Реферат: защита персональных данных работника

Кем составляется?

Заключая трудовой договор, каждый работодатель получает доступ к сведениям, относящимся к уникальным. Эти сведения содержатся в следующих документах:

  • паспорт;
  • военный билет (для военнообязанных);
  • свидетельство ИНН;
  • страховое свидетельство;
  • документы об образовании;
  • водительское удостоверение или документы на машину (при необходимости);
  • медицинская справка о прохождении медицинского осмотра.

Персональные данные – это любая информация, которая относится к определенному или определяемому на основании этой информации лицу.

Таким образом, получая доступ к этой информации и согласно правилам, установленным ФЗ от 27.07.06 № 152-ФЗ «О персональных данных», соблюдать защиту персональной информации о сотрудниках обязаны все организации, в которых есть хотя бы один работник.

Внимание! Согласие на обработку составляется сотрудником отдела кадров при приеме соискателя на работу.

Политика

Персональные данные сотрудников поступают в отдел кадров предприятия.

Получение, хранение, передача и использование персональных данных сотрудников, как уже работающих на предприятии, так и новь устраивающихся – обязанности работников отдела кадров.

24 статья Конституции РФ, 14 глава ТК РФ и 137 статья УК РФ регламентируют, что персональными данными, которые работодатель вправе потребовать являются данные:

  • с прежнего места работы, стаж и должность;
  • по семейному положению и количеству членов семьи;
  • по здоровью и наличию заболеваний;
  • по воинской обязанности;
  • об образовании.

Поскольку трудовая деятельность работников отдела кадров касается непосредственно личной информации сотрудников, для работников отдела кадров существует свод правил, по которым они обязаны работать:

персональные данные работника должны быть предоставлены им лично;

  • если получение персональных данных сотрудника возможно только посредством третьих лиц, то работодателю должно быть предоставлено на это согласие сотрудника;
  • каждый сотрудник отдела кадров должен лично знать действующую инструкцию и подтвердить это подписью;
  • начальнику отдела кадров вменяется лично следить за соблюдением его сотрудниками данных правил;
  • обработка персональных данных может быть проведена только в целях, напрямую относящихся к трудовой деятельности работника (продвижение по служебной лестнице, безопасность сотрудника, сохранение имущества сотрудника и предприятия, контролирование количества и качества проделанной сотрудником работы и т. п.).

Обратите внимание, что религиозные и политические взгляды, сведения о личной жизни, информация о сотрудничестве работника с профсоюзными и иными объединениями (исключения составляют случаи, прописанные в законе и случаи отношения такое деятельности сотрудника непосредственно к его работе на предприятии) не считаются персональными данными, которые сотрудник в обязательном порядке должен предоставлять работодателю. Статья 87 ТК РФ регламентирует, что методы использования и хранения личной информации о сотрудниках работодатель вправе выбрать сам

Статья 87 ТК РФ регламентирует, что методы использования и хранения личной информации о сотрудниках работодатель вправе выбрать сам.

Персональные данные сотрудников – это документы, доступ к которым имеет начальник отдела кадров предприятия, а все остальные сотрудники могут получить эти документы только в его присутствии.

Хранить данные документы начальник отдела кадров обязан в сейфе.

К документам, содержащим личные данные сотрудников относятся:

  • удостоверение личности;
  • трудовая книжка;
  • документ об образовании;
  • документ воинского учета;
  • страховое пенсионное свидетельство;
  • служебные докладные;
  • материалы по проверкам и расследованиям;
  • прочие документы.

В ходе своей трудовой деятельности сотрудники отдела кадров не имеют право:

  • передавать личную информацию по сотруднику третьим лицам без его ведома и согласия; исключением могут быть случаи, зафиксированные законодательно, а так же случаи, когда это необходимо для сохранения жизни и здоровья сотрудника;
  • передавать личные данные сотрудника третьим лицам на коммерческой основе, если сотрудник не даст на это согласия;
  • требовать от сотрудника информацию, касающуюся состояния его здоровья, если в этом нет производственной необходимости.

При этом сотрудники отдела кадров обязаны:

  • передавая информацию о персональных данных сотрудника, лиц, ее получающих, поставить в известность о том, что данная информация должна быть использована строго по назначению;
  • пользоваться только той личной информацией по сотруднику, которая непосредственно связана с его (сотрудника) трудовой деятельностью.

Штрафы за нарушение хранения персональных данных

Существует три типа ответственности, предусмотренной законодательством РФ:

  • гражданско-правовая закрепляется в соглашении или договоре, которые человек заключает с оператором персональных данных, и носит главным образом денежный характер;
  • административная ответственность устанавливается Кодексом об административных правонарушениях Российской Федерации и сопровождается предупреждением, штрафными санкциями;
  • уголовная ответственность возникает при тяжких нарушениях законодательства. Чаще всего к виновнику предъявляются или штрафные санкции, или уголовная статья, предусматривающая ограничение свободы.

Штрафы, предусмотренные за несоблюдение законодательства о персональных данных:

Показатели

Описание

По Кодексу об административных правонарушениях РФ

  • для граждан — в размере до 500 рублей;
  • для должностных лиц — от 500 до 1 тыс. рублей;
  • для юридических лиц — до 30 тыс. рублей.

Согласно ст. № 137 Уголовного кодекса РФ

  • в размере 200 тыс. рублей либо доход за период длительностью 18 месяцев — для физических лиц;
  • принудительные работы;
  • арест.

Возможно ли сохранить свои персональные данные от утечки?

Конечно, если следовать определенным правилам:

  1. Не раздавать свою конфиденциальную информацию посторонним.
  2. При регистрации на неизвестном ресурсе придумывать уникальный и сложный пароль для входа.
  3. Не применять одинаковые пароли к разным сайтам – так учетную запись будет проще взломать.
  4. Использовать многоуровневую защиту: привязка одного или нескольких адресов электронной почты и действующего номера мобильного.
  5. Требовать документ с запретом на разглашение вашей конфиденциальной информации, если она передается третьим лицам (банки, организации).
  6. Не выкладывайте слишком личную информацию в сеть, даже в частной переписке. Подобные диалоги часто взламываются и могут стать достоянием общественности.

Подумайте о том, что в скором времени конфиденциальной информации может попросту не стать. Мы сами создаем обстановку, когда вся информация о нашей жизни становится общедоступной. Позаботьтесь о себе сами, и знайте свои права.

Ответственность работодателя за нарушение норм, регулирующих защиту персональных данных

С 1 июля 2017 года органом, осуществляющим контроль и надзор за соответствием обработки персональных данных требованиям Закона о персональных данных и нормативных правовых актов, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (ст. 23 Закона о персональных данных). Есть плановые проверки, которые Роскомнадзор совершает раз в три года, а есть внеплановые ревизии, и о них не стоит забывать. Они могут быть проведены, к примеру, с целью выяснить, устранила ли компания нарушения, допущенные и выявленные ранее. Кроме того, проверку также стоит ждать, если компания претендует на выполнение госзаказа.

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ). Разберем каждый вид ответственности.

Дисциплинарная ответственность

Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, является основанием для привлечения этого лица к дисциплинарной ответственности (ст. 90 ТК РФ). Трудовой договор с работником может быть, расторгнут по причине разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ).

Материальная ответственность

Eсли вред работнику был причинен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь последнего к материальной ответственности за ущерб, который был нанесен работнику такими действиями. В соответствии с пунктом 7 части 1 статьи 243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну.

Административная ответственность

С 1 июля статья 13.11 КоАП РФ претерпела значительные изменения и теперь применяется в новой редакции. Был детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. Теперь новая формулировка статьи 13.11 содержит семь составов правонарушений (вместо одного). Проверяющ ие могут составить отдельный протокол за каждое нарушение и назначить отдельный штраф.

То есть, если до 1 июля 2017 года максимальный штраф по статье 13.11 КоАП РФ составлял 10 тыс. руб. и состав нарушения был одним, то на данный момент размер штрафа увеличен до 75 тыс. руб., и составов преступлений стало семь. Соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов.

Кроме того, должностных лиц могут оштрафовать на сумму от 3 000 до 20 000 руб., индивидуальных предпринимателей — на сумму от 5 000 до 20 000 руб., организации — на сумму от 15 000 до 75 000 руб.

Можно ли условие о неразглашении персональных данных включать в трудовой договор с работником? Только в отношении тех работников, которые непосредственно работают с персональными данными: кадровиков, бухгалтеров, секретарей и т.п. (ст. 57 ТК РФ). В этом случае при приеме на работу ознакомьте работника с Положением о работе с персональными данными.

Уголовная ответственность

Если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, он может быть привлечен и к уголовной ответственности. Наказывается такое деяние (ст. 137 УК РФ):

  • штрафом в сумме до 200 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период до 18 месяцев;
  • либо обязательными работами на срок от 120 до 180 часов;
  • либо исправительными работами на срок до одного года;
  • либо арестом на срок до четырех месяцев.

Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются (ч. 2 ст. 137 УК РФ):

  • штрафом в сумме от 100 тыс. до 300 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период от одного года до двух лет;
  • либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
  • либо арестом на срок от четырех до шести месяцев.

Определение

Законодатель подразумевает, что это сведения, которые относятся к работнику. Отношение может быть прямым или косвенным. Информация относится к определенному человеку. Закон не отражают список того, что включено в персональные данные. Отражены общие принципы, относящиеся к понятию.

Юристы говорят, что определение оценочное. Информация предоставляется во время заключения трудового соглашения. Сотрудник может подписать согласие, чтобы сведения получены были от третьего лица. Такая категория не может включать в себя сведения обезличенные.

В перечень данных включается:

  • фамилия и инициалы;
  • день, когда человек появился на свет;
  • место, где он прописан;
  • семейное и материальное положение;
  • наличие образования;
  • какая профессия получения;
  • уровень доходов.

Федеральный закон № 152-ФЗ указывает на другие данные. К ним отнесена информация о принадлежности к расе, национальности. Убеждения и состояние здоровья входят в эту группу. Сведения отражены в документации. Это может быть:

  1. Акт, посредством которого удостоверяется личность.
  2. Трудовая книжка.
  3. Справка, взятая с прошлых мест работы.
  4. Личная карточка и т. д.

Работодатель хранит перечисленные акты в копиях. В качестве исключения выступают анкеты, карточки сотрудников и трудовые книжки.

Какие требования должен соблюдать работодатель при передаче персональных данных работника?

При передаче персональных данных работника работодатель должен соблюдать следующие требования:

  • не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных ТК РФ или иными федеральными законами;
  • не сообщать персональные данные работника в коммерческих целях без его письменного согласия;
  • предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном ТК РФ и иными федеральными законами;
  • осуществлять передачу персональных данных работника в пределах одной организации, у одного индивидуального предпринимателя в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под роспись;
  • разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
  • не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
  • передавать персональные данные работника представителям работников в порядке, установленном ТК РФ и иными федеральными законами, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.

Что это такое?

Персональными данными являются все сведения об образовании, трудовом стаже, социальных льготах, семейном положении, а также постановке на воинский учет. Во время того, когда человек заполняет анкеты для принятия на работу, то он указывает свои паспортные данные, адрес прописки и проживания, информацию о членах семьи, номер телефона, сведения об отсутствии судимостей.

Все заполненные документы, которые имеют такие факты считаются конфиденциальными, но вот гриф ограниченного пользования не проставляется. Доступ к персональным сведениям может быть у работодателя, но только для того, чтобы он имел представление об участнике трудового соглашения.

Руководитель того или иного предприятия не имеет права запрашивать те факты, которые не относятся к конкретной должности. Доступ к личным сведениям сотрудника может предоставляться только по разрешению самого работающего субъекта.

Для чего составляют обязательство о неразглашении персональных данных работников

Сбор, обработка и хранение персональной информации граждан страны регулирует закон (Федеральным законом № 152-ФЗ «О персональных данных»). Защита личной информации и права на неприкосновенность частной жизни работника — обязанность работодателя. Он, в силу необходимости, имеет доступ к документам и сведениям, которые законом квалифицируются как персональные.

  • о реквизитах документов, удостоверяющих личность;
  • об образовании, специальности, служебном положении;
  • о составе семьи, адресе проживания;
  • задекларированном имуществе, зарплате и пр.

К числу обязательных документов, которые работник заполняет и подписывает при поступлении на работу, относится согласие на обработку персональных данных. К субъектам персональных данных относятся не только те сотрудники, с которыми заключены трудовые договоры, но и те лица, которые работают по договорам гражданско-правового характера.

Внимание! На получение персональных сведений о сотруднике от третьих лиц требуется письменное согласие работника. Согласие субъекта персональных данных на обработку его персональных данных

Согласие субъекта персональных данных на обработку его персональных данных

Те представители работодателя, которые имеют доступ к этой информации в силу своих служебных обязанностей, должны подписать обязательство о неразглашении персональных данных. Должностные лица, осуществляющие сбор, обработку и хранение личных данных сотрудников определяются приказом руководителя. В перечень допущенных, как правило, включают представителей:

  • бухгалтерии;
  • кадровой службы;
  • службы персонала;
  • юристы.

Бланк «Обязательство о неразглашении персональных данных работников»

Скачайте документы по теме в «Системе Кадры»

За нарушение обязательств, которые оператор принимает на себя, подписывая соглашение о неразглашении персональных данных, перед законом несет ответственность работодатель. В отношении работодателя действуют санкции, предусмотренные КоАП РФ, а также отдельными нормами Трудового, Гражданского и Уголовного кодексов РФ

Поэтому так важно, чтобы вопросы сбора, обработки и сохранности сведений о работниках личного характера были отрегулированы и внутренними нормативными актами работодателя

Особенности

Особенностью защиты персональных данных выступает множество спорных моментов возникающихт у работодателя при определении категории «персональные данные» как таковой.

Законодательство, хоть и указывает на некоторые конкретные типы таких данных, все же оставляет возможность дополнить их в соответствии с потребностями предприятия.

Поэтому перед внедрением средств защиты нужно четко определить, какие именно сведения будут ее объектом.

. Ведь такая необходимость связана не только с законодательными требованиями, но и с рядом других причин:

  1. Информация – ценный ресурс, и ее утечка может быть использована третьими лицами в преступных целях (конкурентами, мошенниками, обиженными сотрудниками).
  2. Развитие информационных технологий и появление множества технических средств предоставили широкое поле деятельности для мошенников – информацию теперь легче скопировать, украсть, повредить или уничтожить.
  3. Влияние человеческого фактора – данные обрабатываются сотрудниками, и это не всегда одни только представители кадровой службы. Некоторые данные получает бухгалтерия или сотрудники сектора делопроизводства. Далеко не все эти люди выполняют требования по неразглашению информации, поэтому данный фактор тоже следует учесть.

При защите данных стоит принимать во внимание все эти особенности и возможные пути утечки информации

Как хранить и использовать?

Руководством предприятия устанавливается порядок, по которому осуществляется хранение и применение информации о сотрудниках. Указанные правила подлежат отражению в нормативах локального значения. Установлено, что они полностью должны отвечать требованиям законов.

Перечень типовых управленческих документов устанавливает срок, в течение которого хранятся сведения. Постоянный срок хранения применим к тем, кто занимал руководящие должности. Аналогичные положения отнесены к сотрудникам, имеющим звания и награды, премии. Для других работников такой период равняется 75 годам. Главный акт, где отражена информация о работе – трудовая книжка.

В ней прописаны данные персонального значения. Порядок хранения такого акта отражен в Правилах, утвержденных Правительством под № 225. Согласно указанному документу на руководство компании возлагается ответственность за сохранность книжек. Руководитель вправе издать приказ и с его помощью переложить ответственность на другого сотрудника.

Руководство компании обязано создать условия для сохранности информации. Сохранить их требуется от доступа других лиц, уничтожений. В некоторых ситуациях стараются внести изменения или распространить сведения. Подобных ситуаций потребуется избегать.

О чем всегда забывают при подготовке документации?

Еще один широко распространенный и не менее важный вид нарушений связан с документацией в области обработки персональных данных. Дело в том, что для полного соответствия требованиям Закона № 152-ФЗ и подзаконных актов организациям нужно иметь огромное количество документов, в иерархии которых не просто разобраться. Как показывают результаты проверок Роскомнадзора, компании допускают три основных нарушения в этой области:

  • отсутствует большая часть необходимой документации;
  • документация не актуализируется на постоянной основе (например, при изменениях процессов обработки персональных данных);
  • не заполняются типовые формы документов (перечни, журналы и др.) в соответствии с внутренней документацией организации.

Как же сформировать полный комплект документов, чтобы пройти проверку без нареканий со стороны представителей регулятора? Работа с персональными данными в любой организации начинается с верхнеуровневого документа, определяющего общие требования, то есть политики. При ее разработке полезно изучить рекомендации Рекомендации Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 31 июля 2017 г.

Среди документов второго уровня в иерархии можно выделить следующие:

  1. Положение об обработке персональных данных. Его можно разработать как отдельно для работников и остальных субъектов данных, так и в виде единого документа. Я рекомендую выбирать второй вариант и не забывать, что с документом нужно ознакомить каждого работника под подпись;
  2. Регламент обработки обращений от субъектов персональных данных / Роскомнадзора;
  3. Регламент проведения внутренних проверок в части соблюдения требований Закона № 152-ФЗ и подзаконных актов в области обработки персональных данных;
  4. Методика оценки вреда субъектам персональных данных. По моей практике, компании крайне редко разрабатывают этот документ, хотя он необходим для успешного прохождения проверки Роскомнадзора;
  5. Иные документы.

Для наглядности иерархическая структура необходимых документов представлена на схеме:

Рис. Иерархическая верхнеуровневая схема документов оператора персональных данных

Список внушительный, не говоря о том, что в этой колонке я не рассматриваю документы по защите персональных данных по требованиям ФСТЭК и ФСБ России

Но и это еще не все: организациям, в которых планируется проверка Роскомнадзора, также следует обратить внимание на подготовку справок по различным вопросам. Например, это может быть информация по обработке данных уволенных работников, справка об обработке биометрических данных и не только

Например, в моей практике был случай, когда компании пришлось подготовить суммарно порядка 200 справок по разным вопросам обработки персональных данных. Так что этот вопрос лучше продумать заранее.

Обработка данных при рекрутинге (найме) сотрудников

Пример: Кандидат принимается на позицию менеджера по связям с общественностью или первого лица компании, которая предполагает формирование общественного имиджа компании. В этом случае может быть оправдано изучение каких-либо политических предпочтений кандидата, отсутствия его связи с радикальными течениями или неоднозначных публичных высказываний, что может причинить ущерб компании. Или же кандидат принимается на должность менеджера по развитию бизнеса. Поэтому, может быть оправданным для работодателя перед заключением трудового договора убедиться, что у кандидата имеется наработанная сеть деловых контактов.

Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий