Для выполнения своих обязательств в рамках трудового, налогового и бухгалтерского законодательства работодатель должен использовать и оперировать персональными данными работника. Однако закон о персональных данных требует от работодателя, который в данном случае является «оператором персональных данных» и выполняет «обработку персональных данных», обеспечить безопасность этой информации.
Правила, установленные Федеральным законом от 27.07.06 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных), касаются не только тех организаций, которые имеют дело с клиентскими базами данных. Соблюдать требования этого закона должны все организации, в которых есть хотя бы один работник. Связано это с тем, что к персональным данным законодатели отнесли и те сведения, которые предприятие получает от своих сотрудников, принимая их на работу. А это значит, что организация обязана их защищать в полном соответствии с законом.
Читайте также «Как организовать защиту персональных данных сотрудников»
Какие данные являются персональными
Согласно Трудовому кодексу РФ под персональными данными работников понимается информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.
Закон о персональных данных расширяет и уточняет понятие.
Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Таким образом, каждый работодатель, заключая трудовой договор, получает информацию, относящуюся к персональным данным.
Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:
- паспорте;
- военном билете (у военнообязанных);
- свидетельстве о присвоении ИНН;
- страховом пенсионном свидетельстве;
- документах об образовании (в т. ч. и дополнительном образовании, если работник предоставляет их при приеме на работу или это требуется при выполнении определенных трудовых функциях);
- водительском удостоверении и документах на машину, если это требуется в связи с выполнением трудовой функции работника;
- медицинской справке о прохождении медицинского осмотра (медицинской книжке), если это требуется в связи с выполнением трудовой функции работника.
Читайте также «Личное дело сотрудника: порядок формирования и ведения»
Использование предприятием в своей деятельности вышеуказанных данных (сбор, систематизация, накопление, хранение, уточнение, уничтожение, использование, распространение и передача) трактуется законодательством как «обработка персональных данных». Все эти операции в том или ином объеме выполняются в любой организации и на любом предприятии.
Особое внимание необходимо уделить понятию передача персональных данных, так как на работодателя в связи с ним накладывается ряд ограничений.
Так, работодатель не имеет права:
- сообщать персональные данные третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью последнего, а также других случаев, предусмотренных законодательством РФ;
- сообщать персональные данные работника в коммерческих целях без его письменного согласия;
- запрашивать информацию о состоянии здоровья, за исключением сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
Кроме этого, работодатель должен соблюдать следующие требования:
- предупредить лиц, получающих персональные данные работника, что такие данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от указанных лиц подтверждения, что это правило соблюдено. Лица, получающие персональные данные, обязаны соблюдать режим конфиденциальности;
- разрешать доступ к персональным данным работников лишь специально уполномоченным лицам, причем они должны получать только те персональные данные, которые необходимы для выполнения конкретных функций; передавать персональные данные представителям работников в порядке, установленном законодательством РФ, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.
Как передавать?
Выделяют несколько видов обработки. Передана информация может быть внутри предприятия или за его пределами. Статья 88 ТК отражается правила, соблюдающиеся при передаче. Запрещено сообщать данные третьим лицам или с целью получения денег.
Исключением является угроза жизни или здоровью людей. Подобные случаи могут отражаться в трудовом или ином законе. Требуется предупреждать граждан, которыми получены сведения о работнике, о целях их использования. Цель отражается при сообщении информации.
Руководство организации имеет правомочие удостовериться в том, что указанное требование соблюдается. Лица, которым переданы сведения, берут на себя обязательство по соблюдению режима секретности. Указанные правила не распространяются на ситуации, когда получателем данных стали правоохранительные органы.
Локальные нормативные акты закрепляют правила относительно передачи информации внутри предприятия. Знакомятся граждане с этим актом под подпись. Законодатель установил новое правило. Теперь лица, зарегистрированные в качестве индивидуальных предпринимателей, обязаны издавать локальные нормативные акты, где оговорено как происходит передача данных.
К информации имеют доступ лица, наделенные специальными полномочиями. Они могут получать от сотрудника информацию, которая необходима для работы. Поэтому документация в части может представляться другими лицами. Запрещено отправлять запросы о предоставлении сведений относительно состояния здоровья человека.
Это не касается ситуаций, когда нужно выяснить способен ли работник продолжать свою деятельность. Аналогичные правила распространяются относительно женщин, находящихся в состоянии беременности. Это делают, чтобы понять нужен перевод на другую работу или нет. Переводят будущую маму на место, где нет воздействия вредных факторов.
Передать информацию можно в таком объеме, который требуется для выполнения функций.
Документы для работы с персональными данными
Для того, чтобы обезопасить себя во время проверки сохранности персональных данных, в компании должны быть следующие документы, которые можно будет предъявить по требованию проверяющих:
- положение о персональных данных;
- приказ о назначении ответственных за работу с персональными данными;
- приказ о назначении ответственных за обеспечение безопасности персональных данных;
- заявления работников о согласии на обработку персональных данных.
Положение о персональных данных
Во исполнение законодательства РФ, для обеспечения защиты прав и свобод работника каждая организация обязана разработать и принять положение о персональных данных сотрудников (далее – Положение). Этот документ определяет, какие именно сведения подлежат обработке и хранению на данном предприятии.
Положение относится к управленческой документации и утверждается приказом по организации. Его содержание должно быть разработано в соответствии с Конституцией РФ, Гражданским и Трудовым кодексами РФ, Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
В Положении должны содержаться следующие разделы:
- Общая информация.
- Основные понятия и состав персональных данных работников.
- Сбор, обработка и защита данных.
- Передача и хранение данных.
- Доступ к персональным данным работников.
- Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных.
С Положением нужно под подпись ознакомить всех сотрудников, включенных в список лиц, допущенных к работе с персональными данными.
Перечень обрабатываемых данных сотрудников
Далее потребуется утвердить документ, содержащий перечень персональных данных, которые реально используются в деятельности организации. Составляя такой документ, не забудьте включить в него все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.
В этом перечне должны быть:
- заявление о приеме на работу;
- анкета сотрудника;
- личная карточка;
- личное дело;
- трудовой договор;
- приказы;
- трудовая книжка;
- материалы аттестационных комиссий.
Если в организации имеется внутренний документооборот, содержащий сведения о сотрудниках (например, отчеты и материалы, которые составляются для акционеров, учредителей, головной организации и т. п.), то эти отчеты тоже нужно включить в перечень. Помимо этого, в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).
Обратите внимание
Штрафы начисляются за одно нарушение, а там, где система защиты персональных данных начисто отсутствует, проверяющая комиссия чаще всего сталкивается с массовыми нарушениями, вследствие чего общая сумма штрафования становится довольно внушительной.
Следующий этап работы – подготовка и утверждение списка лиц, допущенных к работе с персональными данными. Этот документ утверждается приказом руководителя и доводится под подпись до всех указанных в нем сотрудников. Кстати, приказ руководителя о назначении ответственного за работу с персональными данными и обеспечение их защиты – первое, что захотят увидеть проверяющие. Таким ответственным может быть как конкретное лицо, так и подразделение. В последнем случае личную ответственность несет руководитель такого подразделения.
Ведомством, полномочным контролировать соблюдение режима персональных данных, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (сокращенно – Роскомнадзор). Все материалы по тем проверкам, где обнаружены нарушения, ведомство передает в прокуратуру.
Когда ознакомить нового сотрудника с Положением о персональных данных
Ознакомьте будущего сотрудника с Положением о персональных данных до подписания трудового договора (ст. 68 ТК РФ). Подтвердить, что работник прочитал Положение, можно его подписью:
- в тексте трудового договора;
- в листе ознакомления с Положением о персональных данных;
- в журнале ознакомления с локальными актами.
Положение о персональных данных – это локальный нормативный акт, который обязательно должен быть в организации (ст. 87 ТК РФ). Иначе компанию могут привлечь к административной ответственности (ст. 5.27 КоАП РФ).
Требования к защите
Глава 14 Трудового кодекса предусматривает требования, касающиеся защиты данных. Устанавливается обязанность руководителя во время обработки информации учитывать требования. Целью обработки выступает обеспечение законных положений и содействие человеку в устройстве на работу. Чтобы определить объем сведений, требуется руководствоваться основным законом страны, ТК.
Получение информации допускается только от самого сотрудника. Когда получить ее можно у третьего лица – человек должен заранее сообщить об этом руководству компании. Потребуется подписать согласие. Работодателем не обрабатываются данные, отнесенные к группе специальных. Это сведения об интимной жизни, расе и т. п.
Меры по защите информации принимаются руководством компании. Оплачиваются средствами предприятия. Порядок защиты отражается в законах. Ознакомление сотрудников с документацией, отражающей порядок сбора данных, проводится под подпись.
Установлено, что человек не должен лишаться своих правомочий для того, чтобы сохранить тайну. Выработка мер по защите осуществляется работодателями вместе с сотрудниками. Исключительные ситуации отражаются в законах.
Согласие сотрудника на обработку персональных данных
Получить согласие нужно, если:
- запрос информации о сотруднике поступил от сторонней организации;
- работодатель направляет запросы в другие организации;
- работодатель обрабатывает сведения о включенных в кадровый резерв;
- обработка персональных данных родственников сотрудника превышает установленный объем (данных требуется больше, чем указано в личной карточке).
Персональные данные являются конфиденциальной информацией, а значит, к ней не должно быть свободного доступа, иначе она уже перестает быть таковой. В связи с этим передавать такие сведения о сотрудниках другим лицам работодатель вправе только с их письменного согласия.
Исключение из правил – ситуации, когда под угрозу ставятся жизнь и здоровье работников. Кроме того, законом предусмотрена обработка персональных данных сотрудника без согласия проверяемого, если он является сотрудником правоохранительных органов.
Заявление-согласие адресуется работодателю в лице генерального директора. Однако последний вправе поручить обработку персональных данных другим сотрудникам организации (ч. 3 ст. 6 Закона о персональных данных). Чаще всего это кадровики и бухгалтеры. Согласие может быть оформлено как на бумажном носителе, так и в электронном виде. Однако в этом случае его нужно подписать электронной подписью (ч. 4 ст. 9 Закона о персональных данных). Унифицированной формы согласия нет. Оно может быть оформлено в произвольной форме.
В заголовке необходимо указать, что это именно согласие на обработку персональных данных, а не что-либо иное.
Далее прописывается Ф. И. О. от руки самим проверяемым, затем серия и номер паспорта, кем он выдан. После чего указывается наименование той организации, которой проверяемый дает разрешение на проверку. В последующем необходимо указать основания проверки.
Обязательно подробно распишите, на что именно проверяемый дает свое согласие. В конце документа должна стоять подпись проверяемого лица.
Сотрудник, давший согласие на обработку своих персональных данных, в любой момент вправе отозвать такое согласие (ч. 2 ст. 9 Закона о персональных данных).
Если работник не согласен
Если работник не согласен на обработку персональных данных, разъясните последствия.
Объясните работнику, что без его согласия нельзя оформить полис ДМС, поздравить с днем рождения, сделать подарки детям на праздники, использовать его Ф. И. О. при создании адреса электронной почты, на визитках, размещать информацию на портале компании. Как правило, при таких аргументах сотрудники меняют позицию и дают согласие на обработку данных.
Работодатель вправе обрабатывать персональные данные сотрудника без его согласия при условии, что их объем не превышает установленный законом. Например, чтобы исполнять условия трудового договора. Без согласия сотрудника можно обрабатывать его персональные данные в случаях, которые предусматривают коллективный договор, локальные акты работодателя, принятые в порядке, установленном статьей 372 Трудового кодекса РФ.
Увольнение за разглашение
Расторгнуть трудовые отношения с человеком в связи с разглашением сведений можно при условии, что информация к нему поступила при исполнении обязанностей на работе. Такое правило отражено в статье 81 ТК. К числу таких сотрудников относят руководящий состав организации, представителей кадровых подразделений, финансовых отделов. Работа этих граждан прямо связана с обработкой информации о сотрудниках. Когда сведения попали к человеку по случайному стечению обстоятельств – увольнение на этом основание считается не соответствующим закону.
Хранение персональных данных сотрудников
Федеральный закон от 21.07.2014 № 242 «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» предусматривает хранение исключительно на российских серверах. Персональные данные сотрудников, содержащиеся в их личных делах, должны храниться в организации в течение 75 лет.
Читайте также «Как хранить персональные данные работников»
Что относится к персональным данным?
Представление о персональных данных человека и основные правила работы с ними содержатся в законе РФ «О персональных данных» от 27.07.2006 № 152-ФЗ. Любые сведения, относящиеся к конкретному лицу, являются его персональными данными, на получение и использование которых необходимо получить согласие этого лица.
Чаще всего персональные данные оказываются нужны работодателю, и обычно при трудоустройстве берутся у работника сведения, подтверждаемые:
- паспортом или иным удостоверением личности;
Можно ли хранить копию паспорта в личном деле работника? Ответ на этот вопрос есть в КонсультантПлюс. Получите пробный демо-доступ к системе К+ и бесплатно переходите в материал.
- трудовой книжкой;
- свидетельством ПФР;
- документами об обучении;
- документами воинского учета;
- дополнительными справками, удостоверяющими какие-либо необходимые для трудоустройства обстоятельства.
Получивший персональную информацию работодатель не только собирает и обрабатывает ее в пределах своего подразделения (службы персонала), но и передает в другие подразделения (бухгалтерию, юридическую службу), а также третьим лицам (ПФР, ФСС, ИФНС, банкам, органам внутренних дел, судам).
Обязательство о неразглашении персональных данных
Такое обязательство должен оформить каждый сотрудник, который имеет доступ к персональным данным других работников. Закон запрещает таким сотрудникам разглашать сведения, которые стали им известны в связи с выполнением трудовых обязанностей.
Прежде всего речь идет о работниках отдела кадров и бухгалтерии. Если они допустили огласку персональных данных, их можно привлечь к дисциплинарной ответственности вплоть до увольнения (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ, п. 43 постановления Пленума Верховного Суда РФ от 17.03.2004 № 2).
Права работников
Трудовой закон указывает на то, что для защиты персональной информации, которая хранится в организации, сотрудники наделены правами относительно получения сведений по обработке. Как пример, правила, разработанные Правительством под № 225 указывают, что руководство предприятия несет обязательства знакомить всех сотрудников с записями, внесенными в трудовые книжки. Ознакомиться граждане должны под подпись. Работники должны знать обо всех записях, внесенных в трудовую книжку.
Сотрудники могут на безвозмездной основе пользоваться своими данными. Речь идет о снятии копий. Исключения отражены в действующем законе. Нужно указать, что работодатель не может отказать в предоставлении таких сведений. В противном случае предусматривается ответственность.
Она закреплена в уголовном и административном кодексе. Заключается ответственность в штрафных санкциях. Размер установлен от 200 до 500 МРОТ. За основу могут взять достаток виновного. Период учитывается от двух до пяти месяцев. Нарушитель лишается возможности заниматься деятельностью или находиться на определенной должности. Срок установлен от двух до пяти лет.
Человек вправе самостоятельно выбрать лицо, которое будет защищать его данные. Чаще всего такая функция возложена на профсоюзы. Устанавливается, что защита реализуется гражданином самостоятельно. Если данные медицинские – доступ к ним получают с помощью медиков. Человек вправе самостоятельно выбрать врача.
Установлены требования, касающиеся устранения информации, которая не соответствует действительности или записана с нарушением закона. Руководство предприятия оказывает помощь человеку в поиске неверно отраженных сведений в трудовой книжке. Если действия руководства организации неправомерны – человек защищает свои права в судебном порядке.
Уведомление о получении персональных данных у третьей стороны
Если вы получаете персональные данные у третьей стороны, заранее уведомьте об этом работника (п. 3 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 Закона № 152-ФЗ). В уведомлении сообщите сотруднику о целях, предполагаемых источниках и способах получения или передачи персональных данных. Также укажите характер персональных данных, которые предстоит получить.
Определение
Законодатель подразумевает, что это сведения, которые относятся к работнику. Отношение может быть прямым или косвенным. Информация относится к определенному человеку. Закон не отражают список того, что включено в персональные данные. Отражены общие принципы, относящиеся к понятию.
Юристы говорят, что определение оценочное. Информация предоставляется во время заключения трудового соглашения. Сотрудник может подписать согласие, чтобы сведения получены были от третьего лица. Такая категория не может включать в себя сведения обезличенные.
В перечень данных включается:
- фамилия и инициалы;
- день, когда человек появился на свет;
- место, где он прописан;
- семейное и материальное положение;
- наличие образования;
- какая профессия получения;
- уровень доходов.
Федеральный закон № 152-ФЗ указывает на другие данные. К ним отнесена информация о принадлежности к расе, национальности. Убеждения и состояние здоровья входят в эту группу. Сведения отражены в документации. Это может быть:
- Акт, посредством которого удостоверяется личность.
- Трудовая книжка.
- Справка, взятая с прошлых мест работы.
- Личная карточка и т. д.
Работодатель хранит перечисленные акты в копиях. В качестве исключения выступают анкеты, карточки сотрудников и трудовые книжки.
Штрафы за нарушения скоро увеличат
Пока штрафы за нарушения в сфере охраны персональных данных не так уж и высоки. Согласно статье 13.11 КоАП РФ они составляют от 5000 до 10 000 рублей для организации и от 500 до 1000 рублей для ее руководителя, если в нарушении есть его вина.
Однако надо учитывать, что этот штраф может налагаться за каждое допущенное нарушение. Так что 10 тысяч рублей штрафа легко могут превратиться в 50 или 100 тысяч рублей даже в рамках одной проверки. А за год эти суммы могут оказаться еще внушительнее. Кроме того, Госдумой РФ уже принят законопроект, ужесточающий административную ответственность за нарушения при обработке персональных данных.
Теперь в случаях обработки персональных данных, не предусмотренных законодательством, а также несовместимых с целями сбора такой информации, размеры штрафов составят: от 1000 до 3000 рублей – для граждан, от 5000 до 10 000 рублей – для должностных лиц и от 30 000 до 50 000 рублей – для юрлиц.
Если «обработчик» забудет взять согласие гражданина на обработку информации о нем, штрафы соответственно составят: от 3000 до 5000 рублей – для граждан; от 10 000 до 20 000 рублей – для должностных лиц; от 15 000 до 75 000 рублей – для юридических лиц.
Наказывать планируют и за отказ оператора в предоставлении человеку информации об обработке его данных. Размеры штрафов: от 1000 до 2000 рублей – для граждан, от 4000 до 6000 рублей – для должностных лиц; от 10 000 до 15 000 рублей – для индивидуальных предпринимателей; от 20 000 до 40 000 рублей – для юрлиц.
Назначение ответственных за организацию защиты данных
Оператор должен назначить ответственного за операции с конфиденциальными данными.
Ответственное лицо обязано:
- контролировать соблюдение законодательства в сфере защиты ПДн оператором и работниками;
- информировать работников о правилах обработки конфиденциальных данных;
- вести приём и обработку обращений субъектов ПДн.
В российских организациях, которые ведут деятельность в странах ЕС, должен быть назначен ответственный по защите данных — DPO.
Ответственным лицом может быть назначен сотрудник — руководитель компании, юротдела, других подразделений, либо стороннее лицо — независимый эксперт или фирма.
Все нужна регистрация в Роскомнадзоре?
Может возникнуть ощущение, что уже давно всем работодателям нужно бежать в Роскомнадзор и регистрироваться как оператору персональных данных. Однако это не так. Вот исключения:
- сбор персональных данных гражданина оператором осуществляется в связи с установлением трудовых отношений;
- персональные данные собираются с целью заключения договора, без последующей передачи и распространения третьим лицам, также предусматривается использование персональных данных только для исполнения договора с гражданином;
- обработка персональных данных, находящимся в открытом доступе;
- сбор фамилии, имени и отчества граждан без указания телефона, e-mail;
- сбор персональных данных проводится с целью однократного пропуска гражданина на территорию оператора, собирающего данные, или в аналогичных случаях;
- сбор, обработка и хранение персональных данных осуществляется на бумажных носителях без использования средств автоматизации. Кстати, хранить свой бумажный архив, включая кадровые документы и персональные данные вы можете и вне офиса. Так можно избежать их утраты и несанкционированного доступа к информации.
Во всех остальных случаях — регистрация обязательна!
Не забудьте, что в Делис Архив действует акция «Новогодняя» — дарим полезные подарки действующим и будущим клиентам!
Что нужно учесть при разработке документа?
При разработке положения необходимо опираться на следующие принципы, установленные ФЗ № 152:
- сбор персональных данных и последующая их обработка может осуществляться только в целях, связанных с трудоустройством работников, повышением их по службе, организацией обучения, обеспечением безопасности, контролем качества выполняемых ими работ;
- получать персональные данные можно только от самого работника; в случае, если источником данных является третья сторона, необходимо получить дополнительное согласие на обработку данных от самого работника;
- работодатель должен самостоятельно и за свой счет организовывать систему сбора и хранения данных;
- все работники должны быть ознакомлены с порядком обработки их персональных данных под роспись.
Как разработать и ввести в действие положение?
В разработке документа должны принимать участие сотрудники кадровой и юридической служб, а также руководители отделов, деятельность которых подразумевает работу с персональными данными. Разработка приложения – отдельное направление работы над положением, которое стоит доверить юристам: они подготовят образцы документов, учитывая все особенности действующего законодательства.
Для утверждения готового документа издается приказ, который подписывается руководителем предприятия. Положение начинает действовать со дня подписания приказа, если последним не установлена другая дата вступления документа в силу.