Что включают в себя персональные данные работника

Оператор по обработке персональных данных

Закон №152 определяет обработку ПД как действие или систему действий, которые предпринимаются в отношении личной информации. Операции могут быть совершены как с применением автоматизированных средств, так и без них. В списке основных действий: сбор, систематизация, хранение, обновление или изменение, передача, предоставление доступа, блокировка, обезличивание, уничтожение. Большинство этих действий описаны в статье 3 закона «О персональных данных», а в статье 5 описаны принципы обработки ПД.

При трудоустройстве обработка личных данных происходит на самых разных этапах: при собеседовании и зачислении в штат, при заключении договора, в результате карьерного роста и других видах трудового взаимодействия. Работодатель при этом выступает в роли оператора — юридического лица, которое проводит обработку персданных.

https://www.youtube.com/watch?v=ytabout

►Пять действий с персональными данными, о которых до сих пор забывают кадровики и попадают на штраф

Статья 87 ТК России предоставляет работодателям самостоятельное право устанавливать порядок использования и хранения личных данных работников, при условии, что соблюдены Трудовой Кодекс и федеральное законодательство. В частности, следует выполнять нормативы статьи 86 Трудового Кодекса. Вот основные:

  • Для обработки персданных нужны основания и цель.
  • Передачу персданных производит сам их обладатель.
  • Нельзя сообщать личные данные сотрудника третьим лицам без его письменного согласия.

Для выполнения этих требований, следует зафиксировать во внутренних актах компании Правила защиты персональной информации сотрудников. Работников следует ознакомить с этими правилами под роспись и получить от каждого согласие на обработку. Чтобы подойти во всеоружии к возможным проверкам, следует подготовить:

  • Положение о политике компании в отношении обработки персональных данных.
  • Подписанные согласия работников на обработку их личной информации.
  • Приказ о назначении лиц, которые в вашей организации ответственны за работу с ПД.

Согласно Закону N 152-ФЗ лицо (юридическое или физическое), которое организует и (или) осуществляет обработку персональных данных, определяет их состав, цели обработки, действия, совершаемые с персональными данными, называют оператором (п. 2 ст. 3 Закона N 152-ФЗ). В нашем случае это работодатель.

Обработка персональных данных — любое совершаемое с ними действие. Операции по обработке персональных данных:

  • сбор;
  • запись;
  • систематизация;
  • накопление;
  • хранение;
  • уточнение (обновление, изменение);
  • извлечение;
  • использование;
  • передача (распространение, предоставление, доступ);
  • обезличивание;
  • блокирование;
  • удаление;
  • уничтожение персональных данных.

О работе с персональными данными нужно уведомить Роскомнадзор

Что включают в себя персональные данные работника

Закон устанавливает жесткие меры за нарушения, связанные с персональными данными. Поэтому важно знать правила работы с ними.

Обработка

Под обработкой данных понимается их получение, проверка, передача, хранение, накопление, уничтожение и другие действия, совершаемые с ними. Требования к обработке данных зафиксированы в 86 статье ТК РФ. Обработка может осуществляться лишь в строго определенных целях:

  • содействие в трудоустройстве;
  • обучение;
  • контроль выполняемой работы.

В обработке не участвуют сведения о частной жизни работника, его убеждениях.

  1. Для работы с персональными данными составляется соответствующее Положение. Единой формы документа нет. В каждой организации она индивидуальна.
  2. При наличии в организации Профсоюза Положение согласовывается с ним.
  3. После окончательного утверждения Положения необходимо ознакомить с ним работников под роспись.
  4. Назначается сотрудник, ответственный за работу с данными. Это фиксируется в виде приказа. Список лиц, имеющих доступ к конфиденциальной информации, можно включить в этот же приказ или издать отдельный.

https://www.youtube.com/watch?v=https:tv.youtube.com

Больше информации о том, что такое обработка ПД, найдете в специальной статье.

Хранение

87 статья ТК РФ говорит о том, что работодатель должен установить порядок хранения и использования персональных данных сотрудника.

Статья 87 ТК РФ. Хранение и использование персональных данных работников

Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований настоящего Кодекса и иных федеральных законов.

Подробнее о порядке хранения и использования ПД работников мы рассказываем в отдельном материале.

Вопросы, связанные с персональными данными работников, регламентирует Федеральный закон №152 от 27.06.2006. Его цель — защитить права на защищенность частной жизни, сохранение тайн личности и семьи.

Статья 3 этого закона содержит основные определения. В частности, о персональных данных (ПД) сказано, что это информация, которая имеет отношение к физическому лицу. То есть, сведения, по которым человека можно однозначно идентифицировать, а также те, которые относятся к нему косвенно.

Четко очерченного законом списка таких сведений нет. К базовому набору относятся:

  • фамилия, имя, отчество;
  • дата рождения;
  • семейный статус и состав семьи;
  • данные об имуществе;
  • информация об образовании;
  • профессия и трудоустройство;
  • данные о доходах.
Предлагаем ознакомиться:  Продолжительность дополнительного отпуска медицинских работников

Этот список может меняться, в зависимости от того, в какой области применяются данные о человеке. Например, если речь идет о трудоустройстве, персональные данные работника — это информация, необходимая работодателю: общий стаж, прошлые места работы, прохождение военной службы, особые знания и допуски, сведения о здоровье.

Закон требует, чтобы лица, которые получают доступ к ПД, сохраняли их конфиденциальность. То есть не допускали попадания в третьи руки без согласия обладателя этих данных, кроме случаев, отдельно предусмотренных законодательством. Об этом сказано в 7-й статье ФЗ №152.

Информацию о работнике работодатель может получить из:

  • удостоверения личности (например, паспорт, военный билет, загранпаспорт); военного билета;
  • трудовой книжки;
  • номера индивидуальной страховки (СНИЛС);
  • водительских прав;
  • аттестата об образовании;
  • медицинской книжки.

Согласно статье 86 Трудового Кодекса, работодатель обязан обеспечить защиту и неприкосновенность сведений о сотрудниках.

Согласно Трудовому Кодексу (ст. 87), работодатель может сам устанавливать порядок обработки, хранения и использования личных данных своих сотрудников. Но установить этот порядок, прописать его в локальных актах и соблюдать — обязательно. Отсутствие Положения о персданных может повлечь штраф, согласно статье 13.11 КоАП.

Что включают в себя персональные данные работника

Вот ключевые моменты, на которые надо обращать внимание при хранении и использовании ПД:

  • Информация о сотруднике, а также вся связанная с этим документация, хранятся в личном деле.
  • Если в процессе использования персданных необходимо передать их третьим лицам (обязательно согласие субъекта), следует уведомить тех, что сведения можно использовать только в тех целях, для которых они получены.
  • Внутри организации передавать данные можно только по правилам, установленным локальным актом, с которым работники ознакомлены под роспись.
  • Доступ к такой информации имеют только работники, чьи полномочия утверждены соответствующим приказом.
  • Нельзя требовать от сотрудника сведений о здоровье, кроме тех случаев, когда это необходимо, чтобы выяснить, может ли человек выполнять служебные функции.

Все правила передачи персданных описаны в статье 88 Трудового Кодекса.

Сотрудник вправе получить информацию о том, как используются его личные данные. Например, он может запросить отчет о том, кому и в каком объеме переданы сведения о нем. И работодатель должен такой отчет предоставить. Также следует обеспечить каждому сотруднику свободный доступ к его личному делу.

https://www.youtube.com/watch?v=ytcopyright

Личные дела подлежат хранению и после того, как человек уволится. Это прописано в Перечне типовых документов Росархива. Срок хранения дел рядовых сотрудников — 75 лет, а папки руководителей и менеджеров высшего звена сохраняются навсегда.

В Указе Президента РФ от 06.03.97 № 188 конкретизируется, какие сведения подразумевают. Это информация о человеке и событиях его жизни, которая позволяет идентифицировать его как личность. Персональные данные физического лица – это:

  • фамилия, имя, отчество гражданина;
  • дата его рождения, а также место рождения;
  • адрес постоянного и временного проживания;
  • сведения о семье и социальном положении гражданина;
  • данные о его образовании, профессии и должности;
  • сведения о доходах и имущественном положении;
  • биометрические персональные данные.

В том числе это:

  • сбор и запись данных;
  • систематизация;
  • хранение, накопление и обновление;
  • извлечение, использование и передача;
  • обезличивание данных;
  • блокирование, удаление и уничтожение.

Если компания вносит сведения о новом работнике во внутренние документы или ведет базу своих клиентов-граждан, это входит в обработку персональных данных. На такие действия нужно получить согласие.

Что включают в себя персональные данные работника

В дополнение к закону № 152-ФЗ действуют правила гл. 14 ТК РФ и разъяснения Роскомнадзора от 14.12.12. Компании нужно руководствоваться этими правилам при работе с данными сотрудников.

Если компания выполняет действия с персональными данными, она является оператором данных (п. 2 ст. 3 закона № 152-ФЗ). О том, что компания приступила к сбору такой информации, нужно уведомить Роскомнадзор (п. 1 ст. 22 закона № 152-ФЗ). Это делают по форме согласно Приложению № 1 к Методическим рекомендациям Роскомнадзора (утв. приказом от 30.05.2017 № 94).

Уведомление о работе с персональными данными подают в орган Роскомнадзора по месту регистрации компании. Документ можно подготовить как в бумажном виде, так и в электронном. Электронный вариант направляют через портал «Госуслуги» или сайт Роскомнадзора. После получения документа ведомство включит компанию в реестр операторов. Это делают в течение 30 дней с момента поступления уведомления. Проверить выполнение можно на сайте Роскомнадзора.

Порядок выполнения обработки оператором персональных данных может быть установлен в Положении о работе с персональными данными сотрудников (далее — Положение). Унифицированной формы документа нет. Рассмотрим, как составить этот документ с учетом требований Закона N 152-ФЗ. Положение состоит из нескольких разделов.

Таблица 2. Структура Положения о персональных данных работников

Предлагаем ознакомиться:  Что будет если скрыться с места дтп
N Обязанность Содержание раздела
1 Общие положения Цель принятия Положения
    Вопросы, которые регулирует Положение
    Ссылки на нормативные акты. Указывают, на 
основании каких документов составляется 
Положение. 
В организациях, где работают государственные 
гражданские служащие, дается ссылка на: 
— Федеральный закон от 27.07.2004 N 79-ФЗ 
«О государственной гражданской службе Российской
Федерации»; 
— Указ Президента РФ от 30.05.2005 N 609 «Об 
утверждении Положения о персональных данных 
государственного гражданского служащего 
Российской Федерации и ведении его личного 
дела»; 
— нормативные акты субъекта РФ
2 Основные понятия. 
Состав персональных 
данных работников
Основные понятия. Даются определения понятий 
«персональные данные», «обработка персональных 
данных», «использование персональных данных», 
указывается срок хранения документов и т.д. 
Отдельно должно быть указано, что относится к 
персональным данным в конкретной компании с 
учетом ее особенностей (данные, используемые в 
работе, например сведения о работе на режимных 
объектах, об оформлении допуска к 
государственной тайне, о соответствии здоровья 
для профессий, связанных с тяжелыми и вредными 
условиями, и т.д.)
    Перечень документов организации, которые 
содержат персональные данные
3 Получение 
персональных данных 
работников
Процедура получения персональных данных. 
Указывается, что данные получают и обрабатывают 
на основании письменного согласия работника. 
Указываются случаи, когда согласие не нужно
4 Использование 
персональных данных
Цели использования личной информации сотрудников
5 Обработка 
персональных данных
Условия, соблюдаемые при обработке персональных 
данных работника
6 Передача 
персональных данных 
(доступ к 
персональным данным)
Порядок передачи персональных данных внутри 
организации (внутренний доступ), сторонним лицам
и государственным органам (внешний доступ)
7 Ответственность за 
нарушение норм, 
регулирующих 
обработку и защиту 
персональных данных
Указывают тех, кто несет ответственность за 
нарушение правил хранения и использования 
персональных данных

Что это за документы?

К персональным данным относятся 2 типа документов: полученные при найме и относящиеся к деятельности сотрудника внутри организации.

Информация, полученная при найме работника, включает в себя:

  • Что включают в себя персональные данные работникаФИО.
  • Адрес проживания.
  • Дату рождения.
  • Семейное положение.
  • Документы об образовании, прохождении курсов повышения квалификации.
  • Паспортные данные.
  • Другие сведения, необходимые для трудоустройства.

Примеры сведений, связанных с работой в конкретной организации:

  • Документ о назначении на какую-то должность.
  • Заработная плата. Расчетные документы.
  • Любые внутренние приказы компании, относящиеся к сотруднику.

О том, что входит в понятие «Персональные данные сотрудника» мы более подробно рассказываем в этом материале.

Если есть профсоюз

Если в компании есть профсоюз, с ним нужно согласовать Положение. Для этого проект положения направляют в выборный орган профсоюза (ст. 372 ТК РФ). Тот должен выразить свое мнение (в письменной форме) не позднее пяти рабочих дней со дня получения проекта. Если профсоюз не согласен с проектом или имеет предложения по его совершенствованию, у администрации есть два выхода.

Первый — согласиться. Второй — в течение трех дней после получения мотивированного мнения провести дополнительные консультации с профсоюзом в целях достижения взаимоприемлемого решения. Если и это не поможет, следует оформить протокол разногласий. После этого администрация имеет право принять Положение без учета требований профсоюза. Однако тот сможет обжаловать Положение или начать процедуру коллективного трудового спора в порядке, предусмотренном гл. 61 Трудового кодекса.

Когда нужно разрешение, а когда нет?

Законодательная база, определяющая использование персональных данных: ФЗ № 152.

При официальном трудоустройстве человек предоставляет необходимую личную информацию, и получатель должен обеспечить ее сохранность. Разглашение персональных данных приводит к дисциплинарной, уголовной и административной ответственности.

Организация не может собирать сведения, которые не относятся к трудовой деятельности сотрудника. Например, о его вероисповедании, политических убеждениях и др. Чтобы распоряжаться информацией о сотруднике, необходимо получить его разрешение. Однако законом определены ситуации, когда согласие получать не требуется.

https://www.youtube.com/watch?v=upload

Когда согласие не нужно:

  1. Когда сведения получены при заключении трудового договора.
  2. При запросе результатов медицинского осмотра о состоянии здоровья.
  3. Если сведения переданы кадровым агентством, которое действовало от имени соискателя на должность.
  4. Если информация является общедоступной. Например, она взята из расположенного в интернете резюме соискателя.
  5. При выплате алиментов.
  6. Если речь идет о сохранении жизни и здоровья человека.
  7. При передаче сведений в Пенсионный фонд, налоговые органы, военные комиссариаты, прокуратуру и др.
  8. Обработка связана с выполнением обязанностей сотрудником, в том числе при его командировании.
  9. Для осуществления пропускного режима, если работодатель организует его самостоятельно.

Когда согласие работника необходимо:

  • При передаче информации третьим лицам (кроме тех, которые указаны среди исключений).
  • При открытии банковского счета.
  • В иных случаях, не попадающих под исключения.

О том, в каких случаях от работника требуется письменное согласие на обработку ПД, мы рассказываем здесь.

О работе с персональными данными нужно уведомить Роскомнадзор

В организации должен вестись журнал учета доступа к личным делам сотрудников.

Предлагаем ознакомиться:  Как правильно вести себя с коллекторами?

Там указывают, кому оно выдавалось, дату выдачи и возврата. Каждый сотрудник, который имеет доступ к персональным данным, должен подписать договор о неразглашении.

Список ответственных за ведение учета персональных данных сотрудников обычно указывают в виде приложения к Положению. Такой перечень ответственных часто включает в себя кадровиков, руководителей отделов, бухгалтерию.

Хранение

Положение о персональных данных утверждается руководителем компании и вводится в действие приказом по организации (образец приведен на с. 90). Запись об утверждении Положения нужно сделать в журнале регистрации локальных нормативных актов.

Образец приказа

  • в тексте трудового договора каждого работника (перечисление локальных нормативных актов, с которыми работник ознакомлен до подписания договора);
  • — листе ознакомления с Положением (образец на с. 91);
  • — журнале ознакомления работников с локальными нормативными актами (образец на с. 91).

Образец листа ознакомления с локальными нормативными актами


п/п
Наименование локального нормативного акта Дата Подпись
1 Правила внутреннего трудового распорядка 
ООО «Черный лес»
03.10.2011 Евстахов
2 Положение об оплате труда, премировании и 
социальном обеспечении сотрудников ООО «Черный 
лес»
03.10.2011 Евстахов
3 Инструкция по информационной безопасности, 
утвержденная Приказом от 15.06.2008 N 1
03.10.2011 Евстахов
4 Положение о персональных данных 03.10.2011 Евстахов
5 Положение о материальной ответственности 
работников за ущерб, причиненный ООО «Черный лес»
03.10.2011 Евстахов

Образец приказа

Фрагмент журнала ознакомления с Положением о персональных данных


п/п
Ф.И.О. работника Дата 
ознакомления
Подпись
1 Алексеева Диана Николаевна 15.08.2011 Алексеева
2
6 Евстахов Сергей Сергеевич 03.10.2011 Евстахов
7
8
9

https://www.youtube.com/watch?v=ytpress

Примечание. Срок хранения персональных данных

Локальные нормативные акты (положения, инструкции) о персональных данных должны храниться постоянно. Что касается заявлений работников о согласии на обработку данных (о них будет рассказано в следующих номерах), других документов работника, то они хранятся 75 лет. Об этом говорится в Перечне, утвержденном Приказом Минкультуры России от 25.08.2010 N 558.

Образец приказа

Этим же приказом может быть установлен список лиц, имеющих доступ к персональным данным. Указанный список не возбраняется утвердить и отдельным приказом руководителя.

Как правило, ответственными за организацию работы с персональными данными работников (их получение, обработку, хранение, защиту и т.д.) назначают следующих работников:

  • начальника отдела кадров;
  • (старшего) инспектора по кадрам;
  • директора по персоналу;
  • заместителя начальника отдела (директора по персоналу);
  • специалиста по работе с персоналом.

Этим же приказом может быть установлен список лиц

Может быть введена и новая должность.

Ответственность работодателя

Как уж было сказано, отсутствие Положения о персональных данных — это нарушение, за которое могут оштрафовать. Но это далеко не единственная ответственность работодателя в этом случае. Трудовое законодательство защищает личность сотрудников, за нарушение принципов работы с персданными предусмотрена ответственность:

  • Дисциплинарная. Самая строгая мера, увольнение, может последовать только за нарушение конфиденциальности. Для других проступков мерой может быть избрано замечание или выговор.
  • Административная. Это могут быть предупреждения или штрафы за отсутствие предусмотренных законодательством документов (Положения, приказов об ответственных лицах).
  • Материальная. Ее несут работники, которые уполномочены обрабатывать ПД. Например, сотрудник, сведения о котором без его согласия стали доступны третьим лицам, может потребовать компенсацию морального ущерба.
  • Уголовная. Предусмотрена статьей 137 УК России и также за разглашение персданных. Мерой наказания может быть избран штраф до 200 000 рублей, исправительные работы до 180 часов или заключение на срок до 4 месяцев.

Меры административной ответственности (в основном предусмотрены штрафы, дисквалификация в данном случае не применяется) для предприятия и его должностных лиц за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников приведены в табл. 3.

https://www.youtube.com/watch?v=ytpolicyandsafety

Таблица 3. Ответственность за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников

Нарушение Ответственность Норма 
законодательства
Нарушение установленного законом 
порядка сбора, хранения, 
использования или распространения 
информации о гражданах 
(персональных данных)
Для должностных лиц:
от 500 до 1000 руб.;
для юридических лиц:
от 5000 до 10 000 
руб.
Статья 13.11 
КоАП РФ
Разглашение информации, доступ к 
которой ограничен (персональных 
данных), лицом, получившим к ней 
доступ в связи с исполнением 
служебных или профессиональных 
обязанностей
Для должностных лиц:
от 4000 до 5000 руб.
Статья 13.14 
КоАП РФ
Ссылка на основную публикацию
Adblock detector