Самые полезные юридические советы

Защита персональных данных работников как уберечь персональные данные

Защита персональных данных работников как уберечь персональные данные - картинка 1
Предлагаем ознакомится с тематической информацией в статье: "Защита персональных данных работников как уберечь персональные данные". На все возникшие вопросы ответит онлайн-консультант.

Как организовать защиту персональных данных сотрудников

Работодатель обязан обеспечить защиту персональных сведений о своих работниках. Такое требование содержит Трудовой кодекс РФ (глава 14).

Что считать персональными данными

Персональные данные работника – это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. А именно:

  • паспортные данные;
  • семейное положение;
  • сведения об образовании;
  • номер страхового свидетельства обязательного пенсионного страхования;
  • сведения о трудовой деятельности и др.

Эта информация необходима работодателю, чтобы заключить трудовой договор, заполнить личную карточку № Т-2, помочь работнику в обучении, продвижении по службе, обеспечить его личную безопасность, контролировать количество и качество выполняемой им работы.

Понятие персональных данных содержит Перечень сведений конфиденциального характера (утвержден Указом Президента РФ от 6 марта 1997 г. № 188 «Об утверждении сведений конфиденциального характера»). Это сведения о фактах, событиях и обстоятельствах частной жизни человека. Однако статья 85 Трудового кодекса ограничивает персональные данные только теми сведениями и обстоятельствами, которые характеризуют гражданина как работника.

Персональные данные относятся к конфиденциальной информации, то есть к которой нет свободного доступа. Поэтому работодатель обязан получать все персональные данные о работнике только у него самого. Если по каким-то причинам сделать это невозможно, то запрашивать такие сведения у посторонних лиц работодатель вправе только с письменного согласия работника. При этом ему нужно сообщить о целях, источниках, способах получения персональных данных, о том, какая именно информация интересует работодателя, а также о последствиях отказа работника дать письменное согласие на получение этих сведений.

КОНСУЛЬТАЦИЯ ЮРИСТА


УЗНАЙТЕ, КАК РЕШИТЬ ИМЕННО ВАШУ ПРОБЛЕМУ — ПОЗВОНИТЕ ПРЯМО СЕЙЧАС

8 800 350 84 37

Из этого правила есть исключение: работодатель вправе запрашивать информацию, например, из различных медицинских учреждений о противопоказаниях и ограничениях в трудовой деятельности своих работников.

[3]

Главная цель такого исключения – предупредить и предотвратить угрозу жизни и здоровью работника.

Передавать конфиденциальную информацию о работнике другим лицам разрешается только с письменного согласия самого работника. Исключение возможно только в двух случаях:

  • это необходимо в целях защиты жизни и здоровья работника (степень угрозы определяет работодатель);
  • это предусмотрено в федеральном законе (например, ст. 228 ТК РФ прямо определяет, что если на производстве произошел несчастный случай, то об этом в обязательном порядке должны быть незамедлительно проинформированы родственники пострадавшего, а также ряд государственных и местных властных структур).

Не допускается передача личных сведений о работнике с коммерческой целью (ст. 88 ТК РФ).

Журналы учета персональных данных

Работодатель обязан соблюдать конфиденциальность при работе с персональными данными работников. Для этого следует вести специальные журналы учета.

Журнал учета внутреннего доступа к персональным данным работников

В журнале учета внутреннего доступа к персональным данным работников указывают: дату выдачи и возврата документов (личных дел) работникам организации; цели выдачи, наименование выдаваемых документов, срок пользования. Если документов было много, и их выдавали по описи, при возврате нужно проверить их наличие по описи. Сотрудник, возвращающий документы, обязан присутствовать при этом. Выдавая документы, предупредите, что делать в них пометки и исправления, вносить новые записи, извлекать документы (например, из личного дела) или помещать новые нельзя.

Журнал учета выдачи персональных данных работников организациям и государственным органам

В журнале учета выдачи персональных данных работников организациям и государственным органам регистрируют: поступающие запросы (дату получения, номер и дату входящего документа, от какого органа получен запрос); дату передачи персональных данных; содержание переданной информации; дату уведомления об отказе в предоставлении информации (в случае такового).

Кроме того, кадровик должен регулярно проверять наличие документов и других носителей информации, содержащих персональные данные работников. Для этого также следует вести специальный журнал.

Какие сведения указывают в Положении о защите персональных данных

Порядок хранения и использования персональных данных работников фирмы определяет Положение о защите персональных данных. Это обязательный внутренний (локальный) документ фирмы, его разрабатывает кадровая служба.

Закон не установил строгой формы этого документа, но он должен соответствовать требованиям, которые предъявляет к защите персональных данных работника ТК РФ.

В Положении должны быть указаны:

  • цель и задачи фирмы в области защиты персональных данных;
  • понятие и состав персональных данных;
  • в каких структурных подразделениях и на каких носителях (бумажных, электронных) накапливаются и хранятся эти данные;
  • как происходит сбор персональных данных;
  • как они обрабатываются и используются;
  • кто (по должностям) в компании имеет к ним доступ;
  • как персональные данные защищаются от несанкционированного доступа;
  • права работника в целях обеспечения защиты своих персональных данных;
  • ответственность за разглашение конфиденциальной информации, связанной с персональными данными работников.

Кто утверждает Положение о защите персональных данных

Положение о защите персональных данных работника утверждает руководитель фирмы или уполномоченное им лицо. А вводится в действие этот документ приказом руководителя. Положение о защите персональных данных выглядит так:

Защита персональных данных работников как уберечь персональные данные - картинка 3

Защита персональных данных работников как уберечь персональные данные - картинка 4

Защита персональных данных работников как уберечь персональные данные - картинка 5

Защита персональных данных работников как уберечь персональные данные - картинка 6

Каждый работник, который в силу своих должностных обязанностей имеет доступ к персональным данным других работников, должен подписать обязательство об их неразглашении.

Перечень лиц, которые имеют доступ к персональным данным работника, обычно оформляют в виде приложения к Положению.

В первую очередь это сотрудники кадровой службы, поскольку они собирают и формируют данные о работнике, руководители структурных подразделений (например, главный бухгалтер, начальники отделов). Однако последние вправе запрашивать только те данные, которые необходимы для выполнения конкретных трудовых функций (например, чтобы рассчитать льготы по налогам, бухгалтерия получит не все сведения о работнике, а только данные о количестве его иждивенцев). Оформляют приложение так:

Защита персональных данных работников как уберечь персональные данные - картинка 7

Работодатель обязан ознакомить работника с Положением о защите персональных данных, а работник – расписаться в этом. Факт ознакомления обычно оформляют распиской, которая остается у работодателя. Вот ее образец:

Защита персональных данных работников как уберечь персональные данные - картинка 8

Уведомление об обработке персональных данных

Согласно ст. 22 Закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», с 1 июля 2011 года все юридические и физические лица, деятельность которых связана со сбором и обработкой персональных данных (ПД) в электронном виде (оператор ПД), должны уведомить об этом Роскомнадзор. Это госорганы, имеющие дело с персональными данными, практически все работодатели, имеющие кадровую службу, перевозчики, страховщики, банки. Приказом от 19 августа 2011 года № 706 Роскомнадзор утвердил рекомендации по заполнению формы уведомления, а форму утвердило Минкомсвязи России приказом от 21 декабря 2011 года № 346.

[1]

Уведомление формируют в виде таблицы на бланке оператора. В отдельном поле указывают полное и сокращенное наименование, организационно-правовую форму, ИНН и адрес оператора. В отдельном – «цели обработки данных», соответствующие уставным задачам и осуществляемой деятельности.

В поле «категории ПД» указывается, какие данные (персональные, биометрические, специальные) подвергаются обработке. В поле «категории субъектов, ПД которых обрабатываются» следует указать эту категорию, например, «работники, состоящие в трудовых отношениях с оператором».

В поле «правовое основание обработки ПД» указываются статьи нормативно-правового акта, касающиеся обработки ПД: например, «ст. 85–90 Трудового кодекса РФ», «ст. 85.1 Воздушного кодекса РФ», «ст. 12 Федерального закона “Об актах гражданского состояния”» и др. В отдельном поле указываются действия оператора и способы обработки ПД (неавтоматизированная, исключительно автоматизированная с передачей полученной информации по сети или без, смешанная).

В поле «дата начала обработки ПД» указываются число, месяц, год фактического начала любого действия.

Источники

http://www.buhgalteria.ru/article/kak-organizovat-zashchitu-personalnykh-dannykh-sotrudnikov

Глава 14. Защита персональных данных работника

Статья 85. Понятие персональных данных работника. Обработка персональных данных работника

Персональные данные работника — информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

Обработка персональных данных работника — получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты

В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:

1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, настоящим Кодексом и иными федеральными законами;

3) все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;

4) работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия;

5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных настоящим Кодексом или иными федеральными законами;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;

7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном настоящим Кодексом и иными федеральными законами;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

9) работники не должны отказываться от своих прав на сохранение и защиту тайны;

10) работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

Статья 87. Хранение и использование персональных данных работников

Порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований настоящего Кодекса и иных федеральных законов.

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

Статья 88. Передача персональных данных работника

При передаче персональных данных работника работодатель должен соблюдать следующие требования:

не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном настоящим Кодексом и иными федеральными законами;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;

не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

передавать персональные данные работника представителям работников в порядке, установленном настоящим Кодексом и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

Статья 89. Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя

В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на:

полную информацию об их персональных данных и обработке этих данных;

свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;

определение своих представителей для защиты своих персональных данных;

доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;

требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Кодекса или иного федерального закона. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

Статья 90. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном настоящим Кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

(в ред. Федерального закона от 30.06.2006 N 90-ФЗ)

Источники

http://www.superjob.ru/trudovoj-kodeks/14-zaschita-personalnyh-dannyh-rabotnika.html

Как защитить персональные данные сотрудников и не попасть на повышение штрафов с 1 июля 2017 года

Защита персональных данных работников как уберечь персональные данные - картинка 11

Автор: Алексей Родин
старший специалист по кадровому делопроизводству

ФИО и любая другая личная информация о гражданине – это персональные данные. Если у компании есть сотрудники, либо хранятся персональные данные клиентов или других физических лиц, она должна выполнять требования Федерального закона № 152-ФЗ «О персональных данных» . За их соблюдением строго следит Роскомнадзор. Требований много, и ответственность за их несоблюдение предусмотрена серьезная.

Как защитить персональные данные сотрудников и клиентов и правильно организовать работу с персональными данными, чтобы избежать штрафов, читайте в нашей публикации.

Что такое персональные данные?

Согласно закону № 152-ФЗ, персональные данные – это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу. То есть о персональных данных можно говорить, если по информации или ее совокупности можно понять, о ком именно идет речь. Если же идентифицировать личность нельзя, то такие сведения нельзя отнести к персональным данным.

Исчерпывающего списка персональных данных в законодательстве не приводится. Относятся данные к персональным или не относятся, решается в каждой ситуации отдельно.

Но обычно к ним принято относить:

  • фамилию, имя, отчество;
  • адрес проживания;
  • электронный адрес;
  • номер телефона;
  • дата рождения;
  • место рождения;
  • национальность;
  • вероисповедание;
  • место работы;
  • должность;
  • рост;
  • вес;
  • и т.д.

Как должен защищать персональные данные отдел кадров

Обязанности в сфере защиты персональных данных отделом кадров четко прописаны в главе 14 Трудового кодекса РФ и ст. 18.1 Закона № 152-ФЗ.

[2]

Итак, кадровым сотрудникам следует:

  1. Проходить обучение, повышать квалификацию по обработке персональных данных (если работодатель ответственно относится к вопросу соблюдения кадровой службой законодательства о персональных данных – он потратится на учебу).
  2. Осуществлять все действия с персональными данными (документами, содержащими персональные данные) только с письменного согласия работника. Кстати, сообщение информации о работе того или иного сотрудника кредитным организациям по телефону также должно быть произведено только с письменного согласия работника.
  3. Знакомить перед заключением трудового договора сотрудников с локальным нормативным актом, определяющим порядок обработки персональных данных в компании.
  4. Соблюдать режим ограниченного допуска к персональным данным (разграничивать доступ между специалистами по кадрам в соответствии с функционалом, использовать в работе запирающиеся шкафы, сейфы, запирающие и блокирующие устройства).

Как избежать претензий со стороны контролирующих органов и сотрудников

Во-первых, необходимо выяснить состав физических лиц, чьи персональные данные обрабатываются.

Если компания имеет дело лишь с персональными данными:

  • сотрудников, работающих по трудовым договорам;
  • работающих по договорам ГПХ;
  • и иными физическими лицами.

Когда обработка персональных данных отделом кадров ограничивается лишь фамилией, именем и отчеством – достаточно разработать единый комплексный документ, определяющий политику компании в области обработки персональных данных, как работников, так и иных лиц, вступающих в отношения с компанией и чьи персональные данные обрабатываются.

Если круг субъектов и перечень персональных данных шире (например, компания занимается обработкой и хранением персональных данных своих клиентов), то ограничиться локальными нормативными актами не получится. В таком случае Закон № 152-ФЗ обязывает компанию:

Если обработку персональных данных по поручению компании выполняет провайдер, (например, аутсорсинговая бухгалтерская компания), то вышеперечисленный перечень документов дополняется:

  1. Письменным поручением на обработку персональных данных. Такое поручение может быть внесено в основной договор об оказании услуг и должно включать не только поручение провайдеру осуществлять от имени компании обработку персональных данных, но и цели такой обработки, перечень действий с ними, их состав, а также обязательство провайдера соблюдать конфиденциальность и безопасность персональных данных, а также требования к их защите.
  2. Согласиями на передачу персональных данных провайдеру – от каждого сотрудника

Как видим, перечень документов, регламентирующий обработку персональных данных, достаточно обширный. Чтобы не перегружать документооборот огромным количеством локальных нормативных актов (приказов, положений, инструкций и т.д.), а процесс приема на работу в бесконечный процесс ознакомления с локальными документами, рекомендуется утвердить один документ, регламентирующий все аспекты работы с персональными данными в компании.

Источники

http://1c-wiseadvice.ru/company/blog/kak-zashchitit-personalnye-dannye-sotrudnikov-i-ne-popast-na-povyshenie-shtrafov-s-1-iyulya-2017-god/

Защита персональных данных работника

Защите персональных данных работника посвящена главе 14 Трудового кодекса РФ, нормы которой в целом соответствуют Конституции России, устанавливающей право каждого человека на неприкосновенность частной жизни, личную тайну, защиту своей чести и доброго имени, а сбор, хранение, использование информации о частной жизни человека без его согласия не допускается.

Что такое персональные данные работника

В Трудовом кодексе РФ нет определения персональных данных работника. Понятие «персональные данные» содержится в Федеральном законе от 27.07.2006 N 152-ФЗ «О персональных данных» (далее – Закон о персональных данных).

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 Закона о персональных данных).

Таким образом, можно сказать, что персональные данные работника – любая информация, относящаяся прямо или косвенно к конкретному работнику (субъекту персональных данных), необходимая работодателю в связи с выполнением работником своей трудовой функции.

Нормы Закона о персональных данных направлены на обеспечение правовой защиты персональных данных граждан. В сфере трудовых отношений указанные нормы конкретизируются положениями гл. 14 ТК РФ и распространяются на субъекта персональных данных – работника, состоящего в трудовых отношениях с работодателем, располагающим в силу своего положения сведениями о фактах, событиях, обстоятельствах жизни работника.

Персональные данные, в том числе данные о частной жизни работника, охватывают всю информацию, необходимую работодателю для оформления трудовых отношений, их изменения и прекращения. К данной информации относятся сведения, содержащиеся в документах, которые работник согласно ст. 65 ТК РФ предъявляет при поступлении на работу. Это также информация, которая формируется работодателем в течение всей трудовой деятельности работника и затем хранится у него после прекращения с работником трудовых отношений.

К персональным данным работника, в частности, относятся:

  • фамилия, имя, отчество, дата и место рождения, паспортные данные;
  • сведения об образовании, имеющихся навыках, повышении квалификации и профессиональной переподготовке, наличии ученых степеней и званий, научных трудов;
  • сведения о предыдущей трудовой деятельности;
  • информация о получаемом вознаграждении за труд и пр.

В ряде законодательных актов предусмотрены специальные требования относительно персональных данных работника. Так, например, на основании ст. 12 Федерального закона от 02.03.2007 N 25-ФЗ «О муниципальной службе в Российской Федерации» муниципальный служащий обязан представлять в установленном порядке дополнительные сведения о себе и своей семье.

В особых случаях, в зависимости от характера выполняемой работы, необходима специальная информация о работнике. Поэтому Федеральным законом от 25.07.1998 N 128-ФЗ «О государственной дактилоскопической регистрации в Российской Федерации» установлена обязательная дактилоскопическая регистрация для ряда категорий работников.

В соответствии с Инструкцией о порядке допуска должностных лиц и граждан Российской Федерации к государственной тайне, утвержденной постановлением Правительства РФ от 06.02.2010 N 63 при допуске к работе со сведениями, составляющими государственную тайну, необходима дополнительная информация о работнике, касающаяся не только его самого, но и ближайших родственников.

Гарантии защиты персональных данных работника

В целях обеспечения прав и свобод работников в ст. 86 ТК РФ предусмотрены гарантии защиты их персональных данных, а также установлены общие требования при их обработке.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (ст. 3 Закона о персональных данных).

Работодатель при обработке персональных данных работника обязан соблюдать следующие основные требования:

Важным требованием для защиты персональных данных, соблюдение которого необходимо при обработке персональных данных работника, состоит в необходимости все персональные данные работника получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть поставлен об этом в известность заранее и от него следует получить письменное согласие. Кроме того, работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере получаемых персональных данных и последствиях отказа работника дать письменное согласие на их получение.

Защита персональных данных работника при их передаче

Защита персональных данных работника от неправомерного их использования должна обеспечиваться работодателем за счет его собственных средств в порядке, установленном Трудовым кодексом и иными федеральными законами.

При передаче персональных данных работника работодатель должен соблюдать следующие основные требования:

Права работников по защите своих персональных данных

В целях обеспечения защиты персональных данных работники имеют право на:

  • полную информацию об их персональных данных и обработке этих данных;
  • свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
  • определение своих представителей для защиты своих персональных данных;
  • доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору;
  • требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса РФ или иного федерального закона;
  • дополнение персональных данных оценочного характера заявлением, выражающим его собственную точку зрения;
  • требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
  • обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

Ответственность за нарушение требований о защите персональных данных работников

Статья 90 Трудового кодекса РФ предусматривает ответственность лиц, виновных в нарушении законодательства, регулирующего обработку и защиту персональных данных работника. Указанные виновные лица несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством.

Так, например, ответственность за нарушение требований о защите персональных данных установлена ст. 13.11 КоАП РФ «Нарушение законодательства Российской Федерации в области персональных данных», ст. 137 УК РФ «Нарушение неприкосновенности частной жизни».

С сотрудником, ответственным за обработку и защиту персональных данных работников, в случае их разглашения расторгается трудовой договор по инициативе работодателя на основании пп. «в» п. 6 ч. 1 ст. 81 ТК РФ.

Источники

http://www.zaconoved.com/zashchita-personalnyh-dannyh-rabotnika/

Что нужно знать работодателю о защите персональных данных?

Защита персональных данных сегодня актуальный вопрос не только в отношениях работник-работодатель, но и в любой сфере, в которой собираются и обрабатываются личные данные.

По действующему законодательству работодатели не только должны обеспечивать хранение и защиту персональных данных работников, но и несут ответственность за их разглашение. Недопустимость распространения информации о частной жизни лица без его согласия изначально гарантирована законодательством РФ.

Хранение личных данных – законодательное регулирование

  • федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных»;
  • главой 14 Трудового кодекса РФ.

Что конкретно закон понимает под персональными данными? Это любая информация, которая прямо или косвенно относится к физическому лицу (субъекту персональных данных). А любые действия, совершаемые с персональными данными, такие как: сбор, хранение, запись, накопление, уточнение, передача (распространение), обезличивание и уничтожение называют обработкой персональных данных. Таким образом так или иначе все организации сталкиваются с обработкой персональных данных не только своих сотрудников, но и клиентов (например, оформляя бонусные или скидочные карты) – в этом случае их называют операторами.

Поскольку ни в Трудовом кодексе, ни в 152-ФЗ не установлено, какие конкретно данные относятся к персональным – то для работы в качестве основы можно использовать Перечень персональных данных федеральных государственных гражданских служащих Минюста, утвержденный Приказом Минюста России от 21.03.2013 N 36.

Обработка персональных данных и их защита

Обязательность применения мер безопасности по защите персональных данных возлагается на сторону, которая занимается их обработкой.

Важно! Исходя из норм, установленных ч.1 ст.89 ТК РФ, работодатель обязан знакомить своих сотрудников с информацией об их персональных данных и их обработке. Кроме этого работники и их представители должны быть ознакомлены под роспись с документами, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области. То есть конкретный порядок доступа работника к своим персональным данным необходимо устанавливать в локальных нормативных актах. При этом нужно учитывать, что данный порядок должен гарантировать свободу доступа работника к своим персональным данным.

Получение персональных данных

В некоторых случаях согласие на обработку персональных данных работника (соискателя) не требуется, если эта информация получена:

  1. из документов, предъявляемых при заключении трудового договора;
  2. по результатам обязательного предварительного медицинского осмотра о состоянии здоровья;
  3. в объеме, предусмотренном личной карточкой N Т-2, в т.ч. персональные данные близких родственников;
  4. от кадрового агентства, действующего от имени соискателя;
  5. из резюме соискателя, размещенного в сети Интернет и доступного неограниченному кругу лиц.

Если персональные данные работника могут быть получены только у третьей стороны, работника нужно уведомить об этом заранее и получить его письменное согласие.

В уведомлении необходимо указать:

  • цели получения персональных данных работника у третьего лица;
  • предполагаемые источники данных (у кого будет запрашиваться информация);
  • способы получения данных, их характер;
  • возможные последствия отказа работодателю в получении информации у третьего лица.

Если цели сбора информации отличаются от тех, что перечислены в п. 1 ст. 86 ТК РФ – работодатель не имеет права ее запрашивать у третьих лиц даже с согласия работника.

Меры защиты персональных данных

  • установить пропускной режим и особый порядок приема, учета и контроля деятельности посетителей;
  • установить особый порядок выдачи пропусков и удостоверений работников;
  • использовать технические средства охраны;
  • использовать программно-технический комплекс защиты информации на электронных носителях.

Мы уже говорили о том, что законодательство требует, чтобы обработка персональных данных осуществлялась с согласия работника. В случае возникновения спора, чтобы иметь возможность предоставить доказательства – целесообразно оформить такое согласие письменно.

Если работник является недееспособным, письменное согласие на обработку его данных следует получить у его законного представителя. В случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни.

Не следует забывать о том, что работник в любое время имеет право отозвать свое согласие на обработку персональных данных.

В процессе разработки локального акта, который будет определять порядок обработки, хранения и использования персональных данных, можно руководствоваться Постановлением Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Следующее – обязательно обеспечьте раздельное хранение персональных данных, обработка которых осуществляется в различных целях. При хранении материальных носителей оператор должен принимать меры безопасности для исключения несанкционированного доступа к ним и обеспечить их сохранность. Перечень мер для обеспечения таких условий, порядок их принятия, а также список лиц, ответственных за реализацию указанных мер, устанавливаются также работодателем.

Передача персональных данных

  • даты выдачи и возврата документа,
  • наименование документа,
  • срок пользования,
  • цель выдачи,
  • Ф.И.О. и должность лица, получившего документ с персональными данными работника.

Доступ к персональным данным работников должен осуществляться только специально уполномоченными лицами. При этом они имеют право получать только те данные, которые необходимы для выполнения конкретных функций.

Ситуация: если документы, содержащие персональные данные, составлены более чем на одном листе – при их возврате лицо, которое получало документы, должно присутствовать лично при проверке наличия всех имеющихся документов по описи. При этом сотрудник, получающий личное дело другого работника во временное пользование, не имеет права делать в нем какие-либо пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые.

Работодателю следует вести журнал учета выдачи персональных данных работников организациям и государственным органам, в котором необходимо регистрировать поступающие запросы, фиксировать сведения о лице, направившем запрос, дату передачи персональных данных или уведомления об отказе в их предоставлении и отмечать, какая именно информация была передана.

Для повышения уровня защиты персональной информации в систему учета можно ввести обязательное проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также устанавливать порядок работы с ними. В этой связи следует разработать и вести журнал проверок наличия документов, содержащих персональные данные работника.

Размер ответственности за нарушения

  • на граждан – от 300 до 500 руб.;
  • на должностных лиц – от 500 до 1000 руб.;
  • на юридических лиц – от 5000 до 10 000 руб.

Помимо организации ответственность за нарушение несет ее руководитель как должностное лицо.

В соответствии со ст. 13.14 КоАП РФ разглашение персональной информации (за исключением случаев, если такое разглашение влечет уголовную ответственность) лицом, получившим доступ к ней в связи с исполнением служебных или профессиональных обязанностей, влечет наложение административного штрафа:

  • на граждан – от 500 до 1000 руб.;
  • на должностных лиц – от 4000 до 5000 руб.

Если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных других сотрудников, то его могут привлечь к административной ответственности в виде штрафа.

Персональные данные относятся к сведениям, которые охраняются федеральным законом. Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, также является основанием для привлечения к дисциплинарной ответственности (ст. 90 ТК РФ).

Статья 137 Уголовного кодекса за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрируемом произведении или средствах массовой информации предусматривает:

  • или штраф в сумме до 200 тыс. руб.,
  • или штраф в размере заработной платы либо иного дохода осужденного за период до 18 месяцев,
  • или обязательные работы на срок от 120 до 180 часов,
  • или исправительные работы на срок до одного года,
  • или арест на срок до четырех месяцев.

А часть 2 указанной статьи предусматривает, что те же деяния, совершенные лицом с использованием своего служебного положения, наказываются

  • или штрафом в сумме от 100 тыс. до 300 тыс. руб.,
  • или штрафом в размере заработной платы либо иного дохода осужденного за период от одного года до двух лет,
  • или лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет,

или арестом на срок от четырех до шести месяцев.

Источники

http://www.klerk.ru/boss/articles/449381/

Литература

  1. Астахов Жилье. Юридическая помощь с вершины адвокатского профессионализма / Астахов, Павел. — М.: Эксмо, 2009. — 320 c.
  2. Кондратьев, Ф.В. Государственный научный центр социальной и судебной психиатрии им. В. П. Сербского. Очерки истории / ред. Т.Б. Дмитриева, Ф.В. Кондратьев. — М.: ГНЦССП им. Сербского, 2014. — 228 c.
  3. Гамзатов, М.Г. Английские юридические пословицы, поговорки, фразеологизмы и их русские соответствия; СПб: Филологический факультет СПбГУ, 2011. — 142 c.
  4. Толкушкин, А.В. Налогообложение физических лиц при операциях с недвижимостью / А.В. Толкушкин. — М.: ЮРИСТЪ, 2000. — 344 c.
  5. Марченко, М. Н. Теория государства и права в вопросах и ответах / М.Н. Марченко. — М.: ТК Велби, Проспект, 2007. — 240 c.

Добавить комментарий

Мы в соцсетях

Подписывайтесь на наши группы в социальных сетях