Защита персональных данных работника

Структура и содержание Положения 2019 года

Положение о защите персональных данных чаще всего включает 6 разделов, посвященных различным этапам обработки личной информации:

  • общие положения;
  • получение и систематизация личных данных;
  • обработка и хранение этой информации;
  • ее использование;
  • осуществление передачи и распространения личных данных;
  • гарантия конфиденциальности со стороны ответственных сотрудников.

Предложенную структуру можно менять, если есть такая необходимость: добавлять новые разделы и приложения, корректировать. Работодатель вправе самостоятельно определить структуру.

Скачать бланк Положения о защите персональных данных работниковСкачать образец Положения о защите персональных данных работниковМы не рекомендуем самостоятельно оформлять документы. Экономьте время – обращайтесь к нашим юристам по телефонам:

Политика и порядок обработки и хранения информации в организации

Работодатель обязан гарантировать соблюдение прав и свободы сотрудника, который предоставляет ему личную информацию. Даже в пределах одной организации личные данные можно передавать только в пределах локального акта организации (Положения), с которым должен быть ознакомлен весь персонал под подпись (п. 8 ст. 86 ТК РФ).

Персональные данные на сотрудника хранятся в бухгалтерии и кадровой службе, вместе с ведомостью по его заработной плате, личными карточками, делами и другими документами — как в электронном, так и в бумажном виде.

В случае утраты или неправомерного использования личной информации работодатель обязан за свой счет обеспечить ее защиту.

Порядок обработки и хранения информации должен быть определен локальным нормативным актом и в нем же прописан (в Положении).

Обязательства о защите и неразглашении

Положение включает в себя обязательство о неразглашении персональных данных и подписывается сотрудниками, которые по своему служебному положению имеют доступ к личной информации. Ответственность за разглашение устанавливается этим же внутренним документом.

Число ответственных сотрудников может варьироваться. Это могут быть: генеральный директор, сотрудники отдела кадров, бухгалтерии и так далее (зависит от специфики организации).

Нарушение правил обращения предусмотрено в ст. 24 ФЗ № 152 и влечет за собой увольнение или штраф в размере:

  • 1000-3000 р. для граждан;
  • 5000-10 000 р. для должностных лиц;
  • 30 000-50 000 р. для предприятий.

О том, в каких ситуациях следует обращаться за защитой персональных данных, читайте тут.

Право сотрудника защищать личные данные

Работник вправе знакомиться со всеми документами, который издает работодатель в сфере организации работы с персональными данными. А в соответствии с частью 1 ст. 89 ТК РФ работодатель обязан ознакомить работника с такими документами. Конкретный порядок доступа к такой информации работодателю желательно установить в каком-либо локальном акте – приказе, положении, распоряжении и т.п.

Работник в любое время вправе получить копию любой записи, содержащей его персональные данные. Причем свободно и бесплатно. Поэтому нельзя воспринимать отказ выдать какой-то документ, где фигурируют данные человека. В силу ст. 62 по заявлению о документах, связанных с работой, работник имеет право получить в  течение 3 дней любой документ, связанный с работой. Будь то приказ об увольнении, выписка с трудовой книжки, справки о заработной плате и т.п.

Работник вправе получить доступ медицинской документации (по состоянию здоровья), с помощью любого медицинского работника. Также он может требовать исправления данных о себе, если они  недостоверны или указаны неполно (ст. 89 ТК РФ).

Дисциплинарная, материальная, административная и уголовная Ответственность за нарушения в работе с персданными

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК, ч. 1 ст. 24 Закона от 27.07.2006 ).

К дисциплинарной ответственности

могут быть привлечены только те сотрудники, которые приняли на себя обязательства соблюдать правила работы с персональными данными и нарушили их.

Материальная ответственность

может наступить, если в связи с нарушением правил работы с персональными данными организации причинен прямой действительный ущерб (ст. 192, ст. 238 ТК).

За нарушение порядка сбора, хранения, использования или распространения персональных данных организацию и ее должностных лиц оштрафуют. В рамках одной проверки Роскомнадзор может обнаружить несколько разных нарушений. Тогда он взыщет сразу несколько штрафов.

Размеры штрафов зависят от вида совершенного правонарушения. Так, должностных лиц могут оштрафовать на сумму от 3000 до 20 000 руб., ИП – на сумму от 5000 до 20 000 руб., организацию – на сумму от 15 000 до 75 000 руб.

Примечание: Такие меры ответственности предусмотрены статьями 13.11 и 13.14 КоАП.

Уголовная ответственность

Согласно статьи 137 УК для руководителя организации или иного ответственного за работу с персональными данными может наступить, если незаконно:

  • собирать или распространять сведения о частной жизни сотрудника, составляющие его личную или семейную тайну, без его согласия;
  • распространять сведения о жизни сотрудника в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.

За указанные нарушения предусмотрены следующие меры ответственности:

  • штраф в размере до 200 000 руб. (или в размере доходов осужденного за период до 18 месяцев);
  • обязательные работы на срок до 360 часов;
  • исправительные работы на срок до одного года;
  • принудительные работы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового;
  • арест на срок до четырех месяцев;
  • лишение свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.

Если в результате нарушений, допущенных работодателем при работе с персональными данными, ущемляются права сотрудника, то он вправе также потребовать с организации компенсацию морального вреда. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и иных понесенных сотрудником убытков. Об этом говорится в части 2 статьи 24 Закона от 27.07.2006 . Порядок возмещения морального вреда регулируется гражданским законодательством (ст. 1099 ГК).

Уголовное наказание

В ст. 137 УК предусмотрены меры ответственности за нарушение неприкосновенности личной жизни гражданина. В частности, незаконный сбор либо распространение сведений, представляющих персональную тайну лица, без его разрешения или обнародование их в публичном выступлении или демонстрирующемся общественности произведении или СМИ наказываются:

  • Штрафом до 200 тыс. руб. либо в сумме дохода виновного за 18 мес.
  • Обязательными работами – 120-180 час.
  • Арестом до 4 мес.
  • Исправительными работами до года.

Если эти же действия виновный осуществил при исполнении своих обязанностей, то в УК предусмотрены:

  • Штраф – 100-300 тыс. руб. или доход за период от 1 года до 2 лет.
  • Арест – от 4 до 6 мес. с запретом занимать определенные должности или без него и прочие меры.

Проблемы защиты персональных данных в России

Вопросы и законодательные нормы, связанные с правовой защитой персональных данных работников, являются для российских граждан сравнительно новыми, с чем и связано наличие определенных проблем в этой сфере.

Имеется множество правовых и организационных пробелов, которые предстоит восполнить.

Основная трудность связана с советским наследием, которое не признавало ничего частного и не защищало личные данные работника от вторжения.

Напротив, все сведения о нем (даже те, которые никак не относились к работе), тщательно изучались множеством лиц и не были никак скрыты.

Поэтому переход к защите данных в ТК РФ осуществлялся дольше и тяжелее, чем в ряде западных стран. Некоторые формы кадровых документов до сих пор сохранили в себе устаревшие вопросы.

Еще одна проблема – недостаточность финансирования мероприятий, связанных с защитой данных. Бюджетные предприятия не получают достаточно денежных средств от государства, а частные просто не хотят тратить на все это лишние деньги. Из-за этого отсутствует возможность устанавливать надежные системы защиты информации или создавать специальную службу.

При предоставлении своих данных работодателю часто нарушается законодательство, поскольку работники не знают своих прав и положений закона.

Правовая безграмотность многих граждан, в том числе и в трудовой сфере – серьезная проблема не только в вопросах защиты данных, но и в целом в государстве.

Защита персональных данных – это важное требование, связанное не только с законодательными нормами, но и с коммерческими интересами хозяйственного субъекта. Неправомерный доступ к таким данным или их утечка может привести ко множеству неприятных последствий – от жалоб со стороны сотрудников до потери деловой репутации предприятия

Неправомерный доступ к таким данным или их утечка может привести ко множеству неприятных последствий – от жалоб со стороны сотрудников до потери деловой репутации предприятия.

Поэтому работодателям не стоит экономить на средствах защиты и относиться к этому вопросу серьезно – в будущем эти затраты оправдают себя.

ИНН – это не персональные данные

Каждому налогоплательщику присваивается единый на всей территории РФ по всем видам налогов и сборов ИНН. Оно формируется как цифровой код, состоящий из последовательности цифр, характеризующих код налогового органа (4 знака), порядковый номер записи о лице в ЕГРН (6 знаков) и контрольное число (2 знака).

ИНН фактически является номером записи о лице в Едином государственном реестре налогоплательщиков и не является информацией, входящей в перечень персональных данных, применяется исключительно в целях упорядочения учета налогоплательщиков внутри системы налоговых органов, а также служит только для ускорения обработки огромного потока информации в интересах соблюдения прав налогоплательщиков.

Примечание: Письмо Минфина № 03-01-11/76554 от 25.10.2018.

Положение о Защите персональных данных, Приказ о назначении ответственного

Чтобы не допустить разглашения персональных данных, нужно создать надежную систему их защиты. Порядок получения, обработки, передачи и хранения таких сведений установите в локальном акте организации, например в положении о работе с персональными данными сотрудников (.docx 52Кб). Положение утверждает руководитель организации. Ознакомьте сотрудников с документом под подпись (ст. 8, п. 8 ч. 1 ст. 86, 87 ТК, п. 2 ч. 1 ст. 18.1 Закона от 27.07.2006 № 152-ФЗ).

Нужно назначить ответственного по работе с персональными данными. Как правило, таким сотрудником является работник службы персонала, поскольку именно он в ходе своей работы чаще всего сталкивается с персональными данными сотрудников. Ответственного за работу с персональными данными назначьте приказом (.docx 36Кб) в произвольной форме (ч. 5 ст. 88 ТК).

Примечание: Скачайте еще один образец приказа «О назначении ответственных сотрудников за защиту персональных данных» (.docx 14Кб)

При обработке персональных данных в информационной системе необходимо обеспечить защиту и безопасность персональных данных. При этом угрозой безопасности персональных данных является совокупность условий и факторов, создающих опасность несанкционированного (в т. ч. случайного) доступа к персональным данным при их обработке в системе, результатом которого могут стать:

  • уничтожение;
  • изменение;
  • блокирование;
  • копирование;
  • предоставление;
  • распространение;
  • иные неправомерные действия с персональными данными.

Примечание: Пункт 6 требований, утвержденных постановлением Правительства от 01.11.2012 № 1119.

Для контроля защищенности персональных данных при их обработке работодатель или уполномоченное им лицо не реже одного раза в три года осуществляет контрольные проверки, конкретные сроки которых работодатель определяет самостоятельно. При необходимости к проведению проверки на договорной основе можно привлечь организации или индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации (п. 17 требований, утв. постановлением Правительства от 01.11.2012 № 1119).

Кто разрабатывает документ?

Положение о персональных данных госслужащего РФ и ведении его дела утверждено Указом Президента РФ от 30.05.2005 № 609. Поэтому для государственных учреждений положения разрабатываются, исходя из нормативных правовых актов.

В частной фирме положение разрабатывается работодателем при участии любого представительного органа работников. Чаще всего эта роль закреплена за Профсоюзом. В этом случае оно утверждается с учетом его мнения (ст. 372 ТК РФ) следующим образом:

  1. На рассмотрение дается 5 рабочих дней. После чего, если решение Профсоюза содержит отказ на утверждение или там представлены доработки и предложения, работодатель обязан в течение 3 рабочих дней добиться взаимного согласия на подписание Положения.
  2. Если обоюдного решения достичь не удается, составляется Протокол разногласий и работодатель самостоятельно принимает решение об утверждении Положения, которое может быть обжаловано членами профсоюзной организации при обращении в суд или в государственную инспекцию труда.

Если Профсоюза нет, а есть иной представительный орган работников, то Положение должно согласовываться с ним.

Работодатель, у которого нет представительного органа, самостоятельно принимает решение о подписании Положения. В данном случае оно не должно противоречить установленному локальному нормативному акту фирмы и по возможности предварительно обговорено с юристом, начальником отдела кадров и главным бухгалтером.

Бумаги нанимателя

В подзаконных актах они определяются в качестве первичной учетной документации. В данную категорию входят:

  • Распоряжения и приказы о перемещении, приеме, увольнении (расторжении контракта), поощрении служащего.
  • Личная карточка специалиста.
  • Документы по расчетам зарплаты.

Кроме информации, дублирующей личные данные служащего, они содержат сведения:

  • о датах приема или перевода на должность;
  • общем непрерывном стаже;
  • структурном подразделении;
  • повышении квалификации;
  • решениях аттестационной комиссии;
  • профессиональной переподготовке;
  • видах и сроках отпусков;
  • наградах и поощрениях;
  • социальных льготах.

Защита и хранение персональных данных работника – обязанность не только руководителя предприятия, но и лиц, у которых есть доступ к сведениям и использующих их для исполнения своих профессиональных задач.

Согласие на обработку персональных данных

По ходу деятельности у работодателя возникает необходимость в обработке персональных данных сотрудников. Обработка таких данных за исключением отдельных случаев происходит только с письменного согласия сотрудников. При этом согласие должно включать в себя следующую информацию:

  • фамилию, имя, отчество, адрес сотрудника, реквизиты паспорта (иного документа, удостоверяющего его личность), в том числе сведения о дате выдачи документа и выдавшем его органе;
  • наименование или фамилию, имя, отчество и адрес работодателя (оператора), получающего согласие сотрудника;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению работодателя, если обработка будет поручена такому лицу;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых работодателем способов обработки персональных данных;
  • срок, в течение которого действует согласие сотрудника, а также способ его отзыва, если иное не установлено федеральным законом;
  • подпись сотрудника.

Примечание: Часть 4 статьи 9 Закона от 27.07.2006 .

При недееспособности сотрудника письменное согласие на обработку его персональных данных дает его законный представитель: родитель, опекун (ч. 6 ст. 9 Закона от 27.07.2006 № 152-ФЗ).

Сотрудник может в любое время отозвать согласие на обработку своих персональных данных, направив работодателю отзыв в произвольной форме. В такой ситуации организация вправе продолжить обработку персональных данных без согласия сотрудника с учетом ограничений из пунктов 2–11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона от 27.07.2006 № 152-ФЗ. Например, чтобы совершить правосудие или защитить жизнь либо здоровье самого сотрудника. Об этом говорится в части 2 статьи 9 Закона от 27.07.2006 № 152-ФЗ.

При возникновении спора обязанность представить доказательства того, что согласие сотрудника на обработку его персональных данных получено, возлагается на работодателя (ч. 3 ст. 9 Закона от 27.07.2006 № 152-ФЗ).

С согласия сотрудника организация вправе также поручить обработку персональных данных другому лицу (ч. 3 ст. 6 Закона от 27.07.2006 № 152-ФЗ). В этом случае ответственность перед сотрудником за действия указанного лица по-прежнему будет нести работодатель, а кто непосредственно обрабатывает персональные данные по поручению работодателя, будет отвечать непосредственно перед работодателем (ч. 5 ст. 6 Закона от 27.07.2006 № 152-ФЗ).

Согласие на обработку персональных данных работодатель должен получать не только от работников, с которыми есть трудовые отношения, но и от соискателей, а также от людей, с которыми заключены в организации гражданско-правовые договоры. Об этом сказано в пункте 5 разъяснений Роскомнадзора от 14.12.2012.

Нужно ли получать у работника согласие на обработку персональных данных при трудоустройстве

Все зависит от того, какую информацию организация хочет получить.

Работодатель может получать, хранить и передавать только ту информацию о сотруднике, которая необходима для исполнения трудового договора (п. 2, 5 ч. 1 ст. 6 Закона от 27.07.2006 № 152-ФЗ, далее – Закон № 152-ФЗ, абз. 1, 2 разъяснений Роскомнадзора от 14.12.2012, далее – Разъяснения). Сотрудник выступает стороной трудового договора, поэтому получать у него согласие на обработку персональных данных нужно не во всех случаях. Например, работодатель вправе без согласия сотрудника обрабатывать персональные данные, которые получил:

  • по результатам обязательного предварительного медосмотра (ст. 69 ТК, п. 3 Разъяснений);
  • из документов, которые работник предъявил при заключении трудового договора (ст. 65 ТК);
  • от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений);
  • из резюме кандидата в сети Интернет, доступного неограниченному кругу лиц (п. 10 ч. 1 ст. 6 Закона № 152-ФЗ, абз. 12 п. 5 Разъяснений).

Не требуется согласие и на обработку данных в объеме, который предусмотрен личной карточкой. В том числе можно запросить у работника информацию о его близких родственниках (п. 2 Разъяснений).

Согласие нужно, когда хотите получить от соискателя какую-то дополнительную информацию, которая не нужна для исполнения трудового договора. Например, адрес личной электронной почты или номер телефона. Также получите согласие, если будете передавать личные данные сотрудника третьим лицам. Например, охранной организации, которая следит за пропускным режимом на территории вашей компании, или сторонней организации, которая ведет учет вашей компании (п. 5 Разъяснений).

Поделитесь в социальных сетях:vKontakteFacebookTwitter
Напишите комментарий