+7(499)-938-42-58 Москва
8(800)-333-37-98 Горячая линия

Защита персональных данных при приеме на работу: о чем нужно помнить кадровику

Содержание

Что нужно знать работодателю о защите персональных данных?

Защита персональных данных при приеме на работу: о чем нужно помнить кадровику

Источник: http://www.klerk.ru/boss/

Защита персональных данных сегодня актуальный вопрос не только в отношениях работник-работодатель, но и в любой сфере, в которой собираются и обрабатываются личные данные.

Получите документы по теме бесплатно

По действующему законодательству работодатели не только должны обеспечивать хранение и защиту персональных данных работников, но и несут ответственность за их разглашение. Недопустимость распространения информации о частной жизни лица без его согласия изначально гарантирована законодательством РФ.

Хранение личных данных – законодательное регулирование

Отношения, связанные с обработкой персональных данных, регулируются:

  • федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных»;
  • главой 14 Трудового кодекса РФ.

Что конкретно закон понимает под персональными данными? Это любая информация, которая прямо или косвенно относится к физическому лицу (субъекту персональных данных).

А любые действия, совершаемые с персональными данными, такие как: сбор, хранение, запись, накопление, уточнение, передача (распространение), обезличивание и уничтожение называют обработкой персональных данных.

Таким образом так или иначе все организации сталкиваются с обработкой персональных данных не только своих сотрудников, но и клиентов (например, оформляя бонусные или скидочные карты) – в этом случае их называют операторами.

Поскольку ни в Трудовом кодексе, ни в 152-ФЗ не установлено какие конкретно данные относятся к персональным – то для работы в качестве основы можно использовать Перечень персональных данных федеральных государственных гражданских служащих Минюста, утвержденный Приказом Минюста России от 21.03.2013 N 36.

Обработка персональных данных и их защита

Законодательством ограничивается круг информации, которую работодатель имеет право получать и использовать в отношении своих сотрудников. Это только те сведения, которые характеризуют сотрудника как сторону трудового договора.

Обязательность применения мер безопасности по защите персональных данных возлагается на сторону, которая занимается их обработкой.

Важно! Исходя из норм, установленных ч.1 ст.89 ТК РФ, работодатель обязан знакомить своих сотрудников с информацией об их персональных данных и их обработке.

Кроме этого работники и их представители должны быть ознакомлены под роспись с документами, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.

То есть конкретный порядок доступа работника к своим персональным данным необходимо устанавливать в локальных нормативных актах. При этом нужно учитывать, что данный порядок должен гарантировать свободу доступа работника к своим персональным данным.

Получение персональных данных

Работодателю следует помнить, что все персональные данные работника следует получать у него самого (п. 3 ст. 86 ТК РФ).

В некоторых случаях согласие на обработку персональных данных работника (соискателя) не требуется, если эта информация получена:

  1. из документов, предъявляемых при заключении трудового договора;
  2. по результатам обязательного предварительного медицинского осмотра о состоянии здоровья;
  3. в объеме, предусмотренном личной карточкой N Т-2, в т.ч. персональные данные близких родственников;
  4. от кадрового агентства, действующего от имени соискателя;
  5. из резюме соискателя, размещенного в сети Интернет и доступного неограниченному кругу лиц.

Если персональные данные работника могут быть получены только у третьей стороны, работника нужно уведомить об этом заранее и получить его письменное согласие.

В уведомлении необходимо указать:

  • цели получения персональных данных работника у третьего лица;
  • предполагаемые источники данных (у кого будет запрашиваться информация);
  • способы получения данных, их характер;
  • возможные последствия отказа работодателю в получении информации у третьего лица.

Если цели сбора информации отличаются от тех, что перечислены в п. 1 ст. 86 ТК РФ – работодатель не имеет права ее запрашивать у третьих лиц даже с согласия работника.

Меры защиты персональных данных

Для обеспечения внешней защиты персональных данных работников работодатель должен принять следующие меры:

  • установить пропускной режим и особый порядок приема, учета и контроля деятельности посетителей;
  • установить особый порядок выдачи пропусков и удостоверений работников;
  • использовать технические средства охраны;
  • использовать программно-технический комплекс защиты информации на электронных носителях.

Мы уже говорили о том, что законодательство требует, чтобы обработка персональных данных осуществлялась с согласия работника. В случае возникновения спора, чтобы иметь возможность предоставить доказательства – целесообразно оформить такое согласие письменно.

Если работник является недееспособным, письменное согласие на обработку его данных следует получить у его законного представителя. В случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни.

Не следует забывать о том, что работник в любое время имеет право отозвать свое согласие на обработку персональных данных.

В процессе разработки локального акта, который будет определять порядок обработки, хранения и использования персональных данных, можно руководствоваться Постановлением Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Следующее – обязательно обеспечьте раздельное хранение персональных данных, обработка которых осуществляется в различных целях.

При хранении материальных носителей оператор должен принимать меры безопасности для исключения несанкционированного доступа к ним и обеспечить их сохранность.

Перечень мер для обеспечения таких условий, порядок их принятия, а также список лиц, ответственных за реализацию указанных мер, устанавливаются также работодателем.

Передача персональных данных

В процессе трудовой деятельности зачастую возникает необходимость передавать персональные данные работника как внутри организации, так и третьим лицам. А это означает, что работодатель должен вести их строгий учет. Рекомендуется применять журналы учета, в которых указываются:

  • даты выдачи и возврата документа,
  • наименование документа,
  • срок пользования,
  • цель выдачи,
  • Ф.И.О. и должность лица, получившего документ с персональными данными работника.

Доступ к персональным данным работников должен осуществляться только специально уполномоченными лицами. При этом они имеют право получать только те данные, которые необходимы для выполнения конкретных функций.

Ситуация: если документы, содержащие персональные данные, составлены более чем на одном листе – при их возврате лицо, которое получало документы, должно присутствовать лично при проверке наличия всех имеющихся документов по описи.

При этом сотрудник, получающий личное дело другого работника во временное пользование, не имеет права делать в нем какие-либо пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые.

Работодателю следует вести журнал учета выдачи персональных данных работников организациям и государственным органам, в котором необходимо регистрировать поступающие запросы, фиксировать сведения о лице, направившем запрос, дату передачи персональных данных или уведомления об отказе в их предоставлении и отмечать, какая именно информация была передана.

Для повышения уровня защиты персональной информации в систему учета можно ввести обязательное проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также устанавливать порядок работы с ними. В этой связи следует разработать и вести журнал проверок наличия документов, содержащих персональные данные работника.

Размер ответственности за нарушения

В соответствии со ст. 13.11 КоАП РФ нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа:

  • на граждан – от 300 до 500 руб.;
  • на должностных лиц – от 500 до 1000 руб.;
  • на юридических лиц – от 5000 до 10 000 руб.

Помимо организации ответственность за нарушение несет ее руководитель как должностное лицо.

В соответствии со ст. 13.14 КоАП РФ разглашение персональной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:

  • на граждан – от 500 до 1000 руб.;
  • на должностных лиц – от 4000 до 5000 руб.

Если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных других сотрудников, то его могут привлечь к административной ответственности в виде штрафа.

Персональные данные относятся к сведениям, которые охраняются федеральным законом. Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, также является основанием для привлечения к дисциплинарной ответственности (ст. 90 ТК РФ).

Статья 137 Уголовного кодекса за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрируемом произведении или средствах массовой информации предусматривает:

  • или штраф в сумме до 200 тыс. руб.,
  • или штраф в размере заработной платы либо иного дохода осужденного за период до 18 месяцев,
  • или обязательные работы на срок от 120 до 180 часов,
  • или исправительные работы на срок до одного года,
  • или арест на срок до четырех месяцев.

А часть 2 указанной статьи предусматривает, что те же деяния, совершенные лицом с использованием своего служебного положения, наказываются

  • или штрафом в сумме от 100 тыс. до 300 тыс. руб.,
  • или штрафом в размере заработной платы либо иного дохода осужденного за период от одного года до двух лет,
  • или лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет,

или арестом на срок от четырех до шести месяцев.

Источник: https://otchetonline.ru/art/direktoru/56645-chto-nuzhno-znat-rabotodatelyu-o-zaschite-personal-nyh-dannyh.html

Нужно ли согласие на обработку персональных данных в 2018 году

Защита персональных данных при приеме на работу: о чем нужно помнить кадровику

Данную статью посвятим тому, что собой представляют персональные данные, каким должно быть согласие на обработку персональных данных при приеме на работу, при каких обстоятельствах и кто может обладать доступом к субъектным сведениям о персонале.

Что считается персональными данными

Согласно статье 23 Конституции РФ, каждый человек обладает правом на неприкосновенность жизни, семейную, частную тайну, защиту своих имени и чести. Совокупностью правовых норм, установленных главой 14 ТК РФ, регулируются действия по сбору, хранению, обработке, передаче и использованию субъектных данных персонала организаций.

Среди локальных нормативных актов стоит акцентировать внимание на Положении о персонале, которые разрабатывается работодателем, и своим действием распространяется на коллектив компании, Положении о порядке использования личных сведений кадрового состава предприятия и других, подобных им.

Персональными данными сотрудника считаются сведения, необходимые работодателю для вступления с ним в трудовые отношения. Такие данные относятся к группе документированной информации, то есть сведений, зафиксированных на материальном носителе с идентифицирующими их реквизитами.

Объем и вид информации, составляющих личные данные, должны быть определены в соответствующем локальном акте компании.

Информацией, составляющей личные сведения, считается следующая:

  • данные, которые предоставляет работник при трудоустройстве, установленные ст. 65 ТК РФ;
  • данные, получаемые и создаваемые работодателем в период осуществления принятым на работу гражданином трудовой деятельности;
  • сведения о сотруднике, которые хранятся у работодателя после расторжения с ним трудовых взаимоотношений.

Данные личного характера разделяются на два вида:

  1. сведения, являющиеся фактами, и не подлежащие субъективной оценке, к примеру, специальность, приобретенная сотрудником в ходе обучения в каком-либо учебном заведении;
  2. сведения оценочного характера, содержащиеся, в частности, в заключении аттестационной комиссии, характеристике и др.

Обработка персональных данных

Процедура обработки личных данных специалиста – совокупность отношений, которые возникают в процессе:

  1. формирования информационной базы на основе получения, комбинирования, хранения, документирования сведений о конкретном трудоустраиваемом гражданине в порядке, регламентированном ст. 86 ТК РФ;
  2. использования отдельной документации, а также иного рода информации, которая относится к числу личных данных специалиста, находящихся на хранении у нанимателя.

Субъектами таких взаимоотношений выступают:

  • работодатель;
  • работник (или его представитель);
  • должностные лица, которые осуществляют обработку персональной информации;
  • третьи лица, предоставляющие (или получающие) информацию о сотруднике.

Цели обработки субъектной информации кадров в организации:

  1. обеспечение соблюдения норм законодательства;
  2. обеспечение личной безопасности соискателей/рабочих;
  3. содействие в их трудоустройстве/карьерном росте;
  4. контролирование количества и качества трудовых процессов и обеспечение сохранности имущества организации.

Персональные данные:

Законом не закреплена процедура обработки данных индивидуального характера о работниках, но в ст. 86 Трудового кодекса РФ приведен список общих требований, которые для обеспечения прав граждан предъявляются к обработке подобных сведений.

Среди них стоит назвать следующие:

  1. обрабатываться личные сведения о трудоустроенных могут исключительно в ранее указанных целях;
  2. определяя количественный перечень подлежащих анализу персональных сведений сотрудника, работодатель должен опираться на Конституцию РФ и содержимое иных федеральных законов;
  3. вся информация данного типа должна получаться исключительно у работника. В случае ее предоставления третьими лицами должно быть предоставлено согласие работника на обработку персональных данных в письменной форме;
  4. наниматель не обладает правом получения и обработки данных сотрудника о его частной (личной) жизни и религиозных, политических и любых других убеждениях. Если же подобное требуется условиями предстоящей профессиональной деятельности, то работа с такими материалами возможна лишь при документальном, то есть письменном, согласии на то работника;
  5. работодатель не может использовать данные личного характера, отражающих участие сотрудников в деятельности профсоюзных организаций или членство в общественных объединениях. Исключение являются случаи, определенные соответствующими федеральными законами;
  6. принимая решения, затрагивающие индивидуальные интересы сотрудника, наниматель не может брать за основу личные сведения о нем, которые были получены после проведения автоматизированного сбора подобных материалов;
  7. защищены данные личного характера персонала от утраты и неправомерного использования должны быть нанимателем за его счет в установленном ФЗ порядке;
  8. работник и/или его представитель должны быть под роспись ознакомлены с документацией организации, утверждающей порядок обработки субъектных данных каждого сотрудника, а также о своих обязанностях и правах в данной области;
  9. работники не обязаны отказываться от прав на защиту и сохранение тайны;
  10. меры по защите личных сведений о кадровом составе компании должны быть выработаны совместно работодателем, представителем работника и ним лично.

Нужно ли согласие

Согласно общим правилам, обрабатываться данные работников могут только с согласия на то последних (п. 1 ст. 6 Закон о персональных данных). Однако обязан ли работодатель при приеме на работу брать заявление об обработке персональных данных?

Статьей 6 указанного выше Закона установлено, что в большинстве случаев нанимателю не требуется получать согласие рабочего на обработку его личных данных, поскольку осуществление этой процедуры происходит в целях исполнения контракта о сотрудничестве.

Вместе с тем нередко на практике случается так, что получить заявление о согласии работника на обработку персональных данных при приеме на работу необходимо.

В таком случае данного рода разрешение может быть составлено в устной или письменной форме.

Получение письменного разрешения на обработку личных сведений необходимо:

  • при обработке информации личного характера, касающейся частной жизни;
  • при обработке биометрических данных;
  • для осуществления трансграничной передачи личных сведений;
  • для принятия решений на основе только автоматизированной обработки данных персонального характера.

Важно отметить, что согласие на обработку персональных данных работника обязательно должно быть получено при включении последних в общедоступные источники. В таком случае письменное согласие должно содержать:

  • Ф.И.О., адрес трудоустраиваемого, номер основного удостоверяющего личность документа, сведения о последнем: дата выдачи и орган, выдавший его;
  • название и адрес оператора, который получил согласие субъекта личной информации;
  • цель обработки субъектной информации;
  • список персональных сведений, которые могут обрабатываться согласно этому разрешению;
  • перечень действий, которые могут быть совершены с персональными сведениями, основываясь на этом согласии, общее описание допустимых для применения оператором способов;
  • срок действия согласия и порядок его отзыва.

Подобное согласие может быть отозвано субъектом в любой момент. В таком случае обработка данных индивидуального характера о нем должна быть прекращена, а все сведения уничтожены в трехдневный срок с даты составления отзыва.

Об этой возможности сотрудник должен быть уведомлен до момента составления разрешительного документа на обработку личных сведений.

Кроме того, существует возможность установления иного срока и условий по обоюдной договоренности сторон.

Может ли сотрудник отказать

Если работник не подписывает согласие на обработку персональных данных, обрабатываться сведения о нем должны сотрудниками кадровой службы организации в пределах, установленных действующим российским трудовым законодательством.

Если же предполагаемые действия приведут к выходу за пределы законов, необходимо будет получить от работника соответствующее согласие, то есть документированное добровольное волеизъявление сотрудника о предоставлении разрешения на использование его личных данных для сформулированных целей.

Права сотрудников и персональные данные

Права рабочих в сфере защиты их личных данных регламентированы ст. 88 ТК РФ.

Условно права трудящихся в данном направлении делятся на три группы:

  • информация о персональных данных в полном объеме, включая допустимую их обработку;
  • запрос устранения недостатков, которые имеют место в личном деле рабочего в информационной базе компании;
  • защита от бездействия или неправомерных действий работодателя любыми определенными законом способами.

Вышеназванные права работников четко прописаны в ФЗ «Об информации, ее защите и информатизации» от 20 февраля 1995 г., а также установлены отдельными федеральными актами, постановлениями Правительства России, указами Президента РФ.

Также трудовым законодательством предусмотрена возможность требования работником выдачи ему копии любой записи из личного дела, содержащей персональные данные о нем.

Ответственность за разглашение личных данных

В соответствии со ст. 90 Трудового кодекса РФ, лица, из-за действий или бездействия которых были нарушены нормы, регулирующие получение, защиту и обработку персональных сведений кадрового состава компании, несут юридическую ответственность.

Так, согласно ст. 24 ФЗ № 24 от 20 февраля 1995 г.

, ответственность за ограничение доступа в незаконном порядке к сведениям и нарушение порядка защиты последних возлагается на руководящие лица и других служащих организаций, органов государственной власти при наличии вины с их стороны в соответствии с действующим гражданским, уголовным законодательством и законами об административных правонарушениях.

Согласно ст.

13 Кодекса об административных правонарушениях РФ, при нарушении утвержденного законом порядка хранения, сбора и использования, в том числе распространения, сведений о гражданах, предусмотрена административная ответственность посредством наложения штрафа размером до пяти минимальных оплат труда или предупреждения об этой возможности в отношении рядовых работников. При совершении должностными лицами аналогичных действий размер административного штрафа для них может достигать десяти минимальных зарплат, и для юридических лиц в таких случаях — ста минимальных заработных плат.

Ст.

137 УК РФ установлена уголовная ответственность за противозаконное распространение или сбор информации о частной жизни граждан, составляющей их семейную/личную тайну, без их на то согласия, либо распространение сведений данной категории в публичном выступлении, если подобные деяния совершались из корыстной или любой другой личной заинтересованности и способны были причинить вред правам граждан. Наказанием в таком случае выступает штраф размером от 250 до 500 заработных плат.

Закон 152-ФЗ “О персональных данных” – Что необходимо знать о поправках и как оформить сайт.

Почему нельзя подписывать – “согласие на сбор и обработку персональных данных”

Обработка и хранение персональных данных

Персональные данные. ВЫ ТОВАР – ВАС ПРОДАЛИ !

Источник: https://podborkadrov.com/priem-na-rabotu/obshhie-voprosy/soglasie-na-obrabotku-personalnyx-dannyx.html

Как защитить персональные данные сотрудников и не попасть на повышение штрафов с 1 июля 2017 года

Защита персональных данных при приеме на работу: о чем нужно помнить кадровику

ФИО и любая другая личная информация о гражданине – это персональные данные.

Если у компании есть сотрудники, либо хранятся персональные данные клиентов или других физических лиц, она должна выполнять требования Федерального закона № 152-ФЗ «О персональных данных».

За их соблюдением строго следит Роскомнадзор. Требований много, и ответственность за их несоблюдение предусмотрена серьезная.

Как защитить персональные данные сотрудников и клиентов и правильно организовать работу с персональными данными, чтобы избежать штрафов, читайте в нашей публикации.

Что такое персональные данные?

Согласно закону № 152-ФЗ, персональные данные – это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу. То есть о персональных данных можно говорить, если по информации или ее совокупности можно понять, о ком именно идет речь. Если же идентифицировать личность нельзя, то такие сведения нельзя отнести к персональным данным.

Исчерпывающего списка персональных данных в законодательстве не приводится. Относятся данные к персональным или не относятся, решается в каждой ситуации отдельно. Но обычно к ним принято относить:

  • фамилию, имя, отчество;
  • адрес проживания;
  • электронный адрес;
  • номер телефона;
  • дата рождения;
  • место рождения;
  • национальность;
  • вероисповедание;
  • место работы;
  • должность;
  • рост;
  • вес;
  • и т.д.

Как должен защищать персональные данные отдел кадров

Обязанности в сфере защиты персональных данных отделом кадров четко прописаны в главе 14 Трудового кодекса РФ и ст. 18.1 Закона № 152-ФЗ.

Итак, кадровым сотрудникам следует:

  1. Проходить обучение, повышать квалификацию по обработке персональных данных (если работодатель ответственно относится к вопросу соблюдения кадровой службой законодательства о персональных данных – он потратится на учебу).
  2. Осуществлять все действия с персональными данными (документами, содержащими персональные данные) только с письменного согласия работника. Кстати, сообщение информации о работе того или иного сотрудника кредитным организациям по телефону также должно быть произведено только с письменного согласия работника.
  3. Знакомить перед заключением трудового договора сотрудников с локальным нормативным актом, определяющим порядок обработки персональных данных в компании.
  4. Соблюдать режим ограниченного допуска к персональным данным (разграничивать доступ между специалистами по кадрам в соответствии с функционалом, использовать в работе запирающиеся шкафы, сейфы, запирающие и блокирующие устройства).

Во-первых, необходимо выяснить состав физических лиц, чьи персональные данные обрабатываются.

Если компания имеет дело лишь с персональными данными:

  • сотрудников, работающих по трудовым договорам;
  • работающих по договорам ГПХ;
  • и иными физическими лицами.

Когда обработка персональных данных отделом кадров ограничивается лишь фамилией, именем и отчеством – достаточно разработать единый комплексный документ, определяющий политику компании в области обработки персональных данных, как работников, так и иных лиц, вступающих в отношения с компанией и чьи персональные данные обрабатываются.

Если круг субъектов и перечень персональных данных шире (например, компания занимается обработкой и хранением персональных данных своих клиентов), то ограничиться локальными нормативными актами не получится. В таком случае Закон № 152-ФЗ обязывает компанию:

  1. уведомить Роскомнадзор о намерении обрабатывать персональные данные;
  2. подготовить перечень документов, определяющий порядок обработки и защиты персональных данных. Перечень таких документов достаточно обширный. Практика показывает, что это:
    • Приказ о назначении ответственного за организацию обработки персональных данных;
    • Документ, определяющий политику оператора в отношении обработки персональных данных;
    • Согласия сотрудников на обработку персональных данных (в т.ч. на передачу третьим лицам и получение у третьих лиц);
    • Документ, содержащий положения о принятии оператором правовых, организационных и технических мер для защиты персональных данных;
    • Документы по организации приема и обработке обращений и запросов субъектов персональных данных;
    • Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки без использования средств автоматизации;
    • Документ, устанавливающий требования к ведению журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию;
    • Документ, устанавливающий требования к хранению материальных носителей содержащих персональные данные;
    • Документ о классификации информационных систем;
    • Список лиц, которым необходим доступ к персональным данным, обрабатываемым в информационной системе, утвержденный оператором или уполномоченным лицом;
    • Документ, устанавливающий порядок обработки персональных данных работников.

Если обработку персональных данных по поручению компании выполняет провайдер, (например, аутсорсинговая бухгалтерская компания), то вышеперечисленный перечень документов дополняется:

  1. Письменным поручением на обработку персональных данных. Такое поручение может быть внесено в основной договор об оказании услуг и должно включать не только поручение провайдеру осуществлять от имени компании обработку персональных данных, но и цели такой обработки, перечень действий с ними, их состав, а также обязательство провайдера соблюдать конфиденциальность и безопасность персональных данных, а также требования к их защите.
  2. Согласиями на передачу персональных данных провайдеру – от каждого сотрудника

Как видим, перечень документов, регламентирующий обработку персональных данных, достаточно обширный.

Чтобы не перегружать документооборот огромным количеством локальных нормативных актов (приказов, положений, инструкций и т.д.

), а процесс приема на работу в бесконечный процесс ознакомления с локальными документами, рекомендуется утвердить один документ, регламентирующий все аспекты работы с персональными данными в компании.

Как проверить свою бухгалтерскую компанию на предмет защиты персональных данных

Все ранее перечисленные требования относятся и к провайдеру, в том числе, компаниям, оказывающим услуги бухгалтерского аутсорсинга.

Добросовестный провайдер:

  • По запросу клиента предоставит выписку из федерального реестра операторов персональных данных (компания-провайдер попадает в этот реестр после уведомления Роскомнадзора).

Важно!

Проверить провайдера на соблюдение порядка уведомления Вы можете самостоятельно на сайте Роскомнадзора: https://pd.rkn.gov.ru/operators-registry/operators-list/.

  • Ознакомит со своей Политикой в отношении персональных данных клиентов.
  • Включит в договор обслуживания условия о поручении и обязанности провайдера осуществлять обработку персональных данных от имени компании, а также обязанности, связанные с защитой этих данных.

Важно!

Провайдер не обязан брать согласия с субъектов персональных данных, которые он обрабатывает в связи с исполнением договора на обслуживание, поэтому обязательно возьмите письменные согласия с работников на передачу персональных данных провайдеру.

Ответственность за нарушение закона 152-ФЗ

Возможные нарушения в области защиты персональных данных и суммы штрафов мы привели в таблице:

За что могут штрафоватьСумма штрафа
Персональные данные обрабатываются не в тех целях, на которое дано согласиеНапример, персональные данные работника обрабатываются в целях расчета заработной платы, ведения кадрового делопроизводства, но никак не для оформления кредита, открытия лицевых счетов в банках, продажи чего-либо. В согласии на обработку персональных данных обязательно указываются цели обработки – это требование Закона 152-ФЗ.от 30 000 до 50 000 руб.
Обработка персональных данных отделом кадров без письменного согласия (когда оно, естественно, требуется)от 15 000 до 75 000 руб.
Политика по обработке персональных данных не опубликована или отсутствует в свободном доступе (на стенде, на сайте и т.д.)от 15 000 до 30 000 руб.
Оператор персональных данных не отреагировал на запрос сотрудника (субъекта персональных данных)Например, на электронную почту приходит регулярная рассылка с сайта ***, принадлежащего компании ААА. Получатель рассылки направляет в компанию ААА запрос о подтверждении факта обработки его персональных данных, их состава, целей такой обработки и т.д. В течение 30 дней компания ААА должна дать официальный ответ. Если такого ответа не последовало, то это нарушение.от 20 000 до 45 000 руб.
Нарушены условия защиты бумажных документов, содержащих персональные данные Например, произошла утечка данных вследствие случайного доступа постороннего лица, уничтожение персональных данных, их распространение и т.д.от 25 000 до 50 000 руб.

Что говорят суды о плохо защищенных персональных данных

  • В тексте договора об оказании бухгалтерских услуг отсутствовали существенные условия об обеспечении конфиденциальности и безопасности персональных данных при их обработке, не был приведен перечень действий с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, а также не указаны требования к защите обрабатываемых персональных данных. Компании выписали предписание устранить нарушение (Постановление ФАС Северо-Западного округа от 29.04.2013 по делу № А44-5910/2012).

Источник: https://1c-wiseadvice.ru/company/blog/kak-zashchitit-personalnye-dannye-sotrudnikov-i-ne-popast-na-povyshenie-shtrafov-s-1-iyulya-2017-god/

Персональные данные | Статьи | Журнал «Кадровое дело»

Защита персональных данных при приеме на работу: о чем нужно помнить кадровику

Персональные данные относятся к защищаемой законом информации. Как же организовать работу с ними так, чтобы риск разглашения свести к минимуму, какая ответственность установлена для нарушителей и как правильно оформить всю документацию по персональным данным – читайте в статье.

Из этой статьи вы узнаете:

  • какие свведения относятся к персональным данным;
  • как правильно организовать работу с персональными данными;
  • какая отвесттвенность установлена за нарушение порядка этой работы.

Понятие персональных данных

В Трудовом кодексе под персональными данными работника понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника (ч. 1 ст. 85 ТК РФ).

Легко заметить, что под это определение можно подвести любую информацию о работнике.

И работодатели нередко собирают о сотруднике всю информацию, мотивируя это тем, что хотят иметь максимально полное представление о нем.

Довольно часто от работника требуют сообщить исчерпывающую информацию о его семейном положении и ближайших родственниках, о жилищных условиях, состоянии здоровья, о фактах привлечения к уголовной ответственности, о наличии постоянной регистрации по месту жительства и многое другое.

Но такого рода информация никаким образом не относится к трудовой деятельности работника. Наоборот, тем самым работодатель переходит тонкую грань, отделяющую персональные данные от сведений, составляющих тайну частной жизни, личную или семейную тайну гражданина.

Для того чтобы установить, в каком объеме работодатель вправе получать от работника информацию о его персональных данных, необходимо обратить внимание на очень важное ограничение – это целевой характер использования персональных данных.

Обратите внимание! Обработка этого вида информации может производиться исключительно в целях, указанных в пункте 1 статьи 86 ТК РФ.

Ответственность за нарушения правил работы с персональными данными

Статья 90 ТК РФ предусматривает привлечение к дисциплинарной и материальной ответственности работодателя в порядке, установленном Трудовым Кодексом и иными федеральными законами за нарушение норм, регулирующих получение, обработку и защиту персональных данных работника. Лица, виновные в нарушении норм, привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

Виды ответственности за нарушение правил работы с персональными данными
Уголовная
  • Статья 137 УК РФ предусматривает наказание за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную и семейную тайну.
  • Уголовная ответственность грозит в том случае, если эти действия совершены намеренно, из корыстной или иной личной заинтересованности и повлекли за собой нарушение законных прав и свобод граждан.
  • Наказание ужесточается, если виновный использовал свое служебное положение.
Административная
  • Статья 13.11 КоАП РФ предусматривает ответственность работодателя в виде предупреждения или наложения штрафа на работодателя в размере от 5 до 10 МРОТ за нарушение установленного порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). Этот порядок установлен главой 14 Трудового кодекса РФ и локальными нормативными актами предприятия.
  • Защита персональных данных также обеспечивается положениями статьи 13.14 КоАП РФ. Если лицо, получившее доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, разгласило сведения, составляющие персональные данные, то административный штраф для него будет составлять от 40 до 50 МРОТ. К административной ответственности работодателя или его представителей может привлечь ГИТ или суд.
Дисциплинарная
  • В отношении сотрудника-кадровика работодатель вправе применить одно из дисциплинарных взысканий, предусмотренных статьей 192 Трудового кодекса РФ: замечание, выговор, увольнение. Более того, кодекс предусматривает специальное основание для расторжения трудового договора по инициативе работодателя в случае разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей (подп. «в» п. 6 ст. 81).
  • Разглашение может быть совершено среди коллег, знакомых, родственников и других лиц, не имеющих законного доступа к ним. Кроме разглашения основными видами нарушений правил работы с персональными данными являются незаконное получение или использование сведений, составляющих персональные данные, и утрата материальных носителей, содержащих данную информацию.
  • Важно! Следует подчеркнуть, что увольнение работника может быть осуществлено только за разглашение персональных данных. В иных случаях работодатель вправе наложить на виновное лицо другое дисциплинарное взыскание.
  • К дисциплинарной ответственности могут быть привлечены лишь те работники кадровой службы, которые приняли на себя обязательство соблюдать правила работы с персональными данными

Работники и их представители имеют право осуществлять контроль за выполнением требований по защите конфиденциальности этой категории информации, запрещать или приостанавливать обработку персональных данных в случае их невыполнения. Любые неправомерные действия (бездействие) работодателя при обработке и защите персональных данных работник вправе обжаловать в судебном порядке.

Персональные данные: что проверит Роскомнадзор

Базовые документы по работе с персональными данными

Чтобы не допустить разглашения персональных данных, избежать штрафов и других неприятностей, необходимо создать надежную систему защиты таких сведений в процессе их получения, обработки, передачи и хранения.

В соответствии с ТК РФ работодатель организует защиту персональных данных самостоятельно и за счет своих средств. Он сам решает, какие документы и в каком количестве будут регулировать работу с персональными данными в организации.

Проверяющий орган не может заставить руководителя предприятия принимать какие-либо конкретные документы в обязательном порядке. Но при проверке нужно предъявить весомые доказательства того, что защита персональных данных осуществляется.

Ими могут быть следующие документы, упорядочивающие работу с такой информацией:

  • Перечень сведений, составляющих персональные данные работников;
  • Положение о порядке работы с персональными данными работников;
  • Инструкция об организации конфиденциального документооборота.

Дадим краткую характеристику каждому из этих документов. Прежде всего работодателю необходимо выявить категории сведений, составляющих персональные данные работников.

Эту деятельность лучше будет проводить с участием тех специалистов, чьи трудовые обязанности напрямую связаны с обработкой персональных данных. В результате проведенной работы эта комиссия составляет Перечень сведений, составляющих персональные данные работников.

В таком Перечне целесообразно указывать критерии отнесения сведений к персональным данным, цели, способы и источники их получения.

Обрабатываем персональные данные при приеме на работу

Организация может принять Положение о порядке работы с персональными данными работников, которое и будет базовым локальным нормативным документом по организации работы с персональными данными (см. образец на стр. 55-57).

Это Положение регламентирует механизм получения, обработки, передачи и защиты этого вида конфиденциальной информации, а также закрепляет права и обязанности работников и работодателя, определяет меры их ответственности.

Положение должно быть утверждено руководителем организации и доведено начальниками структурных подразделений в индивидуальном порядке под роспись до сведения всех сотрудников, работающих с персональными данными своих коллег.

Образец Положения можно ссылке

Чтобы правильно организовать конфиденциальный документооборот, можно утвердить Инструкцию об организации конфиденциального документооборота.

В такой Инструкции важно детально закрепить порядок подготовки, приема, регистрации, учета, передачи, пересылки, а также проверки наличия документов, содержащих персональные данные.

Здесь же необходимо оговорить сроки хранения документов; список организаций (должностных лиц), имеющих право получать персональные данные работников; перечень лиц, правомочных обрабатывать данные; порядок внесения изменений в документы.

Основные правила, которые следует соблюдать при работе с документами, содержащими персональные данные, следующие:

Читайте об образце разрешении на использование персональных данных 

Работа кадровой службы с персональными данными

В силу специфики своей деятельности обработкой персональных данных в организации занимается отдел кадров. Именно здесь «оседает» весь объем сведений о работниках. Вот почему процессы обработки, передачи и защиты конфиденциальной информации о работниках должны быть упорядочены прежде всего в этой службе.

Личное дело работника. Правила ведения конфиденциального делопроизводства должны применяться в первую очередь в отношении личных дел сотрудников, в которых содержатся персональные данные.

Комплектация личных дел является наиболее сложной и ответственной работой, требует особой тщательности и аккуратности при оформлении.

Каждое предприятие вправе самостоятельно решать вопрос о том, какие документы включать в состав личных дел.

Работники отдела кадров должны помнить, что личные дела сотрудников должны храниться строго отдельно от всех других документов в закрывающихся шкафах или ящиках.

Необходимо иметь в виду также то обстоятельство, что документы, включенные в состав личных дел, имеют разные сроки хранения.

Для некоторых из них (приказов, личных карточек) установлены продолжительные сроки хранения и обязательное требование по их передаче в государственные архивы.

Назначаем ответственного за обработку персональных данных

Отделу кадров целесообразно вести журнал учета, в который будут заноситься все факты ознакомления с персональными данными работников, а также информация о движении документов, включенных в личные дела, и самих личных дел.

В таком журнале должны быть предусмотрены графы о дате выдачи и возврата документов (личных дел), сроке пользования, цели выдачи, наименовании выдаваемых документов (личных дел). В присутствии лица, возвращающего личное дело, обязательно сверяется по описи наличие всех документов.

Лица, получающие документы (личные дела) во временное пользование, не имеют права делать в них пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые.

Порядок допуска к работе с персональными данными 

Принципиальным требованием правил работы с персональными данными является установление личной ответственности сотрудников за неразглашение доверенной им конфиденциальной информации, за сохранность сведений, а также их носителей.

В этой связи лицо, получившее право работать с персональными данными, должно принять на себя ряд обязательств: не разглашать доверенные им сведения, неукоснительно выполнять правила работы с персональными данными, обеспечивать надежное хранение носителей конфиденциальной информации.

Обратите внимание!  Уполномоченным лицам необходимо незамедительно об утрате ключей, печатей и штампов, давать устные и письменные объяснения по фактам нарушения правил.

В число ограничений входят также запреты на совершение определенных действий, могущих повлечь утрату носителей информации или разглашение конфиденциальных сведений, в частности, на передачу персональных данных лицам, не имеющим к ним доступа; на вынос документов из рабочего помещения без служебной необходимости и пр. Перечень указанных обязательств целесообразно отразить в Положении либо должностной инструкции специалиста.

Более того, в соответствии с частью 3 статьи 57 Трудового кодекса условие о неразглашении работником сведений, составляющих охраняемую законом тайну, ставшую ему известной в связи с исполнением своих должностных обязанностей, может быть включено в трудовой договор с таким специалистом. В этом случае на работодателе лежит обязанность ознакомить работника с локальными нормативными актами предприятия, содержащими правила обработки и защиты персональных данных. Именно такая процедура доступа может быть использована в отношении специалистов кадровых служб.

В качестве одной из потенциальных угроз безопасности конфиденциальных сведений могут выступать несанкционированный доступ к информации, накапливаемой в компьютерах, ошибки и неисправности программ. Здесь помогут следующие меры: обеспечение контроля за использованием ПК, введение индивидуальных паролей доступа к информации, строгое хранение носителей данных, кодирование и т. д.

Система защиты конфиденциальных сведений должна предусматривать проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также соблюдение правил работы с ними.

Как показывает опыт, применение только административных мер не гарантирует полноценную охрану конфиденциальных сведений. Надежность защиты зависит во многом от расстановки и внутрифирменного развития сотрудников. Кроме того, персонал – один из главных каналов утечки информации.

Деятельность кадровой службы должна быть направлена на воспитание работников, допущенных к работе с персональными данными, выработку навыков работы с носителями конфиденциальной информации, закрытие бытовых каналов утечки данных.

Здесь могут быть полезны индивидуальная беседа, предупреждение об ответственности, разъяснение юридических последствий разглашения информации.

Источник: https://www.kdelo.ru/art/68053-lichnye-dannye-rabotnikov

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.