Персональные данные сотрудников: хранение, обработка, использование — Контур.Бухгалтерия

Документы для обработки данных сотрудника

При трудоустройстве работник предоставляет работодателю определенные документы. Каждый из этих документов содержит персональные данные (ПД) работника. Как правило при приеме на работу требуются следующие документы:

  • Паспорт;
  • СНИЛС;
  • Трудовая книжка;
  • Военный билет;
  • Диплом.

В некоторых случаях работодатель запрашивает и иные документы, но только если это установлено действующим законодательством. Такими документами являются медкнижка, ИНН и справка 2-НДФЛ. И каждый из этих документов содержит персональные сведения о принимаемом сотруднике. Специального перечня, к которому можно отнести ПД нет.

Согласие на обработку данных работодатель разрабатывает самостоятельно. При этом в согласии указываются те действия, которые компания вправе совершать с ПД сотрудника (закон №152-ФЗ). Подписать согласие работник должен еще до того, как подпишет трудовой договор. Согласие должно быть добровольным со стороны работника.

Если работодатель передает в банк данные работника с целью начисления заработной платы, то сделать это можно и без соответствующего согласия. Например, если:

  • Соглашение на выпуск карты сотруднику напрямую заключается с работником и в этом соглашении содержатся условия, предусматривающие передачу данных;
  • На работодателя оформлена доверенность, на основании которой он имеет право представлять интересы сотрудника по заключению договора с банком;
  • Оплата труда путем перевода на банковскую карту предусмотрена в коллективном договоре.

Обработка данных предполагает любые действия, которые с ними совершаются, с использованием или без средств автоматизации. К ним относят: сбор данных, их запись, систематизацию, накопление, обновление, хранение, извлечение и использование, включая передачу, обезличивание, блокировку, удаление и уничтожение.

Обработка персданных — это действия с личной информацией работника, когда работодатель принимает сотрудника в штат или заключает договор ГПХ; работник продвигается по карьерной лестнице и т.д. Во время обработки соблюдайте требования статьи 86 ТК РФ:

  • у обработки должна быть цель и основания;
  • запрещена передача личных сведений работника третьим лицам без его письменного согласия; 
  • персональные сведения передает сам гражданин.

В локальных актах предприятия нужно прописать Правила защиты личных сведений о работниках. Работники обязаны ознакомится с этими правилами и расписаться о согласии с документом. Для порядка и безопасности организации нужно создать положения и приказы для работы с персданными. Во время проверки у вас должны быть подготовлены:

Персональные данные сотрудников: хранение, обработка, использование — Контур.Бухгалтерия

Согласно Закону N 152-ФЗ лицо (юридическое или физическое), которое организует и (или) осуществляет обработку персональных данных, определяет их состав, цели обработки, действия, совершаемые с персональными данными, называют оператором (п. 2 ст. 3 Закона N 152-ФЗ). В нашем случае это работодатель.

Обработка персональных данных — любое совершаемое с ними действие. Операции по обработке персональных данных:

  • сбор;
  • запись;
  • систематизация;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передача (распространение, предоставление, доступ);
  • обезличивание;
  • блокирование;
  • удаление;
  • уничтожение персональных данных.

Оператор по обработке персональных данных

Работники должны быть ознакомлены с Положением под роспись (п. 8 ст. 86 ТК РФ). Данный факт может фиксироваться:

  • в тексте трудового договора каждого работника (перечисление локальных нормативных актов, с которыми работник ознакомлен до подписания договора);
  • — листе ознакомления с Положением (образец на с. 91);
  • — журнале ознакомления работников с локальными нормативными актами (образец на с. 91).

Образец листа ознакомления с локальными нормативными актами


п/п
Наименование локального нормативного акта Дата Подпись
1 Правила внутреннего трудового распорядка 
ООО «Черный лес»
03.10.2011 Евстахов
2 Положение об оплате труда, премировании и 
социальном обеспечении сотрудников ООО «Черный 
лес»
03.10.2011 Евстахов
3 Инструкция по информационной безопасности, 
утвержденная Приказом от 15.06.2008 N 1
03.10.2011 Евстахов
4 Положение о персональных данных 03.10.2011 Евстахов
5 Положение о материальной ответственности 
работников за ущерб, причиненный ООО «Черный лес»
03.10.2011 Евстахов

Фрагмент журнала ознакомления с Положением о персональных данных


п/п
Ф.И.О. работника Дата 
ознакомления
Подпись
1 Алексеева Диана Николаевна 15.08.2011 Алексеева
2
6 Евстахов Сергей Сергеевич 03.10.2011 Евстахов
7
8
9

Примечание. Срок хранения персональных данных

Локальные нормативные акты (положения, инструкции) о персональных данных должны храниться постоянно. Что касается заявлений работников о согласии на обработку данных (о них будет рассказано в следующих номерах), других документов работника, то они хранятся 75 лет. Об этом говорится в Перечне, утвержденном Приказом Минкультуры России от 25.08.2010 N 558.

Ответственного за сбор, обработку, хранение персональных данных работников назначает руководитель организации. Для этого следует издать приказ (образец которого приведен на с. 92).

Образец приказа

Этим же приказом может быть установлен список лиц, имеющих доступ к персональным данным. Указанный список не возбраняется утвердить и отдельным приказом руководителя.

Предлагаем ознакомиться:  Срок вступления в собственность по дарственной

Как правило, ответственными за организацию работы с персональными данными работников (их получение, обработку, хранение, защиту и т.д.) назначают следующих работников:

  • начальника отдела кадров;
  • (старшего) инспектора по кадрам;
  • директора по персоналу;
  • заместителя начальника отдела (директора по персоналу);
  • специалиста по работе с персоналом.

Может быть введена и новая должность.

О том, что работник с ним ознакомился может свидетельствовать подпись:

  • В трудовом соглашении;
  • В специальном листе ознакомления с Положением;
  • В специальном журнале.

Персональные данные сотрудников: хранение, обработка, использование — Контур.Бухгалтерия

Работодатель обязан ввести порядок хранения и использования сведений о работниках (ст. 87 ТК РФ). Документы по сотруднику объединяются в личное дело. Порядок хранения и ведения личных дел вводит и контролирует работодатель. Личные дела руководителей компании, работников, имеющих государственные звания, и так далее хранятся постоянно. Личные дела других работников храните 75 лет. Ответственность по хранению, ведению, учету, выдаче трудовых книжек тоже возлагается на работодателя.

Правила передачи персданных налагают на работодателя ряд ограничений. Ограничения устанавливаются согласно статье 88 ТК РФ:

  • известите лиц, которые получили доступ к информации о работнике, что ее следует использовать только в тех целях, для которых они были сообщены;
  • передача данных внутри одной компании должна проходить согласно правилам локального акта, с которым работник был ознакомлен;
  • доступ к данным получают только специально уполномоченные лица;
  • запрещено делать запрос о здоровье работника у медицинского учреждения.

Работники имеют право на предоставление полной информации об их личных сведениях и их обработке (кому передавались сведения и для чего). Также нужно обеспечить сотрудникам свободный доступ к своим личным сведениям и медицинским данным. Помните, что работник имеет право обжаловать в суде незаконные действия работодателя и привлечь должностное лицо-нарушителя к уголовной или административной ответственности.

В соответствии с ТК РФ, нарушители норм обработки и защиты личных сведений работника привлекаются к разным видам ответственности.

  • К дисциплинарной ответственности относятся замечание, выговор, увольнение. 
  • К административной ответственности относятся предупреждение или штраф от 3 до 5 МРОТ.
  • К материальной ответственности привлекаются работники, которые непосредственно обрабатывают  персональную информацию. В случае незаконного распространения информации сотрудник организации может заявить о моральном вреде и потребовать его возмещения у работодателя. 
  • Уголовная ответственность по ст. 137 УК РФ за незаконное распространение сведений о лице без его согласия предусматривает штраф в сумме до 200 000 рублей, либо обязательные работы от 120 до 180 часов, либо арест до 4 месяцев.

Работа с личными сведениями требует высокого уровня ответственности. Соблюдайте правила и помните о контроле Трудовой инспекции.

Автор статьи: Александра Аверьянова

Ведите простой кадровый учет в веб-сервисе Контур.Бухгалтерия. Начисляйте зарплату, легко считайте пособия, удержания и командировочные, автоматически готовьте отчеты по сотрудникам и отправляйте их через интернет. А еще — ведите учет, платите налоги, сдавайте налоговую и бухгалтерскую отчетность и пользуйтесь поддержкой наших экспертов. Первый месяц работы в сервисе — бесплатно.

Ответственный за организацию работы с персональными данными работников

Порядок выполнения обработки оператором персональных данных может быть установлен в Положении о работе с персональными данными сотрудников (далее — Положение). Унифицированной формы документа нет. Рассмотрим, как составить этот документ с учетом требований Закона N 152-ФЗ. Положение состоит из нескольких разделов.

Таблица 2. Структура Положения о персональных данных работников

N Обязанность Содержание раздела
1 Общие положения Цель принятия Положения
    Вопросы, которые регулирует Положение
    Ссылки на нормативные акты. Указывают, на 
основании каких документов составляется 
Положение. 
В организациях, где работают государственные 
гражданские служащие, дается ссылка на: 
— Федеральный закон от 27.07.2004 N 79-ФЗ 
«О государственной гражданской службе Российской
Федерации»; 
— Указ Президента РФ от 30.05.2005 N 609 «Об 
утверждении Положения о персональных данных 
государственного гражданского служащего 
Российской Федерации и ведении его личного 
дела»; 
— нормативные акты субъекта РФ
2 Основные понятия. 
Состав персональных 
данных работников
Основные понятия. Даются определения понятий 
«персональные данные», «обработка персональных 
данных», «использование персональных данных», 
указывается срок хранения документов и т.д. 
Отдельно должно быть указано, что относится к 
персональным данным в конкретной компании с 
учетом ее особенностей (данные, используемые в 
работе, например сведения о работе на режимных 
объектах, об оформлении допуска к 
государственной тайне, о соответствии здоровья 
для профессий, связанных с тяжелыми и вредными 
условиями, и т.д.)
    Перечень документов организации, которые 
содержат персональные данные
3 Получение 
персональных данных 
работников
Процедура получения персональных данных. 
Указывается, что данные получают и обрабатывают 
на основании письменного согласия работника. 
Указываются случаи, когда согласие не нужно
4 Использование 
персональных данных
Цели использования личной информации сотрудников
5 Обработка 
персональных данных
Условия, соблюдаемые при обработке персональных 
данных работника
6 Передача 
персональных данных 
(доступ к 
персональным данным)
Порядок передачи персональных данных внутри 
организации (внутренний доступ), сторонним лицам
и государственным органам (внешний доступ)
7 Ответственность за 
нарушение норм, 
регулирующих 
обработку и защиту 
персональных данных
Указывают тех, кто несет ответственность за 
нарушение правил хранения и использования 
персональных данных
Предлагаем ознакомиться:  Как написать жалобу на медперсонал больницы

Персональные данные сотрудников: хранение, обработка, использование — Контур.Бухгалтерия

Введение Положения в действие

Положение о персональных данных утверждается руководителем компании и вводится в действие приказом по организации (образец приведен на с. 90). Запись об утверждении Положения нужно сделать в журнале регистрации локальных нормативных актов.

Образец приказа

Образец приказа

Наниматель, принимая на свое попечение физических лиц с присущим им комплектом персональных данных, законодательно обязан позаботиться об одобренных государством способах их обработки. При этом он обязан руководствоваться вышеприведенной нормативной базой, а индивидуальные тонкости отразить в специальных внутренних документах.

Самостоятельно регламентировать особенности действий с персональными данными сотрудников работодателей обязали недавно. Ст. 90 ТК РФ устанавливает ответственность лица, нанимающего персонал, за утечку или неправомерное использование конфиденциальных сведений, предоставляемых сотрудниками, причем ответственность предусмотрена во всех сферах права – дисциплинарной, административной, уголовной и гражданской.

ОБРАТИТЕ ВНИМАНИЕ! Первый документ разрабатывается и закрепляется на основании приказа руководства организации, второй должен быть подписан теми лицами, которые осуществляют сбор персональных данных и имеют к ним доступ (кадровая служба, отдел безопасности, бухгалтерия и др.). Сотрудники обязаны ознакомиться с этой документацией под роспись. Согласие нанимаемого может быть выражено подписью под соответствующей строкой в анкете или личной карточке.

Разделы данного документа содержат следующие необходимые подпункты:

  • общие сведения;
  • перечисление данных, считающихся персональными в конкретной компании;
  • регламент применения данной информации;
  • особенности доступа к этим сведениям;
  • меры, принимаемые при нарушении принципов обработки информации, и ответственность виновных;
  • приложения (форма заявления для сотрудника о согласии на обработку и/или проверку предоставленных личных данных, форма обязательства не разглашать полученную информацию для сотрудников, у которых она будет в пользовании).

Легитимным, с точки зрения официальных законодательных документов, принятых в нашей стране, является только один способ получения конфиденциальной информации – от самого гражданина, пожелавшего добровольно ее сообщить в устной или письменной форме.

Косвенные способы получения персональных сведений о человеке (например, запрос на прежнее место работы) могут использоваться только в том случае, если сотрудник дал на это свое письменное согласие.

К СВЕДЕНИЮ! Чтобы иметь возможность получать информацию о сотруднике не только непосредственно от него, кадровые работники иногда используют не запрещенный законом прием. В анкете, заполняемой при трудоустройстве, может иметься пункт «Не возражаю против проверки предоставленных данных» или «Разрешаю получить информацию обо мне в следующих источниках (указать, в каких)».

Если к работодателю пришел запрос о сотруднике, который когда-то у него работал, лучше перестраховаться и потребовать письменное разрешение на предоставление персональных данных, подписанное самим физическим лицом. Это касается даже ситуаций, когда эти сведения требуют работники правоохранительных органов (вместо разрешения может быть подписанный их руководством приказ).

Если есть профсоюз

Если в компании есть профсоюз, с ним нужно согласовать Положение. Для этого проект положения направляют в выборный орган профсоюза (ст. 372 ТК РФ). Тот должен выразить свое мнение (в письменной форме) не позднее пяти рабочих дней со дня получения проекта. Если профсоюз не согласен с проектом или имеет предложения по его совершенствованию, у администрации есть два выхода.

Первый — согласиться. Второй — в течение трех дней после получения мотивированного мнения провести дополнительные консультации с профсоюзом в целях достижения взаимоприемлемого решения. Если и это не поможет, следует оформить протокол разногласий. После этого администрация имеет право принять Положение без учета требований профсоюза. Однако тот сможет обжаловать Положение или начать процедуру коллективного трудового спора в порядке, предусмотренном гл. 61 Трудового кодекса.

Ответственность за разглашение персональных данных

Меры административной ответственности (в основном предусмотрены штрафы, дисквалификация в данном случае не применяется) для предприятия и его должностных лиц за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников приведены в табл. 3.

Таблица 3. Ответственность за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников

Нарушение Ответственность Норма 
законодательства
Нарушение установленного законом 
порядка сбора, хранения, 
использования или распространения 
информации о гражданах 
(персональных данных)
Для должностных лиц:
от 500 до 1000 руб.;
для юридических лиц:
от 5000 до 10 000 
руб.
Статья 13.11 
КоАП РФ
Разглашение информации, доступ к 
которой ограничен (персональных 
данных), лицом, получившим к ней 
доступ в связи с исполнением 
служебных или профессиональных 
обязанностей
Для должностных лиц:
от 4000 до 5000 руб.
Статья 13.14 
КоАП РФ

Как правило это кадровики и работники бухгалтерии. В случае, если они допустят огласку данных, им грозит дисциплинарное взыскание, включая увольнение. Если работодателю требуется получить сведения по работнику у третьей стороны, он должен оформить соответствующее уведомление. В таком уведомлении указываются возможные источники информации, а также способы их получения.

Нарушение Ответственность
Для компаний Для ИП Для должностного лица
Незаконная обработка данных 30 000 – 50 000 5 000 – 10 000
Не получили согласие сотрудника 15 000 – 75 000 10 000 – 20 000
В свободном доступе не размещена политика об обработке ПД 15 000 – 30 000 5 000 – 10 000 3 000 – 6 000
Работнику не предоставлена информация по обработке его ПД 20 000 – 40 000 10 000 – 15 000 4 000 – 6 000
Предлагаем ознакомиться:  Декретный отпуск совместителя. Как оформить, оплата

Персональные данные сотрудников: хранение, обработка, использование — Контур.Бухгалтерия

За разглашение ПД, используя свое служебное положение, должностным лицам грозит штраф в размере 4000 – 5000 рублей (13.11 КоАП, 13.14 КоАП). Кроме того, статьей 137 УК РФ предусмотрена уголовная ответственность за разглашение ПД работника, согласно которой разглашение персональной информации грозит штрафом от 100 до 300 тыс. рублей.

Защита персональных данных

Для того, чтобы обеспечить защиту данных работника необходимо выполнить следующее:

  1. Разработать положение об обработке ПД, в котором будут закреплены: порядок получения данных, их обработка и хранение;
  2. Руководитель компании назначает сотрудника, ответственного за работу с ПД. Например, кадровика, который работает с личными делами. От него потребуется получить согласие каждого из работников, вносить данные в карточки и т.д.;
  3. Разработать бланк согласия на обработку ПД;
  4. Предоставить физлицу информацию (по его запросу), касающуюся обработки его ПД. Например, подтверждение, что данные прошли обработку, цели и способы обработки данных.

Размещение персональных данных на сайте

Для некоторых организаций размещение в интернете персональной информации по сотрудникам является обязательным. К примеру, медучреждения должны помещать на своих сайтах информацию о своих сотрудниках, включая их образование и квалификацию. То же правило действует и для образовательных учреждений. Они обязаны размещать информацию по учителям и преподавателям. В этом случае согласие на обработку данных от сотрудника не требуется, так как размещение информации предусмотрено законом.

Законодательная база

Закон №152-ФЗ от 27.07.2006 «О персональных данных»
Статья 13.11 КоАП «Нарушение законодательства РФ в области персональных данных»
Статья 137 УК РФ «Нарушение неприкосновенности частной жизни»

Когда человек вступает в трудовые отношения, от него требуется предоставить ряд сведений о себе. Вся эта информация, касающаяся будущего сотрудника, позволяющая определить его в том или ином контексте, и объединяется под термином «персональные данные».

Порядок действий с этой информацией определен в таких законодательных документах, как:

  • Конституция Российской Федерации;
  • ст. 85 Трудового кодекса РФ;
  • Федеральный закон № 149 от 27 июля 2006 г. «Об информации, информационных технологиях и о защите информации»;
  • Федеральный закон № 152 от 27 июля 2006 г. «О персональных данных»;
  • Указ Президента России от 06.03.1977 г. № 188.

Эти законодательные акты утверждают сведения, которые подпадают под определение персональных данных, с тем, чтобы оградить приватную жизнь законопослушных граждан от неправомерного вмешательства и гарантировать целевое использование получаемых от них конфиденциальных сведений.

Перечень данных, считающихся персональными:

  • ФИО физического лица;
  • дата рождения;
  • место проживания и/или прописки;
  • полученное человеком образование;
  • состав семьи;
  • социальный статус;
  • сведения, касающиеся владения имуществом;
  • ранее занимаемые им должности;
  • уровень получаемых доходов и их источники;
  • иные сведения, имеющие отношение к трудовой функции, обозначаемой в заключаемом договоре с сотрудником.

КСТАТИ! Информация о политических, религиозных или других убеждениях сотрудника, его участии во всевозможных организациях, помимо работы, а также детали его частной жизни не относятся к персональным данным и не подлежат сбору, обработке, хранению и использованию. Их можно получить только с согласия самого работника. Исключение составляет ситуация, когда информация такого рода прямо относится к трудовой деятельности.

Вопросы здоровья сотрудника не могут попадать в поле зрения кадровых сотрудников, кроме непосредственного влияния на трудовую функцию.

Ссылка на основную публикацию
Adblock detector