Персональные данные: как работать по закону?
Персональные данные в организации есть всегда. Порой работодатель даже не представляет, как много информации о сотрудниках обрабатывается с нарушением закона. Как правильно организовать работу с персональными данными, как составить внутренние документы, что можно упустить, а что учесть обязательно? Читайте консультацию-памятку от эксперта трудового права Анны Никурадзе.
Ошибки в работе с персональными данными чаще всего случаются по незнанию, а не из-за попытки обойти нормативные требования. Вот самый распространенный пример: будущий работник подает пакет документов по списку, куда входит ИНН или справка о составе семьи. Принимая такие документы, работодатели не берут согласия на их обработку, поскольку думают, что в этом нет необходимости, чем невольно нарушают закон. Но если вы вооружены достаточными знаниями, административных рисков можно избежать.
Для начала разберемся, какие сведения о работниках считаются персональными данными: любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Такое определение дано в п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее Закон N 152-ФЗ):
То есть, к персональным данным относят:
- фамилию, имя, отчество, дату и место рождения;
- сведения об образовании (в том числе послевузовском профессиональном) — номера дипломов, названия образовательных организаций, квалификацию, присвоенную гражданину, ученую степень и пр.;
- семейное, социальное и имущественное положение работника;
- профессию и места работы;
- любые документы, которые содержат вышеперечисленные данные;
- документы, содержащие сведения о членах семьи и иных третьих лицах;
и так далее.
Кроме этого, персональные данные содержатся в документах, обязательно предъявляемых при трудоустройстве. Их перечень указан в ст. 65 Трудового кодекса РФ и эта статья позволяет работодателю принимать и обрабатывать перечисленные в ней документы без предварительного согласия.
Некоторые работодатели (видимо, по старой привычке) до сих пор требуют фото для вклеивания в личную карточку Т2, однако не спрашивают официального согласия работника. Есть мнение, что фотография не относится к персональным данным, но с этим можно поспорить. Ведь законодатель говорит, что персональными данными считаются любые сведения, позволяющие идентифицировать определенного человека, даже без использования его имени, фамилии и даты рождения. Таким образом, если специалист запрашивает фото работника, об этом обязательно надо упомянуть в письменном согласии на обработку персональных данных, с указанием целей обработки.
Возможно, прочитав предыдущие утверждения, вы сделали вывод, что персональные данные — это вся информация, которую человек предоставляет о себе, и обрабатывать ее можно только с его письменного разрешения.
Однако мы помним, что законодатель все же идет навстречу оператору и оговаривает возможность не брать согласие на обработку сведений, перечисленных в ст. 65 ТК РФ. Но в этот список не входят справки о составе семьи, ИНН, справки о состояния здоровья.
Так, в момент приема на работу некоторые компании запрашивают ИНН сотрудника, поскольку он понадобится для отчетности и закон периодически требует включать их в отчетные формы. Для того чтобы оформить человека на должность, и в дальнейшем поддерживать с ним трудовые отношения, ИНН не требуется. Поэтому если организации все-таки нужны эти данные, обязательно следует получить письменное согласие работнику.
Что еще должен делать работодатель при обработке персональных данных?
Согласно п. 7 ст. 86 Трудового кодекса РФ, работодатель обязан обеспечить за счет своих средств защиту персональных данных работника от неправомерного использования или утраты, а также выполнять установленный законом порядок их использования и хранения.
Исходя из указанных требований, работодатель издает локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного использования или утраты. Этот документ должен содержать:
- описание внешнего и внутреннего доступа к персональным данным;
- перечень лиц, которым предоставлен такой доступ;
- ответственность за разглашение сведений;
- порядок работы с персональными данными;
- регламент защиты персональных данных (включая защиту от третьих лиц).
С соответствующими положениями и своими правами работники должны ознакомиться под роспись.
Обычно в организации таким локальным нормативным актом признается отдельное Положение о защите персональных данных. Структура его может быть следующей:
1) «Общие положения» – в данном разделе прописываются общие моменты, цели создания документа и сфера его распространения;
2) «Основные понятия» – указываются используемые определения;
3) «Перечень персональных данных и цели обработки» – здесь перечисляется, какие сведения могут быть использованы оператором
4) «Обработка персональных данных» – в этом разделе следует указать, какие условия должны быть соблюдены при обработке персональных данных работника;
5) «Передача персональных данных» – тут необходимо отразить порядок передачи персональных данных работников внутри организации, а также сторонним лицам и государственным органам;
6) «Доступ к персональным данным» — в указанном разделе будет прописан порядок доступа к персональным данным – внешний (передача информации третьим лицам) и внутренний (обработка персональных данных внутри компании);
7) «Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных» — здесь будет расписана дисциплинарная и материальная ответственность лиц, работающих с персональными данными;
8) «Угрозы безопасности» – в этом разделе описывается модель и степень угрозы, а также что предпринимается для защиты персональных данных;
8) «Заключительные положения» – сюда включаются положения о вступлении в силу акта, длительность его действия, и порядок его изменения.
Как защитить персональные данные сотрудников
Работодатель обязан создать все условия для защиты персональных данных: систему, которая обеспечивает конфиденциальность, недоступность, а также целостность и безопасность информации в процессе деятельности компании.
Закон предусматривает внутреннюю и внешнюю защиту.
- Для обеспечения внешней защиты персональных данных работников компания может, например, ввести пропускной режим для посетителей и использовать программно-технический комплекс защиты информации на электронных носителях.
- Для обеспечения внутренней защиты персональных данных компания может установить регламент состава работников, чьи функциональные обязанности требуют доступа к персональным данным других работников. При этом следует избирательно и обоснованно распределить документы и информацию, содержащую персональные данные, между лицами, уполномоченными на работу с такими данными, и оборудовать рабочие места таким образом, чтобы не было возможности беспрепятственно проникнуть и «подсмотреть» информацию, и так далее.
Комплекс защитных мер зависит от уровня угрозы безопасности. Чем уровень выше, тем больше действий необходимо предпринимать.
Выделяют три типа угроз, которые создают актуальную опасность несанкционированного доступа к персональным данным при их обработке в информационной системе. Тип угрозы, характерный для информационной системы, работодатель определяет самостоятельно. Исходя из этого, применяется один из четырех уровней защиты.
Состав и содержание мер по обеспечению безопасности персональных данных для каждого уровня защиты определены Приказом ФСТЭК России от 18.02.2013 N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Обеспечение достойного уровня безопасности включает множество различных требований, которые надо строго соблюдать.
Так, чтобы обеспечить минимальный (четвертый) уровень защиты персональных данных работников, необходимо:
- обезопасить от неконтролируемого проникновения помещения, в которых установлена информационная система;
- обеспечить сохранность носителей персональных данных;
- защитить информацию с помощью средств, прошедших процедуру оценки соответствия;
- издать приказ (распоряжение) в произвольной форме с перечнем работников, имеющих в силу трудовых обязанностей доступ к персональным данным в информационной системе.
Персональные данные потенциальных сотрудников: как поступать с кандидатами
Еще один интересный вопрос связан с персональными данными соискателей: какие действия разрешены работодателю, когда люди приходят на собеседования?
Резюме считается общедоступной информацией, и при его использовании не нужно письменное согласие. Но если соискатель заполняет анкету с указанием личных данных и специалист службы персонала снимает копии с документов (паспорт, диплом и т.п.), письменное согласие брать обязательно.
В заключение хотелось бы подчеркнуть, что работа с персональными данными — это высочайший уровень ответственности. Не стоит пренебрегать правилами и недооценивать важность получения согласия и формирования защиты. Кроме того помните, что сейчас трудовая инспекция особенно строго следит за соблюдением трудового законодательства довольно тщательно и не упускает ни одну из нормативных сфер. Один короткий документ, полученный от работника или кандидата, обезопасит вас от административной ответственности.
Источник : hrdocs.ru