Оглавление
Оператор по обработке персональных данных
Закон №152 определяет обработку ПД как действие или систему действий, которые предпринимаются в отношении личной информации. Операции могут быть совершены как с применением автоматизированных средств, так и без них. В списке основных действий: сбор, систематизация, хранение, обновление или изменение, передача, предоставление доступа, блокировка, обезличивание, уничтожение. Большинство этих действий описаны в статье 3 закона «О персональных данных», а в статье 5 описаны принципы обработки ПД.
При трудоустройстве обработка личных данных происходит на самых разных этапах: при собеседовании и зачислении в штат, при заключении договора, в результате карьерного роста и других видах трудового взаимодействия. Работодатель при этом выступает в роли оператора — юридического лица, которое проводит обработку персданных.
https://www.youtube.com/watch?v=ytabout
►Пять действий с персональными данными, о которых до сих пор забывают кадровики и попадают на штраф
Статья 87 ТК России предоставляет работодателям самостоятельное право устанавливать порядок использования и хранения личных данных работников, при условии, что соблюдены Трудовой Кодекс и федеральное законодательство. В частности, следует выполнять нормативы статьи 86 Трудового Кодекса. Вот основные:
- Для обработки персданных нужны основания и цель.
- Передачу персданных производит сам их обладатель.
- Нельзя сообщать личные данные сотрудника третьим лицам без его письменного согласия.
Для выполнения этих требований, следует зафиксировать во внутренних актах компании Правила защиты персональной информации сотрудников. Работников следует ознакомить с этими правилами под роспись и получить от каждого согласие на обработку. Чтобы подойти во всеоружии к возможным проверкам, следует подготовить:
- Положение о политике компании в отношении обработки персональных данных.
- Подписанные согласия работников на обработку их личной информации.
- Приказ о назначении лиц, которые в вашей организации ответственны за работу с ПД.
Согласно Закону N 152-ФЗ лицо (юридическое или физическое), которое организует и (или) осуществляет обработку персональных данных, определяет их состав, цели обработки, действия, совершаемые с персональными данными, называют оператором (п. 2 ст. 3 Закона N 152-ФЗ). В нашем случае это работодатель.
Обработка персональных данных — любое совершаемое с ними действие. Операции по обработке персональных данных:
- сбор;
- запись;
- систематизация;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- извлечение;
- использование;
- передача (распространение, предоставление, доступ);
- обезличивание;
- блокирование;
- удаление;
- уничтожение персональных данных.
О работе с персональными данными нужно уведомить Роскомнадзор
Закон устанавливает жесткие меры за нарушения, связанные с персональными данными. Поэтому важно знать правила работы с ними.
Обработка
Под обработкой данных понимается их получение, проверка, передача, хранение, накопление, уничтожение и другие действия, совершаемые с ними. Требования к обработке данных зафиксированы в 86 статье ТК РФ. Обработка может осуществляться лишь в строго определенных целях:
- содействие в трудоустройстве;
- обучение;
- контроль выполняемой работы.
В обработке не участвуют сведения о частной жизни работника, его убеждениях.
- Для работы с персональными данными составляется соответствующее Положение. Единой формы документа нет. В каждой организации она индивидуальна.
- При наличии в организации Профсоюза Положение согласовывается с ним.
- После окончательного утверждения Положения необходимо ознакомить с ним работников под роспись.
- Назначается сотрудник, ответственный за работу с данными. Это фиксируется в виде приказа. Список лиц, имеющих доступ к конфиденциальной информации, можно включить в этот же приказ или издать отдельный.
https://www.youtube.com/watch?v=https:tv.youtube.com
Больше информации о том, что такое обработка ПД, найдете в специальной статье.
Хранение
87 статья ТК РФ говорит о том, что работодатель должен установить порядок хранения и использования персональных данных сотрудника.
Статья 87 ТК РФ. Хранение и использование персональных данных работников
Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований настоящего Кодекса и иных федеральных законов.
Подробнее о порядке хранения и использования ПД работников мы рассказываем в отдельном материале.
Вопросы, связанные с персональными данными работников, регламентирует Федеральный закон №152 от 27.06.2006. Его цель — защитить права на защищенность частной жизни, сохранение тайн личности и семьи.
Статья 3 этого закона содержит основные определения. В частности, о персональных данных (ПД) сказано, что это информация, которая имеет отношение к физическому лицу. То есть, сведения, по которым человека можно однозначно идентифицировать, а также те, которые относятся к нему косвенно.
Четко очерченного законом списка таких сведений нет. К базовому набору относятся:
- фамилия, имя, отчество;
- дата рождения;
- семейный статус и состав семьи;
- данные об имуществе;
- информация об образовании;
- профессия и трудоустройство;
- данные о доходах.
Этот список может меняться, в зависимости от того, в какой области применяются данные о человеке. Например, если речь идет о трудоустройстве, персональные данные работника — это информация, необходимая работодателю: общий стаж, прошлые места работы, прохождение военной службы, особые знания и допуски, сведения о здоровье.
Закон требует, чтобы лица, которые получают доступ к ПД, сохраняли их конфиденциальность. То есть не допускали попадания в третьи руки без согласия обладателя этих данных, кроме случаев, отдельно предусмотренных законодательством. Об этом сказано в 7-й статье ФЗ №152.
Информацию о работнике работодатель может получить из:
- удостоверения личности (например, паспорт, военный билет, загранпаспорт); военного билета;
- трудовой книжки;
- номера индивидуальной страховки (СНИЛС);
- водительских прав;
- аттестата об образовании;
- медицинской книжки.
Согласно статье 86 Трудового Кодекса, работодатель обязан обеспечить защиту и неприкосновенность сведений о сотрудниках.
Согласно Трудовому Кодексу (ст. 87), работодатель может сам устанавливать порядок обработки, хранения и использования личных данных своих сотрудников. Но установить этот порядок, прописать его в локальных актах и соблюдать — обязательно. Отсутствие Положения о персданных может повлечь штраф, согласно статье 13.11 КоАП.
Вот ключевые моменты, на которые надо обращать внимание при хранении и использовании ПД:
- Информация о сотруднике, а также вся связанная с этим документация, хранятся в личном деле.
- Если в процессе использования персданных необходимо передать их третьим лицам (обязательно согласие субъекта), следует уведомить тех, что сведения можно использовать только в тех целях, для которых они получены.
- Внутри организации передавать данные можно только по правилам, установленным локальным актом, с которым работники ознакомлены под роспись.
- Доступ к такой информации имеют только работники, чьи полномочия утверждены соответствующим приказом.
- Нельзя требовать от сотрудника сведений о здоровье, кроме тех случаев, когда это необходимо, чтобы выяснить, может ли человек выполнять служебные функции.
Все правила передачи персданных описаны в статье 88 Трудового Кодекса.
Сотрудник вправе получить информацию о том, как используются его личные данные. Например, он может запросить отчет о том, кому и в каком объеме переданы сведения о нем. И работодатель должен такой отчет предоставить. Также следует обеспечить каждому сотруднику свободный доступ к его личному делу.
https://www.youtube.com/watch?v=ytcopyright
Личные дела подлежат хранению и после того, как человек уволится. Это прописано в Перечне типовых документов Росархива. Срок хранения дел рядовых сотрудников — 75 лет, а папки руководителей и менеджеров высшего звена сохраняются навсегда.
В Указе Президента РФ от 06.03.97 № 188 конкретизируется, какие сведения подразумевают. Это информация о человеке и событиях его жизни, которая позволяет идентифицировать его как личность. Персональные данные физического лица – это:
- фамилия, имя, отчество гражданина;
- дата его рождения, а также место рождения;
- адрес постоянного и временного проживания;
- сведения о семье и социальном положении гражданина;
- данные о его образовании, профессии и должности;
- сведения о доходах и имущественном положении;
- биометрические персональные данные.
В том числе это:
- сбор и запись данных;
- систематизация;
- хранение, накопление и обновление;
- извлечение, использование и передача;
- обезличивание данных;
- блокирование, удаление и уничтожение.
Если компания вносит сведения о новом работнике во внутренние документы или ведет базу своих клиентов-граждан, это входит в обработку персональных данных. На такие действия нужно получить согласие.
В дополнение к закону № 152-ФЗ действуют правила гл. 14 ТК РФ и разъяснения Роскомнадзора от 14.12.12. Компании нужно руководствоваться этими правилам при работе с данными сотрудников.
Если компания выполняет действия с персональными данными, она является оператором данных (п. 2 ст. 3 закона № 152-ФЗ). О том, что компания приступила к сбору такой информации, нужно уведомить Роскомнадзор (п. 1 ст. 22 закона № 152-ФЗ). Это делают по форме согласно Приложению № 1 к Методическим рекомендациям Роскомнадзора (утв. приказом от 30.05.2017 № 94).
Уведомление о работе с персональными данными подают в орган Роскомнадзора по месту регистрации компании. Документ можно подготовить как в бумажном виде, так и в электронном. Электронный вариант направляют через портал «Госуслуги» или сайт Роскомнадзора. После получения документа ведомство включит компанию в реестр операторов. Это делают в течение 30 дней с момента поступления уведомления. Проверить выполнение можно на сайте Роскомнадзора.
Порядок выполнения обработки оператором персональных данных может быть установлен в Положении о работе с персональными данными сотрудников (далее — Положение). Унифицированной формы документа нет. Рассмотрим, как составить этот документ с учетом требований Закона N 152-ФЗ. Положение состоит из нескольких разделов.
Таблица 2. Структура Положения о персональных данных работников
N | Обязанность | Содержание раздела |
1 | Общие положения | Цель принятия Положения |
Вопросы, которые регулирует Положение | ||
Ссылки на нормативные акты. Указывают, на основании каких документов составляется Положение. В организациях, где работают государственные гражданские служащие, дается ссылка на: — Федеральный закон от 27.07.2004 N 79-ФЗ «О государственной гражданской службе Российской Федерации»; — Указ Президента РФ от 30.05.2005 N 609 «Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела»; — нормативные акты субъекта РФ |
||
2 |
Основные понятия. Состав персональных данных работников |
Основные понятия. Даются определения понятий «персональные данные», «обработка персональных данных», «использование персональных данных», указывается срок хранения документов и т.д. Отдельно должно быть указано, что относится к персональным данным в конкретной компании с учетом ее особенностей (данные, используемые в работе, например сведения о работе на режимных объектах, об оформлении допуска к государственной тайне, о соответствии здоровья для профессий, связанных с тяжелыми и вредными условиями, и т.д.) |
Перечень документов организации, которые содержат персональные данные |
||
3 |
Получение персональных данных работников |
Процедура получения персональных данных. Указывается, что данные получают и обрабатывают на основании письменного согласия работника. Указываются случаи, когда согласие не нужно |
4 |
Использование персональных данных |
Цели использования личной информации сотрудников |
5 |
Обработка персональных данных |
Условия, соблюдаемые при обработке персональных данных работника |
6 |
Передача персональных данных (доступ к персональным данным) |
Порядок передачи персональных данных внутри организации (внутренний доступ), сторонним лицам и государственным органам (внешний доступ) |
7 |
Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных |
Указывают тех, кто несет ответственность за нарушение правил хранения и использования персональных данных |
Что это за документы?
К персональным данным относятся 2 типа документов: полученные при найме и относящиеся к деятельности сотрудника внутри организации.
Информация, полученная при найме работника, включает в себя:
ФИО.
- Адрес проживания.
- Дату рождения.
- Семейное положение.
- Документы об образовании, прохождении курсов повышения квалификации.
- Паспортные данные.
- Другие сведения, необходимые для трудоустройства.
Примеры сведений, связанных с работой в конкретной организации:
- Документ о назначении на какую-то должность.
- Заработная плата. Расчетные документы.
- Любые внутренние приказы компании, относящиеся к сотруднику.
О том, что входит в понятие «Персональные данные сотрудника» мы более подробно рассказываем в этом материале.
Если есть профсоюз
Если в компании есть профсоюз, с ним нужно согласовать Положение. Для этого проект положения направляют в выборный орган профсоюза (ст. 372 ТК РФ). Тот должен выразить свое мнение (в письменной форме) не позднее пяти рабочих дней со дня получения проекта. Если профсоюз не согласен с проектом или имеет предложения по его совершенствованию, у администрации есть два выхода.
Первый — согласиться. Второй — в течение трех дней после получения мотивированного мнения провести дополнительные консультации с профсоюзом в целях достижения взаимоприемлемого решения. Если и это не поможет, следует оформить протокол разногласий. После этого администрация имеет право принять Положение без учета требований профсоюза. Однако тот сможет обжаловать Положение или начать процедуру коллективного трудового спора в порядке, предусмотренном гл. 61 Трудового кодекса.
Когда нужно разрешение, а когда нет?
Законодательная база, определяющая использование персональных данных: ФЗ № 152.
При официальном трудоустройстве человек предоставляет необходимую личную информацию, и получатель должен обеспечить ее сохранность. Разглашение персональных данных приводит к дисциплинарной, уголовной и административной ответственности.
Организация не может собирать сведения, которые не относятся к трудовой деятельности сотрудника. Например, о его вероисповедании, политических убеждениях и др. Чтобы распоряжаться информацией о сотруднике, необходимо получить его разрешение. Однако законом определены ситуации, когда согласие получать не требуется.
https://www.youtube.com/watch?v=upload
Когда согласие не нужно:
- Когда сведения получены при заключении трудового договора.
- При запросе результатов медицинского осмотра о состоянии здоровья.
- Если сведения переданы кадровым агентством, которое действовало от имени соискателя на должность.
- Если информация является общедоступной. Например, она взята из расположенного в интернете резюме соискателя.
- При выплате алиментов.
- Если речь идет о сохранении жизни и здоровья человека.
- При передаче сведений в Пенсионный фонд, налоговые органы, военные комиссариаты, прокуратуру и др.
- Обработка связана с выполнением обязанностей сотрудником, в том числе при его командировании.
- Для осуществления пропускного режима, если работодатель организует его самостоятельно.
Когда согласие работника необходимо:
- При передаче информации третьим лицам (кроме тех, которые указаны среди исключений).
- При открытии банковского счета.
- В иных случаях, не попадающих под исключения.
О том, в каких случаях от работника требуется письменное согласие на обработку ПД, мы рассказываем здесь.
О работе с персональными данными нужно уведомить Роскомнадзор
В организации должен вестись журнал учета доступа к личным делам сотрудников.
Там указывают, кому оно выдавалось, дату выдачи и возврата. Каждый сотрудник, который имеет доступ к персональным данным, должен подписать договор о неразглашении.
Список ответственных за ведение учета персональных данных сотрудников обычно указывают в виде приложения к Положению. Такой перечень ответственных часто включает в себя кадровиков, руководителей отделов, бухгалтерию.
Хранение
Положение о персональных данных утверждается руководителем компании и вводится в действие приказом по организации (образец приведен на с. 90). Запись об утверждении Положения нужно сделать в журнале регистрации локальных нормативных актов.
Образец приказа
- в тексте трудового договора каждого работника (перечисление локальных нормативных актов, с которыми работник ознакомлен до подписания договора);
- — листе ознакомления с Положением (образец на с. 91);
- — журнале ознакомления работников с локальными нормативными актами (образец на с. 91).
Образец листа ознакомления с локальными нормативными актами
N п/п |
Наименование локального нормативного акта | Дата | Подпись |
1 |
Правила внутреннего трудового распорядка ООО «Черный лес» |
03.10.2011 | Евстахов |
2 |
Положение об оплате труда, премировании и социальном обеспечении сотрудников ООО «Черный лес» |
03.10.2011 | Евстахов |
3 |
Инструкция по информационной безопасности, утвержденная Приказом от 15.06.2008 N 1 |
03.10.2011 | Евстахов |
4 | Положение о персональных данных | 03.10.2011 | Евстахов |
5 |
Положение о материальной ответственности работников за ущерб, причиненный ООО «Черный лес» |
03.10.2011 | Евстахов |
Фрагмент журнала ознакомления с Положением о персональных данных
N п/п |
Ф.И.О. работника |
Дата ознакомления |
Подпись |
1 | Алексеева Диана Николаевна | 15.08.2011 | Алексеева |
2 | … | … | … |
6 | Евстахов Сергей Сергеевич | 03.10.2011 | Евстахов |
7 | … | … | … |
8 | … | … | … |
9 | … | … | … |
https://www.youtube.com/watch?v=ytpress
Примечание. Срок хранения персональных данных
Локальные нормативные акты (положения, инструкции) о персональных данных должны храниться постоянно. Что касается заявлений работников о согласии на обработку данных (о них будет рассказано в следующих номерах), других документов работника, то они хранятся 75 лет. Об этом говорится в Перечне, утвержденном Приказом Минкультуры России от 25.08.2010 N 558.
Образец приказа
Этим же приказом может быть установлен список лиц, имеющих доступ к персональным данным. Указанный список не возбраняется утвердить и отдельным приказом руководителя.
Как правило, ответственными за организацию работы с персональными данными работников (их получение, обработку, хранение, защиту и т.д.) назначают следующих работников:
- начальника отдела кадров;
- (старшего) инспектора по кадрам;
- директора по персоналу;
- заместителя начальника отдела (директора по персоналу);
- специалиста по работе с персоналом.
Может быть введена и новая должность.
Ответственность работодателя
Как уж было сказано, отсутствие Положения о персональных данных — это нарушение, за которое могут оштрафовать. Но это далеко не единственная ответственность работодателя в этом случае. Трудовое законодательство защищает личность сотрудников, за нарушение принципов работы с персданными предусмотрена ответственность:
- Дисциплинарная. Самая строгая мера, увольнение, может последовать только за нарушение конфиденциальности. Для других проступков мерой может быть избрано замечание или выговор.
- Административная. Это могут быть предупреждения или штрафы за отсутствие предусмотренных законодательством документов (Положения, приказов об ответственных лицах).
- Материальная. Ее несут работники, которые уполномочены обрабатывать ПД. Например, сотрудник, сведения о котором без его согласия стали доступны третьим лицам, может потребовать компенсацию морального ущерба.
- Уголовная. Предусмотрена статьей 137 УК России и также за разглашение персданных. Мерой наказания может быть избран штраф до 200 000 рублей, исправительные работы до 180 часов или заключение на срок до 4 месяцев.
Меры административной ответственности (в основном предусмотрены штрафы, дисквалификация в данном случае не применяется) для предприятия и его должностных лиц за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников приведены в табл. 3.
https://www.youtube.com/watch?v=ytpolicyandsafety
Таблица 3. Ответственность за нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников
Нарушение | Ответственность |
Норма законодательства |
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) |
Для должностных лиц: от 500 до 1000 руб.; для юридических лиц: от 5000 до 10 000 руб. |
Статья 13.11 КоАП РФ |
Разглашение информации, доступ к которой ограничен (персональных данных), лицом, получившим к ней доступ в связи с исполнением служебных или профессиональных обязанностей |
Для должностных лиц: от 4000 до 5000 руб. |
Статья 13.14 КоАП РФ |