Бюджетное право

Защита персональных данных работника: что важно знать

Оставить коментарий на Защита персональных данных работника: что важно знать

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Защита персональных данных работника: что важно знать». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Содержание
1. Обработка персональных данных и их защита
2. Подпишите согласие на обработку данных
3. Рекомендации по формированию согласия на обработку персональной информации
4. Что входит в обязанности работодателя
5. Как передать обработку ПД третьим лицам
6. Согласие работника на обработку персональных данных
7. Нормативная база о персональных данных
8. Получение персональных данных
9. Обработка персональных данных и их защита
10. Передача персональных данных
11. Когда работодатель вправе собирать персональные данные
12. Защита персональных данных
13. Ответственность работодателя за незаконное разглашение персональных данных
14. Меры дисциплинарной ответственности
15. Защита персональных данных сотрудника при оформлении зарплатной карты

Законодательством ограничивается круг информации, которую работодатель имеет право получать и использовать в отношении своих сотрудников. Это только те сведения, которые характеризуют сотрудника как сторону трудового договора.

Обработка персональных данных и их защита

Обязательность применения мер безопасности по защите персональных данных возлагается на сторону, которая занимается их обработкой.

Важно! Исходя из норм, установленных ч.1 ст.89 ТК РФ, работодатель обязан знакомить своих сотрудников с информацией об их персональных данных и их обработке. Кроме этого работники и их представители должны быть ознакомлены под роспись с документами, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области. То есть конкретный порядок доступа работника к своим персональным данным необходимо устанавливать в локальных нормативных актах. При этом нужно учитывать, что данный порядок должен гарантировать свободу доступа работника к своим персональным данным.

Подпишите согласие на обработку данных

Вы удачно прошли собеседование и готовы выйти на новое место работы. Помните, работодатель обязан взять с вас согласие на обработку персональных данных. Вы дадите его в том случае, если подпишите соответствующий бланк. Без согласия и подписи дальнейшие действия организации будут являться незаконными.

Когда требуется такое согласие. Согласие требуется лишь тогда, когда наниматель принимает решение о внедрении вас в штат в качестве сотрудника.

Согласие не требуется, если вы лично разместили портфолио на сайте, либо от вашего лица выступало кадровое агентство.

Какие персональные данные не имеют права узнавать? Все, что касается личной или семейной тайны, работодателю знать необязательно. О своей личной жизни, вере, политических устоях и жилищных условиях имеете право не говорить.

На должность госслужащего, однако, при устройстве на работу, запросят не только информацию о семье, но и о всех передвижениях по России и заграницей. В данном случае, необходимым будет предоставление всей информации.

Как заполнять согласие? Согласие заполняется строго самостоятельно. Не позволяйте этого делать за вас никому. Если бланк согласия отсутствует, а вам предложено заполнить анкету, убедитесь, что там есть графа о согласии обработки личных данных.

Что будет, если на работу не приняли? В таком случае, ваши персональные должны быть уничтожены в течение месяца. Личные сведения госслужащих удаляют по истечению трех лет (ч. 4, ст. 21 ФЗ «О персональных данных»).

Вас может обмануть недобросовестный работодатель, оставив ваши персональные данные, не уничтожив их.

Копии документов могут использовать в своих целях. На работу вас не взяли, а штат пополнили. Все потому, что не избавились от копий вашей трудовой книжки, паспорта и диплома, которые вы сами разрешили сделать.

Рассмотрим пример. Компания очень хочет выиграть тендер. Пока вы переживаете об упущенной возможности работать именно в этом месте, организация в этот момент подделывает вашу трудовую книжку. Запись о приеме на работу сделана, копия снята и заверена. Вас “добавляют” в штат и пакет документов отправляется в тендерную комиссию. Обманным путем и с вашей помощью, компания выигрывает тендер и получает деньги.

Что делать, если вас не приняли на работу? Необходимо направить на юридический адрес компании отзыв о согласии на обработку персональных данных. Подстраховать себя можно, отправив отзыв ценным письмом с описью вложения и уведомлением о вручении. Также, можно самостоятельно принести отзыв. Требуйте на втором экземпляре поставить печать, дату и ФИО того, кто принял отзыв. Второй экземпляр вы оставляете для себя.

Рекомендации по формированию согласия на обработку персональной информации

Госорганы дают следующие рекомендации:

  • В согласии должна четко указываться цель, у которой не должно быть нескольких возможных трактовок. Заявление должно быть полным и конкретным — помимо целей указываются способы и действия, применяемые работодателем к персональной информации работника.
  • Согласие на обработку персональной информации должно быть или в качестве отдельного документа, или включено в трудовой договор отдельным пунктом.
  • Согласие на обработку персональной информации должно соответствовать требованиям законодательства.

Специалисты Первого БИТа решают задачи, связанные с выполнением требований и стандартов в области информационной безопасности, предъявляемые к организациям внешними регуляторами. К таким задачам относятся:

  • Обеспечение защиты персональных данных в соответствии законодательством РФ;
  • Введение режима коммерческой тайны, защита служебной тайны;
  • Выполнение приказов и рекомендаций Росминздрава, Минобрнауки и др.;
  • Аттестация рабочих мест и помещений;
  • Консалтинг при получении лицензий ФСТЭК и ФСБ.

Что входит в обязанности работодателя

С 1 сентября 2022 требования, которые ранее носили рекомендательный характер, стали обязательными (ст. 18.1 Закона № 152-ФЗ).

Справка! Персональные данные — любые сведения, прямо или косвенно относящиеся к определённому физическому лицу: ФИО, адрес, информация о дате и месте рождения, социальном и имущественном положении, образовании, профессии, доходах, биометрические данные (фото, отпечатки пальцев, запись голоса). Граждане предоставляют ПД при трудоустройстве работодателю, при участии в договорных отношениях в качестве потребителя различных услуг (медуслуг, услуг связи, банковских продуктов и т.п.).

Что обязан сделать работодатель:

  • назначить ответственного за обработку ПД (это может быть структурное подразделение или отдельный сотрудник);
  • издать и опубликовать документы, определяющие политику в отношении обработки ПД (политику в отношении обработки ПД можно размещать, в том числе на страницах интернет-сайта, принадлежащего оператору);
  • проводить внутренний контроль и (или) аудит на предмет соответствия действующему законодательству и требованиям к защите персональных данных (способ контроля и подтверждение его проведения нужно прописать в отдельном локальном нормативном акте);
  • оценивать вред, который может быть причинён субъектам персональных данных в случае нарушения закона (пока методику оценки компании могут выбрать самостоятельно, с 1 марта 2023 года методику определит Роскомнадзор);
  • ознакомить работников, осуществляющих обработку ПД, с положениями законодательства РФ о персональных данных;
  • соблюдать и контролировать выполнение других требований, предусмотренных ст. 18.1 Закона № 152-ФЗ.
Читайте также:  Что грозит, если скрылся с места ДТП в 2023 году + как избежать ответственности

Как передать обработку ПД третьим лицам

Операторы при определённых условиях могут поручить обработку ПД третьим лицам (ч. 3 ст. 6 Закона № 152-ФЗ). Для этого нужно заключить соответствующий договор. Также обработка может производиться на основе акта государственного или муниципального органа или на основании поручения оператора персональных данных.

В акте необходимо указать:

  • перечень обрабатываемых персональных данных;
  • обязанность третьего лица предоставлять по запросу оператора ПД в течение срока действия поручения документы и иную информацию, подтверждающую осуществление мер и соблюдение требований по их защите;
  • обязанность третьего лица соблюдать требования ч. 5 ст. 18, ст. 18.1 Закона № 152-ФЗ, возлагаемые на оператора ПД;
  • обязанность третьего лица уведомить оператора ПД о случаях неправомерной или случайной передачи персональных данных в сроки, установленные ч. 3.1 ст. 21 Закона № 152-ФЗ (в те же сроки оператор обязан уведомить об инциденте Роскомнадзор).

Согласие работника на обработку персональных данных

Нужно ли получать согласие работника на обработку персональных данных? Да, обработка персональных данных в общих случаях осуществляется исключительно с согласия работника.

Исключения, когда не требуется брать согласие работника, прямо регламентированы законом, а также описаны в Разъяснениях Роскомнадзора. Например, не нужно получать такое согласие, если вы сообщаете персональные данные работника третьей стороне, когда это необходимо в целях предупреждения угрозы его жизни и здоровью (ст. 88 ТК РФ, п. 4 Разъяснений Роскомнадзора).

Согласие на обработку персональных данных предусматривается в трудовом договоре, заключаемом по типовой форме (утв. Постановлением Правительства РФ от 27.08.2016 N 858). В ней прямо предусмотрено соответствующее положение. Трудовой договор по этой форме заключается в рамках ст. 309.2 ТК РФ.

В остальных случаях согласие работника на обработку персональных данных рекомендуем оформлять отдельным документом. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным (п. 1 ч. 1 ст. 6, ч. 1 ст. 9 Закона о персональных данных).

Если персональные данные работника возможно получить только у третьих лиц, сообщите об этом работнику и заручитесь его письменным согласием (п. 3 ст. 86 ТК РФ).

Настоятельно рекомендуем включить в него следующую информацию:

  • цели получения персональных данных работника у третьих лиц;
  • предполагаемые источники информации (лица, у которых будете запрашивать данные);
  • способы получения данных, их характер;
  • возможные последствия отказа работника дать согласие на получение его персональных данных у третьих лиц.

    Нормативная база о персональных данных

    Иногда работодатели публикуют в интернете «чёрные» списки сотрудников, с которыми у них возникали проблемы. При этом они не учитывают тот факт, что персональные данные работника — это защищаемая законом информация, и её нельзя использовать по своему усмотрению. Основы для этого заложены в Конституции Российской Федерации.

    Получение персональных данных

    Рассмотрим регулирование защиты персональных данных работника в рамках трудовых отношений с работодателем.

    Прежде всего следует очертить круг тех документов и баз данных, в которых содержатся персональные данные работников и которые необходимо защищать от несанкционированного доступа. Так как понятие персональных данных включает в себя любую информацию, позволяющую идентифицировать работника, практически все документы, касающиеся сотрудников – как на бумажных носителях, так и электронные, будут ­являться носителями персональных данных.

    К документам, содержащим персональные данные работников, можно, например, отнести следующие:

    • анкету, автобиографию, личный листок по учету кадров, которые на практике часто заполняются работником при приеме на работу;
    • копии документов, хранящиеся в личном деле работника: копии документа, удостоверяющего личность, документов воинского учета, документа об обязательном пенсионном страховании, свидетельств о ­заключении ­брака, рождении детей, документов об образовании;
    • трудовую книжку;
    • личную карточку;
    • трудовой договор и дополнительные соглашения к нему;
    • подлинники и копии приказов по личному составу;
    • документы оплаты труда;
    • документы об обучении, оценке, аттестации работников;
    • базы данных, обрабатываемые автоматически (например, таблицы ­Excel, базы программы 1С);
    • иные документы, содержащие персональные данные работников.

    Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получения образования и продвижения по службе, обеспечения личной безопасности, контроля количества и качества выполняемой работы и обеспечения сохранности имущества (п. 1 ст. 86 ТК РФ). Получаемые персональные данные должны соответствовать только указанным целям.

    Запрашивать некоторую информацию прямо запрещено законодательством. Например, работодатель не имеет права получать и обрабатывать сведения о работнике, относящиеся к специальным категориям персональных данных (касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни), а также данные работника о его членстве в общественных объединениях или его профсоюзной ­деятельности (п. 4 и 5 ст. 86 ТК РФ).

    Если работодатель требует личные данные, не соответствующие указанным целям или относящиеся к запрещенным, работник имеет право отказаться их предоставлять.

    Обработка персональных данных и их защита

    Законодательством ограничивается круг информации, которую работодатель имеет право получать и использовать в отношении своих сотрудников. Это только те сведения, которые характеризуют сотрудника как сторону трудового договора.

    Обязательность применения мер безопасности по защите персональных данных возлагается на сторону, которая занимается их обработкой.

    Читайте также:  Какие льготы и разовые выплаты положены многодетным семьям в 2023 году

    Важно! Исходя из норм, установленных ч.1 ст.89 ТК РФ, работодатель обязан знакомить своих сотрудников с информацией об их персональных данных и их обработке. Кроме этого работники и их представители должны быть ознакомлены под роспись с документами, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области. То есть конкретный порядок доступа работника к своим персональным данным необходимо устанавливать в локальных нормативных актах. При этом нужно учитывать, что данный порядок должен гарантировать свободу доступа работника к своим персональным данным.

    Передача персональных данных

    В процессе трудовой деятельности зачастую возникает необходимость передавать персональные данные работника как внутри организации, так и третьим лицам. А это означает, что работодатель должен вести их строгий учет. Рекомендуется применять журналы учета, в которых указываются:

    — даты выдачи и возврата документа,
    — наименование документа,
    — срок пользования,
    — цель выдачи,
    — Ф.И.О. и должность лица, получившего документ с персональными данными работника.

    Доступ к персональным данным работников должен осуществляться только специально уполномоченными лицами. При этом они имеют право получать только те данные, которые необходимы для выполнения конкретных функций.

    Ситуация: если документы, содержащие персональные данные, составлены более чем на одном листе – при их возврате лицо, которое получало документы, должно присутствовать лично при проверке наличия всех имеющихся документов по описи. При этом сотрудник, получающий личное дело другого работника во временное пользование, не имеет права делать в нем какие-либо пометки, исправления, вносить новые записи, извлекать документы из личного дела или помещать в него новые.

    Работодателю следует вести журнал учета выдачи персональных данных работников организациям и государственным органам, в котором необходимо регистрировать поступающие запросы, фиксировать сведения о лице, направившем запрос, дату передачи персональных данных или уведомления об отказе в их предоставлении и отмечать, какая именно информация была передана.

    Для повышения уровня защиты персональной информации в систему учета можно ввести обязательное проведение регулярных проверок наличия документов и других носителей информации, содержащих персональные данные работников, а также устанавливать порядок работы с ними. В этой связи следует разработать и вести журнал проверок наличия документов, содержащих персональные данные работника.

    Работодатель обязан вести личные дела сотрудников, если это прямо предписано нормативными актами. Например, такое требование установлено для органов исполнительной власти. У тех компаний, кто не попадает под действие таких актов, обязанности вести личные дела сотрудников нет. Однако иногда работодатели начинают их формировать по своей инициативе. В таком случае они сами составляют перечень документов, которые нужно включить в личное дело. Но при этом важно соблюдать закон о конфиденциальности персональных данных.

    Итак, по той или иной причине в компании решено формировать личные дела работников. Прежде всего нужно составить локальный нормативный акт, который определит важные моменты и правила. Это может быть стандарт или положение. В нем целесообразно отразить все нормы оформления личных дели и состав документов.

    Главное правило: не стоит собирать лишнюю информацию о сотруднике про запас — только то, что действительно важно. Иначе будут нарушены принципы работы с персональными данными.

    Когда работодатель вправе собирать персональные данные

    В соответствии с 152-ФЗ, если субъект — получатель выгоды и сведения о нем требуются для исполнения соглашения (договора), согласия субъекта не требуется. Под этот пункт попадают трудовые договора. Но если наймодатель запрашивает информацию, которая не влияет на исполнение договора, например контакты, то для ее сбора согласие работника необходимо.

    Трудовой кодекс обязывает работодателей предоставлять сотрудникам политику персональных данных. Сотрудники вправе понимать, что за данные у них берут, для чего, кто и как их будет обрабатывать. Каждый новый сотрудник должен поставить подпись в документе — Положении о хранении и использовании персональных данных.

    В положении указывают:

    • личные сведения, с которыми работают официальные лица;

    • категории субъектов данных;

    • способы и сроки обработки данных;

    • порядок допуска к данным;

    • процедуру передачи данных внутри и вне компании;

    • реестр людей, кому внутри компании доступны персональные данные;

    • список мест, где хранятся личные сведения;

    • порядок уничтожения данных.

    За обработку данных отвечает назначенный сотрудник. Он должен подчиняться руководителю компании, иметь возможность давать указания руководителям подразделений в рамках защиты конфиденциальной личной информации.

    Когда точно нужно согласие работника:

    • если работник предоставляет свои личные сведения через третью сторону;

    • если нужно запросить информацию о работнике в другой организации.

    В ряде случаев работодателю приходится запрашивать у сотрудников сведения о супругах и детях. Это происходит, когда в компании оформляют документы, касающиеся налоговых вычетов и пособий для женщин с маленькими детьми, или вносят изменения в документы сотрудника, потому что он сменил фамилию или имя.

    В таких ситуациях предоставлять согласие должны и совершеннолетние родственники сотрудников. Чтобы наймодатель мог работать с данными несовершеннолетних детей, согласие за них дают родители — сотрудники компании.

    Для передачи сведений третьей стороне у работника также запрашивают согласие. Но оно не нужно, если личную информацию нужно представить, чтобы предотвратить опасность жизни и самочувствию, а также когда данные передаются:

    • фондам — пенсионному, социального страхования;

    • банкам, с которыми ведется зарплатный проект;

    • третьему лицу, если у работодателя есть доверенность на представление интересов сотрудника;

    • при утверждении коллективного договора — в нем должна быть форма согласия на обработку персональных данных.

    Защита персональных данных

    Законом предусмотрено, что до начала обработки персональных данных, оператор обязан уведомить компетентный орган (Роскомнадзор) своем намерении осуществлять обработку персональных данных.

    К исключениям относятся:

    • только ФИО субъектов;
    • трудовые отношения;
    • договорные отношения;
    • общедоступные персональные данные;
    • однократные пропуска на территорию;
    • когда данные обрабатываются без использования средств автоматизации (ЭВМ, компьютеры);
    • транспортная безопасность.

    Прим. Роскомнадзор разъяснил, что под автоматизацией понимается непосредственное отсутствия деятельности человека. В случае если данные клиента просто забиты в компьютерную программу и сами по себе не рассылаются/уничтожаются/обрабатываются/обновляются и т.д., это нельзя считать автоматизацией.

    Читайте также:  Разрешается ли ламинирование ИНН и других документов

    Вместе с тем, при возникновении спорных вопросов относительно способа обработки данных, лучше этот момент уточнять непосредственно в Роскомнадзоре.

    Уведомление о начале обработке персональных данных должно быть оформлено в соответствии с методическими рекомендациями по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения (утв. Приказом Роскомнадзора от 30.05.2017 N 94).

    Если обработка данных будет осуществляться без уведомления Роскомнадзора, или в уведомлении будут содержаться недостоверные сведения, то организация будет привлечена к административной ответственности.

    Важно помнить о том, что в случае, когда договорные отношения у компании с клиентом прекратились, а уведомления об обработки персональных данных не было подано в Роскомнадзор, и клиент не давал своего согласия на обработку, то его данные необходимо уничтожать, а не хранить. В противном случае организация уже не попадает под исключение и может быть оштрафована.

    Далее оператору необходимо разработать необходимую документацию по обработке персональных данных. Перечень может разниться от размера организации, специфики её деятельности и т.д., но примерный перечень следующий:

    • Положение о персональных данных;
    • Приказ об утверждении положения;
    • Приказ о назначении ответственного лица;
    • Политика в отношении обработки и безопасности персональных данных;
    • Пользовательское соглашение в приложении и на сайте;
    • Инструкция ответственного за организацию обработки персональных данных;
    • Приказ о выделении помещений для обработки персональных данных + правила доступа;
    • Журнал учета машинных носителей информации с персональными данными.

    Также если в организации есть Интернет-сайт, то он тоже должен соответствовать определенным требованиям: содержать в себе Политику конфиденциальности и Пользовательское соглашение, в которыми пользователь согласится, заполнив форму обратной связи или при осуществлении заказа.

    Если же сервис компании ориентирован на международный рынок, но необходимо учитывать дополнительные требования международных правовых актов, и в частности, закон той организации, для населения которой осуществляется деятельность компании.

    Ответственность работодателя за незаконное разглашение персональных данных

    Случаи, когда работодатель пренебрежительно относятся к нормам закона, предусматривающего обязанность сохранения в тайне персональных данных работника, отнюдь не редки. На вопрос о том, в каких случаях разглашение персональных данных является неправомерным, ответ однозначен – во всех, при которых не было получено согласие их носителя.

    Чаще всего распространению подвергается информация о доходах сотрудников, что, безусловно, может иметь негативные последствия. Ответственность за совершение подобных действий варьируется от дисциплинарной до уголовной. Поэтому работник, которому стало известно о разглашении своих персональных данных работодателю, вправе обратиться за защитой в правоохранительные органы.

    Однако эффективнее всего будет подача жалобы в региональное управление Роскомнадзора – органа, призванного осуществлять защиту прав физических лиц в сфере обработки их персональных данных. В случае, если доводы жалобы будут подтверждены, Роскомнадзор либо самостоятельно привлечет недобросовестного работодателя к административной ответственности по статье 13.14 КоАП России, либо передаст собранные материалы в прокуратуру для решения вопроса о возбуждении уголовного дела по ст. 137 УК РФ.

    Доказать факт незаконного распространения личной информации непросто, но вполне возможно. Для этого необходимо заручиться показаниями свидетелей и очевидцев, а также, представить письменные или электронные подтверждения, если они имеют место быть. Идеальный вариант – поддержка со стороны лица, получившего незаконно разглашенные сведения.

    Меры дисциплинарной ответственности

    Дисциплинарная ответственность представляет собой особый вид наказания, который может быть применен работодателем по отношению к своим подчиненным. Если говорить о таком нарушении, как распространение личных сведений, данный вид ответственности может быть применен по отношению к виновному сотруднику. Например, очень часто речь идет о работниках отдела кадров. Как известно, именно они получают доступ к личным сведениям сотрудников. Им сдаются трудовые книжки новых подчиненных, копии их паспортов, ИНН и т.д. Следовательно, работник отдела кадров всегда должен надлежащим образом относиться к сохранению данной информации и не допускать ее распространения за пределы организации.

    Если же вышеуказанное обязательство не было выполнено подчиненным, значит, у работодателя появится законное право на применение надлежащих мер ответственности. Положения трудового законодательства устанавливают лишь три разновидности:

    1. Замечание. Его можно назвать наименее строгой мерой. Очень часто оно применяется в том случае, если нарушение было совершено подчиненным в первый раз. В подобной ситуации с сотрудником может быть проведена подробная беседа для исключения повторения таких неприятных случаев в будущем.
    2. Выговор. Он является более серьезной мерой ответственности. Работодатель может выбрать ее в том случае, если за сотрудником подобное нарушение фиксируется уже во второй раз. Сведения о вынесении данной меры ответственности могут быть занесены в личное дело подчиненного.
    3. Увольнение. Именно эту меру ответственности можно назвать максимально серьезным дисциплинарным наказанием со стороны работодателя. Она выражается в принятии директором одностороннего решения относительно увольнения подчиненного. Оно может быть принято только при наличии у директора всех неоспоримых доказательств вины конкретного служащего.

    Защита персональных данных сотрудника при оформлении зарплатной карты

    Чаще всего у организаций заключен договор с конкретным банком. Зарплатные карты сотрудников выдаются этим конкретным банком. В связи с этим возникает вопрос: нужно ли согласие сотрудника на обработку персональных данных при получении такой карты? Скажем сразу – такое согласие нужно.

    При этом нужно учесть:

    • необходимо проконтролировать, чтобы в согласие были указаны те персональные данные, которые отправляются в банк, не больше – не меньше;
    • как и в случаях ранее, в согласии на обработку должна быть четкая цель. В данном случае, цель – это получение сотрудником зарплатной карты.


    Похожие записи:

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *