Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Обработка персональных данных работодателем». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.
По общему правилу, если Вы обрабатываете (например, храните обращения граждан), то всегда лучше иметь согласие лица на обработку его персональных данных. Примерную форму такого согласия можно найти по ссылке.
Существуют ли четкие правила хранения персональных данных?
Многие начинающие бизнесмены полагают, что для урегулирования вопросов, касающихся операций с ПДн, есть четкие инструкции, используя которые получится сформировать четкие правила и привести деятельность в соответствии с законодательными требованиями. На практике единого подхода к решению вопроса нет. Это значит, что каждый руководитель или ИП самостоятельно (или делегируя обязательства на заместителя либо руководителя отдела кадров):
- разрабатывает регламент хранения персональных данных;
- определяет, где они будут находиться;
- подбирает и одобряет предпринимаемые меры защиты и ограничения доступа;
- назначает сотрудников, которые будут нести ответственность за контроль операций с личными сведениями;
- выбирает те или иные виды наказаний за нарушения правил;
- подписывает внутренние распоряжения.
Сбор, обработка и хранение персональных данных на бумажных и электронных носителях
Выделяют сведения о субъектах, сохраняемые в бумажном и электронном виде. Каждый вариант есть свои плюсы, минусы и особенности. Нередко информация дублируется для эффективного выполнения рабочих задач и в целях безопасности.
- Электронное хранение предполагает создание защищенных ИСПДн, которые в автоматическом режиме фиксируют и обрабатывают большие массивы данных. В таком случае не нужно много места или закупки закрывающихся шкафов и сейфов, а отыскать интересующие сведения можно за пару секунд, к тому же при серьезном подходе к обеспечению защиты нет риска кражи или утечки ПДн. Из недостатков следует отметить наличие затрат на оснащение современным программным обеспечением, потребность в постоянном создании резервных копий, а также регулярное обновление оборудования.
- Правила хранения персональных данных на бумажных носителях предполагают размещение личных дел в сейфах в алфавитном порядке в зависимости от регистрационного номера. Остальные сведения размещаются согласно внутреннему регламенту, то есть работодатель может сам выбрать место для папок-накопителей, определить ответственных за безопасность сотрудников и установить ограничение доступа. К плюсам бумажных носителей можно отнести оптимизацию учета ПДн, минимальное время поиска информации. К минусам можно отнести существенные финансовые расходы на сейфы, необходимость дополнительного обучения новых сотрудников отдела кадров, потребность в большом свободном и защищенном пространстве (если фирма большая и личных дел много).
Что относится к персональным данным работника
Персональные данные работника — это любая информация прямо или косвенно относящаяся к сотруднику, имеющаяся у работодателя.
К персональным данным относятся:
- фамилия, имя, отчество;
- пол, возраст;
- паспортные данные, СНИЛС, ИНН;
- образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
- место жительства;
- семейное положение, наличие детей, родственные связи;
- факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
- финансовое положение. Сведения о заработной плате также являются персональными данными (Письмо Роскомнадзора от 07.02.2014 N 08КМ-3681);
- деловые и иные личные качества, которые носят оценочный характер;
- номер телефона или электронная почта;
- прочие сведения, которые могут идентифицировать человека.
Хранение и использование персональных данных
В соответствии со ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем. Работодатель должен издать соответствующий локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного их использования или утраты. С соответствующим актом, а также со своими правами в сфере защиты персональных данных работники должны быть ознакомлены под подпись.
Работодатель утверждает перечень сотрудников, которые будут обрабатывать персональные данные и которые имеют к ним доступ. Чаще всего это входит в обязанности бухгалтера и кадрового специалиста. Таким сотрудникам будут доступны только те данные, которые необходимы для выполнения конкретных функций, то есть по конкретным направлениям их деятельности (ст. 88 ТК РФ).
Порядок допуска к персональным данным сотрудников закон не устанавливает. Поэтому работодатель вправе определить его самостоятельно и прописать в локальном акте организации, например, в Регламенте допуска работников к обработке персональных данных. В этом документе также необходимо указать конкретный перечень сотрудников, которые имеют доступ к персональным данным других сотрудников.
Также издайте приказ, в котором пропишите должности и фамилии сотрудников, а также закрепленные за ними объекты обработки персональных данных.
- Персональные данные – конфиденциальная информация, которая идентифицирует конкретного человека (субъекта ПД).
- Оператор персональных данных – юридическое или физическое лицо, которое осуществляет их сбор, обработку и хранение. Он обязан обеспечить надежную защиту информации.
- Правила обработки ПД регламентируются законодательством (ГК, ТК, УК, КоАП). Нарушения влекут правовую ответственность – вплоть до уголовного преследования.
Что значит обрабатывать персональные данные
Понятие обработки включает все возможные законные действия, которые уполномоченные лица могут производить с получаемыми ими конфиденциальными данными:
- сбор;
- фиксация;
- систематизация;
- накопление;
- сбережение;
- защита;
- передача;
- использование.
Лицо или орган, производящее эти действия, называется оператором. При любых операциях с персональными данными он должен соблюдать следующие принципы:
- Соответствие способов обработки личных сведений и их целей требованиям законодательства РФ.
- Цели, задекларированные при сборе данных, должны совпадать с целями обработки.
- Выбирать способы обработки нужно в соответствии с заявленными целями.
- Все требования касаются только полных и достоверных персональных данных.
- Разглашать полученную информацию или ее часть без письменного согласия владельца строго запрещено законом.
5.1. В случае изменения действующего законодательства РФ, внесения изменений в нормативные документы по защите персональных данных настоящее Положение действует в части, не противоречащей действующему законодательству до приведения его в соответствие с такими.
5.2. Условия настоящего Положения устанавливаются, изменяются и отменяются Оператором в одностороннем порядке без предварительного уведомления Пользователя. С момента размещения на Сайте новой редакции Положения предыдущая редакция считается утратившей свою силу. В случае существенного изменения условий настоящего Соглашения Оператор извещает об этом Пользователей путем размещения на Сайте соответствующего сообщения.
5.3. Если Пользователь не согласен с условиями настоящего Положения, то он должен немедленно удалить свой профиль с Сайта, в противном случае продолжение использования Пользователем Сайта означает, что Пользователь согласен с условиями настоящего Положения.
Если вы оператор-коммерсант
В случае если вы не только работодатель, но еще и организация, которая в силу специфики коммерческой деятельности или вида деятельности получаете и обрабатываете персональные данные физических лиц, не связанных с вами трудовыми или гражданско-правовыми отношениями, то помимо организационно-технических мер, приведенных выше, также следует:
- разработать и утвердить локальный нормативный акт, который определит не только способы обработки и условия хранения полученных персональных данных, но и цели, для которых вам таковые необходимы; при этом отдельное внимание надо уделить уничтожению полученной информации и обезличиванию;
- при разработке методов и способов защиты персональных данных, обрабатываемых в информационных системах, придется особенно активно поработать с классификацией информационных систем, исходя из состава персональных данных, к которым такой оператор получает доступ, основываясь на приказе ФСТЭК РФ № 55, ФСБ РФ № 86, Мининформсвязи РФ № 20 от 13 февраля 2008 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных»;
- в случае если при обеспечении защиты персональных данных в информационных системах будут применяться средства защиты с использованием шифрования (криптографии), то необходимо учитывать, что на основании статьи 17 Закона «О лицензировании отдельных видов деятельности» от 8 августа 2001 г. № 128-ФЗ ряд видов деятельности, связанных с обеспечением конфиденциальности информации, подлежат лицензированию;
- в статье 22 закона «О персональных данных» закреплена обязанность за каждым оператором, который выступает в качестве такового, не только в связи с трудовыми отношениями, по уведомлению Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзора) о своем намерении осуществлять обработку персональных данных до начала их обработки. После такого уведомления в течение 30 дней оператор будет включен в реестр операторов. Однако этим же законом установлены случаи, в которых уведомление о предполагаемой обработке персональных данных не требуется.
В дополнение ко всем вышеизложенным инструкциям важно запомнить, что на каждом предприятии, как правило, существует входная система контроля доступа лиц на территорию организации. Обычно для оформления пропуска сотрудники службы охраны запрашивают документ, удостоверяющий личность визитера, а следовательно, начинают обработку персональных данных такового, внося соответствующею информацию в журнал учета посетителей. Для легализации этого процесса, исходя из приведенных выше нормативно-правовых актов, необходимо также и для таких случаев работы с персональными данными определить способы обработки, хранения и уничтожения полученной информации в соответствующем ЛНА (например: Положение о службе безопасности, Положение о контрольно-пропускном режиме и т. п.).
1.1. Психологические данные, полученные посредством психодиагностического обследования, а также данные, включающие в себя сведения о фактах, событиях, обстоятельствах личной жизни и состоянии здоровья профессиональных контингентов МЧС России, ставшие известными специалистам психологической службы МЧС России в ходе реализации мероприятий по психодиагностическому обеспечению в МЧС России, относятся к персональным данным.
1.2. Специалисты психологической службы МЧС России в ходе выполнения профессиональных обязанностей имеют право производить действия (операции) с персональными данными в части касающейся, включающие в себя сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передачу в установленном порядке, обезличивание, блокирование, уничтожение.
1.3. Действия (операции) с персональными данными должны осуществляться на основе принципов:
— законности целей и способов действий (операций) с персональными данными и добросовестности;
— соответствия целей действий (операций) с персональными данными целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям специалистов психологической службы МЧС России;
— соответствия объема, характера обрабатываемых персональных данных и способов их обработки целям действий (операций) с персональными данными;
— достоверности и научной обоснованности персональных данных, их достаточности для целей действий (операций) с персональными данными;
— недопустимости действий (операций) с персональными данными, избыточными по отношению к целям, заявленным при сборе персональных данных;
— недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
1.4. Персональные данные, полученные специалистами психологической службы МЧС России посредством психодиагностических обследований профессиональных контингентов МЧС России, предназначены для служебного пользования, не подлежат разглашению и публичному распространению.
Порядок оформления доступа к персональным данным лица, осуществляющего обработку персональных данных
Во время проверок контролирующие органы уделяют внимание документам, которые регулируют политику компании по обработке ПДн, достаточности мер защиты от неправомерного использования информации, правилам доступа к конфиденциальной информации.
Поэтому компания должна правильно оформить лицо, ответственное за обработку данных:
- Издать приказ о назначении ответственного лица и ознакомить с приказом сотрудника под подпись.
- Внести соответствующие дополнения в должностную инструкцию и (или) трудовой договор.
- Если до назначения сотрудника за безопасность ПДн отвечали другие работники, издать приказ и снять с них ответственность за организацию обработки информации. При этом обязанность работников не разглашать данные необходимо сохранить.
- Составить перечень работников, которые допущены к обработке данных и утвердить перечень приказом.
- Со всеми приказами работники должны быть ознакомлены под подпись.
Возвращаясь к Административному регламенту проведения проверок Роскомнадзором, надо учесть, что проверочные мероприятия могут быть как плановые, так и внеплановые.
При этом плановые проверки будут назначаться как в отношении операторов, включенных в реестр, так и операторов, не включенных в реестр, но осуществляющих обработку персональных данных.
В свою очередь внеплановые проверки возможны в случае нарушений в области обеспечения защиты персональных данных операторами, информация о которых может быть получена проверяющим органом не только в ходе проведения плановых проверочных мероприятий, но и в случае получения соответствующей информации от третьих лиц, например, от работников предприятия, государственных органов, осуществляющих смежные контрольные функции.
Другие структуры, где могут сохраняться сведения о гражданах
Зная сроки хранения ПДн в организации, субъекты полагают, что после их завершения и уничтожения либо обезличивания нигде больше личные сведения не сохраняются, но это не так. Информация остается в единой системе пенсионного страхования, где её хранят в течение 60 лет. Главные критерии, которые установлены законом в отношении документов, содержащих ПДн работников:
- наличие информации о персональном счете человека, который застрахован;
- письменная форма установленного образца с оригиналом подписи владельца ПДн;
- создание электронного дубликата с индивидуальной ЭЦП;
- присутствие данных о перечисленных взносах и налоговых отчислениях из зарплаты и других выплат ПФ России;
- подача руководителем компании в Фонд Соцстраха.
Что такое персональные данные
Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) определяет персональные данные как любую информацию, прямо или косвенно относящуюся к физическому лицу (субъекту персональных данных). Об этом сказано в п. 1 ст. 3 Закона N 152-ФЗ.
Согласно ч. 1 ст. 85 Трудового кодекса под персональными данными сотрудника понимают информацию, касающуюся конкретного работника, которая необходима работодателю в связи с трудовыми отношениями. Речь идет о таких данных, как:
- фамилия, имя, отчество;
- дата и место рождения;
- пол;
- адрес;
- семейное положение;
- должность (профессия);
- зарплата, другие доходы;
- владение недвижимым имуществом, денежные вклады и др.;
- образование, квалификация, профессиональная подготовка, сведения о повышении квалификации;
- привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);
- факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
- физиологические особенности, здоровье;
- деловые и иные личные качества;
- другие сведения.
Перечень кадровых документов, в которых содержатся персональные данные работников, приведен в табл. 1 на с. 76.
Оператор по обработке персональных данных
Согласно Закону N 152-ФЗ лицо (юридическое или физическое), которое организует и (или) осуществляет обработку персональных данных, определяет их состав, цели обработки, действия, совершаемые с персональными данными, называют оператором (п. 2 ст. 3 Закона N 152-ФЗ). В нашем случае это работодатель.
Обработка персональных данных — любое совершаемое с ними действие. Операции по обработке персональных данных:
- сбор;
- запись;
- систематизация;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передача (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление;
- уничтожение персональных данных.
Персональные данные работников
Трудовой Кодекс РФ вводит дополнительные особенности обработки и хранения ПДн:
-
Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества. На первый взгляд может показаться, что ПДн работников в рекламных и маркетинговых целях использовать нельзя, однако это не так.
-
Все персональные данные работника следует получать у него самого. Если это невозможно, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
-
Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения ПДн, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
-
Работодатель не имеет права получать и обрабатывать специальные категории персональных данных (расовая, национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни), за исключением особых случаев, указанных в законе. Аналогично и в отношении членства в общественных объединениях или профсоюзной деятельности
-
При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
-
Работники должны быть ознакомлены с Политикой обработки ПДн и иные документами в этой сфере.