No Image

Учет персональных данных в организации

СОДЕРЖАНИЕ
0 просмотров
16 ноября 2019

Статья 87. Хранение и использование персональных данных работников

1. Федеральный закон "О персональных данных" устанавливает требование, которому должно соответствовать хранение персональных данных, а именно: хранение необходимо осуществлять в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении (ст. 5).

В случае если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке (ст. 6 Федерального закона "О персональных данных").

2. В Квалификационном справочнике должностей руководителей, специалистов и других служащих, утвержденном постановлением Минтруда России от 21 августа 1998 г. N 37*(116), в разделе "Должностные обязанности" квалификационных характеристик ряда должностей руководителей и специалистов, предусмотрено выполнение трудовых обязанностей на основе персональных данных работников или с их использованием.

К этим должностям относятся:

— главный специалист по защите информации (руководит выполнением работ по комплексной защите информации; участвует в работе по созданию безопасных информационных технологий, отвечающих требованиям комплексной защиты информации; выполняет весь комплекс работ, связанных с контролем и защитой информации; обеспечивает контроль за соблюдением действующего законодательства при решении вопросов, касающихся защиты информации; координирует деятельность подразделений и специалистов по защите информации в организации);

— заместитель директора по управлению персоналом (организует управление формированием, использованием и развитием персонала организации; возглавляет работу по формированию кадровой политики, определению ее основных направлений; организует разработку и реализацию комплекса планов и программ по работе с персоналом с целью привлечения и закрепления на предприятии работников требуемых специальностей и квалификации; проводит работу по формированию и подготовке резерва кадров для выдвижения на руководящие должности и т.д.);

— менеджер по персоналу (определяет потребность в персонале, изучает рынок труда с целью определения возможных источников обеспечения необходимыми кадрами; осуществляет подбор кадров, проводит собеседования с нанимающимися на работу, в том числе с выпускниками учебных заведений, с целью комплектования штата работников; организует обучение персонала, координирует работу по повышению квалификации сотрудников и развитию их деловой карьеры; организует проведение оценки результатов трудовой деятельности работников, аттестаций, конкурсов на замещение вакантных должностей; совместно с руководителями структурных подразделений участвует в принятии решений по вопросам найма, перевода, продвижения по службе, понижения в должности, наложения административных взысканий, а также увольнения работников; разрабатывает систему оценки деловых и личностных качеств работников, мотивации их должностного роста; принимает участие в разрешении трудовых споров и конфликтов; составляет и оформляет трудовые договоры; ведет личные дела работников и другую кадровую документацию);

— начальник отдела кадров (возглавляет работу по комплектованию организации кадрами рабочих и служащих требуемых профессий, специальностей и квалификации в соответствии с целями, стратегией и профилем организации, формированию и ведению банка данных о количественном и качественном составе кадров, их развитии и движении; принимает участие в разработке кадровой политики и кадровой стратегии предприятия; осуществляет работу по подбору, отбору и расстановке кадров на основе оценки их квалификации, личных и деловых качеств; осуществляет планомерную работу по созданию резерва для выдвижения работников; организует проведение аттестации работников, ее информационное обеспечение, принимает участие в анализе результатов аттестации; осуществляет хранение и заполнение трудовых книжек и ведение установленной документации по кадрам; проводит работу по созданию банка данных о персонале предприятия, его своевременному пополнению, оперативному предоставлению необходимой информации пользователям и т.д.), а также главный бухгалтер, начальник отдела по подготовке кадров и др.

Среди должностей специалистов назовем бухгалтера, документоведа, инженера по защите информации, инженера по подготовке кадров, инженера по кадрам, инспектора по кадрам, специалиста по защите информации, специалиста по кадрам, техника по защите информации, экономиста по труду и др.

Должностные обязанности ряда технических исполнителей фактически предусматривают (в определенных случаях) работу с персональными данными работников. Например, в должностных обязанностях секретаря руководителя предусмотрено принимать документы и личные заявления на подпись руководителя предприятия.

Включение функций, связанных с персональными данными, в должностные обязанности работников определяет соответствующее право работодателя, разрабатывая на их основе должностные инструкции, локальные нормативные акты (правила внутреннего трудового распорядка, коллективный договор, положение о персонале и др.), а также трудовые договоры, предусмотреть положения о порядке защиты персональных данных работников организации. В частности, он устанавливает круг лиц, имеющих право на получение персональных данных работников, основания их получения, условия, обеспечивающие сохранность передаваемых данных, сроки пользования этой информацией.

3. На работодателя возлагается обязанность обеспечить хранение первичной учетной документации по учету труда и его оплаты в организации, к которой относятся документы по учету кадров, документы по учету использования рабочего времени и расчетов с персоналом по оплате труда. Унифицированные формы первичной учетной документации по учету труда и его оплаты утверждены постановлением Госкомстата России от 5 января 2004 г. N 1 (см. п. 8 комментария ст. 85).

4. Трудовые книжки и дубликаты трудовых книжек, не полученные работниками при увольнении, в случае смерти работника — его ближайшими родственниками, хранятся до востребования у работодателя (п. 43 Правил ведения и хранения трудовых книжек, изготовления бланков трудовой книжки и обеспечения ими работодателей). Согласно Перечню типовых документов, образующихся в деятельности госкомитетов, министерств, ведомств и других учреждений, организаций, предприятий, с указанием сроков хранения, утвержденному Главархивом СССР 15 августа 1988 г., не востребованные трудовые книжки хранятся не менее 50 лет*(117).

5. В распоряжении Правительства РФ от 21 марта 1994 г. N 358-р "Об обеспечении сохранности документов по личному составу"*(118) учредителям вновь образующихся коммерческих и некоммерческих организаций рекомендовано включать в свои учредительные документы правила учета и сохранности документов по личному составу, а также своевременной передачи их на государственное хранение при реорганизации или ликвидации юридического лица.

6. Статьей 8 Федерального закона "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования" установлено, что срок хранения органами Пенсионного фонда РФ сведений, составляющих содержание общей части индивидуального лицевого счета застрахованного лица, представленных в виде документов в письменной форме, а также документов в электронной форме, юридическая сила которых подтверждена электронной цифровой подписью в соответствии с законодательством РФ, содержащих сведения о страховых взносах и страховом стаже и представляемых в Пенсионный фонд РФ работодателями для целей индивидуального (персонифицированного) учета в системе обязательного пенсионного страхования, составляет не менее шести лет.

Срок хранения в вышеуказанных формах документов, содержащих иные сведения, составляет не менее трех лет. Уничтожение документов индивидуального (персонифицированного) учета, содержащих сведения о страховых взносах и страховом стаже, по истечении установленного срока их хранения производится после ознакомления застрахованного лица (работника) со сведениями, содержащимися в его индивидуальном лицевом счете за соответствующий период, и вручения ему указанных сведений.

7. Порядок хранения персональных данных, личных дел гражданских служащих установлен Федеральным законом "О системе государственной службы Российской Федерации", Федеральным законом "О государственной гражданской службе Российской Федерации" и Указом Президента РФ "Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела".

8. Трудовым кодексом также установлено, что второй экземпляр акта о несчастном случае на производстве, акта о расследовании группового несчастного случая на производстве, тяжелого несчастного случая на производстве, несчастного случая на производстве со смертельным исходом вместе с копиями материалов расследования хранится в течение 45 лет работодателем (его представителем), у которого произошел данный несчастный случай (ч. 6 ст. 230, ч. 2 ст. 230.1).

Акт о случае профессионального заболевания вместе с материалами расследования хранится в течение 75 лет в центре государственного санитарно-эпидемиологического надзора и в организации, где проводилось расследование этого случая профессионального заболевания. Если организация ликвидируется, акт передают для хранения в центр государственного санитарно-эпидемиологического надзора (п. 33 Положения о расследовании и учете профессиональных заболеваний, утвержденного постановлением Правительства РФ от 15 декабря 2000 г. N 967*(119)).

Читайте также:  Условия временной регистрации в москве

9. Наличие трудовых отношений требует от работодателя (организации, индивидуального предпринимателя) обеспечения сохранности персональных данных работника, предоставляемых им как при заключении трудового договора, так и в процессе трудовой деятельности. Это определяет необходимость разработки и принятия локального нормативного акта. Работодатель принимает такой акт без учета мнения представительного органа работников.

Локальный нормативный акт, посвященный защите персональных данных работников в организации, разрабатывается работодателем на основе положений законодательства с учетом специфики деятельности организации.

В локальном нормативном акте о защите персональных данных работников организации закрепляются положения:

— о персональных данных работников, необходимых работодателю в связи с трудовыми отношениями;

— о круге должностных лиц, имеющих право получить у работника информацию, относящуюся к его персональным данным;

— о хранении персональных данных на бумажных и электронных носителях в предназначенном для этого помещении;

— об основных условиях проведения обработки персональных данных работников;

— о круге должностных лиц, имеющих право на доступ к персональным данным, которые необходимы им для выполнения своих должностных обязанностей, порядок их предоставления;

— о должностном лице, ответственном за организацию и хранение персональных данных работников;

— о должностном лице, осуществляющем контроль за хранением персональных данных работников;

— о передаче персональных данных работников;

— о правах работника, обеспечивающих защиту персональных данных, хранящихся у работодателя;

— об обязанностях работника в целях обеспечения достоверности его персональных данных;

— об ответственности за нарушение норм, регулирующих обработку и защиту персональных данных работников, и др.

С конца лета Закон о персональных данных действует в новой редакции. Изменились правила получения и защиты информации. Для работодателя это означает лишь одно — дополнительный документооборот. В статье расскажем о том, как составить положение о работе с персональными данными сотрудников и назначить ответственного за организацию работы с персональными данными.

Что такое персональные данные

Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (далее — Закон N 152-ФЗ) определяет персональные данные как любую информацию, прямо или косвенно относящуюся к физическому лицу (субъекту персональных данных). Об этом сказано в п. 1 ст. 3 Закона N 152-ФЗ.

Согласно ч. 1 ст. 85 Трудового кодекса под персональными данными сотрудника понимают информацию, касающуюся конкретного работника, которая необходима работодателю в связи с трудовыми отношениями. Речь идет о таких данных, как:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • пол;
  • адрес;
  • семейное положение;
  • должность (профессия);
  • зарплата, другие доходы;
  • владение недвижимым имуществом, денежные вклады и др.;
  • образование, квалификация, профессиональная подготовка, сведения о повышении квалификации;
  • привычки и увлечения, в том числе вредные (алкоголь, наркотики и др.);
  • факты биографии и предыдущая трудовая деятельность (место работы, размер заработка, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • физиологические особенности, здоровье;
  • деловые и иные личные качества;
  • другие сведения.

Перечень кадровых документов, в которых содержатся персональные данные работников, приведен в табл. 1 на с. 76.

Таблица 1. Документы, в которых содержатся персональные данные работников

N Документ Сведения
1 Анкета, автобиография, личный
листок по учету кадров
(заполняется при приеме на
работу)
Анкетные и биографические данные
работника
2 Копия документа,
удостоверяющего личность
работника
Ф.И.О., дата рождения, адрес
регистрации, семейное положение,
состав семьи
3 Личная карточка (форма N Т-2,
утверждена Постановлением
Госкомстата России
от 05.01.2004 N 1)
Ф.И.О. работника, место его рождения,
состав семьи, образование, а также
данные документа, удостоверяющего
личность
4 Трудовая книжка Сведения о трудовом стаже, предыдущих
местах работы
5 Копии свидетельств о заключении
брака, рождении детей
Состав семьи, изменения в семейном
положении
6 Документы воинского учета Информация об отношении работника к
воинской обязанности, необходимая
работодателю для осуществления
воинского учета работников
7 Справка о доходах с предыдущего
места работы
Ф.И.О., данные о сумме дохода и
удержанного НДФЛ
8 Документы об образовании Подтверждают квалификацию работника,
обосновывают занятие определенной
должности
9 Документы обязательного
пенсионного страхования
Ф.И.О., личные данные
10 Трудовой договор Сведения о должности работника,
заработной плате, месте работы,
рабочем месте, а также иные
персональные данные работника
11 Приказы по личному составу Информация о приеме, переводе,
увольнении и иных событиях,
относящихся к трудовой деятельности
работника

Оператор по обработке персональных данных

Согласно Закону N 152-ФЗ лицо (юридическое или физическое), которое организует и (или) осуществляет обработку персональных данных, определяет их состав, цели обработки, действия, совершаемые с персональными данными, называют оператором (п. 2 ст. 3 Закона N 152-ФЗ). В нашем случае это работодатель.

Обработка персональных данных — любое совершаемое с ними действие. Операции по обработке персональных данных:

  • сбор;
  • запись;
  • систематизация;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передача (распространение, предоставление, доступ);
  • обезличивание;
  • блокирование;
  • удаление;
  • уничтожение персональных данных.

Положение о работе с персональными данными

Порядок выполнения обработки оператором персональных данных может быть установлен в Положении о работе с персональными данными сотрудников (далее — Положение). Унифицированной формы документа нет. Рассмотрим, как составить этот документ с учетом требований Закона N 152-ФЗ. Положение состоит из нескольких разделов. Они представлены в табл. 2. В ней же кратко указаны сведения, которые должны содержать разделы. Развернутая информация представлена во фрагменте Положения о персональных данных работников, которое приведено на с. 80.

Таблица 2. Структура Положения о персональных данных работников

N Обязанность Содержание раздела
1 Общие положения Цель принятия Положения
Вопросы, которые регулирует Положение
Ссылки на нормативные акты. Указывают, на
основании каких документов составляется
Положение.
В организациях, где работают государственные
гражданские служащие, дается ссылка на:
— Федеральный закон от 27.07.2004 N 79-ФЗ
"О государственной гражданской службе Российской
Федерации";
— Указ Президента РФ от 30.05.2005 N 609 "Об
утверждении Положения о персональных данных
государственного гражданского служащего
Российской Федерации и ведении его личного
дела";
— нормативные акты субъекта РФ
2 Основные понятия.
Состав персональных
данных работников
Основные понятия. Даются определения понятий
"персональные данные", "обработка персональных
данных", "использование персональных данных",
указывается срок хранения документов и т.д.
Отдельно должно быть указано, что относится к
персональным данным в конкретной компании с
учетом ее особенностей (данные, используемые в
работе, например сведения о работе на режимных
объектах, об оформлении допуска к
государственной тайне, о соответствии здоровья
для профессий, связанных с тяжелыми и вредными
условиями, и т.д.)
Перечень документов организации, которые
содержат персональные данные
3 Получение
персональных данных
работников
Процедура получения персональных данных.
Указывается, что данные получают и обрабатывают
на основании письменного согласия работника.
Указываются случаи, когда согласие не нужно
4 Использование
персональных данных
Цели использования личной информации сотрудников
5 Обработка
персональных данных
Условия, соблюдаемые при обработке персональных
данных работника
6 Передача
персональных данных
(доступ к
персональным данным)
Порядок передачи персональных данных внутри
организации (внутренний доступ), сторонним лицам
и государственным органам (внешний доступ)
7 Ответственность за
нарушение норм,
регулирующих
обработку и защиту
персональных данных
Указывают тех, кто несет ответственность за
нарушение правил хранения и использования
персональных данных

Фрагмент Положения о персональных данных работников

Введение Положения в действие

Положение о персональных данных утверждается руководителем компании и вводится в действие приказом по организации (образец приведен на с. 90). Запись об утверждении Положения нужно сделать в журнале регистрации локальных нормативных актов.

Образец приказа

Если есть профсоюз

Если в компании есть профсоюз, с ним нужно согласовать Положение. Для этого проект положения направляют в выборный орган профсоюза (ст. 372 ТК РФ). Тот должен выразить свое мнение (в письменной форме) не позднее пяти рабочих дней со дня получения проекта. Если профсоюз не согласен с проектом или имеет предложения по его совершенствованию, у администрации есть два выхода. Первый — согласиться. Второй — в течение трех дней после получения мотивированного мнения провести дополнительные консультации с профсоюзом в целях достижения взаимоприемлемого решения. Если и это не поможет, следует оформить протокол разногласий. После этого администрация имеет право принять Положение без учета требований профсоюза. Однако тот сможет обжаловать Положение или начать процедуру коллективного трудового спора в порядке, предусмотренном гл. 61 Трудового кодекса.

Читайте также:  Неполная уплата налога ответственность

Ознакомление работников с Положением

Работники должны быть ознакомлены с Положением под роспись (п. 8 ст. 86 ТК РФ). Данный факт может фиксироваться:

  • в тексте трудового договора каждого работника (перечисление локальных нормативных актов, с которыми работник ознакомлен до подписания договора);
  • — листе ознакомления с Положением (образец на с. 91);
  • — журнале ознакомления работников с локальными нормативными актами (образец на с. 91).

Образец листа ознакомления с локальными нормативными актами

N
п/п
Наименование локального нормативного акта Дата Подпись
1 Правила внутреннего трудового распорядка
ООО "Черный лес"
03.10.2011 Евстахов
2 Положение об оплате труда, премировании и
социальном обеспечении сотрудников ООО "Черный
лес"
03.10.2011 Евстахов
3 Инструкция по информационной безопасности,
утвержденная Приказом от 15.06.2008 N 1
03.10.2011 Евстахов
4 Положение о персональных данных 03.10.2011 Евстахов
5 Положение о материальной ответственности
работников за ущерб, причиненный ООО "Черный лес"
03.10.2011 Евстахов

Фрагмент журнала ознакомления с Положением о персональных данных

N
п/п
Ф.И.О. работника Дата
ознакомления
Подпись
1 Алексеева Диана Николаевна 15.08.2011 Алексеева
2 . . .
6 Евстахов Сергей Сергеевич 03.10.2011 Евстахов
7 . . .
8 . . .
9 . . .

Примечание. Срок хранения персональных данных

Локальные нормативные акты (положения, инструкции) о персональных данных должны храниться постоянно. Что касается заявлений работников о согласии на обработку данных (о них будет рассказано в следующих номерах), других документов работника, то они хранятся 75 лет. Об этом говорится в Перечне, утвержденном Приказом Минкультуры России от 25.08.2010 N 558.

Административная ответственность

Меры административной ответственности (в основном предусмотрены штрафы, дисквалификация в данном случае не применяется) для предприятия и его должностных лиц за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников приведены в табл. 3.

Таблица 3. Ответственность за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников

Нарушение Ответственность Норма
законодательства
Нарушение установленного законом
порядка сбора, хранения,
использования или распространения
информации о гражданах
(персональных данных)
Для должностных лиц:
от 500 до 1000 руб.;
для юридических лиц:
от 5000 до 10 000
руб.
Статья 13.11
КоАП РФ
Разглашение информации, доступ к
которой ограничен (персональных
данных), лицом, получившим к ней
доступ в связи с исполнением
служебных или профессиональных
обязанностей
Для должностных лиц:
от 4000 до 5000 руб.
Статья 13.14
КоАП РФ

Ответственный за организацию работы с персональными данными работников

Ответственного за сбор, обработку, хранение персональных данных работников назначает руководитель организации. Для этого следует издать приказ (образец которого приведен на с. 92).

Образец приказа

Этим же приказом может быть установлен список лиц, имеющих доступ к персональным данным. Указанный список не возбраняется утвердить и отдельным приказом руководителя.

Как правило, ответственными за организацию работы с персональными данными работников (их получение, обработку, хранение, защиту и т.д.) назначают следующих работников:

  • начальника отдела кадров;
  • (старшего) инспектора по кадрам;
  • директора по персоналу;
  • заместителя начальника отдела (директора по персоналу);
  • специалиста по работе с персоналом.

Может быть введена и новая должность.

Автор: А.Ю.Тьевар, старший научный редактор журнала "Зарплата"

  • Щетинина А. В. | начальник службы персонала ГК «Дон-Консультант»

Примеры документов из статьи:

— ЗАЯВЛЕНИЕ на обработку персональных данных

— Положение о персональных данных

— ПРИКАЗ о назначении ответственных за обработку персональных данных

— ПРИКАЗ о назначении ответственных за обеспечение безопасности персональных данных

— ДОГОВОР Об обработке персональных данных

Определяемся с понятиями

Р оссийское законодательство вот уже более 3 лет стоит на страже неприкосновенности частной жизни, личной и семейной тайны, а также следит за обеспечением защиты прав и свобод человека и гражданина при обработке его персональных данных. Для этого законодатели приняли ряд нормативных актов, обязывающих обеспечить безопасность персональных данных, с которыми взаимодействуют различные органы власти, юридические и физические лица. Наиболее важными из этого ряда нормативных актов являются:

  • Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных),
  • Постановление Правительства РФ от 17.11.2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – Постановление № 781),
  • Постановление Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (далее – Постановление № 687).

В декабре прошлого года на заседании Госдумы принят в третьем чтении законопроект № 284213-5 «О внесении изменений в статьи 19 и 25 Федерального закона «О персональных данных». Из закона исключены требования об использовании криптографических средств защиты персональных данных. В соответствии со ст. 25 Федерального закона «О персональных данных» информационные системы персональных данных, созданные до дня вступления в силу данного закона, должны быть приведены в соответствие с требованиями законодательства не позднее 1 января 2010 года. Законопроектом же предлагается продлить этот срок до 1 января 2011 года.

Но каким образом это относится к кадровой службе? Что нового содержится в данных постановлениях и Законе, чего нет в главе 14 ТК РФ? Эти документы в первую очередь определяют порядок работы с персональными данными, они расширяют и уточняют нормы права, приведенные в ТК РФ. Во-вторых, они определяют мероприятия по обеспечению безопасности работы с персональными данными.

Давайте разберемся подробнее. Ключевыми понятиями, от которых стоит отталкиваться при определении объема работ при использовании персональных данных работников, является само понятие «персональные данные» и понятие «обработка персональных данных».

Согласно ТК РФ под персональными данными работников понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Закон «О персональных данных» расширяет и уточняет понятие. Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Таким образом, каждый работодатель, заключая трудовой договор, получает информацию, относящуюся к персональным данным. Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:

  • паспорте;
  • военном билете (у военнообязанных);
  • свидетельстве о присвоении ИНН;
  • страховом пенсионном свидетельстве;
  • документах об образовании (в том числе и дополнительного образования, если работник предоставляет их при приеме на работу или это требуется при выполнении определенных трудовых функциях);
  • в водительском удостоверении и документах на машину, если это требуется в связи с выполнением трудовой функции работника;
  • медицинской справке о прохождении медицинского осмотра (медицинской книжке), если это требуется в связи с выполнением трудовой функции работника.

Использование предприятием в своей деятельности вышеуказанных данных трактуется законодательством как «обработка персональных данных». В это понятие входят следующие действия: сбор, систематизация, накопление, хранение, уточнение, обновление, изменение, обезличивание, блокирование, уничтожение, использование, распространение и передача. Все эти операции в том или ином объеме выполняются в любой организации и на любом предприятии.

Особое внимание необходимо уделить понятию передача персональных данных, так как на работодателя в связи с ним накладывается ряд ограничений 2 . Так, собственник не имеет права:

  • сообщать персональные данные третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью последнего, а также других случаев, предусмотренных законодательством РФ;
  • сообщать персональные данные работника в коммерческих целях без его письменного согласия;
  • запрашивать информацию о состоянии здоровья, за исключением сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
Читайте также:  Меняют ли батареи в отопительный сезон

Кроме этого, работодатель должен соблюдать следующие требования:

  • предупредить лиц, получающих персональные данные работника, что такие данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от указанных лиц подтверждения, что это правило соблюдено. Лица, получающие персональные данные, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном законодательством РФ;
  • разрешать доступ к персональным данным работников лишь специально уполномоченным лицам, причем они должны получать только те персональные данные, которые необходимы для выполнения конкретных функций;
  • передавать персональные данные представителям работников в порядке, установленном законодательством РФ, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.

Необходимые документы

Для выполнения всех требований законодательства работодатель должен соблюсти ряд условий обработки персональных данных 3 . Согласно ч. 1 ст. 6 Закона «О персональных данных» обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных. Исключения приведены в ч. 2 ст. 6 Закона «О персональных данных». Так, разрешение не требуется, если «обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора». Казалось бы, ТК РФ, являясь федеральным законом, должен соответствовать данному исключению. Однако в Кодексе оговаривается некоторое множество целей обработки персональных данных и дается указание на то, что работодатель сам должен определить объем, содержание и цели обработки данных. Если этот объем превышает объем, приведенный в Трудовом кодексе, то работодателю целесообразно получить разрешение от работника на использование своих данных, то есть перед заключением трудового договора работник должен написать заявление о своем согласии на обработку персональных данных (см. Пример 1). В этом заявлении должны быть указаны следующие сведения:

  1. Ф.И.О., адрес работника, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  2. наименование и адрес работодателя, получающего согласие сотрудника;
  3. цель обработки персональных данных;
  4. перечень персональных данных, на обработку которых дается согласие работника;
  5. перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
  6. срок, в течение которого действует согласие;
  7. порядок отзыва заявления.

Остановимся подробнее на целях обработки персональных данных. В заявлении работнику стоит перечислить все возможные варианты использования его персональных данных. Например, если фамилия работника будет указана в его электронном адресе и у работника будут визитные карточки, то на данные действия необходимо получить его согласие.

Отдельно необходимо определить с работником сроки использования персональных данных после его увольнения. Так как документы сотрудника хранятся в организации в течение 75 лет, цели и характер использования этих данных, а также разрешение на их использование необходимо получить у него заблаговременно.

При этом работник может отказаться написать подобное заявление. Это его право, но целесообразно зафиксировать где-то, что он предупрежден о последствиях отказа 4 . Конечно, это бывает крайне редко, возможны варианты частичного отказа от использования персональных данных. Для того чтобы работники не отказывались от написания подобных заявлений, необходимо перед такой процедурой ознакомить его под роспись с Положением о персональных данных, которое обязательно должно быть на каждом предприятии (см. Пример 2). В данном документе необходимо отразить перечень персональных данных, предоставляемых работниками, на каких носителях и в каких местах они будут храниться, а также указать перечень мер, необходимых для обеспечения безопасности условий хранения, порядок их принятия, и список должностей, ответственных за реализацию указанных мер.

Помимо положения о персональных данных работодатель должен издать два приказа:

  • о назначении ответственных за обработку персональных данных (см. Пример 3);
  • о назначении ответственных за обеспечение безопасности персональных данных (см. Пример 4).

Далее согласно ст. 6 Положения № 687 все работники работодателя, работающие с персональными данными, должны быть проинформированы о факте обработки ими персональных данных, а также об особенностях и правилах осуществления такой обработки. Для реализации этой нормы права целесообразно заключить со всеми работниками соответствующий договор (см. Пример 5). В этом документе, который может быть частью соответствующего трудового договора, должны быть указаны обязанности работников, их ответственность за нарушения режима конфиденциальности.

Требования к работе на различных носителях

В деятельности юридических лиц образуются бумажные (материальные) носители персональных данных и электронные носители персональных данных (информационные системы и базы данных). К работе и хранению информации на материальных и электронных носителях предъявляются разные требования. Остановимся на них подробнее.

Примеры бумажных носителей персональных данных:

  • трудовая книжка;
  • журналы учета трудовых книжек;
  • журнал учета командировок;
  • материалы по учету рабочего времени;
  • личная карточка Т-2;
  • журналы сверки по военнообязанным;
  • входящая и исходящая корреспонденция военкомата, страховой компании, службы судебных приставов;
  • приказы по личному составу.

Закон «О персональных данных» требует от работодателя раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним. При этом в отношении каждой категории должно быть возможно определить места хранения персональных данных (материальных носителей).

Электронные носители персональных данных – базы данных, содержащие персональные данные работников организации. Данные, хранящиеся на электронных носителях, обрабатываются и передаются техническими средствами. Постановление № 781 дает исчерпывающее определение технических средств. Это средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

Безопасность персональных данных на электронных носителях достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий. Для обеспечения этой безопасности работодатель должен принять ряд организационных мер.

Во-первых, информационную систему необходимо классифицировать в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства. Решение о присвоении того или иного класса системы определяет специальная организация, имеющая лицензию на данные работы. В зависимости от присвоенного класса работодатель определяет мероприятия по защите используемых персональных данных.

Во-вторых, работодатель должен обеспечить режим безопасности и охрану помещений, в которых ведется работа с персональными данными, а также обеспечивать сохранность носителей персональных данных и средств защиты информации таким образом, чтобы исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

В-третьих, обеспечить в информационной системе следующие возможности:

  • а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;
  • б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;
  • в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
  • г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • д) постоянный контроль за обеспечением уровня защищенности персональных данных.

Подведение итогов

Итак, в организации для работы с персональными данными должны быть следующие документы:

  1. Положение о персональных данных.
  2. Приказ о назначении ответственных за работу с персональными данными.
  3. Приказ о назначении ответственных за обеспечение безопасности персональных данных.
  4. Заявления работников на обработку персональных данных.
  5. Договоры (допсоглашения) с работниками об обработке персональных данных.
Комментировать
0 просмотров
Комментариев нет, будьте первым кто его оставит

Adblock detector