Защита персональных данных работников в 2019 году

Какие данные считаются персональными

Определение данного понятия содержится в законе №152-ФЗ от 27.07.2006г., ключевом нормативном документе, на федеральном уровне закрепляющем основные нормы и принципы обращения с информацией личного характера. Согласно ст.3 закона №152-ФЗ, персональными считаются любые данные, относящиеся прямо или косвенно к конкретному субъекту (физическому лицу).

Оператор не имеет права обрабатывать полученную информацию или разглашать ее третьим лицам без согласия субъекта. Защита данных обеспечивается законодательством РФ: вышеупомянутым федеральным законом №152-ФЗ, отдельными статьями Трудового, Уголовного и Гражданского кодексов РФ, а также ст.5.39 и 13.11-13.14 Кодекса об административных правонарушениях РФ. Действие этих норм распространяется на организации всех форм собственности.

Положение о защите персональных данных — 2019

Персональные данные — это сведения работника, с которыми предприятию приходится иметь дело каждый день с момента заключения с ними трудового договора и до увольнения.

Ответственные лица на предприятии не только их собирают и хранят, но также периодически обрабатываю и разглашают третьим лицам. Часто это требует осуществляемая деятельность, например, выплата зарплаты на картсчета в банке.

С другой стороны, существующие положения законодательных актов обязывают предприятие, хранить и не допускать разглашения подобной информации.

Чтобы полностью соблюсти положения законодательства, но и в дальнейшем осуществлять свою деятельность предприятие должно разработать Положение о персональных данных, в котором действующие нормы реализуются с учетом работы организации.

Разработать данное Положение необходимо любому хозяйствующему субъекту, который нанимает работников, а вследствие этого имеет дело с их личными данными.

Этот локальный нормативный акт разрабатывается и утверждается точно так же как и все другие внутренние нормативы предприятия. Ответственным за его разработку может выступать руководитель кадрового отдела или же иное должностное лицо, в обязанности с которыми включается работа с этими сведениями.

Проект документа согласуется с различными специалистами организации, профсоюзом, а после этого вводится в действие распоряжением директора. После того как Положение о персональных данных введено в действие, с ним необходимо под роспись ознакомить всех сотрудников.

Фиксировать ознакомление сотрудников с данным локальным документом можно в специальном журнале регистрации или с помощью заполнения отдельных опросных листов.

Внимание!

Законодательство устанавливает, что в состав Положения должно входить

согласие на обработку личных данных работника

. Его необходимо запрашивать у работающего на предприятии человека каждый раз, когда происходит разглашение сведений третьим лицам, например, при составлении доверенности, справок и т. д.

При этом данное согласие сотрудник может отозвать в любой момент, подав на имя своего работодателя соответствующие заявление.

Закон не определяет, какие именно сведения и разделы должны быть внесены в документ. Также нигде не оговариваются критерии, по которым необходимо производить оформление. Поэтому, в процессе подготовки этого документа на предприятии нужно учитывать требования ФЗ о персональных данных, а также общие принципы оформления внутренних нормативных актов.

Общие положения

Защита персональных данных работников в 2019 году

Этот раздел должен содержать цели составления документа, иметь ссылки на законы и другие нормативные акты по работе с персональными данными. Еще здесь нужно описать процесс введения положения в действие, и как именно будут в него вноситься изменения.

Это один из самых важных разделов в положении, поскольку именно он будет определять, какие именно сведения подпадают под понятие персональных. Составлять этот раздел лучше всего только после того, как от работников получены все необходимые документы и проведен их анализ на предмет содержащихся в них сведений. Здесь же можно описать внутренние документы, в которых могут содержаться личные данные, и какие также должны подлежать защите.

В этом разделе нужно описать какие подразделения, либо конкретные лица, получают право на работу с персональными данными. Также здесь нужно конкретно указать носители, на которых могут храниться данные (например, в виде распечаток на бумаге, в электронном виде в базе данных и т.д.)

В разделе нужно описать каким образом персональные данные, имеющиеся в компании, могут быть использованы другими работниками, не имеющими на это полномочий. Также в этом разделе необходимо обговорить порядок предоставления имеющихся сведений в другие организации, госорганы, прочим лицам.

В этом разделе нужно описать какие именно действия обязаны выполнять работники, допущенные к личным данным сотрудников компании.

Здесь описываются права работников, которые передали компании свои персональные сведения, и тех, кто обладает доступом к таким сведениям в процессе выполнения обязанностей.

В разделе описывается, в каком именно месте и каким образом в компании хранятся полученные персональные данные. Необходимо подробно указать при помощи каких мер производится защита данных на бумаге (например, архивные шкафы, запирающиеся на ключ, замок с кодовым доступом на двери помещения архива и т. д.). Также нужно описать, где хранятся и как защищаются данные, имеющиеся в электронном виде.

Так или иначе, работодатель получает доступ к определенной информации о частной жизни работника. Заполнение личной карточки (унифицированная форма Т-2), предоставление различных льгот и компенсаций, оформление налогового вычета — вот лишь малый список стандартных процедур, для проведения которых приходится запрашивать у сотрудника сведения о состоянии здоровья, составе семьи и т.д. А раз осуществляется обработка, то необходимо и положение о защите персональных данных (образец документа рассмотрен ниже).

Внимание! Получать личные сведения о сотруднике нужно непосредственно от него, а не от третьих лиц.

Так или иначе, работодатель получает доступ к определенной информации о частной жизни работника. Заполнение личной карточки (унифицированная форма Т-2), предоставление различных льгот и компенсаций, оформление налогового вычета — вот лишь малый список стандартных процедур, для проведения которых приходится запрашивать у сотрудника сведения о состоянии здоровья, составе семьи и т.д.

А раз осуществляется обработка, то необходимо и положение о защите персональных данных (образец документа рассмотрен ниже). О том, как работать с формой Т-2, читайте в статьях «Личная карточка сотрудника: можно ли не вести и как правильно оформлять» и «Как в личной карточке отразить высшее образование?».

Важно! Получать личные сведения о сотруднике нужно непосредственно от него, а не от третьих лиц.

Порядок утверждения положения о персональных данных сотрудников

Единого положения, которое бы исчерпывающим образом регулировало все вопросы, связанные с персональными данными сотрудников, нет. В этом и заключается основная проблема для работодателей, которые вынуждены обрабатывать и хранить сведения с учётом норм и положений нескольких правовых актов. Не разработана до сих пор и терминологическая основа, отсутствует единый подход к пониманию, что является персональными данными, а что нет. Порядок обработки и хранения зачастую в каждой организации свой, так как единый порядок не разработан до сих пор.

• определение профпригодности работника;• подбор должности в соответствии с полученным образованием и практическим опытом;• обучение сотрудников;• обеспечение законных интересов на период действия трудового соглашения;• контроль эффективности эксплуатации имущества организации;• обеспечение безопасности во время работы;• проверка качества выполненной работы.

Основополагающими принципами обработки личных данных являются добровольность и законность. При этом должен соблюдаться принцип равенства персонала и быть исключена возможность дискриминации отдельных членов коллектива.

Эти требования провозглашены на федеральном уровне, поэтому в обязательном порядке транслируются в локальных документах учреждения, определяющих внутреннюю работу с персональными данными персонала. При разработке корпоративных документов следует избегать противоречия с действующим в этой сфере законодательством. При этом не стоит забывать и о специфике деятельности самого предприятия.

Нормы законодательства определяют, что включается в состав личных данных человека. Это может быть как информация, напрямую связанная с сотрудником, так и косвенно его затрагивающая.

Сюда включаются:

  • Полные личные данные работника (Ф.И.О.).
  • Сведения о месте и дате появления его на свет.
  • Адрес фактический и по регистрации.
  • Социальное, семейное, имущественное положение.
  • Имеющиеся у работника образование, профессия.
  • Сведения о получаемых сотрудником доходах и т. д.

Защита персональных данных работников в 2019 году

Кроме закона о ПД, состав персональной информации определяет и ТК РФ. Он включает в состав защищаемой информации сведения, которые позволяют определить человека как работника. Это квалификация, специализация, образование, состояние здоровья человека (в некоторых ситуациях, например, при работе его во вредных условиях), наличии детей.

Список информации, которая может быть отнесена к ПД сотрудника не является закрытым, поэтому каждый субъект, ведущий бизнес, имеет право расширять его, при этом данные категории должны быть обязательно зафиксированы в Положении предприятия.

Внимание! Существует информация о работнике, которая никогда не должна запрашиваться администрацией компании, так как она является сугубо личной. Сюда относится, к примеру, вероисповедание, национальность. Если кто-то попытается узнать подобную информацию, это будет расценивать как попытка вторжения в личную жизнь работника.

Порядок разработки и принятия у данного положения точно такой же, как и у любого другого внутреннего акта предприятия.

Если в компании сформирован профсоюз, то принятие положения должно производиться только после его согласования с данным органом.

Проект документа нужно передать в профсоюз, у которого есть пять дней на его рассмотрение. По истечении этого срока орган должен в письменном виде представить свое мнение о нем.

Мнение органа может выражать несогласие с представленным документом. В этой ситуации вместе с выражением мнения предоставляются предложения по изменению положения. Администрация должна либо принять предлагаемые изменения, либо в срок трех дней провести с органом дополнительные обсуждения.

Если даже после этого согласие достигнуто не было, то обе стороны составляют и подписывают протокол разногласий. После этого шага администрация имеет право принять документ в том виде, как он предлагается. Но надо помнить, что профсоюз при возникновении спорной ситуации может обжаловать принятие положения в суде либо через трудинспекцию.

Если профсоюзный орган в организации не сформирован, но есть другой, представляющий интересы рабочих, то проводить согласование положения нужно с ним.

Если профсоюза нет вообще, то администрация вводит Положение о персональных данных в действие самостоятельно, принимая необходимый приказ. В этом распоряжении нужно проставить дату, с которой нормативный акт начинает действовать, определить ответственных лиц за соблюдение его, отменить предыдущий нормативный акт (если новое положение принимается взамен старого).

бухпроффи

Важно!Если в приказе не указана дата начала действия, то положение приобретает силу с даты подписания распоряжения.

Что должно содержать положение о защите персональных данных

Само понятие обработки информации охватывает разные виды операций, перечисленные в п.3 ст.3 федерального закона №152-ФЗ. Сначала проводится сбор, запись и систематизация сведений. Далее имеет место их накопление, хранение и использование. Данные можно уточнять, обновлять или изменять, извлекать и передавать (распространять).

  • общие положения;
  • получение и систематизация;
  • хранение;
  • использование;
  • передача;
  • гарантии конфиденциальности.

Разумеется, предложенную структуру можно корректировать по мере необходимости — объединять имеющиеся разделы и добавлять новые, включать дополнительные перечни и приложения. Но даже самое простое типовое положение о персональных данных работника (образец из шести разделов) представляет собой удобную стартовую заготовку, на базе которой можно разработать полноценный документ, адаптированный к условиям работы конкретного предприятия.

Утверждая документ, руководитель организации ставит на нем личную подпись и печать. Если же выбран первый, более трудоемкий способ утверждения, составляется соответствующий распорядительный документ. Он оформляется в общем порядке и, по сути, ничем не отличается от стандартных приказов об утверждении внутренних нормативных актов компании.

Определение термина «персональные данные» для трудовой сферы до 07.05.2013 содержалось в ст. 85 ТК РФ. В качестве таковых указывались исключительно сведения, требующиеся и полученные работодателем в связи с трудовой деятельностью субъекта.

Сейчас данная норма исключена, а толкование понятия персональных данных содержится в ФЗ «О персональных данных» от 27.07.2006 № 152-ФЗ: это вся информация, относящаяся к физлицу.

Защита персональных данных работников в 2019 году

Работодатель как субъект, осуществляющий обработку личных сведений, обязан гарантировать защиту такой информации от противоправного доступа и использования.

Примеры документов, включающих персональные данные:

  • карточка сотрудника (форма Т-2) содержит Ф.И.О. лица, сведения о семье, оконченных учебных заведениях;
  • в трудовой книжке указаны стаж, предшествующие места работы;
  • трудовой договор содержит название должности, размер вознаграждения и т.д.

Ст. 86 ТК РФ отмечает, что единственным источником личных сведений может выступать сам сотрудник. Когда такими данными обладает постороннее лицо, получить их допускается при условии, что на это согласен работник.

В ст. 88 ТК РФ содержится общий запрет на распространение данных с указанием ряда исключений, например, если такие действия требуются во избежание угрозы жизни субъекта. Об уголовной ответственности за разглашение сведений, читайте в статье Какая ответственность предусмотрена за разглашение персональных данных по 137 УК РФ?

ВАЖНО! Грубым нарушением закона является сам факт необеспечения сохранности документации, содержащей персональную информацию, вне зависимости от наступления для лица негативных последствий (определение Челябинского облсуда от 14.03.2016 № 11-1913/2016).

Чтобы не допустить разглашения персональных данных, создайте надежную систему их защиты. Порядок получения, обработки, передачи и хранения таких сведений установите в локальном акте организации, например в положении о работе с персональными данными сотрудников. Положение утверждает директор. Ознакомьте сотрудников с документом под подпись (ст. 8, п. 8 ч. 1 ст. 86, 87 ТК, п. 2 ч. 1 ст. 18.1 Закона от 27.07.2006 № 152-ФЗ).

С целью обеспечения выполнения требований к порядку обработки персональных данных работников и защите этих сведений работодатель может разработать и утвердить Положение о работе с персональными данными работников. Оно также может именоваться, например, Положением об обработке персональных данных работников, Положением о защите персональных данных или даже Положением о персональных данных работников.

Структуру и содержание Положения о защите персональных данных работников (образец приведем ниже) работодатель определяет для себя самостоятельно.

Защита персональных данных работников в 2019 году

При разработке Положения о персональных данных работодатель должен учитывать, в частности, следующие принципы:

  • обработка персональных данных работников производится только в целях соблюдения законодательства РФ, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
  • все персональные данные работников нужно получать у него самого. Если какие-либо персональные данные работника можно получить только у третьей стороны, работник заранее должен быть уведомлен об этом, а от него должно быть получено письменное согласие;
  • работодатель должен за свой счет обеспечивать защиту персональных данных работников от неправомерного их использования или утраты;
  • работодатель должен под роспись ознакомить работников с порядком обработки их персональных данных, а также с их правами и обязанностями в этой области.

Конституция Российской Федерации – основополагающий документ, гарантирующий неприкосновенность частной жизни. Поскольку персональные сведения о человеке – это часть его личной жизни, то этот главный федеральный закон призван защищать их от посягательств третьих лиц.

Персональные сведения о работниках частных предприятий или государственных учреждений подпадают под защиту Трудового кодекса Российской Федерации. Один из его разделов – глава 14 – содержит нормы и положения, регламентирующие порядок получения, обработки и хранения данной информации. Здесь же предусмотрена и ответственность за несанкционированное использование персональных данных сотрудников.

Личные сведения о государственных служащих, помимо трудового законодательства, регулируются нормами дополнительных документов в сфере госслужбы, которые определяют условия получения, обработки, хранения и передачи третьим лицам персональных данных сотрудника. Если используются автоматизированные системы сбора и хранения, то следует учесть также нормы Постановления №758 от 17.11.2007.

Общие положения

Структуру и содержание Положения о защите персональных данных работников (образец приведем ниже) работодатель определяет для себя самостоятельно. При этом руководствуется он, в частности, требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и гл. 14 «Защита персональных данных работника» ТК РФ.

Положение о защите персональных данных утверждается руководителем работодателя в качестве локального нормативного акта. С ним необходимо знакомить всех работников под роспись при их трудоустройстве (ч. 3 ст. 68 ТК РФ).

Приведем для Положения о персональных данных работников 2018 образец его заполнения.

Напоминаем, что работодатель по общему правилу не может сообщать персональные данные работника третьей стороне без письменного согласия работника (ст. 88 ТК РФ). Но такое согласие не требуется, если передача персональных данных необходима для предупреждения угрозы жизни и здоровью работника или необходима на основании других Федеральных законов (например, при передаче сведений в ПФР, ФСС, налоговые органы).

Порядок утверждения положения о персональных данных сотрудников

Защита персональных данных работников в 2019 году

Безусловно, доступ к информации имеется у оператора (тот, кто осуществляет обработку). Сам субъект имеет право обратиться к оператору за информацией, в том числе с требованием уточнить, изменить или дополнить ее. Сведения предоставляются оператором в доступной форме, при этом в них не должно быть информации о других лицах.

Статья 14 ФЗ № 152 содержит исключение, когда доступ субъекта ПД к его данным может быть ограничен. Речь идет о случаях легализации преступно полученных денежных средств, когда данные были получены в ходе ОРМ, и другие случаи.

Помимо ряда основных мер по защите личных данных персонала, законом предусмотрена еще одна обязанность оператора — извещение Роскомнадзора о предстоящей обработке персональных данных. Эта норма присутствует в российском законодательстве с 2007 года. Форма уведомления, применяемая в настоящее время, утверждена в 2008 году. В помощь кадровику — полезная статья «Как уведомить контролирующее ведомство о начале обработки персональных данных сотрудников».

обрабатывают полученные сведения в соответствии с трудовым законодательством;

получают информацию в связи с заключением договора и используют ее исключительно в рамках исполнения договоренностей;

получают данные, признанные общедоступными или включающие только фамилии, имена и отчества субъектов;

запрашивают информацию однократно в целях пропуска субъекта на территорию оператора;

относятся к числу религиозных или общественных и обрабатывают информацию в условиях конфиденциальности для достижения законных целей.

Чтобы каждый раз не уведомлять Роскомнадзор об обработке данных, работодатель, использующий сведения о работниках исключительно в рамках трудового законодательства, может закрепить соответствующее условие внутренними документами. Пропишите в положениях и других локальных актах основные направления деятельности компании и цели, с которыми она ведет сбор и обработку личной информации о персонале.

За нарушение законодательства о защите персональной информации виновное лицо можно привлечь не только к дисциплинарной, но и к административной, а в некоторых случаях — и уголовной ответственности. Мера ответственности выбирается с учетом вида, тяжести и обстоятельств совершения проступка. Детали — в статье «За персональные данные теперь штрафуют строже. Что важно проверить».

Следует помнить, что серьезным нарушением считается и неправомерный доступ к электронной информации, охраняемой законом, и нарушение неприкосновенности частной жизни. Сюда же относится ненадлежащее хранение персональных данных, а также непреднамеренное, совершенное без злого умысла разглашение конфиденциальных сведений, доступ к которым был получен при выполнении трудовых обязанностей.

Размеры штрафов, выплачиваемых работодателями за несоблюдение правил обработки личных данных персонала, постоянно увеличиваются и в настоящее время исчисляются десятками тысяч рублей. Поэтому если в организации не применяется или вовсе отсутствует положение о защите персональных данных работников, образец документа, составленного с учетом всех требований закона, явно не будет лишним.

Ответственность за нарушение правил обработки сведений личного характера

Нарушение

Санкции для физлиц

Санкции для должностных лиц

Санкции для юрлиц

Обработка ПД в «других» целях. Например, передача сторонним предприятиям или рекламным компаниям. Предупреждение или штраф в размере 1-3 тыс. рублей Предупреждение или штраф в размере 5-10 тыс. рублей Предупреждение или штраф в размере 30-50 тыс. рублей
Обработка ПД без согласия. Согласие должно быть предоставлено в письменном виде и заверено личной подписью физлица. Также обязательно присутствие даты заполнения документа и срока действия. Штраф в размере 3-5 тыс. рублей Штраф в размере 10-20 тыс. рублей Штраф в размере 15-75 тыс. рублей
Отсутствие доступа к положению о ПД сотрудникам предприятия в любое время при необходимости. Штраф в размере 700 – 1 500 рублей Штраф в размере 3-6 тыс. рублей Штраф в размере 5-10 тыс. рублей для ИП и 15-30 тыс. рублей для организаций
Сокрытие информации от владельца данных об изменениях в ПД или политике. Штраф в размере 4-6 тыс. рублей Штраф в размере 5-10 тыс. рублей Штраф в размере 20-40 тыс. рублей
Нарушение сохранности ПД, в следствие чего третьи лица могли получить информацию. Штраф в размере 700 – 2 000 рублей Штраф в размере 4-10 тыс. рублей Штраф в размере 10-20 тыс. рублей для ИП и 25-50 тыс. рублей для организаций

Таким образом, передача личной информации работодателю или в другие учреждения должна сопровождаться заполнением согласия на обработку личных данных.

При этом получатель согласия не вправе распространять персональные сведения после оказания услуги или после увольнения в течение нескольких десятков лет. Если же процедура обработки информации или конфиденциальность будет нарушена, потерпевший может обратиться в суд для разъяснения ситуации.

Если сведения, ограниченные в распространении, были сообщены другим лицам, то виновные граждане понесут ответственность в виде штрафа в сумме 500 или 1000 рублей. Должностные лица за утечку данных заплатят от 4000 до 5000 рублей, согласно ст. 13.14 КоАП РФ.

C 1 июля 2017 года начали действовать поправки к законам и КОАП, которые касаются работы с личными данными. Среди них было существенное увеличение штрафов за нарушения в сфере обработки и хранения сведений о людях.

Закон о персональных данных с 1 июля 2017 года предусматривает следующие штрафы:

  • Так, если производится сбор персональных данных в не предусмотренных законом случаях, либо выполняется обработка несовместимая с целями, указанными в законе, это наказывается предупреждением либо штрафом для простых граждан в сумме 1-3 тыс. р., для должностных лиц — 5-10 тыс. р., для предприятий — 30-50 тыс. р.
  • Если у субъекта, получившего персональные данные, нет согласие на обработку персональных данных от их владельца, хотя оно обязательно должно быть получено, влечет наложение штрафа на граждан в сумме 3-5 тыс. р, на должностных лиц — 10-20 тыс. р., на организации — 15-75 тыс. р.
  • Также поправками была введена ответственность за то, что оператор не опубликовал в открытом доступе документ, описывающий его политику по получению, обработке и хранению личных данных. Это действие влечет за собой штраф на граждан от 700 до 5 тыс. р., на должностных лиц — 3-6 тыс. р., на предпринимателя — 5-10 тыс. р., на организацию — 15-30 тыс. р.
  • Если оператор данных не предоставляет владельцу сведения о том, каким образом производится обработка его данных, влечет наложение на граждан предупреждения либо штрафа в сумме 1-2 тыс. р., на должностных лиц — 4-6 тыс. р., на предпринимателей — 10-15 тыс. р, на компании — 25-40 тыс. р.
Понравилась статья? Поделиться с друзьями:
Бухгалтерия и учет
Adblock detector