Содержание

Положение о защите персональных данных работников ГКУЗ ЛО «Областная туберкулезная больница в городе Выборге»

1.1. Целью данного Положения является защита персональных данных работников от несанкционированного доступа, неправомерного их использования или утраты.
1.2. Настоящее Положение разработано на основании статей Конституции РФ,
Трудового Кодекса РФ, Кодекса об административных правонарушениях РФ, Гражданского Кодекса РФ, Уголовного Кодекса РФ, а также Федерального закона «Об информации, информатизации и защите информации»
1.3. Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.
1.4. Настоящее Положение утверждается и вводится в действие приказом главного врача и является обязательным для исполнения всеми работниками, имеющими доступ к персональным данным сотрудников.

Понятие и состав персональных данных

2.1. Персональные данные работника — информация, необходимая работодателю в связи с трудовыми отношениями и касающиеся конкретного работника. Под информацией о работниках понимаются сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность.
2.2. В состав персональных данных работника входят:
— анкетные и биографические данные;
— образование;
— сведения о трудовом и общем стаже;
— сведения о составе семьи;
— паспортные данные;
— сведения о воинском учете;
— сведения о заработной плате сотрудника;
— сведения о социальных льготах;
— специальность,
— занимаемая должность;
— наличие судимостей;
— адрес места жительства;
— домашний телефон;
— место работы или учебы членов семьи и родственников;
— характер взаимоотношений в семье;
— содержание трудового договора;
— состав декларируемых сведений о наличии материальных ценностей;
— содержание декларации, подаваемой в налоговую инспекцию;
— подлинники и копии приказов по личному составу;
— личные дела и трудовые книжки сотрудников;
— основания к приказам по личному составу;
— дела, содержащие материалы по повышению квалификации и переподготовке
сотрудников, их аттестации, служебным расследованиям;
— копии отчетов, направляемые в органы статистики.
2.3. Данные документы являются конфиденциальными, хотя, учитывая их массовость и единое место обработки и хранения — соответствующий гриф ограничения на них не ставится.

Обработка персональных данных

3.1. Под обработкой персональных данных работника понимается получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

3.2. В целях обеспечения прав и свобод человека и гражданина работодатель и его представители при обработке персональных данных работника обязаны соблюдать следующие общие требования:
3.2.1. Обработка персональных данных работника может осуществляться
исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
3.2.2. При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым Кодексом и иными федеральными законами.
3.2.3. Получение персональных данных может осуществляться как путем представления их самим работником, так и путем получения их из иных источников.
3.2.4. Персональные данные следует получать у него самого. Если персональные
данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а так же о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
3.2.5. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений данные о частной жизни работника (информация о жизнедеятельности в сфере семейных бытовых, личных отношений) могут быть получены и обработаны работодателем только с его письменного согласия.
3.2.6. Работодатель не имеет право получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.

3.3. К обработке, передаче и хранению персональных данных работника могут иметь доступ сотрудники:
— бухгалтерии;
— сотрудники службы управления персоналом;
— сотрудники компьютерных отделов.

3.4. Использование персональных данных возможно только в соответствии с целями, определившими их получение.
3.4.1. Персональные данные не могут быть использованы в целях причинения
имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с законодательством.

3.5. Передача персональных данных работника возможна только с согласия работника или в случаях, прямо предусмотренных законодательством.
3.5.1. При передаче персональных данных работника работодатель должен соблюдать следующие требования:
— не сообщать персональные данные работника третьей стороне без письменного
согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;
— не сообщать персональные данные работника в коммерческих целях без его
письменного согласия;
— предупредить лиц, получающих персональные данные работника, о том, что эти
данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами;
— разрешать доступ к персональным данным работников только специально
уполномоченным лицам, определенным приказом по организации, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций;
— не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
— передавать персональные данные работника представителям работников в порядке, установленном Трудовым Кодексом, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций.
3.5.2. Передача персональных данных от держателя или его представителей внешнему потребителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
3.5.3. При передаче персональных данных работника потребителям (в том числе и в коммерческих целях) за пределы организации работодатель не должен сообщать эти данные третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника или в случаях, установленных федеральным законом.
3.6. Все меры конфиденциальности при сборе, обработке и хранении персональных данных сотрудника распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
3.7. Не допускается отвечать на вопросы, связанные с передачей персональной
информации по телефону или факсу.
3.8. Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.
3.9. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения. Работодатель учитывает личные качества работника, его добросовестный и эффективный труд.

Доступ к персональным данным

4.1. Внутренний доступ (доступ внутри организации).
4.1.1. Право доступа к персональным данным сотрудника имеют:
— главный врач;
— руководители структурных подразделений по направлению деятельности (доступ к личным данным только сотрудников своего подразделения);
— при переводе из одного структурного подразделения в другое, доступ к персональным данным сотрудника может иметь руководитель нового подразделения;
— сам работник, носитель данных.
— другие сотрудники организации при выполнении ими своих служебных обязанностей.
4.1.2. Перечень лиц, имеющих доступ к персональным данным работников,
определяется приказом главного врача.

4.2. Внешний доступ.
4.2.1. К числу массовых потребителей персональных данных вне организации можно отнести государственные и негосударственные функциональные структуры:
— налоговые инспекции;
— правоохранительные органы;
— органы статистики;
— страховые агентства;
— военкоматы;
— органы социального страхования;
— пенсионные фонды;
— подразделения муниципальных органов управления;
4.2.2. Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.
4.2.3. Организации, в которые сотрудник может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным работника только в случае его письменного разрешения.
4.2.4. Другие организации. Сведения о работающем сотруднике или уже уволенном могут быть предоставлены другой организации только с письменного запроса на бланке организации, с приложением копии нотариально заверенного заявления работника. Персональные данные сотрудника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого сотрудника.

Защита персональных данных

5.1. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.
5.2. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.
5.3. Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете,
обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности компании.
5.4. Защита персональных данных работника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральным законом.

5.5. «Внутренняя защита».
5.5.1. Основным виновником несанкционированного доступа к персональным данным является, как правило, персонал, работающий с документами и базами данных. Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты информации и предназначена для
разграничения полномочий между руководителями и специалистами организации.
5.5.2. Для обеспечении внутренней защиты персональных данных работников
необходимо соблюдать ряд мер:
— ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний;
— строгое избирательное и обоснованное распределение документов и информации между работниками;
— рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;
— знание работником требований нормативно — методических документов по защите информации и сохранении тайны;
— наличие необходимых условий в помещении для работы с конфиденциальными
документами и базами данных;
— определение и регламентация состава работников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника;
— организация порядка уничтожения информации;
— своевременное выявление нарушения требований разрешительной системы доступа работниками подразделения;
— воспитательная и разъяснительная работа с сотрудниками подразделения по
предупреждению утраты ценных сведений при работе с конфиденциальными документами;
— не допускается выдача личных дел сотрудников на рабочие места руководителей. Личные дела могут выдаваться на рабочие места только генеральному директору, работникам отдела персонала и в исключительных случаях, по письменному разрешению генерального директора, — руководителю структурного подразделения, (например, при подготовке материалов для аттестации работника).
5.5.3. Защита персональных данных сотрудника на электронных носителях.
Все папки, содержащие персональные данные сотрудника, должны быть защищены паролем, который сообщается руководителю службы управления персоналом и руководителю службы информационных технологий

5.6. «Внешняя защита».
5.6.1. Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение
вируса, подмена, фальсификация содержания реквизитов документа и др.
5.6.2. Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности компании, посетители, работники других организационных структур. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в отделе персонала.
5.6.3. Для обеспечения внешней защиты персональных данных сотрудников
необходимо соблюдать ряд мер:
— порядок приема, учета и контроля деятельности посетителей;
— порядок охраны территории, зданий, помещений;
— требования к защите информации при интервьюировании и собеседованиях.
5.7. Кроме мер защиты персональных данных, установленных законодательством, работодатели, работники и их представители могут вырабатывать совместные меры защиты персональных данных работников.

Права и обязанности работника

6.1. Закрепление прав работника, регламентирующих защиту его персональных данных, обеспечивает сохранность полной и точной информации о нем.
6.2. Работники и их представители должны быть ознакомлены под расписку с
документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
6.3. В целях защиты персональных данных, хранящихся у работодателя, работник имеет право:
— требовать исключения или исправления неверных или неполных персональных
данных.
— на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные;
— персональные данные оценочного характера дополнить заявлением, выражающим его собственную точку зрения;
— определять своих представителей для защиты своих персональных данных;
— на сохранение и защиту своей личной и семейной тайны.
6.4. Работник обязан:
— передавать работодателю или его представителю комплекс достоверных,
документированных персональных данных, состав которых установлен Трудовым кодексом РФ.
— своевременно сообщать работодателю об изменении своих персональных данных
6.5. Работники ставят работодателя в известность об изменении фамилии, имени,
отчества, даты рождения, что получает отражение в трудовой книжке на основании представленных документов. При необходимости изменяются данные об образовании, профессии, специальности, присвоении нового разряда и пр.
6.6. В целях защиты частной жизни, личной и семейной тайны работники не должны отказываться от своего права на обработку персональных данных только с их согласия, поскольку это может повлечь причинение морального, материального вреда.

7. Ответственность за разглашение конфиденциальной информации, связанной с персональными данными

7.1. Персональная ответственность — одно из главных требований к организации
функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы.
7.2. Юридические и физические лица, в соответствии со своими полномочиями
владеющие информацией о гражданах, получающие и использующие ее, несут
ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
7.3. Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, несет персональную ответственность за данное разрешение.
7.4. Каждый сотрудник организации, получающий для работы конфиденциальный
документ, несет единоличную ответственность за сохранность носителя и
конфиденциальность информации.

7.5. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
7.5.1. За неисполнение или ненадлежащее исполнение работником по его вине
возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера работодатель вправе применять предусмотренные Трудовым Кодексом дисциплинарные взыскания.
7.5.2. Должностные лица, в обязанность которых входит ведение персональных данных сотрудника, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной
информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации — влечет наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.
7.5.3. В соответствии с Гражданским Кодексом лица, незаконными методами
получившие информацию, составляющую служебную тайну, обязаны возместить
причиненные убытки, причем такая же обязанность возлагается и на работников.
7.5.4. Уголовная ответственность за нарушение неприкосновенности частной жизни ( в том числе незаконное собирание или распространение сведений о частной жизни лица, составляющего его личную или семейную тайну, без его согласия), неправомерный доступ к охраняемой законом компьютерной информации, неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если эти деяния причинили вред
правам и законным интересам граждан), совершенные лицом с использованием своего служебного положения наказывается штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью, либо арестом в соответствии с УК РФ.

7.6. Неправомерность деятельности органов государственной власти и организаций по сбору и использованию персональных данных может быть установлена в судебном порядке.

Новые административные штрафы.

Законом № 13-ФЗ заново переписаны положения ст. 13.11 КоАП РФ. Новой редакцией уточнены составы административных правонарушений по законодательству о персональных данных и увеличены размеры штрафов.

Норма

ст. 13.11

Состав административного правонарушения

Размер штрафа,

тыс. руб.

Часть 1

Обработка персональных данных в случаях, не предусмотренных законодательством РФ, либо их обработка, несовместимая с целями сбора этих данных, за исключением случаев, предусмотренных ч. 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния

Для ДЛ – от 5 до 10, для ЮЛ – от 30 до 50.

Вместо штрафа может быть сделано предупреждение

Часть 2

Обработка персональных данных без согласия в письменной форме их субъекта на обработку его данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством РФ требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его данных*

Для ДЛ – от 10 до 20, для ЮЛ – от 15 до 75

Часть 3

Невыполнение оператором предусмотренной законодательством РФ обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных

Для ДЛ – от 3 до 6, для ИП – от 5 до 10, для ЮЛ – от 15 до 30.

Вместо штрафа может быть сделано предупреждение

Часть 4

Невыполнение оператором предусмотренной законодательством РФ обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных

Для ДЛ – от 4 до 6, для ИП – от 10 до 15, для ЮЛ – от 20 до 40.

Вместо штрафа может быть сделано предупреждение

Часть 5

Невыполнение оператором в сроки, установленные законодательством РФ, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав этих субъектов об уточнении персональных данных, их блокировании или уничтожении в случае, если данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки

Для ДЛ – от 4 до 10, для ИП – от 10 до 20, для ЮЛ – от 25 до 45.

Вместо штрафа может быть сделано предупреждение

Часть 6

Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством РФ сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния

Для ДЛ – от 4 до 10, для ИП – от 10 до 20, для ЮЛ – от 25 до 50

* Указанный штраф налагается за каждое допущенное нарушение, поэтому изначально заявленная сумма штрафа 15 – 75 тыс. руб. в итоге может вырасти до весьма внушительных размеров.

Полномочия по возбуждению дел об административных правонарушениях по ст. 13.11 КоАП РФ переданы от прокуроров Роскомнадзору (в новой редакции п. 58 ч. 2 ст. 28.3 и ч. 1 ст. 28.4 КоАП РФ). Но рассматривать эти дела по-прежнему будут суды (ч. 1 ст. 23.1 КоАП РФ).

К сведению:

Помимо Роскомнадзора проверить соблюдение работодателем требования законодательства в области персональных данных может Роструд. Ведь положениями гл. 14 ТК РФ (наравне с Законом № 152-ФЗ) определены требования к обработке персональных данных работников и гарантии их защиты. Инспекторы по труду наделены полномочиями по составлению протоколов об административных правонарушениях, в том числе предусмотренных ст. 5.27 КоАП РФ, в случаях нарушения трудового законодательства (пп. 16 ч. 2 ст. 28.3 КоАП РФ).

Подчеркнем, что новые административные штрафы будут применяться с 1 июля 2017 года.

Прежде чем рассматривать вопрос о том, как работодателю избежать штрафов, поясним, что понимается под персональными данными, обработкой персональных данных и оператором.

Персональные данные.

Персональные данные – это информация, прямо или косвенно относящаяся к субъекту персональных данных (то есть физическому лицу) (ч. 1 ст. 3 Закона № 152-ФЗ). То есть она позволяет однозначно определить, о каком именно лице идет речь.

Каких-либо конкретных указаний о том, какие сведения считать персональными данными, в действующем законодательстве не содержится (их нет ни в Законе № 152-ФЗ, ни в гл. 14 ТК РФ). В нем закреплены лишь общие принципы. По сути, рассматриваемое понятие является оценочным, что дает определенный простор при квалификации тех или иных сведений о физическом лице в качестве персональных данных. Очевидно, что таковыми следует считать прежде всего сведения, на основании которых возможна безошибочная идентификация субъекта персональных данных. Такие сведения сотрудник, как правило, сообщает сам при приеме на работу. Персональные сведения могут быть получены и от третьей стороны, правда, с письменного согласия сотрудника (ч. 3 ст. 86 ТК РФ). В свою очередь, обезличенные сведения не могут быть отнесены к категории персональных данных.

К категории персональных данных относятся, к примеру, такие сведения:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • адрес (место регистрации);
  • семейное, социальное и имущественное положение;
  • образование, профессия;
  • доходы, имущество и имущественные обязательства.

Это общие персональные данные. Помимо них, в Законе № 152-ФЗ упоминаются:

  • специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). По общему правилу обработка этих данных не допускается. Исключение – случаи, предусмотренные ч. 2 ст. 10 названного закона;
  • биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение – случаи, установленные ч. 2 ст. 11.

К сведению:

Персональные данные работников, как правило, содержатся в следующих документах:

  • в паспорте или ином документе, удостоверяющем личность;
  • в трудовой книжке;
  • в документах о воинском учете, образовании, составе семьи;
  • в справке о доходах с предыдущего места работы;
  • в анкете, заполняемой при трудоустройстве;
  • в личной карточке работника (форма Т-2);
  • в свидетельствах о заключении брака, рождении ребенка;
  • в медицинских справках; и др.

У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.

Обработка персональных данных.

Под обработкой персональных данных понимается любое действие (или совокупность действий), совершаемое с ними (с использованием средств автоматизации или без использования таковых). Под действием понимаются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ч. 3 ст. 3 Закона № 152-ФЗ).

Цели обработки персональных данных определены ч. 1 ст. 86 ТК РФ, а ее основные принципы – ст. 5 Закона № 152-ФЗ.

Цели

обработки

персональных данных

  • обеспечение соблюдения законодательства;
  • содействие работникам в трудоустройстве, получении образования и продвижении по службе;
  • обеспечение личной безопасности работников

Основные принципы обработки персональных данных

  • обработка должна ограничиваться достижением конкретных, заранее определенных и законных целей;
  • содержание и объем обрабатываемых данных должны соответствовать заявленным целям обработки;
  • при обработке данных должны быть обеспечены их точность и достаточность, а в необходимых случаях – актуальность по отношению к целям обработки;
  • хранение данных должно осуществляться в форме, позволяющей определить их субъекта, не дольше, чем этого требуют цели их обработки*

* Согласно ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливает каждый работодатель самостоятельно с соблюдением требований Трудового кодекса и иных федеральных законов (включая Закон № 152-ФЗ).

Важный нюанс: законодательством не определены требования к объему персональных данных, которые оператор (работодатель) может обрабатывать с согласия (или без) их субъекта. Следовательно, стороны вправе установить объем получаемых и обрабатываемых сведений самостоятельно. При этом нужно учесть, что требования закона к порядку получения согласия на обработку сведений и к самому порядку их обработки различаются в зависимости от вида (разряда) персональных данных.

Оператор.

Оператор – лицо, которое организует и осуществляет обработку персональных данных (ч. 2 ст. 3 Закона № 152-ФЗ).

Под приведенное определение подпадает любой работодатель (юридическое лицо или индивидуальный предприниматель), получивший персональные данные работника в свое распоряжение. Значит, с этого момента на него в соответствии с требованиями Закона № 152-ФЗ возлагаются обязанности по защите и обеспечению сохранности персональных данных работников.

Причем в соответствии с ч. 1 ст. 18.1 Закона № 152-ФЗ каждый оператор должен самостоятельно определить состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим законом. Одной из этих мер является издание оператором локального нормативного акта, устанавливающего порядок обработки персональных данных работников в организации. Этого же от оператора требуют ст. 86 и 87 ТК РФ. В локальном акте (обычно он именуется Положением о персональных данных) определяются права и обязанности как субъекта персональных данных, так и оператора.

Подчеркнем: наличие обозначенного документа у работодателя обязательно. За его отсутствие специалисты Роскомнадзора могут оштрафовать оператора (и его должностных лиц) на основании ч. 3 ст. 13.11 КоАП РФ.

Согласие сотрудника на обработку персональных данных

Получить согласие нужно, если:

  • запрос информации о сотруднике поступил от сторонней организации;
  • работодатель направляет запросы в другие организации;
  • работодатель обрабатывает сведения о включенных в кадровый резерв;
  • обработка персональных данных родственников сотрудника превышает установленный объем (данных требуется больше, чем указано в личной карточке).

Персональные данные являются конфиденциальной информацией, а значит, к ней не должно быть свободного доступа, иначе она уже перестает быть таковой. В связи с этим передавать такие сведения о сотрудниках другим лицам работодатель вправе только с их письменного согласия.

Исключение из правил – ситуации, когда под угрозу ставятся жизнь и здоровье работников. Кроме того, законом предусмотрена обработка персональных данных сотрудника без согласия проверяемого, если он является сотрудником правоохранительных органов.

Заявление-согласие адресуется работодателю в лице генерального директора. Однако последний вправе поручить обработку персональных данных другим сотрудникам организации (ч. 3 ст. 6 Закона о персональных данных). Чаще всего это кадровики и бухгалтеры. Согласие может быть оформ­лено как на бумажном носителе, так и в электронном виде. Однако в этом случае его нужно подписать электронной подписью (ч. 4 ст. 9 Закона о персональных данных). Унифицированной формы согласия нет. Оно может быть оформлено в произвольной форме.

В заголовке необходимо указать, что это именно согласие на обработку персональных данных, а не что-либо иное.

Далее прописывается Ф. И. О. от руки самим проверяемым, затем серия и номер паспорта, кем он выдан. После чего указывается наименование той организации, которой проверяемый дает разрешение на проверку. В последующем необходимо указать основания проверки.

Обязательно подробно распишите, на что именно проверяемый дает свое согласие. В конце документа должна стоять подпись проверяемого лица.

Сотрудник, давший согласие на обработку своих персональных данных, в любой момент вправе отозвать такое согласие (ч. 2 ст. 9 Закона о персональных данных).

Если работник не согласен

Если работник не согласен на обработку персональных данных, разъясните последствия.

Объясните работнику, что без его согласия нельзя оформить полис ДМС, поздравить с днем рождения, сделать подарки детям на праздники, использовать его Ф. И. О. при создании адреса электронной почты, на визитках, размещать информацию на портале компании. Как правило, при таких аргументах сотрудники меняют позицию и дают согласие на обработку данных.

Работодатель вправе обрабатывать персональные данные сотрудника без его согласия при условии, что их объем не превышает установленный законом. Например, чтобы исполнять условия трудового договора. Без согласия сотрудника можно обрабатывать его персональные данные в случаях, которые предусматривают коллективный договор, локальные акты работодателя, принятые в порядке, установленном статьей 372 Трудового кодекса РФ.

Хранение персональных данных сотрудников

Федеральный закон от 21.07.2014 № 242 «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» предусматривает хранение исключительно на российских серверах. Персональные данные сотрудников, содержащиеся в их личных делах, должны храниться в организации в течение 75 лет.

Читайте также «Как хранить персональные данные работников»

Обязательство о неразглашении персональных данных

Такое обязательство должен оформить каждый сотрудник, который имеет доступ к персональным данным других работников. Закон запрещает таким сотрудникам разглашать сведения, которые стали им известны в связи с выполнением трудовых обязанностей.

Прежде всего речь идет о работниках отдела кадров и бухгалтерии. Если они допустили огласку персональных данных, их можно привлечь к дисциплинарной ответственности вплоть до увольнения (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ, п. 43 постановления Пленума Верховного Суда РФ от 17.03.2004 № 2).

Уведомление о получении персональных данных у третьей стороны

Если вы получаете персональные данные у третьей стороны, заранее уведомьте об этом работника (п. 3 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 Закона № 152-ФЗ). В уведомлении сообщите сотруднику о целях, предполагаемых источниках и способах получения или передачи персональных данных. Также укажите характер персональных данных, которые предстоит получить.

Штрафы за нарушения скоро увеличат

Пока штрафы за нарушения в сфере охраны персональных данных не так уж и высоки. Согласно статье 13.11 КоАП РФ они составляют от 5000 до 10 000 рублей для организации и от 500 до 1000 рублей для ее руководителя, если в нарушении есть его вина.

Однако надо учитывать, что этот штраф может налагаться за каждое допущенное нарушение. Так что 10 тысяч рублей штрафа легко могут превратиться в 50 или 100 тысяч рублей даже в рамках одной проверки. А за год эти суммы могут оказаться еще внушительнее. Кроме того, Госдумой РФ уже принят законопроект, ужесточающий административную ответственность за нарушения при обработке персональных данных.

Теперь в случаях обработки персональных данных, не предусмотренных законодательством, а также несовместимых с целями сбора такой информации, размеры штрафов составят: от 1000 до 3000 рублей – для граждан, от 5000 до 10 000 рублей – для должностных лиц и от 30 000 до 50 000 рублей – для юрлиц.

Если «обработчик» забудет взять согласие гражданина на обработку информации о нем, штрафы соответственно составят: от 3000 до 5000 рублей – для граждан; от 10 000 до 20 000 рублей – для должностных лиц; от 15 000 до 75 000 рублей – для юридических лиц.

Наказывать планируют и за отказ оператора в предоставлении человеку информации об обработке его данных. Размеры штрафов: от 1000 до 2000 рублей – для граждан, от 4000 до 6000 рублей – для должностных лиц; от 10 000 до 15 000 рублей – для индивидуальных предпринимателей; от 20 000 до 40 000 рублей – для юрлиц.

Как подготовиться к проверке Роскомнадзора

Плановые проверки Роскомнадзор совершает нечасто (раз в три года), однако не стоит сбрасывать со счетов и внеплановые ревизии, которые могут быть проведены, к примеру, с целью выяснить, устранила ли компания нарушения, допущенные и выявленные ранее. Проверку также стоит ждать, если компания претендует на выполнение госзаказа.

Пожалуй, самый негативный фактор, свидетельствующий о том, что с обработкой персональных данных дела в компании обстоят не лучшим образом – хранение копий паспортов сотрудников в доступном месте. Это мгновенно породит у инспектора много дополнительных вопросов. Как и отсутствие заполненных бланков «согласия сотрудника на обработку персональных данных».

Инспектор может провести опрос среди персонала на предмет того, знают ли они, какие меры принимает фирма для защиты их персональных данных. Лучший способ избежать «минуса» в такой ситуации для руководителя – провести предварительный инструктаж по охране личных сведений.

Читайте также «Передача персональных данных сотрудников при проверке трудовой инспекцией»

Инга Светевич, эксперт по трудовому праву

электронное издание
100 БУХГАЛТЕРСКИХ ВОПРОСОВ И ОТВЕТОВ ЭКСПЕРТОВ

Полезное издание с вопросами ваших коллег и подробными ответами
наших экспертов. Не совершайте чужих ошибок в своей работе!
7 выпусков издания доступно подписчикам бератора бесплатно.

Получить издание

Согласие на обработку и передачу персональных данных.

В части 1 ст. 9 Закона № 152-ФЗ говорится, что согласие должно быть конкретным, информированным и сознательным. Оно может быть дано субъектом персональных данных (или его представителем) в любой позволяющей подтвердить факт его получения форме, если иное не установлено Законом № 152-ФЗ. Прямо о том, что согласие сотрудника на обработку персональных данных должно быть оформлено письменно, в названном законе не сказано.

Но! Частью 2 ст. 13.11 КоАП РФ определена ответственность оператора и его должностных лиц за обработку персональных данных:

  • без согласия в письменной форме субъекта персональных данных на обработку его данных в случаях, когда такое согласие должно быть получено по законодательству РФ, если эти действия не содержат уголовно наказуемого деяния;
  • либо с нарушением установленных законодательством РФ требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его данных.

Получается, когда действующее законодательство в области персональных данных требует получения согласия от субъекта этих данных, это согласие должно быть оформлено письменно (произвольно, так как единый бланк законодательством не предусмотрен). Ведь при возникновении спорных ситуаций доказать факт получения согласия должен именно оператор (ч. 3 ст. 9 Закона № 152-ФЗ). И письменная форма согласия в этом случае будет весьма кстати.

С учетом сказанного работодателю-оператору имеет смысл разработать и утвердить в качестве приложения к Положению о персональных данных бланк согласия работника на обработку и передачу таких данных. Добавим, что Закон № 152-ФЗ допускает оформление согласия в форме электронного документа.

Что нужно указать в согласии?

Требования к содержанию письменного согласия для случаев, когда оно необходимо в силу закона, установлены ч. 4 ст. 9 Закона № 152-ФЗ. В этом случае согласие должно включать:

  1. Ф. И. О., адрес работника, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе.
  2. При получении согласия от представителя работника – его Ф. И. О., адрес, реквизиты документа, удостоверяющего его личность, включая дату выдачи и сведения о выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя.
  3. Наименование или Ф. И. О. и адрес работодателя.
  4. Цель обработки персональных данных.
  5. Перечень персональных данных, которые подлежат обработке.
  6. Ф. И. О. и адрес лица или наименование организации, осуществляющих обработку персональных данных по поручению работодателя, если она поручена такому лицу или организации.
  7. Перечень действий с персональными данными, на совершение которых работником дано согласие, общее описание способов их обработки.
  8. Срок, в течение которого действует согласие работника на обработку его персональных данных, и способ отзыва согласия.
  9. Подпись работника.

В иных случаях (когда законодательство не требует получение согласия сотрудника) специальных требований к содержанию согласия Законом № 152-ФЗ не установлено. Вместе с тем общее правило, предусмотренное ч. 1 ст. 9 данного закона (о конкретном, информированном и сознательном согласии), никто не отменял. Поэтому в согласии в любом случае должен быть указан конкретный объем персональных данных, цели и способы их обработки и хранения.

Когда согласие на обработку данных нужно получать, а когда – нет?

Закон № 152-ФЗ допускает обработку персональных данных сотрудников как с их согласия (п. 1 ч. 1 ст. 6), так и без него.

Здесь следует обратить внимание на Разъяснения Роскомнадзора. По мнению чиновников, обработка персональных данных работника не требует получения соответствующего согласия указанного лица при условии, что объем обрабатываемых работодателем персональных данных не превышает установленных перечней, а также соответствует целям обработки, предусмотренным трудовым законодательством (см. таблицу).

Не нужно оформлять согласие работника на обработку персональных данных, если они получены

Источник

Из документов (сведений), предъявляемых при заключении трудового договора

Статья 65, ч. 4 ст. 275 ТК РФ, п. 5 ч. 1 ст. 6 Закона № 152-ФЗ

По результатам обязательного предварительного медицинского осмотра о состоянии здоровья

Статья 69 ТК РФ, п. 3 Разъяснений Роскомнадзора

Из личной карточки или в иных случаях, установленных законодательством РФ (например, при получении алиментов, оформлении допуска к государственной тайне, оформлении социальных выплат)

Пункт 2 Разъяснений Роскомнадзора

От кадрового агентства, действующего от имени соискателя на вакантную должность

Пункт 5 Разъяснений Роскомнадзора

Из резюме соискателя, размещенного в Интернете и доступного неограниченному кругу лиц

Пункт 10 ч. 1 ст. 6 Закона № 152-ФЗ, п. 5 Разъяснений Роскомнадзора

Если персональные данные о сотруднике могут быть получены только у третьей стороны (напомним, соответствующая возможность предусмотрена ст. 86 ТК РФ), то он должен быть заранее уведомлен об этом и от него должно быть получено согласие на обработку сведений.

Согласие также необходимо, если работодатель планирует обрабатывать иные данные работника (например, контактные данные – номер сотового телефона, адрес электронной почты).

О согласии на передачу данных.

Помимо согласия на обработку данных, оператору необходимо заручиться согласием работника на их передачу третьим лицам (в том числе в коммерческих целях), что следует из абз. 2, 3 ч. 1 ст. 88 ТК РФ. В этом согласии тоже четко прописывают, какие именно операции с персональными данными совершает работодатель и какова их цель.

Обратите внимание:

Оператор должен предупредить третьих лиц о том, что персональные данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от указанных лиц подтверждения того, что это правило соблюдено (абз. 4 ч. 1 ст. 88 ТК РФ).

В ряде случаев согласие сотрудника на передачу персональных данных третьим лицам оформлять не требуется. Представим эти случаи в таблице.

Согласие не оформляется при передаче данных*

Источник

Третьим лицам в целях предупреждения угрозы жизни и здоровью работника

Абзац 2 ст. 88 ТК РФ, абз. 1 п. 4 Разъяснений Роскомнадзора

Во внебюджетные фонды

Абзац 15 ч. 2 ст. 22 ТК РФ, абз. 3 п. 4 Разъяснений Роскомнадзора

В налоговые органы и военные комиссариаты

Подпункты 1, 2, 4 п. 3 ст. 24 НК РФ, абз. 5 п. 4 Разъяснений Роскомнадзора

По запросу профессиональных союзов в целях контроля за соблюдением трудового законодательства работодателем

Статья 370 ТК РФ, абз. 5 п. 4 Разъяснений Роскомнадзора

По мотивированному запросу органов прокуратуры и правоохранительных органов

Абзац 7 п. 4 Разъяснений Роскомнадзора

По запросу от государственных инспекторов труда при осуществлении ими надзорно-контрольной деятельности

Абзац 3 ч. 1 ст. 357 ТК РФ, абз. 7 п. 4 Разъяснений Роскомнадзора

В органы и организации, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом

Абзац 5 ст. 228 ТК РФ

* Члены семьи, страховые компании, кредитные учреждения, благотворительные организации, негосударственные пенсионные фонды и иные аналогичные организации в указанный перечень третьих лиц не вошли. Поэтому передать упомянутым лицам персональные данные сотрудника оператор вправе только с его письменного согласия.

«О внесении изменений в Кодекс Российской Федерации об административных правонарушениях».

Текст нормативного акта напечатан в «Актах и комментариях для бухгалтера», № 3, 2017.

«О персональных данных».

См. Постановление ФАС СКО от 11.03.2014 по делу № А53-10287/2013.

Положение о персональных данных, как и любой другой локальный нормативный акт, утверждается руководителем организации. При наличии в организации представительного органа работников (профсоюза) обозначенный документ должен приниматься с учетом требований, установленных ст. 372 ТК РФ.

«Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве». Размещены на официальном сайте ведомства www.rsoc.ru 24.12.2012.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *