Действующие законы в области трудового права и охраны конфиденциальной информации требуют регламентации работы с ПнД на предприятии — создание политики обработки персональных данных. Ст. 86 ТК и 18.1 No152-ФЗ обязывают работодателя разработать и утвердить документацию — Положение о защите персональных данных, регламенты и другие.
Что нового появилось в трудовом законодательстве на этой неделе расскажет Валентина Митрофанова. Смотрите новый выпуск «Кадрового обзора». |
Локальных актов может быть несколько, принимая во внимание разделение механизмов и целей обработки конфиденциальных сведений на предприятии.
Пример
|
О том какие меры по защите конфиденциальности в организации содержит политика персональных данных, как разработать и утвердить Положения и Регламенты, расскажут эксперты Валентина Митрофанова и Мария Финатова в онлайн-курсе в рамках дистанционного повышения квалификации. |
Требования к внутренним документам по персональным данным
Документацию по конфиденциальности и средствам обеспечения безопасности персональных данных разрабатывают, отталкиваясь от конкретных условий предприятия. Ее составление подчиняется закону:
- Подписывает ЛНА уполномоченное лицо. В Уставе сказано, кто утверждает внутреннюю нормативную документацию. Обычно это Директор, Совет директоров и т.д.
- Локальные акты по конфиденциальности не требуют коллективного рассмотрения и учета мнения профсоюзов. Согласовывать их содержание с представителями работников не надо.
Сотрудники должны знать политику предприятия в отношении обработки персональных данных. Регламент доводится до всех работающих под роспись, независимо, ведут они обработку ПнД или нет.
Правовая основа
Принимая на работу сотрудника, работодатель получает от него следующие данные личного характера:
- Ф.И.О.;
- адрес регистрации и места проживания;
- серию и номер паспорта;
- номер свидетельства ИНН;
- СНИЛС;
- о количестве детей, датах их рождения;
- о семейном положении;
- о предыдущей работе, сроках, причинах увольнения.
Согласно ст. 86-90 ТК РФ организация-работодатель должна придерживаться правил:
- обработки личной информации сотрудников;
- хранения и пользования данными;
- передачи личных данных работников.
На основании ФЗ «О персональных данных» работникам предоставляется право требовать защиту сообщаемых работодателю сведений. Для обеспечения надлежащей работы с личными данными сотрудников каждая организация разрабатывает Положение о персональных данных работников. В этом документе устанавливаются:
- какие сведения относятся к категории «персональных»;
- кто имеет доступ к сведениям работников личного характера;
- как осуществляется сохранность персональных данных (на каком носителе);
- в каком порядке происходит обработка информации;
- где фиксируются сведения о сотрудниках (оформляются ли личные дела, карточки, ведутся ли списки и т.д.);
- на каких основаниях и кому могут передаваться данные о работнике;
- как защищается доступ к данным (закодирована ли электронная информация, устанавливается ли сейф для материальных носителей);
- порядок его утверждения и изменения.
Приложение может включать образцы заявлений работников:
- о согласии с обработкой своих личных данных;
- о согласии получения дополнительных сведений в отношении работника.
Типовой вариант такого документа по указанию руководства может быть разработан:
- специалистом по кадрам;
- юристом компании;
- помощником руководителя.
Положение о персональных данных является принадлежащим к категории локальных актов предприятия. Его структура не должна противоречить действующему законодательству РФ.
Работодатель обязан не просто разработать документ, регламентирующий порядок хранения и использования информации о сотрудниках, он должен ввести его в действие. Именно для этого работодателем составляется распоряжение об утверждении разработанного положения.
Общие положения локального акта по защите персональных данных в организациях
Разъясняется терминология, используемая в тексте, цели обработки персданных, описывается общее значение корпоративного документа.
В локальном акте допустимо расписать права и обязанности:
- работодателя — оператора ПнД;
- работника — субъекта ПД.
По закону обработка ПД заканчивается выполнением целей. Они определяются заранее, регламентируются федеральными актами. В Положение об обработке ПД конкретной компании прописывают цели, характерные для ее деятельности.
Пример
|
Не указывайте цели, не характерные для вашей вашей компании. Чтобы правильно их определить:
- проанализируйте фактическую деятельность предприятия;
- изучите устав — там указаны основные направления работы;
- отследите бизнес-процессы в ИС подразделений и процедуры в отношении определенных категорий субъектов ПД.
Избыточное хранение данных в личных делах сотрудников
Часто кадровики в личных делах или папках служащих хранят копии паспортов, аттестатов, ИНН и т.д. Это признается незаконным, так как нарушает требования к хранению персональных данных. Хранение копий удостоверения личности, других документов, в которых есть персональные данные, квалифицируется как нарушение во время проведения проверок в части наличия у Оператора избыточных персональных данных.
Часть 5 статьи 5 No 152-ФЗ регулирует количество обрабатываемых персональных данных, их объем. Они должны коррелировать с целями обработки, которые вы заявили в Политике или других ЛНА. В законах и нормах РФ, посвященных обработке ПД на предприятии, устанавливаются объемы и характер персональных данных, которые запрашивают у сотрудника. Основной регламентирующий документ — Трудовой кодекс:
- Ст. 86 содержит перечень норм, которыми стоит руководствоваться при при расчете объема и содержания ПнД. Это Конституция РФ, ТК РФ и др.
- Ст. 65 ТК дает полный список документов с персональными сведениями, которые наниматель может требовать у сотрудника для заключения трудового договора.
Статья 65 ТК РФ не называет какие персональные данные может хранить и обрабатывать работодатель или сотрудник кадровой службы на протяжении трудовой деятельности работника. В законе перечислены документы, которые предъявляются при заключении трудового контракта.
Какие документы потребует работодатель, чтобы заключить трудовой договор — таблица
Документ | Для чего требуется |
Паспорт | Документ, удостоверяющий личность |
Трудовая книжка | Если работник устраивается в первый раз, ее изготавливает наниматель. С 2022 года введены электронные ТД |
СНИЛС | С 2022 г. форма АДИ-РЕГ |
Военный билет | Если работник военнообязанный или призывник |
Диплом, другие документы об образовании | Подтверждение квалификации, наличии специальной подготовки если соискатель поступает на должность, требующую особых знаний |
Справка о судимости / уголовном преследовании либо о его прекращении | Для работ, к которым не допускаются судимые или подвергшиеся уголовному преследованию |
Другие документы требовать запрещается!
Сбор, обработку и хранение персональных данных о судимости вправе проводить муниципальные или госучреждения в рамках полномочий, предоставленных им законами РФ — пункт 3 ст. 10 No 152-ФЗ. В других случаях этот порядок определяется иными федеральными нормами.
ТК РФ предусматривает документы и персональные данные, которыми может оперировать работодатель. Это трудовой договор (статья 57 ТК РФ), в нем указаны:
- ФИО работника;
- сведения паспорта;
- трудовая книжка (ст. 66 ТК РФ);
- приказ о приеме на работу (ст. 68 ТК РФ) и т.д.
Для идентификации при устройстве на работу от сотрудника потребуется ФИО и предоставление им документа, подтверждающего личность. Этого достаточно. Поэтому хранение копий паспортных страниц расценивается проверяющими из Роскомнадзора как превышение объема требуемых персональных данных.
Совет Пример с копиями страниц паспорта показывает, что их хранение не обеспечивает точность и актуальность сведений о личности. Только оригинал — источник аутентичной информации. Это утверждение справедливо по отношению к дубликатам паспорта и других документов. |
Особое внимание уделяет Роскомнадзор номенклатуре документов, которые содержатся в личных делах и папках сотрудников.
Как оформить допуск к персональным данным в локальном акте
Вы указали в локальном акте все используемые термины, определили цели. Теперь в Положении о защите персональных данных работников закрепите перечень должностей с допуском к ПнД. Это требует ст. 86 ТК РФ и 152-ФЗ.
Как описать в локальном акте внутренний доступ к персональным данным
Это допуск должностных лиц внутри компании-оператора. Доступ к конфиденциальным данным разделяется на полный и ограниченный. При описании полного допуска указывают список должностей, допущенных к ПД без ограничений.
При определении ограничений, кроме перечисления должностей, описывают свойства конфиденциальных данных, к которым допущены сотрудники, перечисляют операции, производимые с ними и указывают конечные цели.
Пример перечня должностей и перечня документов с персональными данными
Здесь же фиксируется процесс назначения уполномоченного по обработке персданных на предприятии. Такое требование к защите персональных данных озвучено в п.1, ч.1, ст. 18.1 No152-ФЗ. Эта функция может быть закреплена как в Положении о ПД, так и в приказе.
Совет Мы рекомендуем назначать человека, работающего с ПнД при выполнении повседневных должностных обязанностей — IT-, HR-менеджер, прочие. |
Человек, ответственный за организацию обработки персональных данных, подчиняется исполнительному органу оператора, действует по его указаниям.
Внешний доступ — передача третьим лицам персональных данных
В Регламенте перечисляются учреждения, которым передаются личные данные — это внешний доступ к конфиденциальной информации. К числу допущенных к личным сведениям работников относят контрольные и надзорные ведомства, иные, установленные федеральными нормами:
- Инспекции труда;
- Прокуратура РФ;
- Правоохранительные органы;
- Налоговики;
- Военные комиссариаты;
- Отделы миграционного учета иностранных граждан;
- другие.
Включенные в положение об обработке персональных данных работников юрлица получают доступ, обусловленный спецификой деятельности, в порядке, установленном нормами РФ.
Укажите в локальном акте следующую информацию о юрлице с внешним допуском к ПД:
- название, месторасположение;
- цели передачи и объем переданных сведений;
- операции с ПнД;
- механизмы и правила обработки;
- требования к защите.
Совет Мы рекомендуем в Регламенте о ПД указывать обстоятельства, при которых возможно предоставление конфиденциальных сведений контрагенту. |
Пример Условия передачи персональных данных третьим лицам (в том числе, находящимся не в России — трансграничной) для достижения целей обработки ПД — наличие в соглашении пунктов, регулирующих обработку ПД. |
Пример реестра персональных данных и действий по их обработке
Персональные данные: законодательное определение
Когда человек вступает в трудовые отношения, от него требуется предоставить ряд сведений о себе. Вся эта информация, касающаяся будущего сотрудника, позволяющая определить его в том или ином контексте, и объединяется под термином «персональные данные».
В каком порядке должна осуществляться обработка персональных данных физлиц?
Порядок действий с этой информацией определен в таких законодательных документах, как:
- Конституция Российской Федерации;
- ст. 85 Трудового кодекса РФ;
- Федеральный закон № 149 от 27 июля 2006 г. «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон № 152 от 27 июля 2006 г. «О персональных данных»;
- Указ Президента России от 06.03.1977 г. № 188.
Эти законодательные акты утверждают сведения, которые подпадают под определение персональных данных, с тем, чтобы оградить приватную жизнь законопослушных граждан от неправомерного вмешательства и гарантировать целевое использование получаемых от них конфиденциальных сведений.
Являются ли номер телефона и адрес электронной почты персональными данными?
Перечень данных, считающихся персональными:
- ФИО физического лица;
- дата рождения;
- место проживания и/или прописки;
- полученное человеком образование;
- состав семьи;
- социальный статус;
- сведения, касающиеся владения имуществом;
- ранее занимаемые им должности;
- уровень получаемых доходов и их источники;
- иные сведения, имеющие отношение к трудовой функции, обозначаемой в заключаемом договоре с сотрудником.
КСТАТИ! Информация о политических, религиозных или других убеждениях сотрудника, его участии во всевозможных организациях, помимо работы, а также детали его частной жизни не относятся к персональным данным и не подлежат сбору, обработке, хранению и использованию. Их можно получить только с согласия самого работника. Исключение составляет ситуация, когда информация такого рода прямо относится к трудовой деятельности.
Вопросы здоровья сотрудника не могут попадать в поле зрения кадровых сотрудников, кроме непосредственного влияния на трудовую функцию.
Кто и какую ответственность несет за нарушение законодательства о персональных данных?
Содержание и объем защиты персональных данных в организациях: документальное оформление
Ст. 5, п.5 No152-ФЗ посвящена:
- соразмерности объема и характера полученных данных объявленным целям;
- запрещению избыточности ПДн.
Об этом будет следующий раздел локального акта.
Пример Если объявленная цель обработки ПД — подписание договора с физлицом Ивановым И.И. на поставку товара, то персональные сведения, соответствующие этой цели — ФИО, банковские реквизиты паспорт, ИНН, телефоны, адрес. Избыточной будет информация о семье и имущественном положении. |
Важно! Именно цель определяет объем ПД. Если ваша организация предложит Иванову И.И. дополнительную социальную поддержку (полис ДМС) — это другая цель, она потребует иное количество ПД. |
В Положении о защите персональных данных работников перечисляются все категории лиц, чья личная информация необходима в деятельности предприятия. Это действующие и бывшие сотрудники, родственники, претенденты на вакансию, контрагенты оператора (физлица, юрлица) или их представители.
Совет Параллельно с перечислением целей рекомендуем дать перечень обрабатываемых перс данных применительно к указанным категориям субъектов. |
Отдельно разъясняется обработка спецсведений (раса, национальность, политические взгляды, религия, здоровье) и биометрии, если она производится.
Для чего нужно положение о работе с персональными данными
Принимая человека на работу, предприятие берет на себя функции оператора по обработке данных. Иными словами, работодатель осуществляет сбор, хранение, систематизацию, накопление и обновление информации, касающейся работников. Работа с личными данными ведется как с использованием средств автоматизации, так и без их применения. Обработка конфиденциальных сведений осуществляется не только в период сотрудничества, но и после его завершения, на стадии архивирования. Ст. 22.1 Федерального закона от 22 октября 2004 г. № 125-ФЗ «Об архивном деле в Российской Федерации» обязывает организации хранить личные дела работников в течение 75 лет. На всех этапах обработки личных сведений работодатель обязан предотвращать передачу их третьим лицам при отсутствии на то законных оснований. Комплекс соответствующих мер должен быть задокументирован как положение о работе с персональными данными работников.
Меры безопасности при обработке персональных данных
Здесь описываются применяемые меры сохранности и конфиденциальности ПнД. Эти мероприятия описаны в ст. 18.1 No152-ФЗ. Из перечисленных оператор сам выбирает важные и достаточные для исполнения обязанностей. Ст. 19 ФЗ регламентирует конкретный перечень шагов, обеспечивающий безопасность ПД во время обработки. Среди прочих:
- моделирование угроз безопасности персональных данных в информационных системах;
- выявление самовольного доступа к конфиденциальным сведениям и оперативное реагирование на инциденты.
Установлены уровни защищенности перс данных — постановление No1119. Одна из мер по защите персональных данных в организации для сохранности личных данных при их обработке в ИСПДн, — организационные и технические процедуры. Их наличие поддерживает уровни в состоянии, обозначенном правительством — п.3/1 ст.19 ФЗ и п. 8 -16 Постановления No 1119. Основные меры защиты:
- установление аутентичности субъектов и объектов доступа;
- наблюдение за допусками;
- защита носителей, хранящих / обрабатывающих ПД;
- наблюдение за событиями;
- обследование защищенности ПД;
- обеспечение невредимости ИС и информации;
- доступность ПД;
- защита технических ресурсов и др.
Полностью состав этих мер приводит Приказ ФСТЭК No 21.
Иные организационные и технические меры, направленные на защиту персональных данных
Следует позаботиться также об организационных и технических мерах, предназначенных для защиты персональных данных. Вот как может выглядеть их список:
- утверждение требований к помещению, где хранятся персональные данные.
Следует иметь в виду, что законодательством они не установлены. Однако если исходить из имеющихся аналогичных законов, учитывать положения Трудового кодекса РФ, то во избежание несанкционированного доступа к персональным данным на бумажных носителях необходимо оборудовать помещение, где они хранятся, запирающимися шкафами.
В локальном нормативном акте следует установить требования к помещению, где хранятся персональные данные, а также издать приказ об определении помещений, где обрабатываются персональные данные, и утвердить перечень лиц, имеющих допуск туда;
- обеспечение программной защиты информационной системы организации.
При использовании электронных систем обработки персональных данных необходимо учитывать требования по обеспечению безопасности таких данных, установленные в Положении об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных. В том числе следует ограничить доступ к определенным сведениям в информационных системах (например, установить пароли и т. д.).
Целесообразно также ограничить доступ к электронным базам данных, содержащим персональные данные акционеров, двухуровневой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли должны устанавливаться администратором баз данных и администратором сети соответственно и сообщаться индивидуально сотрудникам, имеющим доступ к персональным данным, при этом их следует как можно чаще (например, ежемесячно) менять;
- ведение журнала учета работы с персональными данными.
В целях соблюдения конфиденциального режима работы с персональными данными целесообразно вести журнал учета выдачи персональных данных другим лицам, организациям и государственным органам. В нем следует регистрировать поступающие запросы, а также фиксировать сведения о лице, направившем запрос, дате передачи персональных данных или факте уведомления об отказе в их предоставлении, а также отмечать, какая именно информация была передана.
Описание порядка хранения персональных данных в локальном акте
Если режим хранения ПнД позволяет раскрыть их субъекта, то хранение такой информации оканчивается:
- с достигнутой целью обработки;
- вместе с действием согласия на обработку ПД/его отзыва;
- согласно нормам об архивном деле.
Совет Рекомендуем продолжительность и порядок хранения ПД в ИСПДн или на бумаге указывать, учитывая установленный к ним доступ должностных лиц. Место хранения используемых баз конфиденциальных сведений также следует указать в Регламенте. |
Важно! Напоминаем — базы данных личных сведений работников локализуются в России |
Что такое персональные данные
Под персональными данными принято понимать любую информацию, относящуюся к человеку — субъекту, определяемому прямо либо косвенно согласно критериям закона «О персональных данных» от 27.07.2006 № 152-ФЗ.
Данные о человеке попадают под юрисдикцию закона № 152-ФЗ в том случае, если находятся в распоряжении оператора персональных данных или подлежат обработке с его участием (п. 1 ст. 1 закона № 152-ФЗ). Признакам оператора, в частности, соответствуют фирмы, имеющие наемных работников, поскольку они осуществляют обработку широкого спектра сведений о субъектах в процессе выстраивания с ними трудовых отношений.
Полный перечень сведений о работниках, являющихся персональными данными, вы найдете в КонсультантПлюс. Это важно знать, поскольку к персональной информации относятся не только сведения о работнике, но и его фото например. Есть и другие интересные моменты. А ведь за нарушения в работе с персональными данными установлены довольно существенные штрафы. Получите бесплатный доступ к К+ и переходите в Путеводитель. Это убережет вас от ошибок и позволит избежать ответственности.
Как составить согласие на обработку персональных данных, смотрите в здесь.
См. также «Пропуск с фото может повлечь штраф за персональные данные».
Информационные системы персональных данных — требования к защите
В локальном документе о политике защиты и обработки персональных данных отображаются виды используемых информационных систем, угрозах конфиденциальности и порядке ее защиты. Все это есть в постановлении No 1119. Закон выделяет следующие инфосистемы:
- для обработки спецкатегорий ПД;
- работа с биометрией;
- содержащие общедоступные данные;
- все остальные (исключая специальные, биометрические, общедоступные);
- только перс данные работников оператора.
В прочих случаях ИСПДн — это система, обрабатывающая личные данные субъектов — не служащих работодателя.
Вы определили тип ИС, которую используете, и указали эти факты в ЛНА. Следующий шаг — типы угроз для ПнД, которые обрабатываются в этой инфосистеме.
Есть три типа угроз, которые различаются друг от друга возможностями программного обеспечения, не отраженными в технической документации. Могут обнаруживаться в:
- системном ПО — 1 тип;
- прикладном ПО — 2 тип;
- в системном и прикладном ПО — 3 тип.
Угрозы безопасности фиксируются, учитывая их актуальность для конкретной ИС. Устанавливаются с учетом прогноза потенциального вреда субъектам ПнД, если будет нарушен порядок обработки персданных.
Дополнительно учитывается соотношение причиненного ущерба с мерами оператора, указанными в ст. 18.1 Закона о ПД. Обработка конфиденциальных сведений в информационных системах предполагает несколько уровней защищенности персональных данных. Условия определения уровня даны в 9 -12 пунктах ПП No 1119, требования к защищенности — пунктах 13 -16.
Форма документа
Требования к содержанию согласия на распространение персональных данных утверждены Приказом Роскомнадзора от 24.02.2021 N 18. Стоит заметить, что не нужно уведомлять Роскомнадзор о своем намерении распространять персональные данные, имея на это разрешение субъекта.
Можно ли получить одно согласие от работника, прописав в нем все возможные цели обработки/распространения?
Зачастую документ «Согласие» содержит в себе не одну цель обработки и не одно третье лицо, которому распространяется информация, а сразу несколько, что по мнению Роскомнадзора противоречит действующему законодательству.
Согласно позиции ведомства, на каждую цель и на каждое третье лицо, которому разглашается информация о физическом лице, должно быть свое согласие. Это следует из ч. 4 ст. 9, ч. 5 ст. 18 Закона от 27.07.2006 № 152-ФЗ.
В этих статьях «цель обработки» и третье лицо указаны в единственном числе, следовательно, совмещать несколько целей и несколько третьих лиц в одном документе неправомерно.
Данное правило применимо ко всем случаям, когда необходимо получить письменное согласие работника.
Судебная практика на данный момент не на стороне работодателя (Постановление от 15 января 2022 г. по делу № А40-81171/2017). В связи с этим компаниям придется оформлять большое количество согласий от работников, чтоб соблюсти нормы законодательства.