Личные данные работника система защиты

Важный материал на тему: "Личные данные работника система защиты" с профессиональной точки зрения. Если возникнут вопросы, вы всегда их можете задать дежурному юристу.

Глава 14. Защита персональных данных работника (ст.ст. 85 — 90)

Глава 14. Защита персональных данных работника

>
Понятие персональных данных работника. Обработка персональных данных работника
Содержание
Гаврилина А.К., Чиканова Л.А. Трудовой договор. Комментарий к разделу III Трудового кодекса Российской Федерации (Серия «Полный.

© ООО «НПП «ГАРАНТ-СЕРВИС», 2019. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

[2]

Приложение. Положение о защите персональных данных работников системы ФМС России

Приложение
к приказу Федеральной миграционной службы
от 26 ноября 2010 г. N 423

Положение
о защите персональных данных работников системы ФМС России

Об обработке персональных данных в системе ФМС России см. приказ ФМС России от 29 апреля 2015 г. N 230

Настоящее Положение разработано с целью защиты информации, относящейся к личности и личной жизни работников системы Федеральной миграционной службы*(1) в соответствии со статьей 24 Конституции Российской Федерации*(2), Трудовым кодексом Российской Федерации и Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных».

1. Основные понятия

1.1. Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация*(3).

1.2. Персональные данные работника — информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника*(4).

1.3. Обработка персональных данных работника — получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

К персональным данным работника, получаемым работодателем и подлежащим хранению у работодателя в порядке, предусмотренном действующим законодательством и настоящим Положением, относятся сведения, содержащиеся в документах, перечисленных в пунктах 16 и 17 Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела, утвержденного Указом Президента Российской Федерации от 30 мая 2005 г. N 609*(5).

2. Основные условия проведения обработки персональных данных работников

2.1. Работодатель определяет объем, содержание обрабатываемых персональных данных работника, руководствуясь Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами.

2.2. Обработка персональных данных работников осуществляется исключительно в целях обеспечения соблюдения законодательных и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, а также обеспечения личной безопасности работников, сохранности имущества, контроля количества и качества выполняемой работы.

2.3. Все персональные данные предоставляются работником. Если персональные данные работника возможно получить только у третьей стороны, то работодатель обязан заранее уведомить об этом работника и получить его письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

2.4. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации работодатель вправь получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

2.5. Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.

2.6. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

2.7. Работники и их представители должны быть ознакомлены под роспись с настоящим Положением, устанавливающим порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

3. Хранение и использование персональных данных работников

3.1. Персональные данные работников системы ФМС России хранятся в Управлении кадрового обеспечения ФМС России*(6), кадровых подразделениях территориальных органов ФМС России, ФГУ ФМС России на бумажных и электронных носителях, в специально предназначенных для этого помещениях.

3.2. В процессе хранения персональных данных работников системы ФМС России должны обеспечиваться:

— требования нормативных документов, устанавливающих правила хранения сведений конфиденциального характера;

— сохранность имеющихся данных, ограничение доступа к ним в соответствии с законодательством Российской Федерации и настоящим Положением;

— контроль за достоверностью и полнотой персональных данных, их регулярное обновление и внесение по мере необходимости соответствующих изменений.

3.3. Доступ к персональным данным работников системы ФМС России имеют:

— директор ФМС России;

— заместители директора ФМС России (к персональным данным работников курируемых подразделений или принимаемым на работу в эти подразделения);

— начальник Финансово-хозяйственного управления ФМС России*(7) и его заместители;

— начальник отдела планирования ФХУ ФМС России;

— начальник отдела бухгалтерского учета ФХУ ФМС России;

— начальник УКО ФМС России и его заместители;

— начальники отделов УКО ФМС России;

— руководители структурных подразделений ФМС России (к персональным данным работников, возглавляемых ими подразделений);

— начальник отдела технической защиты информации Информационного управления ФМС России*(8);

— сотрудники ИУ ФМС России, Центра информационно-телекоммуникационного обеспечения ФМС России, обеспечивающие работоспособность аппаратно-программных средств автоматизации деятельности ФМС России с использованием персональных данных работников ФМС России;

— сотрудники УКО ФМС России, кадровых подразделений территориальных органов ФМС России, ФГУ ФМС России, в должностные обязанности которых входит работа с документами, содержащими персональные данные работников;

— сотрудники ФХУ ФМС России, финансовых подразделений территориальных органов ФМС России, ФГУ ФМС России, отвечающие за расчет заработной платы работников системы ФМС России, кассовые операции, расчеты с подотчетными лицами.

Читайте так же:  Временный перевод работника на другую должность

3.4. Ответственным за организацию и осуществление хранения персональных данных работников системы ФМС России является начальник УКО ФМС России, руководители кадровых подразделений территориальных органов ФМС России, директора ФГУ ФМС России.

3.5. Начальник отдела технической защиты информации ИУ ФМС России осуществляет контроль за хранением и обработкой персональных данных в информационных системах персональных данных в соответствии с требованиями законодательства.

3.6. Сотрудники, указанные в пункте 3.3 (абзацы первый — шестой, десятый, одиннадцатый, тринадцатый) настоящего Положения, имеют право получать только те персональные данные работников, которые необходимы им для выполнения своих должностных обязанностей.

3.7. Трудовые книжки работников системы ФМС России хранятся в сейфе в УКО ФМС России, кадровых подразделениях территориальных органов ФМС России, ФГУ ФМС России, доступ к которому имеют только начальник УКО ФМС России, начальники кадровых подразделений территориальных органов ФМС России и их заместители, сотрудники УКО ФМС России, кадровых подразделениях территориальных органов ФМС России, ФГУ ФМС России, отвечающие за ведение трудовых книжек. Хранение трудовых книжек работников осуществляется в соответствии с Правилами ведения и хранения трудовых книжек, изготовления бланков трудовых книжек и обеспечения ими работодателей, утвержденными постановлением Правительства Российской Федерации от 16 апреля 2003 г. N 225 (в ред. от 19.05.2008)*(9).

4. Передача персональных данных работника

4.1. При передаче персональных данных работника системы ФМС России другим юридическим и физическим лицам работодатель должен соблюдать следующие требования:

4.1.1. Не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральными законами.

4.1.2. Не сообщать персональные данные работника в коммерческих целях без его письменного согласия.

4.1.3. Предупреждать лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами.

4.1.4. Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

4.1.5. Передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом Российской Федерации и Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных», и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.

5. Права работников в целях обеспечения защиты персональных данных, хранящихся у работодателя

5.1. В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право:

5.1.1. Получения полной информации о своих персональных данных и их обработке.

5.1.2. Свободного бесплатного доступа к своим персональным данным, включая право на получение копии любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральными законами. Получение указанной информации о своих персональных данных возможно при личном обращении работника в УКО ФМС России, кадровые подразделения территориальных органов ФМС России, ФХУ ФМС России и финансовые подразделения территориальных органов ФМС России и ФГУ ФМС России.

5.1.3. Доступа к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору.

5.1.4. Определения своих представителей для защиты своих персональных данных.

5.1.5. Требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса Российской Федерации и Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных». Указанное требование должно быть оформлено письменным заявлением работника на имя директора ФМС России, начальника территориального органа ФМС России, директора ФГУ ФМС России. При отказе работодателя исключить или исправить персональные данные работника работник имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения.

5.1.6. Требовать об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях.

5.1.7. Обжаловать в суде любые неправомерные действия (бездействие) работодателя при обработке и защите его персональных данных.

6. Обязанности работника в целях обеспечения достоверности его персональных данных

6.1. В целях обеспечения достоверности персональных данных работники обязаны:

6.1.1. При приеме на работу в ФМС России, территориальные органы ФМС России, ФГУ ФМС России представлять сотрудникам УКО ФМС России, кадровых подразделений территориальных органов ФМС России, ФГУ ФМС России, в должностные обязанности которых входит работа с документами, содержащими персональные данные работников, достоверные сведения о себе в порядке и объеме, предусмотренном законодательством Российской Федерации.

6.1.2. В случае изменения персональных данных работника: фамилии, имени, отчества, адреса места жительства, паспортных данных, сведений об образовании, о состоянии здоровья (вследствие выявления в соответствии с медицинским заключением противопоказаний для выполнения работником его должностных, трудовых обязанностей и т.п.) сообщать об этом в УКО ФМС России, кадровые подразделения территориальных органов ФМС России, ФГУ ФМС России в течение 5 рабочих дней с даты их изменений.

7. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работников

7.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, установленных действующим законодательством Российской Федерации и настоящим Положением, несут ответственность, предусмотренную законодательством Российской Федерации.

*(1) Далее — ФМС России.

*(2) Собрание законодательства Российской Федерации, 2009, N 4, ст. 445.

*(3) В соответствии с Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных».

*(4) В соответствии с Трудовым кодексом Российской Федерации.

*(5) Собрание законодательства Российской Федерации, 2005, N 23, ст. 2242; 2008, N 43, ст. 4921.

*(6) Далее — УКО ФМС России.

*(7) Далее — ФХУ ФМС России.

*(8) Далее — ИУ ФМС России.

Читайте так же:  Код причины постановки на учет (кпп)

*(9) Собрание законодательства Российской Федерации, 2003, N 16, ст. 1539; 2004, N 8, ст. 663; 2008, N 10, ст. 930; N 21, ст. 2456.

Тема №10 «Защита персональных данных работника»

1. Право работников на защиту персональных данных;

2. Понятие персональных данных работника и их виды;

3. Общие требования при обработке персональных данных работника и гарантии их защиты;

4. Хранение и использование персональных данных;

5. Требования при передаче персональных данных работника;

6. Ответственность за нарушение норм, обеспечивающих защиту персональных данных работника.

1. Право работников на защиту персональных данных

Право на защиту персональных данных вытекает из ч.1 ст. 23 Конституции РФ, установившей, что каждый гражданин имеет право на неприкосновенность частной жизни, личную тайну, защиту чести и доброго имени.

Согласно ст. 24 Конституции сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

В соответствии со п. 10 ст. 86 ТК РФ работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников.

ст. 89 ТК РФ:В целях обеспечения защиты персональных данных, хранящихся у работодателя, работники имеют право на:

1. Полную информацию об их персональных данных и обработке этих данных;

2. Свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных ФЗ от 27.07.2006 N 152-ФЗ «О персональных данных».

Согласно п. 8 ст. 14 этого закона, право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ФЗ, например, если:

а) обработка персональных данных осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

б) обработка персональных данных осуществляется в соответствии с законодательством о противодействии отмыванию доходов, полученных преступным путем, и финансированию терроризма;

в) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

3. Определение своих представителей для защиты своих персональных данных;

4. Доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору;

5. Требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований ТК РФ или иного ФЗ. При отказе работодателя исключить или исправить персональные данные работника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;

6. Требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

7. Обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

2. Понятие персональных данных работника и их виды

Понятие персональных данных дано в ст. 3 ФЗ от 27.07.2006 N 152-ФЗ «О персональных данных».

Видео (кликните для воспроизведения).

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Субъект персональных данных – работник, состоящий в трудовых отношениях с работодателем, в силу чего работодатель располагает сведениями о фактах, событиях, обстоятельства жизни работника.

Применительно к сфере трудовой деятельности не все данные о частной жизни работника необходимы работодателю, а только такие, которые непосредственно касаются трудовых отношений конкретного работника. К персональным данным, включая данные о частной жизни работника, относится вся информация, необходимая работодателю для оформления трудовых отношений, их изменения или прекращения, так называемые, «анкетные данные»:

а) ФИО, дата и место рождения, паспортные данные;

б) Сведения об образовании, имеющихся навыках, подготовке и дополнительном профессиональном образовании, наличии учёных степеней и званий;

в) Сведения о предыдущей трудовой деятельности;

г) Информация о получаемом вознаграждении за труд.

В ряде ФЗ предусмотрены специальные требования относительно персональных данных работника. Например, на основании ст. 12 ФЗ «О муниципальной службе в РФ», муниципальный служащий обязан представлять сведения о себе и своей семье, а также о полученных им доходах и принадлежащем ему на праве собственности имуществе, являющемся объектом налогообложения, об обязательствах имущественного характера.

Иногда, в зависимости от специфики выполняемой работы необходима специальная информация о работнике. Необходима дактилоскопическая регистрация граждан, проходящих службу, например, в ОВД, ФСБ и т.п. структурах.

При определении содержания обрабатываемых персональных данных работника можно выделить три группы сведений:

а) Информация, получаемая работодателем из разных источников, но только с волеизъявления самого работника. Такая информация подлежит особой правовой защите. Именно её в первую очередь призван охранять институт защиты персональных данных работника;

б) Информация, получаемая работодателем от самого работника в обязательном порядке. К такой информации относятся сведения, содержащиеся в документах, которые работник согласно ст. 65 ТК РФ предъявляет при приёме на работу. В порядке исключения законодатель устанавливает обязательность предоставления сведений о частной жизни. Так, ст. 214 ТК РФ обязывает работника немедленно извещать своего руководителя об ухудшении состояния своего здоровья, в том числе о проявлении признаков острого профессионального заболевания (отравления);

в) Информация, формируемая самим работодателем. Это сведения о работнике, которые работодатель накапливает в течении всей трудовой деятельности работника: например, результаты аттестации, дополнительное профессиональное образование, размер заработной платы, время использования отпусков и т.д. Для фиксации этих сведений существуют утвержденные государством формы, например, личная карточка работника.

* (Моё, не факт, что нормально) Классификация по содержанию обрабатываемых персональных данных:

Как защитить персональные данные сотрудников и не попасть на повышение штрафов с 1 июля 2017 года

Алексей Родин
старший специалист по кадровому делопроизводству

ФИО и любая другая личная информация о гражданине – это персональные данные. Если у компании есть сотрудники, либо хранятся персональные данные клиентов или других физических лиц, она должна выполнять требования Федерального закона № 152-ФЗ «О персональных данных» . За их соблюдением строго следит Роскомнадзор. Требований много, и ответственность за их несоблюдение предусмотрена серьезная.

Читайте так же:  Как подтвердить ттн в егаис

Как защитить персональные данные сотрудников и клиентов и правильно организовать работу с персональными данными, чтобы избежать штрафов, читайте в нашей публикации.

Что такое персональные данные?

Согласно закону № 152-ФЗ, персональные данные – это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу. То есть о персональных данных можно говорить, если по информации или ее совокупности можно понять, о ком именно идет речь. Если же идентифицировать личность нельзя, то такие сведения нельзя отнести к персональным данным.

Исчерпывающего списка персональных данных в законодательстве не приводится. Относятся данные к персональным или не относятся, решается в каждой ситуации отдельно.

Но обычно к ним принято относить:

  • фамилию, имя, отчество;
  • адрес проживания;
  • электронный адрес;
  • номер телефона;
  • дата рождения;
  • место рождения;
  • национальность;
  • вероисповедание;
  • место работы;
  • должность;
  • рост;
  • вес;
  • и т.д.

Как должен защищать персональные данные отдел кадров

Обязанности в сфере защиты персональных данных отделом кадров четко прописаны в главе 14 Трудового кодекса РФ и ст. 18.1 Закона № 152-ФЗ.

Итак, кадровым сотрудникам следует:

  1. Проходить обучение, повышать квалификацию по обработке персональных данных (если работодатель ответственно относится к вопросу соблюдения кадровой службой законодательства о персональных данных – он потратится на учебу).
  2. Осуществлять все действия с персональными данными (документами, содержащими персональные данные) только с письменного согласия работника. Кстати, сообщение информации о работе того или иного сотрудника кредитным организациям по телефону также должно быть произведено только с письменного согласия работника.
  3. Знакомить перед заключением трудового договора сотрудников с локальным нормативным актом, определяющим порядок обработки персональных данных в компании.
  4. Соблюдать режим ограниченного допуска к персональным данным (разграничивать доступ между специалистами по кадрам в соответствии с функционалом, использовать в работе запирающиеся шкафы, сейфы, запирающие и блокирующие устройства).

Как избежать претензий со стороны контролирующих органов и сотрудников

Во-первых, необходимо выяснить состав физических лиц, чьи персональные данные обрабатываются.

Если компания имеет дело лишь с персональными данными:

  • сотрудников, работающих по трудовым договорам;
  • работающих по договорам ГПХ;
  • и иными физическими лицами.

Когда обработка персональных данных отделом кадров ограничивается лишь фамилией, именем и отчеством – достаточно разработать единый комплексный документ, определяющий политику компании в области обработки персональных данных, как работников, так и иных лиц, вступающих в отношения с компанией и чьи персональные данные обрабатываются.

Если круг субъектов и перечень персональных данных шире (например, компания занимается обработкой и хранением персональных данных своих клиентов), то ограничиться локальными нормативными актами не получится. В таком случае Закон № 152-ФЗ обязывает компанию:

Если обработку персональных данных по поручению компании выполняет провайдер, (например, аутсорсинговая бухгалтерская компания), то вышеперечисленный перечень документов дополняется:

  1. Письменным поручением на обработку персональных данных. Такое поручение может быть внесено в основной договор об оказании услуг и должно включать не только поручение провайдеру осуществлять от имени компании обработку персональных данных, но и цели такой обработки, перечень действий с ними, их состав, а также обязательство провайдера соблюдать конфиденциальность и безопасность персональных данных, а также требования к их защите.
  2. Согласиями на передачу персональных данных провайдеру – от каждого сотрудника

Как видим, перечень документов, регламентирующий обработку персональных данных, достаточно обширный. Чтобы не перегружать документооборот огромным количеством локальных нормативных актов (приказов, положений, инструкций и т.д.), а процесс приема на работу в бесконечный процесс ознакомления с локальными документами, рекомендуется утвердить один документ, регламентирующий все аспекты работы с персональными данными в компании.

[3]

Как проверить свою бухгалтерскую компанию на предмет защиты персональных данных

Все ранее перечисленные требования относятся и к провайдеру, в том числе, компаниям, оказывающим услуги бухгалтерского аутсорсинга.

  • По запросу клиента предоставит выписку из федерального реестра операторов персональных данных (компания-провайдер попадает в этот реестр после уведомления Роскомнадзора).

Важно!

Проверить провайдера на соблюдение порядка уведомления Вы можете самостоятельно на сайте Роскомнадзора: https://pd.rkn.gov.ru/operators-registry/operators-list/ .

  • Ознакомит со своей Политикой в отношении персональных данных клиентов.
  • Включит в договор обслуживания условия о поручении и обязанности провайдера осуществлять обработку персональных данных от имени компании, а также обязанности, связанные с защитой этих данных.

Важно!

Провайдер не обязан брать согласия с субъектов персональных данных, которые он обрабатывает в связи с исполнением договора на обслуживание, поэтому обязательно возьмите письменные согласия с работников на передачу персональных данных провайдеру.

Ответственность за нарушение закона 152-ФЗ

Возможные нарушения в области защиты персональных данных и суммы штрафов мы привели в таблице:

За что могут штрафовать

Персональные данные обрабатываются не в тех целях, на которое дано согласие

Например, персональные данные работника обрабатываются в целях расчета заработной платы, ведения кадрового делопроизводства, но никак не для оформления кредита, открытия лицевых счетов в банках, продажи чего-либо. В согласии на обработку персональных данных обязательно указываются цели обработки – это требование Закона 152-ФЗ.

от 30 000 до 50 000 руб.

Обработка персональных данных отделом кадров без письменного согласия (когда оно, естественно, требуется)

от 15 000 до 75 000 руб.

Политика по обработке персональных данных не опубликована или отсутствует в свободном доступе (на стенде, на сайте и т.д.)

[1]

от 15 000 до 30 000 руб.

Оператор персональных данных не отреагировал на запрос сотрудника (субъекта персональных данных)

Например, на электронную почту приходит регулярная рассылка с сайта ***, принадлежащего компании ААА. Получатель рассылки направляет в компанию ААА запрос о подтверждении факта обработки его персональных данных, их состава, целей такой обработки и т.д. В течение 30 дней компания ААА должна дать официальный ответ. Если такого ответа не последовало, то это нарушение.

от 20 000 до 45 000 руб.

Нарушены условия защиты бумажных документов, содержащих персональные данные

Например, произошла утечка данных вследствие случайного доступа постороннего лица, уничтожение персональных данных, их распространение и т.д.

Читайте так же:  Полная материальная ответственность

от 25 000 до 50 000 руб.

Что говорят суды о плохо защищенных персональных данных

  • В тексте договора об оказании бухгалтерских услуг отсутствовали существенные условия об обеспечении конфиденциальности и безопасности персональных данных при их обработке, не был приведен перечень действий с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, а также не указаны требования к защите обрабатываемых персональных данных. Компании выписали предписание устранить нарушение (Постановление ФАС Северо-Западного округа от 29.04.2013 по делу № А44-5910/2012).
  • Директор передал персональные данные физических лиц (ФИО, адреса, размер долга) провайдеру без письменного согласия этих физических лиц. За нарушение требований закона 152-ФЗ директора оштрафовали (Постановление Нижегородского областного суда от 12.05.2015 № 4а-288/2015).

ТОП-5 нарушений, за которые штрафуют компании и руководителей

Нарушить требования к работе с персональными данными и заработать штраф от Роскомнадзора можно совершенно случайно. Самые распространенные нарушения:

1. Документы оставлены на столе

Очень часто в штатной бухгалтерии и маленьких бухгалтерских фирмах стопки бумаг свалены на рабочем столе, и никто не отслеживает, есть ли в этих бумагах личные данные. Однако оставлять личные документы сотрудников в общедоступном месте нельзя, так как личная информация может оказаться в руках посторонних (коллег, представителей компаний-поставщиков).

Штраф: для руководителя компании – до 10 000 руб.; для компании – до 50 000 руб.; для ИП – до 20 000 руб. (ч. 6 ст. 13.11 КоАП РФ).

Пример защиты персональных данных. Необходимо разработать порядок работы с персональной информацией. В нем четко прописать запрет оставлять на столе бумаги с личными данными и выносить их за пределы кабинета. Документы должны храниться в сейфе или шкафу, где доступ к ним будет ограничен.

2. Работнику не выдали документы с его персональными данными

Речь идет о невыдаче расчетных листков работникам, сведений о стаже и других бумаг. Это также является сокрытием от сотрудника его персональных данных.

Штраф: для руководителя компании – до 5 000 руб.; для компании – до 50 000 руб.; для ИП – до 5 000 руб. (ст. 5.27 КоАП РФ).

Пример защиты персональных данных. Высылать работникам расчетные листки на электронную почту либо сообщением на корпоративном сайте вашей организации. Сведения о стаже надо выдать в течение 3-х календарных дней с момента, когда работник за ними обратился, а также в день увольнения.

3. Забыли обновить данные работника

Данные обновляются по просьбе сотрудника, например, в случае смены фамилии после замужества или адреса регистрации. Если компания этого не сделает, то нарушит правила работы с персональными данными.

Штраф: для руководителя компании – до 10 000 руб.; для компании – до 45 000 руб.; для ИП – до 20 000 руб. (ч. 5 ст. 13.11 КоАП РФ).

Пример защиты персональных данных. Если сотрудник принес документы, подтверждающие изменения, немедленно вносите новые данные в базу.

4. Размещение личной информации в общедоступном месте

Случается, что личные данные по чистой случайности попадают на стенд или корпоративный сайт – например, в качестве образца заявления на имущественный вычет главбух разместил на стенде копию заявления, полученного от сотрудника компании. Если в документе указаны личные реквизиты, то это нарушение, поскольку сотрудник не давал согласие на обнародование его реквизитов.

Штраф: для руководителя компании – до 20 000 руб.; для компании – до 75 000 руб. (ч. 2 ст. 13.11 КоАП РФ).

Пример защиты персональных данных. Никогда не использовать реальные документы в качестве образцов, а подготовить образцы с использованием вымышленных сведений.

5. Сообщение имени, адреса и телефона сотрудника третьим лицам

Информацию о сотрудниках может запросить банк или коллекторское агентство. Без согласия сотрудника такая передача сведений является нарушением.

Штраф: для руководителя компании – до 10 000 руб.; для компании – до 50 000 руб. (ч. 1 ст. 13.11 КоАП РФ).

Пример защиты персональных данных. Передавать информацию о сотруднике по просьбе другой организации или физлицам только в том случае, если работник выдал им доверенность на получение сведений.

Наша компания ответственно относится к обработке и защите персональных данных – как своих сотрудников, так и клиентов.

В частности, компания 1C-WiseAdvice:

  • включена в реестр операторов персональных данных (регистрационный номер 77-16-004753);
  • соблюдает Политику в отношении персональных данных и готова предоставить ее по первому запросу клиента;
  • добросовестно исполняет обязанности по обработке персональных данных в рамках договоров на профессиональное бухгалтерское обслуживание;
  • оказывает профессиональную консультативную поддержку по вопросам защиты персональных данных в процессе оказания услуг.

Специалисты компании 1C-WiseAdvice всегда готовы проверить внутренние документы вашей компании на соответствие требованиям законодательства по обработке персональных данных, составят рекомендации и помогут подготовить необходимые документы, чтобы избежать штрафов.

Обращайтесь – мы с радостью встанем на защиту: персональных данных ваших сотрудников – от сторонних посягательств, а вашей компании – от штрафов!

Зачем нужна система защиты персональных данных (СЗПДн)

Статьи по теме

Персональные данные работника — тема сейчас особо актуальная. Чтобы не оштрафовали ГИТ и Роскомнадзор, читайте о том, как правильно обрабатывать персданные, как их хранить и как защитить. Скачайте готовые образцы всех необходимых документов

Персональные данные работника: что к ним относится

Для начала нужно четко определить, что относится к персональным данным (ПДн). Они имеются в ведении каждой компании, и их можно условно разделить на два вида:

  1. Документы, которые служащий предоставил сам при трудоустройстве (ст.65 ТК РФ).
  2. Документы, образовавшиеся в процессе работы (приказы, личная карточка, бухгалтерские бумаги по оплате труда).

Все эти данные конфиденциальны и нуждаются в защите.

Скачайте документы из статьи

Законодательно установлены такие категории персональных данных:

  • Общедоступные – обезличенная информация, доступная в открытых источниках. Они размещены: субъектом лично, либо с его согласия, либо по ним невозможно идентифицировать субъекта. Как правило, для работодателя они не представляют интереса, и в кадровом документообороте не задействованы.
  • Специальные – информация о национальности, здоровье, жизненных убеждениях человека. Если при трудоустройстве нет необходимости в этих данных, то лучше их не запрашивать, чтобы не нести ответственность еще и за них.
  • Биометрические – информация об уникальных физиологических особенностях человека, (отпечатки пальцев, ДНК, фото и видео и т.д.). Могут понадобиться для системы учета прихода/ухода на работу, для пропуска и т.д. В некоторых случаях допускается использование без согласия.
  • Общие – самая широко используемая категория: ФИО, реквизиты личных документов, дата рождения, образование, прописка и прочие сведения, предоставляемые при приеме на работу и сформировавшиеся в процессе.
Читайте так же:  Нулевая декларация 3-ндфл для ип

Какие документы можно и нельзя хранить в личном деле

Правила обработки персональных данных

В ту минуту, когда первый принятый в штат сотрудник передает кадровику копии своих документов, компания автоматически приобретает статус оператора персональных данных со всеми вытекающими последствиями. В процессе функционирования она будет производить с ними массу действий (сбор, упорядочивание, хранение, передача, уничтожение), и все эти манипуляции регулируются ст. 86 ТК РФ:

  • Согласие. Каждый служащий подписывает согласие на обработку персональных данных. Лишь после этого оператор может приступать к работе с ними.
  • Ознакомление. Человека нужно поставить в известность, кто и по каким правилам обрабатывает его личную информацию. Под роспись всех сотрудников ознакомляют с Положением о защите ПДн.
  • Цели обработки строго определены. Это сугубо профессиональные задачи, а также вопросы личной безопасности и соблюдения законодательства.
  • Разумный объем. Не стоит собирать всю подряд информацию о человеке, если она не требуется для его трудовой деятельности.
  • Личная передача. Недопустимо собирать сведения через третьих лиц. Это некорректно и противозаконно. Частная жизнь. Наниматель не вправе требовать информацию о личных взглядах, предпочтениях человека, его религиозных или политических убеждениях.
  • За счет работодателя. Именно компания оплачивает все расходы на защиту ПДн, это ее обязанность.

Всё реже можно встретить компании, хранящие документацию только в бумажном виде. Большинство организаций используют ИСПДн (информационные системы) – базы данных, в которых удобно не только хранить, но и структурировать информацию, вести учет, делать нужные выборки. Однако, для таких систем требуется особая защита, оговоренная в Пост. Правительства РФ от 01.11.2012 №1119.

Попробуйте бесплатно, курс повышения квалификации

Документационное обеспечение работы с персоналом

  • Соответствует требованиям профстандарта «Специалист по управлению персоналом»
  • За прохождение — удостоверение о повышении квалификации
  • Учебные материалы представлены в формате наглядных конспектов с видеолекциями экспертов
  • Доступны готовые шаблоны документов, которые можно скачать и оставить себе для работы

Согласие на обработку персональных данных сотрудника

В вопросе защиты персональных данных в 2018 решающее значение имеет письменное согласие сотрудника. Этот документ разрешает оператору вести обработку, а субъекту гарантирует конфиденциальность его сведений.

Когда не требуется согласие на обработку персональных данных

Ст. 6,10,11 ФЗ №152 предусматривают обстоятельства, в которых можно обойтись без одобрения человека. Это передача сведений в:

  • ПФРФ (ст. 9 Закона от 1 апреля 1996 г. № 27-ФЗ);
  • ФНС;
  • ФОМС, ФСС;
  • военкоматы;
  • суды, прокуратуру и т. п.

Письмо Роскомнадзора от 14.12.2012 г. определяет еще ряд случаев, например, при обработке:

  • ПДн родных служащего, зафиксированных в его досье (при праве на алименты, на соцвыплаты и допуске к государственной тайне);
  • медицинской информации, связанной с возможностью выполнения трудовой функции;
  • ПДн, требующихся для пропуска;
  • размещении ПДн персонала в интернете.

Защита персональных данных в организации: пошаговая инструкция

Шаг 1. Разработать и утвердить Положение о защите персональных данных.

Шаг 2. Оформить лист ознакомления с Положением, в котором каждый служащий расписывается после знакомства с документом с проставлением даты.

Шаг 3. Разработать и утвердить Инструкцию для ответственного (можно оформить приложением к Положению).

Уведомлять Роскомнадзор о начале сбора ПДн сотрудников не нужно, поскольку он ведется в рамках трудовых отношений.

Шаг 4. Издать приказ об организации обработки ПДн на предприятии.

Шаг 5. Составить и утвердить Перечень персональных данных, обрабатываемых в организации.

Шаг 7. Издать приказ об установлении списка лиц, обладающих доступом к личным сведениям о персонале.

Шаг 9. Обеспечить надежное хранение бумажных документов в спецшкафах либо сейфах.

Шаг 10. При хранении сведений в базе данных предварительно следует составить акт ее классификации и определения уровня ее защищенности.

Комплект документов по защите персональных данных

Разработка пакета документов по защите персональных данных в 2018 потребуется для любого их оператора. Причем ФЗ №152 не оговаривает перечень документов и не предлагает их форм, а посему каждая компания вправе самостоятельно определить состав пакета. Все материалы по защите ПДн на предприятии можно разбить на три подвида:

  • положение о защите ПДн;
  • должностные инструкции;
  • приказы (о назначении ответственных и имеющих доступ и т.д.)

2. Технологические (инструкции).

3. Методические (правила работы с ПДн).

Срок хранения персональных данных

Видео (кликните для воспроизведения).

ПДн собраны в досье служащего, а срок его хранения определен в 75 лет. Исключение составляют данные руководителей, работников, имеющих звания (премии, награды, ученые степени) – их следует хранить постоянно.

Источники


  1. Муранов, А. И. Российское регулирование отношений с иностранными элементами. Некоторые аспекты правового статуса и деятельности иностранных адвокатов / А.И. Муранов. — М.: Городец, 2014. — 144 c.

  2. Шалагина, М. А. Правоведение. Шпаргалка / М.А. Шалагина. — М.: Феникс, 2015. — 126 c.

  3. Бархатова, Е.Ю. Международное публичное право в вопросах и ответах; Кнорус, 2011. — 232 c.
  4. Рыжаков А. П. Защитник в уголовном процессе; Экзамен — М., 2013. — 480 c.
  5. Веденин, Н.Н. Земельное право; М.: Юриспруденция; Издание 4-е, перераб. и доп., 2012. — 192 c.
Личные данные работника система защиты
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here