязательное проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также устанавливать порядок работы с ними. В этой связи следует разработать и вести журнал проверок наличия документов, содержащих персональные данные работника.

Размер ответственности за нарушения

В соответствии со ст. 13.11 КоАП РФ нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа:

  • на граждан – от 300 до 500 руб.;
  • на должностных лиц – от 500 до 1000 руб.;
  • на юридических лиц – от 5000 до 10 000 руб.

Помимо организации ответственность за нарушение несет ее руководитель как должностное лицо.

В соответствии со ст. 13.

14 КоАП РФ разглашение персональной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:

  • на граждан – от 500 до 1000 руб.;
  • на должностных лиц – от 4000 до 5000 руб.

Если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных других сотрудников, то его могут привлечь к административной ответственности в виде штрафа.

Персональные данные относятся к сведениям, которые охраняются федеральным законом. Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, также является основанием для привлечения к дисциплинарной ответственности (ст. 90 ТК РФ).

Статья 137 Уголовного кодекса за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрируемом произведении или средствах массовой информации предусматривает:

  • или штраф в сумме до 200 тыс. руб.,
  • или штраф в размере заработной платы либо иного дохода осужденного за период до 18 месяцев,
  • или обязательные работы на срок от 120 до 180 часов,
  • или исправительные работы на срок до одного года,
  • или арест на срок до четырех месяцев.

А часть 2 указанной статьи предусматривает, что те же деяния, совершенные лицом с использованием своего служебного положения, наказываются

  • или штрафом в сумме от 100 тыс. до 300 тыс. руб.,
  • или штрафом в размере заработной платы либо иного дохода осужденного за период от одного года до двух лет,
  • или лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет,

или арестом на срок от четырех до шести месяцев.

Источник: https://www.klerk.ru/boss/articles/449381/

Юридические гарантии защиты персональных данных работника в трудовом законодательстве РФ

Уварова Ю. А. Юридические гарантии защиты персональных данных работника в трудовом законодательстве РФ // Молодой ученый. — 2018. — №19. — С. 328-330. — URL https://moluch.ru/archive/205/50327/ (дата обращения: 20.11.2019).



Человек оставляет соответствующую информацию в отделах кадров, в социальных службах, в сфере услуг. Распространение такой информации без согласия самого человека может причинить не только моральный вред, но и материальный ущерб.

  • В настоящее время сведения конфиденциального характера признаны объектом организационно-правовой защиты, так как при определенных условиях является производной от конституционного права на неприкосновенность частной жизни [1].
  • При заключении трудового договора работодатель стремится в получении максимально полной информации о работниках, так как она необходима для соблюдения прав и законных интересов самого работника.
  • Таким образом, работодателю могут стать известны следующие персональные данные:
  • – фамилия, имя, отчество, дата и место рождения;
  • – сведения о состоянии в браке и наличии детей;
  • – сведения медицинского характера;
  • – сведения о доходах, расходах;
  • – сведения о наличии (отсутствии) судимости.
  • Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера», определил персональные данные как «сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность» [6].
  • Защита персональных данных граждан осуществляется на основе Конституции РФ и Федеральных законов.
  • Обработка и защита персональных данных работников регулируется, в первую очередь, положениями главы 14 ТК РФ.
  • Согласно Федеральному закону «О персональных данных» персональные данные это «любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных)» [5].
  • В целях защиты персональных данных, хранящихся у работодателя, работник имеет право на:
  • – полную информацию об их персональных данных и обработке этих данных;

– свободный и бесплатный доступ к своим персональным данным, включая право на получение любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом. Так, в соответствии со ст. 62 ТК РФ работодатель обязан не позднее трех дней безвозмездно выдать работнику документы, связанные с работой;

  1. – определение своих представителей для защиты своих персональных данных;
  2. – привлечение медицинского специалиста для доступа к своим медицинским данным;
  3. – требования об исключении или исправлении неверных, или неполных персональных данных, а также данных, обработанных с нарушением требований ТК РФ или иного Федерального закона;
  4. – обжалование в судебных инстанциях любых неправомерных действий (бездействий) работодателя при обработке и защите его персональных данных [3].
  5. Трудовым законодательством не предусмотрена обязанность работников сообщать работодателя обо всех изменениях в их персональных данных.

Если же данные права нарушаются, то согласно ст. 90 ТК РФ к ответственности за нарушения положений законодательства РФ, регулирующих обработку и защиту персональных данных работника, могут быть привлечены как работодатели, так и конкретные должностные лица, в трудовые функции которых входит обработка и защита персональных данных работников [3].

  • Они привлекаются к следующим видам ответственности:
  • – дисциплинарная;
  • – административной;
  • – уголовной;
  • – гражданско-правовой;
  • – материальной.
  • В соответствии со статьей 243 ТК РФ, материальная ответственность возлагается на правонарушителя в полном размере причиненного ущерба за разглашение информации, которая напрямую связана с персональными данными других лиц [3].

Дисциплинарная ответственность на работника, распространившего персональные данные другого работника, может возлагаться в виде увольнения. При этом, в зависимости от степени и тяжести совершенного правонарушения, увольнение может быть заменено иным дисциплинарным наказанием, например, в виде выговора или замечания.

Административная ответственность наступает за нарушения порядка сбора, хранения и распространения персональных данных и влечет за собой предупреждение или штраф в размере: от 300 до 500 рублей — для физических лиц; от 500 до 1000 — должностных лиц; от 5000 до 10000 — для юридических лиц. Также данная ответственность может наступить за несвоевременное предоставление запрошенной информации либо за предоставление заведомо недостоверной информации [4].

Кроме того, Уголовным кодексом РФ предусмотрена уголовная ответственность за неправомерный отказ в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам гражданина. Также уголовной ответственности подлежит лицо, которое при использовании своего служебного положения нарушило неприкосновенность частной жизни, в частности персональных данных [2].

Литература:

Источник: https://moluch.ru/archive/205/50327/

Ссылка на основную публикацию
Adblock
detector