Главная - Трудовое право - Правила обработки хранения и использования персональных данных работников

Правила обработки хранения и использования персональных данных работников


Персональные данные сотрудников


Сотрудники кадровых отделов работают с персональными данными работников организации: получают, обрабатывают, хранят и передают сведения. Работа с этой информацией регламентируется законом (ТК РФ и ФЗ №152- ФЗ «О персональных данных»).

Нужно знать правила обращения с персональными сведениями, чтобы избежать нарушений и штрафов. Статья 3 Закона №152-ФЗ говорит, что персональные данные — это информация о лице:

  1. место рождения;
  2. дата рождения;
  3. образование;
  4. ФИО;
  5. семейное положение;
  6. адрес;
  7. профессия;
  8. доходы.

Приведенный перечень сведений является открытым, его дополняют необходимыми пунктами.

Персональные (см. ст. 85 ТК РФ). Информация о работнике содержится в таких документах:

  1. документ об образовании;
  2. ИНН;
  3. трудовая книжка;
  4. медицинская книжка (если требуется).
  5. СНИЛС;
  6. водительское удостоверение;
  7. военный билет;
  8. документ, удостоверяющий личность (паспорт, заграничный паспорт, военный билет, временное удостоверение личности);

Важно!

Персональные данные работника — конфиденциальная информация. Это значит, что их нельзя разглашать ее без письменного согласия сотрудника (ст.

3 Закона №152-ФЗ). Обработка персданных — это действия с личной информацией работника, когда работодатель принимает сотрудника в штат или заключает договор ГПХ; работник продвигается по карьерной лестнице и т.д. Во время обработки соблюдайте требования статьи 86 ТК РФ:

  1. персональные сведения передает сам гражданин.
  2. у обработки должна быть цель и основания;
  3. запрещена передача личных сведений работника третьим лицам без его письменного согласия;

В локальных актах предприятия нужно прописать Правила защиты личных сведений о работниках. Работники обязаны ознакомится с этими правилами и расписаться о согласии с документом.

Для порядка и безопасности организации нужно создать положения и приказы для работы с персданными. Во время проверки у вас должны быть подготовлены: Положение о персональных данных, Заявление работника с согласием на обработку личных данных, Приказ о назначении ответственных за работу с личной информацией работников, Приказ об обеспечении безопасности личных сведений работников.

К первой категории относятся личные сведения о расовой принадлежности, состоянии здоровья, политических взглядах.

Ко второй категории относится информация, благодаря которой можно получить дополнительную информацию о субъекте — номер телефона, семейное положение, прежнее место работы и т.д. В третьей категории содержится информация, позволяющая идентифицировать работника (ФИО+ паспортные данные). В последней, четвертой категории находятся общедоступная информация(данные о профессии и квалификации).

Работодатель обязан ввести порядок хранения и использования сведений о работниках (ст.

87 ТК РФ). Документы по сотруднику объединяются в личное дело. Порядок хранения и ведения личных дел вводит и контролирует работодатель.

Личные дела руководителей компании, работников, имеющих государственные звания, и так далее хранятся постоянно.

Личные дела других работников храните 75 лет.

Ответственность по хранению, ведению, учету, выдаче трудовых книжек тоже возлагается на работодателя.

Правила передачи персданных налагают на работодателя ряд ограничений. Ограничения устанавливаются согласно статье 88 ТК РФ:

  1. запрещено делать запрос о здоровье работника у медицинского учреждения.
  2. доступ к данным получают только специально уполномоченные лица;
  3. передача данных внутри одной компании должна проходить согласно правилам локального акта, с которым работник был ознакомлен;
  4. известите лиц, которые получили доступ к информации о работнике, что ее следует использовать только в тех целях, для которых они были сообщены;

Работники имеют право на предоставление полной информации об их личных сведениях и их обработке (кому передавались сведения и для чего).

Также нужно обеспечить сотрудникам свободный доступ к своим личным сведениям и медицинским данным. Помните, что работник имеет право обжаловать в суде незаконные действия работодателя и привлечь должностное лицо-нарушителя к уголовной или административной ответственности. В соответствии с ТК РФ, нарушители норм обработки и защиты личных сведений работника привлекаются к разным видам ответственности.

  1. Уголовная ответственность по ст. 137 УК РФ за незаконное распространение сведений о лице без его согласия предусматривает штраф в сумме до 200 000 рублей, либо обязательные работы от 120 до 180 часов, либо арест до 4 месяцев.
  2. К дисциплинарной ответственности относятся замечание, выговор, увольнение.
  3. К административной ответственности относятся предупреждение или штраф от 3 до 5 МРОТ.
  4. К материальной ответственности привлекаются работники, которые непосредственно обрабатывают персональную информацию. В случае незаконного распространения информации сотрудник организации может заявить о моральном вреде и потребовать его возмещения у работодателя.

Работа с личными сведениями требует высокого уровня ответственности.

Соблюдайте правила и помните о контроле Трудовой инспекции. Автор статьи: Александра Аверьянова Ведите простой кадровый учет в веб-сервисе Контур.Бухгалтерия. Начисляйте зарплату, легко считайте пособия, удержания и командировочные, автоматически готовьте отчеты по сотрудникам и отправляйте их через интернет.
Начисляйте зарплату, легко считайте пособия, удержания и командировочные, автоматически готовьте отчеты по сотрудникам и отправляйте их через интернет. А еще — ведите учет, платите налоги, сдавайте налоговую и бухгалтерскую отчетность и пользуйтесь поддержкой наших экспертов.

Первый месяц работы в сервисе — бесплатно.

Порядок хранения и использования персональных данных работников

Персональные данные – это любые, в том числе конфиденциальные, сведения о человеке, в этом контексте называемом субъектом ПДн.

Поэтому для любого предприятия, имеющего штат сотрудников, о которых хранится информация в его базе, важно правильно обращаться с этой информацией.

Все действия с ПДн: получение разрешения субъекта на их использование, хранение информации на бумажных и электронных носителях, передача ПДн за границу, организация всех видов обработки личных данных сотрудников – должны осуществляться в правовом поле, о чем гласит ФЗ № 152 «О персональных данных». Трудоустройство человека напрямую связано с подачей личной информации работодателю. На этапе оформления на работу эта информация включает в себя ФИО, возраст, адрес проживания и прописки, семейное положение, данные об образовании.

По мере увеличения стажа в личном деле сотрудника появляются такие документы, как приказ о приеме на службу, трудовой контракт, трудовая книжка, документы об окладе и заработной плате. Каждый работодатель при заключении трудового договора с работником становится обладателем его персональных сведений.

По требованиям федерального законодательства, если на предприятии происходит обработка ПДн сотрудников, необходимо иметь согласие каждого из них на выполнение действий с личными данными. Однако закон предусматривает и исключения из этого требования:

  1. если получение и использование ПДн необходимо для обеспечения защиты жизни и здоровья субъекта персональных данных (в том случае, когда согласие его получить невозможно). Такое исключение позволит производить обработку ПДн без согласия только непродолжительный период времени;
  2. если имеется договор с родственником лица, и в пользу этого лица осуществляется данный договор. Если совершенно нет возможности получить разрешение субъекта – этот выход будет единственным решением вопроса, например, при проверке Роскомнадзором.

Вышеуказанные исключения относятся только к общей категории личных данных. Для работы с конфиденциальными данными, такими как политические и религиозные взгляды, обязательно требуется согласие субъекта.

В зависимости от формы персональных сведений они могут храниться:

  1. в электронном виде.
  2. в бумажном виде;

Современные предприятия всегда дублируют персональные материалы служащих, храня их параллельно и на бумажном носителе, и в базе данных компьютера.

Располагаются эти материалы в большинстве случаев в бухгалтерии либо в кадровом отделе фирмы.

Обязательным условием для обеспечения безопасности ПДн в бумажной форме является их хранение в огнеупорных сейфах. Для материалов об уволенных служащих на предприятии существует специальный архив, в который заносят личные дела и сохраняют их там до момента истечения срока хранения. После этого материалы уничтожаются.

Данные в электронном виде хранятся в базе данных компьютерной сети предприятия, причем обязательно с созданием резервной копии на случай удаления или программного сбоя.

Соблюдение правил хранения ПДн работников крайне важно. Нарушение этих требований влечет административную и уголовную ответственность. Согласно статье 87 Трудового Кодекса Российской Федерации, порядок хранения и использования персонифицированной информации о служащих разрабатывается и утверждается работодателем.

Законом установлены конкретные сроки хранения различной документации, содержащей в себе ПДн сотрудников.

Их следует знать:

  1. ведомости о выплатах, расчетные листы и иные документы о выплатах пособий и заработных плат хранятся 75 лет.
  2. приказы и выписки из них, докладные, служебные письма, командировочные листы хранятся 5 лет;
  3. автобиографии, анкеты с данными, заявления сотрудников, графики учета персонала хранятся на протяжении 3 лет;

Самое важное правило – использование личных данных работника на бумажном носителе производится только на основании федерального законодательства, а именно ст.

24 Конституции Российской Федерации.

В ней говорится, что:

  1. любые действия с персонифицированными сведениями о человеке недопустимы без его согласия;
  2. государственные органы и службы самоуправления должны предоставить гражданам возможность ознакомиться с документами, в которых затрагиваются их права и свободы.

При обработке личных сведений работников организации необходимо учесть ряд требований:

  • Все личные дела служащих должны находиться в папках в алфавитном порядке.
  • Персональные документы подчиненных, такие как паспорт, свидетельство о рождении, браке, идентификационный номер налогоплательщика, предоставляются работодателю для ознакомления и получения ксерокопии для дальнейшего хранения, оригиналы же возвращаются работнику. Такие документы, как трудовая книжка, трудовой контракт, приказы, хранятся в оригинале.
  • Начальство не имеет права собирать и хранить сведения о личной жизни сотрудника без его согласия (если иное не предусмотрено законодательством).
  • Передача персональных сведений третьим лицам запрещена.
  • Использование материалов личного характера должно осуществляться только в рамках действия трудового договора.
  • Все папки с личными документами обязательно должны находиться в сейфе, ключ от которого должен быть только у руководителя, главного бухгалтера и начальника кадрового отдела.
  • Если требуемые предприятию данные о сотруднике находятся в стороннем источнике, то необходимо письменное соглашение этого сотрудника на использование его ПДн.
  • Работники отдела кадров в обязательном порядке должны проводить инструктажи о порядке и правилах подачи, обработки личных данных.
  • Все документы и материалы предоставляет непосредственно их владелец.

Законодательство не выдвигает особых требований к электронным данным о работниках.

Есть лишь несколько определенных правил:

  • Для данных в электронном формате необходимо обозначить сведения, относящиеся к ПДн. С небольшим дополнением: к ним также относят e-mail, учетные записи в социальных сетях.
  • Использование ПДн на электронных носителях должно производиться в соответствии с указанными выше нормами законодательных актов.
  • Параллельно создается резервная копия БД, которую хранят на съемном носителе (диске, жестком диске).
  • К базе данных право доступа принадлежит директору предприятия и его заместителям, главному бухгалтеру и начальнику кадрового отдела, а также системным администраторам (программистам). Причем для каждого из них персонально создаются логин и пароль для входа в электронную БД.
  • Все документы работника, полученные предприятием, нужно сканировать и вносить в его личное дело в электронной базе данных.

Данные в электронном виде, так же, как и в бумажном, нуждаются в защите.

Для защиты электронных персональных данных используются такие способы:

  1. осуществляется безопасная организация хранения носителей информации.
  2. интегрируется индивидуализированная система доступа пользователей;
  3. ограничивается доступ работников в те помещения, где хранятся компьютеры (серверы) с базой данных;

ФЗ РФ установлено, что международная, или трансграничная, передача личных сведений – это отправка ПДн на территорию иного государства иностранному физическому либо юридическому лицу или представительству органа власти государства. Чаще всего сюда относится отправка данных в органы ООН.

Если же международная отправка ПДн осуществляется в небезопасное государство, необходимо иметь договор с субъектом персональной информации, предусматривающий данное действие, или получить его письменное разрешение. План действий работодателя по работе с личными материалами работников:

  1. работодателем создается и утверждается специальный акт, регулирующий процесс хранения и обработки персональных сведений. Зачастую это Положение о личных данных, предоставляемое для ознакомления работникам под роспись. Ознакомление возможно только с бумажным носителем – рассылка Положения электронной почтой не соответствует требованиям закона. При проведении аудита предприятия Роскомнадзор запрашивает данный документ для проверки. Если таковой отсутствует или нет подписей работников – работодатель может быть привлечен к административной ответственности;
  2. вся документация, содержащая личную информацию о работниках, должна храниться в сейфах. Данные в электронном виде – содержаться в базе данных под паролем и иметь резервную копию.
  3. следующим важным документом, составляемым работодателем, является акт, содержащий список ПДн, которые будут использоваться в организации. Также в данном акте указываются конкретные бумаги, содержащие данные о работниках, которые предприятие передает в государственные службы;
  4. чтобы быть готовыми к проверке, следует держать наготове заявления сотрудников о согласии на обработку ПДн, журналы учета и передачи личных данных;
  5. работодатель издает приказ, в котором утверждает на должность оператора ПДн человека, который будет ответственным за сбор, хранение, обработку и иные действия с личной информацией, а также за обеспечение ее безопасности;

Во избежание привлечения к ответственности необходимо выполнить все вышеуказанные пункты и особое внимание уделить безопасности персонифицированной информации, потому что с 2017 года федеральное законодательство ужесточило ответственность работодателей за невыполнение требований по сохранности ПДн.

Законодательство РФ требует уничтожать или обезличивать все личные сведения сотрудников, когда уже нет необходимости в их использовании и хранении.

Персональные данные работников: как работодателю не нарушить закон

У предпринимателя хранится стандартная информация о работниках: имя, контакты, номер паспорта, прошлые места работы.

Такая информация — персональные данные людей. Собирать, хранить и удалять её нужно по правилам из закона.

Если персональные данные хранить неправильно, бизнес оштрафует Роскомнадзор. В ещё худшей ситуации личная информация утечёт к банкам, конкурентам и бывшим супругам работников. Тогда к штрафу добавится обязанность компенсировать моральный вред.

Чтобы избежать штрафов и судов, нужно один раз настроить работу с персональными данными сотрудников. Хорошая новость в том, что это несложно сделать самостоятельно. Рассказываем как. Основная информация о персональных данных: Глава 14 Трудового кодекса РФ Закон № 152-ФЗ О персональных данных Положение об особенностях обработки персональных данных без средств автоматизации Каждый человек сам решает, что и кому сообщать о себе.

Это его частная жизнь, она конфиденциальна. Чтобы информация о частной жизни не распространялась, действуют правила работы с персональными данными. Это следует из ст. 2 Закона № 152-ФЗ. Предприниматели и организации, заключившие хотя бы один трудовой договор, отвечают за утечку сведений о частной жизни работников.

Предприниматели и организации, заключившие хотя бы один трудовой договор, отвечают за утечку сведений о частной жизни работников. Считается, что работодатели — операторы персональных данных. Они собирают информацию, хранят её в кадровых документах, передают в налоговую и пенсионный фонд.

Основание — ст. 3 и 7 Закона № 152-ФЗ. Правила работы с персональными данными не изменятся, если число работников вырастет до десяти или двух тысяч по всей стране. Бизнесу без наёмного персонала в этом плане меньше хлопот.

За свои паспортные данные и номера банковских карт предприниматели отвечают сами. Требований нет, составлять документы не надо. Персональные данные — это любая информация о человеке, из которой можно понять, о ком речь — ст.

3 Закона № 152-ФЗ. Более ясного определения нет. Поэтому работодатели обязаны следить за всеми документами, где есть имена, даты рождения, адреса и подобные сведения о работниках. Вот список для ориентира: Кадровые документы — трудовые договоры, трудовые книжки, личные карточки, приказы об отпусках и выговорах, заявления на отпуск.

Копии документов от работника — паспорта, СНИЛСа, свидетельства о рождении детей. Бухгалтерские документы — расчётные листы по зарплате и премиям. Любые сведения о зарплате — это в принципе персональные данные, они секретны.

Так сказано в . Фото работника — например, на пропуск. Отпечатки пальцев — это биометрические персональные данные.

Для них те же правила. Неформальные документы — резюме, анкеты, характеристики, тесты на психологическую совместимость скорпиона и змееносца в активной фазе луны.

Эльба — бухгалтерия, с которой справится любой.

Сервис подготовит платёжки на зарплату, налоги и взносы — а потом сам сформирует отчётность. Год на «Премиуме» для ИП младше 3 месяцев За утечку персональных данных и даже формальные ошибки работодатели отвечают по административной, гражданской и уголовной ответственности. Работу с персональными данными контролируют Роскомнадзор и прокуратура.

С внеплановой проверкой приходят по жалобе работника, в том числе бывшего. Штрафуют за избыточный сбор данных, отсутствие в кадровой документации согласия работника, утечку и отказ уточнить сведения по ст.

13.11 КоАП РФ. Размер штрафа — до 75 000 ₽. Попасть на административную ответственность можно за сам факт нарушения закона. Проверяющие не будут разбираться, была ли реальная опасность, что мошенники оформят микрозайм по копии паспорта.

Компания использовала копии документов людей как черновики. Это незаконное распространение персональных данных.

Прокуратура назначила штраф 25 000 ₽ — дело № 44а-1189/2018. Если по вине работодателя стали известны факты из частной жизни, работнику полагается компенсация морального вреда. Дела о моральном вреде рассматривает суд по иску работника.

Сумма компенсации зависит от последствий и бывает ощутимой. Скриншот трудового договора с размером зарплаты работника попал в интернет. Компания не уследила или не придала этому значения.

По всей видимости, был резонансный спор, но правило секретности персональных данных действует и тут.

Работник отсудил 25 000 ₽ — дело № 33-4172/13. В тяжёлом случае утечки данных о человеке через СМИ, интернет или как-то ещё публично на руководителя заводят уголовное дело по ст.

137 УК РФ. В уголовном деле смотрят на реальный вред личной и семейной жизни человека. Например, на ютуб слили видео с камер в офисе — так жена менеджера узнала об измене. Наказание грозит вплоть до лишения свободы на четыре года.

Но такие дела, конечно, редкость.

Не уследивших за персональными данными кадровика, бухгалтера и директора можно уволить и переложить на них убытки от штрафов.

Посмотрите нашу статью про . Правила о персональных данных разбросаны по разным законам. Мы собрали их в один столбик и упростили: � Персональные данные работника обрабатывают только с его письменного согласия.

� Персональные данные работника нельзя никому сообщать без его согласия — ст. 7 Закона № 152-ФЗ. Даже коллегам и членам семьи.

Но есть исключения, связанные с угрозой жизни и здоровью. Например, врачам скорой помощи можно сказать про аллергию.

� Работодатель берёт от работника только нужные для работы сведения — ст.

86 ТК РФ. О политических взглядах, вероисповедании и сексуальной ориентации расспрашивать нельзя. Про здоровье можно выяснить только то, что нужно для конкретной рабочей функции.

� Персональные данные получают у самого работника. Когда нужные сведения есть только у третьей стороны, с работника берут письменное согласие. � Работодатель на свои деньги обеспечивает физическую сохранность документов с персональными данными. Хранить документы в надёжном месте — одна из главных его обязанностей.

Хранить документы в надёжном месте — одна из главных его обязанностей. � Данные о работнике должны быть точными и свежими. Работодатель обязан заменять, обновлять и удалять информацию по просьбе работника — ст.

5 Закона № 152-ФЗ. � Работник в любое время может получить бесплатно копию документов с персональными данными — ст. 89 ТК РФ. � В фирме назначают ответственного за персональные данные. Этого специалиста знакомят с правилами работы из закона.

Чтобы законно собирать и хранить информацию о персонале, надо составить несколько скучных документов и кому-то поручить постоянную бумажную работу (возможно, самому себе). Это не так сложно, как кажется на первый взгляд. 1. Составьте и утвердите локальный нормативный акт — Положение о защите персональных данных работников.

Обычно положение дублирует закон. Знакомьте с ним письменно каждого работника.

Подписи удобно собирать на обратной стороне положения. 2. Назначьте ответственного за персональные данные.

Так нужно в силу ст. 22.1 Закона № 152-ФЗ.

Назначенный человек будет отвечать за сбор согласий с работников и физическую защиту документов.

Возьмите с него обязательство о неразглашении данных.

Брать трудовые книжки, договоры и копии паспортов сможет только он. ИП и организации с одним учредителем ответственным назначают себя. 3. Берите с каждого работника письменное согласие на обработку персональных данных.

Отсутствие согласия — популярный повод для штрафа.

Отдельно оформлять согласие не надо, если пользуетесь типовой формой трудового договора для микропредприятия. В форме есть строка о согласии на обработку.

Если планируете получать сведения о человеке у третьих лиц, например, рекомендации с прошлых мест работы или справки о судимости, возьмите согласие и на это. 4. Храните документы с персональными данными в надёжном месте. Критериев надёжности нет. Какие конкретно нужны меры безопасности и как не допустить утечку, решает работодатель.

Это его право по ст. 18.1 Закона № 152-ФЗ и п. 15 Положения. Для хранения подойдёт сейф или ящик на замке.

К такому месту не должно быть доступа у других людей, кроме ответственного за персональные данные.

Хранить информацию в электронном виде разрешено только на сервере в России по ст. 18 Закона № 152-ФЗ. 5. Уничтожайте персональные данные полностью.

Отслужившие документы нельзя просто взять и выбросить в мусорное ведро или отправить на черновики. Нельзя даже хранить на всякий случай — это нарушение. Ненужные резюме, заявления и копии паспортов уничтожают.

Сделать это надо так, чтобы никто не смог посмотреть и взять данные из них. Такое требование прописано в п.

10 Положения. Пользуйтесь шредером или мелко порвите бумаги. Аналогичное требование к удалению данных с сервера: чтобы не осталось копий. 6. Если нужно, уведомляйте Роскомнадзор. По общему правилу работодатель не обязан сообщать Роскомнадзору о сборе и хранении персональных данных. Однако при использовании информации о людях не только в кадрах и бухгалтерии, работодатель отправляет уведомление — ст.

Однако при использовании информации о людях не только в кадрах и бухгалтерии, работодатель отправляет уведомление — ст. 22 Закона № 152-ФЗ. Например, когда сообщает банку о заработке сотрудника или подтверждает визовому центру место работы. В обоих случаях это передача персональных данных.

Надо уведомлять Роскомнадзор. А при работе через сайт с именами и контактами клиентов, вам совершенно точно нужен важный документ — .

Сделали все документы? Пройдите на сайте Роструда. Это бесплатно и штрафов за найденные нарушения не будет. 7. Исполняйте требования закона не только формально. Работодатель в курсе личной жизни подчинённых. Он давал справку о доходах для кредита, видел больничный лист на ребёнка и знает о недавнем разводе администратора.
Он давал справку о доходах для кредита, видел больничный лист на ребёнка и знает о недавнем разводе администратора.

Постарайтесь никому не рассказывать о жизни работников. Так вы не нарушите закон.

Что относится к персональным данным. Кому их можно передавать, как хранить и уничтожать

В последние годы вопрос о персональных данных стал крайне острым ввиду активной цифровизации, а следовательно, и с ростом рисков по утечке и мошенническом использовании информации.

При проведении проверок инспекторы обращают внимание на документы, относящиеся к персональным данным, их наличие, хранение, согласие работников на обработку и т.д.

Персональные данные — это любая информация, прямо или косвенно относящаяся к физическому лицу, и позволяющая его определить.

Это из статьи 3 ФЗ «О персональных данных», от 27.07.2006 № 152-ФЗ (далее — Закон).К персональным данным, согласно данному закону, относят:

  1. паспортные данные, СНИЛС, ИНН (хотя с ИНН вопрос спорный);
  2. фотография или видеозапись человека, позволяющие идентифицировать человека;
  3. номер телефона, адрес электронной почты, иные идентификаторы в соц. сетях или мессенджерах;
  4. биометрические данные.
  5. сведения о заработной плате;
  6. информация о судимостях, или их отсутствии;
  7. оценка навыков, личностных качеств;
  8. фамилия, имя, отчество;
  9. место, дата рождения;
  10. место постоянной или временной регистрации;
  11. индивидуальные личные данные (раса, национальность, политические или религиозные взгляды, философские убеждения; состояние здоровья);
  12. сведения о детях, родственниках, семейном положении;

Но стоит учитывать, что некоторые из этих данных сами по себе, без связки с другими данными, персональными являться не могут. Если номер телефона сам по себе не является персональными данными, то в базе оператора, с указанием ФИО владельца — является.

Адрес электронной почты в формате — тоже относится к персональным данным, как и ФИО, с привязкой к ИНН, номеру телефона или месту регистрации.Также существует классификация персональных данных.

Их подразделяют на:

  1. биометрические;
  2. иные.
  3. общедоступные;
  4. специальные;

Такая классификация дана в Постановлении Правительства от 1 ноября 2012 г.

№ 1119.Немного подробнее по каждой категории.Общедоступные — те, на доступ к которым дано согласие субъекта персональных данных, а не те, которые можно найти в общем доступе в интернете.Специальные — информация о расе, национальности и религии; политических и философских взглядах, здоровье, подробностях личной жизни,судимостях. Биометрические — информация о физиологических и биологических особенностях человека.

Это отпечатки пальцев, генетическая информация, рисунок радужной оболочки глаз, образцы голоса, фотографии.Но здесь тоже важна определенная привязка к личности.

Например, отпечаток пальца, используемый для идентификации сотрудника для входа в офис. Или скан радужной оболочки глаза.К иным данным относится все остальное. Это как папка «разное» на большинстве компьютеров.

Это электронная почта или геолокация,информация о принадлежности к определенной социальной группе,стаж работы и пр.Также стоит упомянуть, кто является субъектом персональных данных, а кто оператором.

Соответственно, субъект — физическое лицо, чьи данные обрабатывают. К примеру, собирают и хранят.

А оператор персональных данных — юридические лица, государственные организации или ведомства.

Они данные собирают, обрабатывают, передают и .Обратите внимание! Уничтожение персональных данных должно происходить таким образом, чтобы впоследствии ими не могли воспользоваться ни злоумышленники, ни нечистоплотные сотрудники организации, а у проверяющих не оставалось сомнений в законности процедуры.

Делис Архив проведет экспертизу документов, отбор и уничтожение, предоставит все подтверждающие документы и уничтожит документы, содержащие конфиденциальную информацию.

.Любой договор с физлицом, содержащий его личные данные (а он и будет их содержать, если это не публичная оферта), должен в обязательном порядке содержать раздел о персональных данных. Без письменного согласия человека, обработка персональных данных оператором, а также их передача третьим лицам — запрещена.Вообще, обработка персональных данных — это вообще любые действия, которые с ними делают. Сюда входит:

  1. изменение;
  2. извлечение;
  3. хранение;
  4. обезличивание;
  5. удаление.
  6. запись;
  7. анализ;
  8. передача;
  9. сбор;

В свою очередь, обработка может осуществляться тремя путями:

  1. Неавтоматизированная — без автоматизации.
  2. Автоматизированная — с помощью средств вычислительной техники.

    Это компьютеры, телефоны и другие электронные устройства, базы данных, криптографические средства защиты, программы, скрипты.

  3. Смешанная — обработка человеком при участии средств вычислительной техники.

    Например, когда в бухгалтерии вбивают в программу данные из бумажного заявления на отпуск.

После того, как персональные данные обработаны они отправляются на хранение в архив. Это может быть и отдельное специализированное помещение (если речь о бумажных документах) и электронное хранилище (например, облачное). В любом случае вам впоследствии нужно иметь возможность оперативно найти данные и уничтожить их (по требованию субъекта) или передать (в силу закона).Чтобы поиск не стал квестом, рекомендуем правильно организовать архив, как обычный, так и электронный.

Как это сделать .Что будет, если нарушить законодательство о персональных данныхСледит за соблюдением законодательства в этой сфере организация, которая у многих на слуху — Роскомнадзор. Применяемая статья — 13.11 КоАП.

  1. обработка ПД без письменного согласия субъекта — штраф для граждан до 5 тыс., до 20 тыс. на должностных лиц, до 75 тыс. на организации.
  2. обработка ПД, несовместимая с целью сбора — штраф до 3 тыс. для граждан, до 10 тыс. на должностных лиц, до 50 тыс. — на организации.
  3. неопубликование документа о политике оператора в отношении обработки ПД — штраф для граждан до 1,% тыс руб., для должностных лиц до 6 тыс., для ИП до 10 тыс., а для юрлиц — до 30 тыс.

Если собирать персональные данные о гражданах РФ на серверы, расположенные за пределами РФ — штраф до 6 миллионов.Чтобы собирать, хранить и обрабатывать ПД, нужно соблюдать требования Закона № 152-ФЗ.

Краткий чек-лист:

  1. Зарегистрироваться в Роскомнадзоре, как оператор персональных данных.
  2. Запрашивать разрешение на сбор и обработку данных у субъектов и не собирать с них лишние данные.
  3. Отвечать на обращения субъектов и предоставлять им всю информацию.
  4. Собирать и хранить информацию только для достижения определенных целей, и на определенный срок.
  5. Уточнять, блокировать или уничтожать ПД по заявлению субъектов или когда достигли целей их сбора.
  6. Хранить и защищать ПД по закону, обеспечивать сохранность, тайну и точность данных, не передавая третьим лицам. А если передавать, то только с документальным подтверждением и только аттестованным.

Может возникнуть ощущение, что уже давно всем работодателям нужно бежать в Роскомнадзор и регистрироваться как оператору персональных данных. Однако это не так. Вот исключения:

  1. обработка персональных данных, находящимся в открытом доступе;
  2. сбор персональных данных гражданина оператором осуществляется в связи с установлением трудовых отношений;
  3. персональные данные собираются с целью заключения договора, без последующей передачи и распространения третьим лицам, также предусматривается использование персональных данных только для исполнения договора с гражданином;
  4. сбор фамилии, имени и отчества граждан без указания телефона, e-mail;
  5. сбор, обработка и хранение персональных данных осуществляется на бумажных носителях без использования средств автоматизации. Кстати, хранить свой бумажный архив, включая кадровые документы и персональные данные вы можете и . Так можно избежать их утраты и несанкционированного доступа к информации.
  6. сбор персональных данных проводится с целью однократного пропуска гражданина на территорию оператора, собирающего данные, или в аналогичных случаях;

Во всех остальных случаях — регистрация обязательна!Не забудьте, что в Делис Архив действует — дарим полезные подарки действующим и будущим клиентам! : Теги: Пост написан компанией Это авторский материал.

Мнение редакции «Клерка» может не совпадать с тем, что в нем написано. Создайте свой блог, выскажитесь и станьте суперзвездой «Клерка» «Делис Архив» – одна из крупнейших российских архивных компаний полного цикла. Более 20 лет мы помогаем нашим клиентам сокращать затраты и внедрять эффективные подходы к управлению документами.

  1. 13 824 охват за месяц Пользователи, заинтересованныев материалах компании 143 495 за все время
  2. 26

Составлен на основе интереса пользователей «Клерка» 23 место Все компании

ТК РФ Статья 86.

Общие требования при обработке персональных данных работника и гарантии их защиты

  1. Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты

Подготовлена редакция документа с изменениями, не вступившими в силу Путеводитель по кадровым вопросам. Вопросы применения ст. 86 ТК РФ- Обработка персональных данных- Получение персональных данных у работника В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:1) обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;(в ред.

Федерального от 02.07.2013 N 185-ФЗ)(см. текст в предыдущей редакции)2) при определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Российской Федерации, настоящим и иными федеральными законами;3) все персональные данные работника следует получать у него самого.

Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение;4) работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся в соответствии с Российской Федерации в области персональных данных к специальным категориям персональных данных, за исключением случаев, предусмотренных настоящим Кодексом и другими федеральными законами;(п. 4 в ред. Федерального от 07.05.2013 N 99-ФЗ)(см.

текст в предыдущей редакции)5) работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных настоящим Кодексом или иными федеральными законами;(в ред.

Федерального от 30.06.2006 N 90-ФЗ)(см.

текст в предыдущей редакции)6) при принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;7) защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном настоящим Кодексом и иными федеральными законами;(в ред. Федерального от 30.06.2006 N 90-ФЗ)(см. текст в предыдущей редакции)8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;(в ред.

Федерального от 30.06.2006 N 90-ФЗ)(см. текст в предыдущей редакции)9) работники не должны отказываться от своих прав на сохранение и защиту тайны;10) работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников. Открыть полный текст документа Ст.

86 ТК РФ. Общие требования при обработке персональных данных работника и гарантии их защиты

Организация защиты персональных данных работников

5256 Содержание страницы Персональные данные о человеке при вступлении в трудовые отношения являются предметом обработки, защиты и хранения. Их основное свойство – конфиденциальность, поэтому для работы с этой информацией разработан особый регламент. Рассмотрим, как предусмотрены в Трудовом кодексе процедуры, касающиеся персональных данных наемных работников, кому и при каких условиях можно эти данные передавать и каким образом использовать.

Полезной будет информация о Положении о персональных данных как обязательном документе для любого работодателя. Какие существуют работников организации?

Когда человек вступает в трудовые отношения, от него требуется предоставить ряд сведений о себе.

Вся эта информация, касающаяся будущего сотрудника, позволяющая определить его в том или ином контексте, и объединяется под термином «персональные данные». В каком порядке должна осуществляться ?

Порядок действий с этой информацией определен в таких законодательных документах, как:

  1. Федеральный закон № 149 от 27 июля 2006 г. «Об информации, информационных технологиях и о защите информации»;
  2. Федеральный закон № 152 от 27 июля 2006 г. «О персональных данных»;
  3. Конституция Российской Федерации;
  4. ст. 85 Трудового кодекса РФ;
  5. Указ Президента России от 06.03.1977 г. № 188.

Эти законодательные акты утверждают сведения, которые подпадают под определение персональных данных, с тем, чтобы оградить приватную жизнь законопослушных граждан от неправомерного вмешательства и гарантировать целевое использование получаемых от них конфиденциальных сведений. Являются ли персональными данными? Перечень данных, считающихся персональными:

  1. состав семьи;
  2. уровень получаемых доходов и их источники;
  3. полученное человеком образование;
  4. сведения, касающиеся владения имуществом;
  5. иные сведения, имеющие отношение к трудовой функции, обозначаемой в заключаемом договоре с сотрудником.
  6. место проживания и/или прописки;
  7. ранее занимаемые им должности;
  8. дата рождения;
  9. ФИО физического лица;
  10. социальный статус;

КСТАТИ!

Информация о политических, религиозных или других убеждениях сотрудника, его участии во всевозможных организациях, помимо работы, а также детали его частной жизни не относятся к персональным данным и не подлежат сбору, обработке, хранению и использованию. Их можно получить только с согласия самого работника.

Исключение составляет ситуация, когда информация такого рода прямо относится к трудовой деятельности.

Вопросы здоровья сотрудника не могут попадать в поле зрения кадровых сотрудников, кроме непосредственного влияния на трудовую функцию.

Кто и какую ответственность несет за ?

Наниматель, принимая на свое попечение физических лиц с присущим им комплектом персональных данных, законодательно обязан позаботиться об одобренных государством способах их обработки.

При этом он обязан руководствоваться вышеприведенной нормативной базой, а индивидуальные тонкости отразить в специальных внутренних документах.

Как составить работников? Самостоятельно регламентировать особенности действий с персональными данными сотрудников работодателей обязали недавно.

Ст. 90 ТК РФ устанавливает ответственность лица, нанимающего персонал, за утечку или неправомерное использование конфиденциальных сведений, предоставляемых сотрудниками, причем ответственность предусмотрена во всех сферах права – дисциплинарной, административной, уголовной и гражданской. Поэтому на каждом предприятии необходимо разработать и утвердить как минимум три обязательных внутренних акта, касающихся работы с такими сведениями:

  1. .
  2. положение о защите персональных данных наемных сотрудников;
  3. обязательство о сохранении в тайне (неразглашении) полученных персональных сведений;

ОБРАТИТЕ ВНИМАНИЕ!

Первый документ разрабатывается и закрепляется на основании приказа руководства организации, второй должен быть подписан теми лицами, которые осуществляют сбор персональных данных и имеют к ним доступ (кадровая служба, отдел безопасности, бухгалтерия и др.).

Сотрудники обязаны ознакомиться с этой документацией под роспись. Согласие нанимаемого может быть выражено подписью под соответствующей строкой в анкете или личной карточке.

Разделы данного документа содержат следующие необходимые подпункты:

  1. приложения (форма заявления для сотрудника о согласии на обработку и/или проверку предоставленных личных данных, форма обязательства не разглашать полученную информацию для сотрудников, у которых она будет в пользовании).
  2. меры, принимаемые при нарушении принципов обработки информации, и ответственность виновных;
  3. регламент применения данной информации;
  4. перечисление данных, считающихся персональными в конкретной компании;
  5. особенности доступа к этим сведениям;
  6. общие сведения;

Легитимным, с точки зрения официальных законодательных документов, принятых в нашей стране, является только один способ получения конфиденциальной информации – от самого гражданина, пожелавшего добровольно ее сообщить в устной или письменной форме. Косвенные способы получения персональных сведений о человеке (например, запрос на прежнее место работы) могут использоваться только в том случае, если сотрудник дал на это свое письменное согласие.

К СВЕДЕНИЮ! Чтобы иметь возможность получать информацию о сотруднике не только непосредственно от него, кадровые работники иногда используют не запрещенный законом прием. В анкете, заполняемой при трудоустройстве, может иметься пункт

«Не возражаю против проверки предоставленных данных»

или «Разрешаю получить информацию обо мне в следующих источниках (указать, в каких)».

Если к работодателю пришел запрос о сотруднике, который когда-то у него работал, лучше перестраховаться и потребовать письменное разрешение на предоставление персональных данных, подписанное самим физическим лицом. Это касается даже ситуаций, когда эти сведения требуют работники правоохранительных органов (вместо разрешения может быть подписанный их руководством приказ).

Понятие обработки включает все возможные законные действия, которые уполномоченные лица могут производить с получаемыми ими конфиденциальными данными:

  1. систематизация;
  2. использование.
  3. накопление;
  4. сбор;
  5. защита;
  6. передача;
  7. фиксация;
  8. сбережение;

Лицо или орган, производящее эти действия, называется оператором.

При любых операциях с персональными данными он должен соблюдать следующие принципы:

  • Разглашать полученную информацию или ее часть без письменного согласия владельца строго запрещено законом.
  • Все требования касаются только полных и достоверных персональных данных.
  • Цели, задекларированные при сборе данных, должны совпадать с целями обработки.
  • Соответствие способов обработки личных сведений и их целей требованиям законодательства РФ.
  • Выбирать способы обработки нужно в соответствии с заявленными целями.

Использование конфиденциальной информации о сотрудниках внутри самой компании регламентировано Положением о персональных данных, которое принимается руководителем. Сотрудники непременно должны быть ознакомлены с этим порядком, что подтверждается их личными подписями.

Организация должна предусмотреть круг лиц, которым предоставляется по долгу службы санкционированный доступ к персональным сведениям.