Организация защиты персональных данных работников

24.04.2023 0

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Организация защиты персональных данных работников». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Содержание
1. Согласие работника на обработку персональных данных
2. Обработка персональных данных в 2023 году
3. Что значит обрабатывать персональные данные
4. В каких случаях потребуется уведомление Роскомнадзора
5. Штрафы за неуведомление Роскомнадзора
6. Организация защиты персональных данных
7. Порядок оформления доступа к персональным данным лица, осуществляющего обработку персональных данных
8. Таблица 1. Документы, в которых содержатся персональные данные работников
9. Фрагмент журнала ознакомления с Положением о персональных данных
10. Возможен ли отказ от обработки персональных данных с позиции закона

С 1 марта 2023 года компании должны будут уведомлять Роскомнадзор о зарубежных поставщиках, которые получают доступ к личным данным россиян (ст. 12 Закона № 152ФЗ). РКН, в свою очередь, пример решение можно ли передавать данные этим контрагентам или нельзя. О своем решении компанию уведомят в течение 10 рабочих дней.

Согласие работника на обработку персональных данных

Нужно ли получать согласие работника на обработку персональных данных? Да, обработка персональных данных в общих случаях осуществляется исключительно с согласия работника.

Исключения, когда не требуется брать согласие работника, прямо регламентированы законом, а также описаны в Разъяснениях Роскомнадзора. Например, не нужно получать такое согласие, если вы сообщаете персональные данные работника третьей стороне, когда это необходимо в целях предупреждения угрозы его жизни и здоровью (ст. 88 ТК РФ, п. 4 Разъяснений Роскомнадзора).

Согласие на обработку персональных данных предусматривается в трудовом договоре, заключаемом по типовой форме (утв. Постановлением Правительства РФ от 27.08.2016 N 858). В ней прямо предусмотрено соответствующее положение. Трудовой договор по этой форме заключается в рамках ст. 309.2 ТК РФ.

В остальных случаях согласие работника на обработку персональных данных рекомендуем оформлять отдельным документом. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным (п. 1 ч. 1 ст. 6, ч. 1 ст. 9 Закона о персональных данных).

Если персональные данные работника возможно получить только у третьих лиц, сообщите об этом работнику и заручитесь его письменным согласием (п. 3 ст. 86 ТК РФ).

Настоятельно рекомендуем включить в него следующую информацию:

  • цели получения персональных данных работника у третьих лиц;
  • предполагаемые источники информации (лица, у которых будете запрашивать данные);
  • способы получения данных, их характер;
  • возможные последствия отказа работника дать согласие на получение его персональных данных у третьих лиц.

    Обработка персональных данных в 2023 году

    Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных – определенному или определяемому физическому лицу.

    Обработка персональных данных – это действие или совокупность действий, которые совершают с персональными данными сотрудника. Например, когда вы собираете и записываете персданные соискателя, чтобы заполнить трудовой договор при трудоустройстве. Также, если вы владелец интернет-сайта и собираете данные ваших посетителей через специальную форму, то вы тоже занимаетесь обработкой персональных данных.

    Что значит обрабатывать персональные данные

    Понятие обработки включает все возможные законные действия, которые уполномоченные лица могут производить с получаемыми ими конфиденциальными данными:

    • сбор;
    • фиксация;
    • систематизация;
    • накопление;
    • сбережение;
    • защита;
    • передача;
    • использование.
    Читайте также:  Какие новые госпошлины за транспортные средства с 2023 года

    Лицо или орган, производящее эти действия, называется оператором. При любых операциях с персональными данными он должен соблюдать следующие принципы:

    1. Соответствие способов обработки личных сведений и их целей требованиям законодательства РФ.
    2. Цели, задекларированные при сборе данных, должны совпадать с целями обработки.
    3. Выбирать способы обработки нужно в соответствии с заявленными целями.
    4. Все требования касаются только полных и достоверных персональных данных.
    5. Разглашать полученную информацию или ее часть без письменного согласия владельца строго запрещено законом.

    В каких случаях потребуется уведомление Роскомнадзора

    С 1 сентября 2022 года компании обязаны уведомлять Роскомнадзор о намерении осуществлять обработку следующих персональных данных (новая редакция ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ):

    • получаемых и обрабатываемых в рамках трудового законодательства;
    • получаемых при заключении договора с физлицом, по которому персональные данные не распространяются и не предоставляются третьим лицам без согласия самого физлица и используются компанией исключительно для исполнения заключаемого договора;
    • относящихся к членам и участникам общественных объединений или религиозных организаций и обрабатываемых соответствующими организациями и объединениями;
    • разрешенных физлицом для распространения;
    • включающих в себя только фамилии, имена и отчества физлиц;
    • необходимых в целях однократного пропуска физлица на территорию, на которой находится компания, или в иных аналогичных целях.

    Штрафы за неуведомление Роскомнадзора

    Если работодатель или любая другая компания, планирующая заключать договоры (соглашения) с физлицами, в том числе через свой официальный сайт, не представит уведомление в Роскомнадзор о планируемой обработке персональных сведений, ее оштрафуют по ст. 19.7 КоАП РФ. Данная норма устанавливает административную ответственность за непредставление или несвоевременное представление сведений в государственный орган, осуществляющий государственный контроль (надзор).

    Величина штрафа для должностных лиц организации составит от 300 до 500 рублей. Такой же штраф уплатят и ИП, осуществившие обработку персональных данных без предварительного уведомления Роскомнадзора. При этом штраф для организаций устанавливается уже в размере от 3 000 до 5 000 рублей.

    Организация защиты персональных данных

    Профессиональная организация безопасности данных и информационной защиты помогает ведомственным учреждениям, компаниям пересматривать политики, внедрять эффективные способы защиты личных данных клиентов, партнеров, сотрудников. Безопасность в этом случае базируется на следующих основополагающих моментах:

    • оценке текущего состояния технической, аппаратной составляющей используемой системы, поиске уязвимых мест;
    • организации систем защиты персональных данных, которые реализовываются компаниями, учреждениями (это политики, из которых формируется общий регламент);
    • соответствии паролей международным стандартам;
    • отработка контрдействий, использования средств защиты персональных данных в организации, применяемые в случае попытки несанкционированного доступа к информации.

    Единственный способ избежать претензий Роскомнадзора и внушительных штрафов, которые могут достигать 18 млн р. — правильно организовать защиту и обработку личной информации.

    Обработка персональных данных — любые действия с информацией о личности, выполняемые как с применением средств автоматизации, так и без них: сбор, систематизация, обезличивание, иные операции.

    Чтобы не нарушить законодательство, компании следует придерживаться ряда правил.

    1. Уведомить Роскомнадзор перед тем, как приступить к обработке. Уведомлять не надо при операциях с конфиденциальными данными:
      • сотрудников фирмы;
      • при заключении договоров;
      • в ряде других случаев (ч. 2 ст. 22 ФЗ N 152-ФЗ).
    2. Разработать политику компании по обработке данных и разместить её в открытом доступе: на сайте или на видном месте в офисе (если сайта нет).
    3. Определить цели работы с личными данными и работать с ними строго с заявленными целями.
    4. Обрабатывать данные с применением баз данных, которые расположены на территории РФ.
    5. Принять локальные акты, которые определяют правила проведения операции с личными данными. Законодательство не содержит перечень документов, которые обязана иметь компания.

      Руководитель должен самостоятельно решить, какие локальные акты необходимо принять для данной компании, чтобы избежать претензий со стороны контролирующих органов.

      Чаще всего это:

      • регламент обработки данных;
      • правила компании по подбору персонала;
      • введение пропускного режима;
      • перечень мест хранения данных;
      • регламент уточнения, уничтожения ПДн.
    6. Назначить лицо, которое отвечает за вопросы безопасности обработки ПДн.
    7. Утвердить перечень сотрудников, которые допущены к работе с информацией.
    Читайте также:  Что делать, когда за аварийное жилье дают маленькую компенсацию?

    Порядок оформления доступа к персональным данным лица, осуществляющего обработку персональных данных

    Во время проверок контролирующие органы уделяют внимание документам, которые регулируют политику компании по обработке ПДн, достаточности мер защиты от неправомерного использования информации, правилам доступа к конфиденциальной информации.

    Поэтому компания должна правильно оформить лицо, ответственное за обработку данных:

    1. Издать приказ о назначении ответственного лица и ознакомить с приказом сотрудника под подпись.
    2. Внести соответствующие дополнения в должностную инструкцию и (или) трудовой договор.
    3. Если до назначения сотрудника за безопасность ПДн отвечали другие работники, издать приказ и снять с них ответственность за организацию обработки информации. При этом обязанность работников не разглашать данные необходимо сохранить.
    4. Составить перечень работников, которые допущены к обработке данных и утвердить перечень приказом.
    5. Со всеми приказами работники должны быть ознакомлены под подпись.

    Таблица 1. Документы, в которых содержатся персональные данные работников 

     N 
     Документ 
     Сведения 
     1 
    Анкета, автобиография, личный 
    листок по учету кадров 
    (заполняется при приеме на 
    работу) 
    Анкетные и биографические данные 
    работника 
     2 
    Копия документа, 
    удостоверяющего личность 
    работника 
    Ф.И.О., дата рождения, адрес 
    регистрации, семейное положение, 
    состав семьи 
     3 
    Личная карточка (форма N Т-2, 
    утверждена Постановлением 
    Госкомстата России 
    от 05.01.2004 N 1) 
    Ф.И.О. работника, место его рождения,
    состав семьи, образование, а также 
    данные документа, удостоверяющего 
    личность 
     4 
    Трудовая книжка
    		 
    Сведения о трудовом стаже, предыдущих
    местах работы 
     5 
    Копии свидетельств о заключении
    брака, рождении детей 
    Состав семьи, изменения в семейном 
    положении 
     6 
    Документы воинского учета 
    Информация об отношении работника к 
    воинской обязанности, необходимая 
    работодателю для осуществления 
    воинского учета работников 
     7 
    Справка о доходах с предыдущего
    места работы 
    Ф.И.О., данные о сумме дохода и 
    удержанного НДФЛ 
     8 
    Документы об образовании 
    Подтверждают квалификацию работника, 
    обосновывают занятие определенной 
    должности 
     9 
    Документы обязательного 
    пенсионного страхования 
    Ф.И.О., личные данные 
     10
    		 
    Трудовой договор 
    Сведения о должности работника, 
    заработной плате, месте работы, 
    рабочем месте, а также иные 
    персональные данные работника 
     11
    		 
    Приказы по личному составу 
    Информация о приеме, переводе, 
    увольнении и иных событиях, 
    относящихся к трудовой деятельности 
    работника

    Фрагмент журнала ознакомления с Положением о персональных данных 

     N 
    п/п
    		 
     Ф.И.О. работника 
     Дата 
    ознакомления
    		 
     Подпись 
     1 
    Алексеева Диана Николаевна 
     15.08.2011 
    Алексеева
    		 
     2 
     ... 
     ... 
     ... 
     6 
    Евстахов Сергей Сергеевич 
     03.10.2011 
     Евстахов
    		 
     7 
     ... 
     ... 
     ... 
     8 
     ... 
     ... 
     ... 
     9 
     ... 
     ... 
     ...

    Итак, первый шаг — получение согласия на обработку персональных данных, в случае, когда это согласие требуется. Следующий шаг – назначение ответственного лица за обработку персональных данных. Речь все-таки идет о конкретном лице. То есть, либо руководитель может эти функции возложить на себя, либо назначить кого-то из своих работников, повторюсь, именно работников потому, что приказом можно назначить только штатного сотрудника, а не добровольца, не лицо, которое оказывает услуги по гражданско-правовому договору – их назначить ответственным за обработку персональных данных нельзя. И в тех организациях, где нет сотрудников, – но это отдельная тема, у нас бывают такие организации, где нет ни одного сотрудника, что с точки зрения закона по мнению Государственной инспекции труда, налоговой и ряда судов такое, в принципе, невозможно, чтобы не было ни одного сотрудника, но, тем не менее, – в таком случае руководитель этой организации должен возложить это все на себя.

    Читайте также:  04.03.2023 Повышение зарплаты медикам в 2023 году

    Если есть у вас такая роскошь — возможность назначить кого-то из штатных работников, соответственно, назначайте его приказом в качестве ответственного за организацию обработки персональных данных. Повторюсь, это прямое указание закона, поэтому необходимо исполнить. Плюс ко всему, в случае, если в организацию-таки придут проверяющие, они будут общаться непосредственно с лицом, которое назначено ответственным за обработку персональных данных, весь спрос будет именно с этого сотрудника.

    Возможен ли отказ от обработки персональных данных с позиции закона

    По закону, отказ от согласия на обработку персональных данных не несет юридических последствий. В ч. 1 ст. 9 ФЗ №152 указано, что само согласие выражается свободно и добровольно.
    Обратите вниманиеЗа разглашение персональных данных Трудовым кодексом предусмотрены виды ответственности. Подробнее читайте на нашем сайте здесь

    Ч. 5 ст. 6 того же закона допускает отсутствие согласия на обработку личной информации в случае, если это требуется для исполнения договора, в том числе трудового. Поэтому работодатели, выполняя свои обязанности, в интересах сотрудников могут обрабатывать их персональные данные без получения на то согласия. Это касается только работников, которые уже числятся в штате. Принять человека на работу при его отказе от обработки персональных данных нельзя. В таком случае еще не заключен трудовой договор. Раз этого документа нет, то и обязанности исполнять его у работодателя не возникает.

    Иногда отказ от обработки личной информации чреват негативными последствиями. Если на предприятии действует пропускной режим, то при таких обстоятельствах работнику нельзя будет оформить либо заменить пропуск — такое действие выйдет за рамки служебных целей. Поэтому отсутствие согласия повлечет за собой невозможность выполнения трудовых функций.

    Изданный в организации документ должен быть доступен для ознакомления всем работникам. На практике обычно он размещается на специальном стенде, где доступ к нему имеют и работники, и посетители.

    Знайте! Закон предусматривает возможность любого гражданина направить в организацию запрос относительно того, ведет ли она обработку его данных. Также он вправе узнать, как и с какой целью осуществляется этот процесс. Также законодатель позволяет физическому лицу установить запрет на обработку его личной информации.

    Получив от субъекта персональных данных любой запрос или запрет подобного рода, оператор обязан дать ему обоснованный ответ. Более подробно эти моменты рассмотрены в статьях 20 и 21 Закона № 152-ФЗ.


    Похожие записи:

    РубрикаПособия

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *