29 Ноября
1783
#CNT# data-template-html-inactive=В избранное #CNT#>
Работодатель сталкивается с вопросом о персональных данных постоянно.
Даже когда потенциальный сотрудник еще не работает в организации, а только направляет резюме — он уже предоставляет в распоряжение работодателя свои персональные данные.
Постоянная работа с личными данными происходит при кадровом делопроизводстве — организация ежедневно коммуницирует с внешним миром, служба кадров обрабатывает огромный массив документов и во всех содержатся чьи-либо личные сведения.
Персональные данные — это любая информация, относящаяся к конкретному лицу непосредственно. Это информация, при помощи которой можно идентифицировать человека.
Получение, хранение, уточнение, корректировка и иные действия с данными — это их обработка. Обработкой персональных данных занимаются чаще всего кадровые службы.
Оператором обработки является любая организация, которая собирает и хранит данные. То есть абсолютно любая организация.
О персональных данных в российском правовом поле информируют:
- Конституция России.
- Трудовой кодекс.
- Федеральный закон «О персональных данных» №152-ФЗ.
- Кодекс об административных правонарушениях.
- Уголовный кодекс.
Конституция гарантирует, что каждый гражданин имеет право на личную, семейную или профессиональную тайну, имеет право контролировать распространение информации об этом, пресекать это распространение. Если же данные распространяются недобросовестно, то гражданин вправе рассчитывать на защиту чести и достоинства.
Трудовой кодекс говорит о том, что собирать персональные данные работника кадровик или руководитель может исключительно с ясными и адекватными целями. ТК РФ однозначно запрещает хранение избыточного количества данных «на всякий случай».
В федеральном законе №153-ФЗ отмечена необходимость соблюдения полной безопасности данных, обозначены права, обязанности и ответственность граждан и операторов обработки.
КоАП РФ и УК устанавливают ответственность за нарушение указанных норм.
Нормативные акты устанавливают два важных понятия, которые необходимо иметь в виду руководителю и ответственному сотруднику кадровой службы, чтобы не навлечь на себя и на организацию огромные штрафы и судебные иски.
- Избыточность.
- Целеполагание.
То есть работодатель имеет право собирать исключительно те данные, которые необходимы для осуществления трудового процесса, и только с целью поддержания этого процесса.
Какие данные являются персональными:
- фамилия, имя, отчество;
- дата, место рождения;
- биометрия – отпечатки пальцев, ДНК, радужная оболочка глаз, рост, вес, фотографии и видео с изображением человека, если его можно там идентифицировать;
- адрес прописки или фактического жительства;
- семейное положение, состав семьи;
- биографические данные;
- профессиональная информация – образование, квалификация, должность, трудовой стаж, предыдущие места работы;
- сведения о доходах и имуществе;
- номера ИНН и СНИЛС; контакты – телефон, электронная почта;
- информация о воинской обязанности;
- медицинская информация и диагнозы.
Обычно выделяют четыре категории персональных данных, хотя в законах такой классификации нет:
- Общедоступные. ФИО, дата и место рождения, профессия, контакты могут использоваться в открытых источниках. Например, в справочниках и телефонных книгах, если субъект данных дал на это свое согласие.
- Биометрические. Позволяют идентифицировать человека по физиологическим параметрам. Данные собираются исключительно с согласия гражданина и в обоснованных законом целях.
- Специальные. Раса, национальность, политические и религиозные взгляды, философские воззрения и подробности интимной жизни. Обработка таких данных запрещена, кроме случаев, когда субъект согласился на это письменно или когда он сам открыто опубликовал их, сделав общедоступными.
- Иные. Не вошедшие в эти категории.
Шаг 1. Выпустить положение о персональных данных. Этого требуют и федеральный закон, и здравый смысл. В локальном акте нужно прописать все правила хранения и обработки данных.
Шаг 2. Утвердить положение. Для этого нужно выпустить соответствующий приказ с подписью руководителя и ознакомить с ним всех сотрудников. Сотрудники должны расписаться в специальном журнале или ведомости.
Шаг 3. Назначить специалиста, ответственного за персональные данные. Вероятнее всего, это будет сотрудник кадровой службы. Желательно, чтобы работа с персональными данными была указана в его трудовом договоре.
Если же договор уже составлен, можно выпустить дополнительное соглашение к нему. В том же приказе нужно установить сотрудников, которые будут иметь доступ к персональным данным.
Все упомянутые лица должны подписать обязательство о неразглашении данных.
Шаг 4. Собрать со всех сотрудников письменные согласия на обработку персональных данных. В письменном согласии должны быть перечислены конкретные данные и цели их использования. Цели должны сводиться исключительно к поддержанию трудового процесса.
Шаг 5. Хранить данные в строгом порядке. Данные могут храниться и в электронном виде, и в бумажном. Они должны быть абсолютно недоступными для третьих лиц, своевременно пополняться и при необходимости корректироваться.
Шаг 6. Обратиться в Роскомнадзор. Этот пункт не обязателен, если вы:
- обрабатываете информацию без использования специализированного ПО и баз данных (то есть если массив данных оператор обрабатывает вручную на ПК или на бумаге);
- обрабатываете данные только своих сотрудников и только в целях составления и ведения трудовых договоров (не более);
- оформили договор с физическим лицом как подрядчиком, поставщиком или нештатным специалистом;
- однократно пропустили постороннего человека, не являющегося вашим сотрудником, на территорию предприятия (например, для собеседования).
Велики риски, связанные с неправильным или небезопасным хранением данных. Если организация что-то сделает не так, она навлечет на себя ревизии, проверки, административное производство или уголовный процесс.
Административная ответственность
До 75 тысяч рублей штрафа работодатель может заплатить за:
- сбор и обработка избыточной информации;
- отсутствие согласия работника на обработку данных;
- доступ третьих лиц к персональным данным сотрудников;
- игнорирование просьб работника об удалении его персональных данных (например, после его увольнения).
Уголовная ответственность
По статье 137 УК РФ:
- Разглашение данных работника в публичном пространстве, публикация в СМИ сведений, составляющих его личную или семейную тайну. Штраф до 200 тысяч рублей, лишение свободы до 2 лет и запрет занимать определенные должности — до 3 лет.
- То же самое, с использованием служебного положения — штраф до 300 тысяч рублей, лишение свободы до 5 лет и запрет занимать соответствующую должность — до 6 лет.
Очень важно правильно построить процесс обработки персональных данных, потому что они ценны и составляют основу частной жизни граждан, их репутацию и во многих случаях личную безопасность.
Когда данные попадают в распоряжение работодателя, он должен действовать таким образом, чтобы способствовать трудовому процессу, поддерживать его и при этом не навредить сотрудникам.
Малейшая ошибка – и можно навлечь на себя ответственность вплоть до уголовной. Чтобы помочь руководителям и кадровикам повысить свой профессиональный уровень, мы разработали специальный курс по защите персональных данных.
Программа рассчитана на 36 часов и дает исчерпывающую информацию, актуальную сейчас и в перспективе. О том, как хранить данные, как их обезопасить и как с легкостью пройти все проверки Роскомнадзора.
Почитать программу и записаться на курс можно по ссылке.
Источник: https://profkadrovik.ru/articles/work-with-documents/personalnye-dannye-rabotnika/
Разграничение доступа к персональным данным работников
Разграничение доступа к персональным данным — это необходимая мера для обеспечения их сохранности и недопущения к охраняемой информации посторонних лиц. О мерах, предпринимаемых для разграничения доступа к таким данным в организации, и расскажет предлагаемая нами статья.
Цели и способы разграничения доступа к данным сотрудников организации
Общедоступные личные данные — что это? Источники их получения
Цели и способы разграничения доступа к данным сотрудников организации
Хозяйственная деятельность организации предполагает обработку персональных данных, которые собираются для разных целей. Например, для ведения кадровой документации, исполнения обязанностей перед контрагентами, контроля доступа на охраняемые объекты и т. д. Часть 3 статьи 5 закона «О персональных данных» от 27.07.
2006 № 152-ФЗ запрещает объединение баз данных или иных носителей информации, содержащих личные данные, цели обработки которых различны. Часть 1 статьи 19 ФЗ № 152 обязывает организацию также обеспечивать все необходимые и достаточные меры для защиты собираемых данных, в том числе недопущение доступа к ним посторонних лиц.
Исполнение перечисленных выше требований достигается за счет определения прав сотрудников организации на доступ к носителям информации. Прежде всего речь в таком случае идет о компьютерных сетях, программах, файлах, базах данных, с использованием которых обрабатываются личные сведения.
Неограниченным доступом ко всей информации, а также сведениям об используемых средствах защиты данных могут обладать лишь руководитель организации, системный администратор и лицо, ответственное за обеспечение безопасности данных в организации, определяемое согласно требованиям статьи 22.1 ФЗ № 152. Доступ прочих сотрудников ограничивается объемом данных, который необходим им для исполнения своих непосредственных обязанностей.
Не знаете свои права?
Подпишитесь на рассылку Народный СоветникЪ. Бесплатно, минута на прочтение, 1 раз в неделю.
Наиболее распространенный способ разграничения доступа — это издание специального приказа, в котором поименованы все сотрудники, имеющие права на обработку данных, а также указываются носители информации, к которым возможен доступ каждого конкретного сотрудника, условия доступа (пароли, ключи) и перечень допустимых операций с данными. Также права сотрудников на доступ к носителям информации могут быть определены в соответствующих инструкциях по работе с ними.
Общедоступные личные данные — что это? Источники их получения
В организации могут создаваться сводные перечни (списки) источников данных, которые находятся в общем доступе.
Порядок создания таких источников регулируется статьей 8 ФЗ № 152, согласно которой допускается включение в них инициалов, номеров телефона, адресов и иных значимых сведений о сотрудниках.
Главное, помнить при этом, что включение в такие источники личных данных граждан, согласно части 1 статьи 8 ФЗ № 152, возможно только с их письменного согласия. Кроме того, организация обязана удалить такие данные по требованию их субъекта либо по решению суда.
***
Подводя итог, отметим, что разграничение доступа к информации о работниках — это необходимая мера, которая позволит обеспечить сохранность данных и исключит их неправомерное использование.
Источник: https://nsovetnik.ru/personalnye_dannye/razgranichenie_dostupa_k_personalnym_dannym_rabotnikov/
Персональные данные: как работать по закону?
Персональные данные в организации есть всегда. Порой работодатель даже не представляет, как много информации о сотрудниках обрабатывается с нарушением закона. Как правильно организовать работу с персональными данными, как составить внутренние документы, что можно упустить, а что учесть обязательно? Читайте консультацию-памятку от эксперта трудового права Анны Никурадзе.
Ошибки в работе с персональными данными чаще всего случаются по незнанию, а не из-за попытки обойти нормативные требования.
Вот самый распространенный пример: будущий работник подает пакет документов по списку, куда входит ИНН или справка о составе семьи.
Принимая такие документы, работодатели не берут согласия на их обработку, поскольку думают, что в этом нет необходимости, чем невольно нарушают закон. Но если вы вооружены достаточными знаниями, административных рисков можно избежать.
Для начала разберемся, какие сведения о работниках считаются персональными данными: любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Такое определение дано в п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее Закон N 152-ФЗ):
То есть, к персональным данным относят:
- фамилию, имя, отчество, дату и место рождения;
- сведения об образовании (в том числе послевузовском профессиональном) — номера дипломов, названия образовательных организаций, квалификацию, присвоенную гражданину, ученую степень и пр.;
- семейное, социальное и имущественное положение работника;
- профессию и места работы;
- любые документы, которые содержат вышеперечисленные данные;
- документы, содержащие сведения о членах семьи и иных третьих лицах;
и так далее.
Кроме этого, персональные данные содержатся в документах, обязательно предъявляемых при трудоустройстве. Их перечень указан в ст. 65 Трудового кодекса РФ и эта статья позволяет работодателю принимать и обрабатывать перечисленные в ней документы без предварительного согласия.
Некоторые работодатели (видимо, по старой привычке) до сих пор требуют фото для вклеивания в личную карточку Т2, однако не спрашивают официального согласия работника. Есть мнение, что фотография не относится к персональным данным, но с этим можно поспорить.
Ведь законодатель говорит, что персональными данными считаются любые сведения, позволяющие идентифицировать определенного человека, даже без использования его имени, фамилии и даты рождения.
Таким образом, если специалист запрашивает фото работника, об этом обязательно надо упомянуть в письменном согласии на обработку персональных данных, с указанием целей обработки.
Возможно, прочитав предыдущие утверждения, вы сделали вывод, что персональные данные — это вся информация, которую человек предоставляет о себе, и обрабатывать ее можно только с его письменного разрешения.
Однако мы помним, что законодатель все же идет навстречу оператору и оговаривает возможность не брать согласие на обработку сведений, перечисленных в ст. 65 ТК РФ. Но в этот список не входят справки о составе семьи, ИНН, справки о состояния здоровья.
Так, в момент приема на работу некоторые компании запрашивают ИНН сотрудника, поскольку он понадобится для отчетности и закон периодически требует включать их в отчетные формы.
Для того чтобы оформить человека на должность, и в дальнейшем поддерживать с ним трудовые отношения, ИНН не требуется.
Поэтому если организации все-таки нужны эти данные, обязательно следует получить письменное согласие работнику.
Что еще должен делать работодатель при обработке персональных данных?
Согласно п. 7 ст. 86 Трудового кодекса РФ, работодатель обязан обеспечить за счет своих средств защиту персональных данных работника от неправомерного использования или утраты, а также выполнять установленный законом порядок их использования и хранения.
Исходя из указанных требований, работодатель издает локальный нормативный акт, регулирующий вопросы хранения и использования персональных данных, а также обеспечивающий защиту последних от неправомерного использования или утраты. Этот документ должен содержать:
- описание внешнего и внутреннего доступа к персональным данным;
- перечень лиц, которым предоставлен такой доступ;
- ответственность за разглашение сведений;
- порядок работы с персональными данными;
- регламент защиты персональных данных (включая защиту от третьих лиц).
- С соответствующими положениями и своими правами работники должны ознакомиться под роспись.
- Обычно в организации таким локальным нормативным актом признается отдельное Положение о защите персональных данных. Структура его может быть следующей:
- 1) «Общие положения» – в данном разделе прописываются общие моменты, цели создания документа и сфера его распространения;
- 2) «Основные понятия» – указываются используемые определения;
- 3) «Перечень персональных данных и цели обработки» – здесь перечисляется, какие сведения могут быть использованы оператором
- 4) «Обработка персональных данных» – в этом разделе следует указать, какие условия должны быть соблюдены при обработке персональных данных работника;
- 5) «Передача персональных данных» – тут необходимо отразить порядок передачи персональных данных работников внутри организации, а также сторонним лицам и государственным органам;
- 6) «Доступ к персональным данным» — в указанном разделе будет прописан порядок доступа к персональным данным – внешний (передача информации третьим лицам) и внутренний (обработка персональных данных внутри компании);
- 7) «Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных» — здесь будет расписана дисциплинарная и материальная ответственность лиц, работающих с персональными данными;
- 8) «Угрозы безопасности» – в этом разделе описывается модель и степень угрозы, а также что предпринимается для защиты персональных данных;
- 8) «Заключительные положения» – сюда включаются положения о вступлении в силу акта, длительность его действия, и порядок его изменения.
- Как защитить персональные данные сотрудников
- Работодатель обязан создать все условия для защиты персональных данных: систему, которая обеспечивает конфиденциальность, недоступность, а также целостность и безопасность информации в процессе деятельности компании.
- Закон предусматривает внутреннюю и внешнюю защиту.
- Для обеспечения внешней защиты персональных данных работников компания может, например, ввести пропускной режим для посетителей и использовать программно-технический комплекс защиты информации на электронных носителях.
- Для обеспечения внутренней защиты персональных данных компания может установить регламент состава работников, чьи функциональные обязанности требуют доступа к персональным данным других работников. При этом следует избирательно и обоснованно распределить документы и информацию, содержащую персональные данные, между лицами, уполномоченными на работу с такими данными, и оборудовать рабочие места таким образом, чтобы не было возможности беспрепятственно проникнуть и «подсмотреть» информацию, и так далее.
Комплекс защитных мер зависит от уровня угрозы безопасности. Чем уровень выше, тем больше действий необходимо предпринимать.
Выделяют три типа угроз, которые создают актуальную опасность несанкционированного доступа к персональным данным при их обработке в информационной системе. Тип угрозы, характерный для информационной системы, работодатель определяет самостоятельно. Исходя из этого, применяется один из четырех уровней защиты.
Состав и содержание мер по обеспечению безопасности персональных данных для каждого уровня защиты определены Приказом ФСТЭК России от 18.02.2013 N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Обеспечение достойного уровня безопасности включает множество различных требований, которые надо строго соблюдать.
Так, чтобы обеспечить минимальный (четвертый) уровень защиты персональных данных работников, необходимо:
- обезопасить от неконтролируемого проникновения помещения, в которых установлена информационная система;
- обеспечить сохранность носителей персональных данных;
- защитить информацию с помощью средств, прошедших процедуру оценки соответствия;
- издать приказ (распоряжение) в произвольной форме с перечнем работников, имеющих в силу трудовых обязанностей доступ к персональным данным в информационной системе.
Персональные данные потенциальных сотрудников: как поступать с кандидатами
Еще один интересный вопрос связан с персональными данными соискателей: какие действия разрешены работодателю, когда люди приходят на собеседования?
Резюме считается общедоступной информацией, и при его использовании не нужно письменное согласие. Но если соискатель заполняет анкету с указанием личных данных и специалист службы персонала снимает копии с документов (паспорт, диплом и т.п.), письменное согласие брать обязательно.
В заключение хотелось бы подчеркнуть, что работа с персональными данными — это высочайший уровень ответственности. Не стоит пренебрегать правилами и недооценивать важность получения согласия и формирования защиты.
Кроме того помните, что сейчас трудовая инспекция особенно строго следит за соблюдением трудового законодательства довольно тщательно и не упускает ни одну из нормативных сфер.
Один короткий документ, полученный от работника или кандидата, обезопасит вас от административной ответственности.
Анна Никурадзе, старший юрист Департамента трудового права Института профессионального кадровика
Источник: http://hrdocs.ru/poleznaya-informacziya/personalnyie-dannyie
Пункт в должностной инструкции о неразглашении персональных данных
Обязательство о неразглашении конфиденциальной информации, ставшей известной в силу исполнения служебных (должностных) обязанностей Я, , (Ф.И.О.
сотрудника) исполняющий(ая)должностные(служебные)обязанностипозанимаемой должности , всвязиснеобходимостьюдоступа к конфиденциальной информации и будучи ознакомлен(а) с Порядком работы с документами ограниченного распространения (конфиденциальнымиидляслужебногопользования)вЕвразийской экономической комиссии, (реквизиты иных документов Комиссии, Высшего Евразийского экономического совета, международных договоров, , устанавливающих требования по защите конфиденциальной информации и ответственность за их нарушение) настоящим добровольно принимаю на себя следующие обязательства: 1.
Документы класса А доступны сотрудникам, чья должностная инструкция разрешает им работать с документами этой категории. Сотрудник, работающий с документами этой категории, не имеет права разглашать их содержимое, показывать и передавать эти документы другим сотрудникам, если это прямо не предписано нормативными документами компании.
Документы этой категории хранятся в специальном сейфе канцелярии. К каждому документу этой категории прилагается лист доступа. При извлечении документа из сейфа и помещении его в сейф в листе делается отметка о дате, времени, сотруднике, получившем или вернувшем документ.
При передаче документа или ознакомлении с документом сотрудника в листе также делается отметка. Документы этой категории могут быть перемещены за пределы компании, если это предусмотрено нормативными документами компании или с разрешения ответственного сотрудника службы безопасности.
Идет отправка уведомления… « Первая ← Пред.1 2 3 4 5 6 7 8 9 10 След. → Последняя (10) » Для того чтобы ответить в этой теме Вам необходимо войти в систему или зарегистрироваться. Уведомления Голосование Можно ли победить текучку персонала в ритейле (рознице)?
НельзяМожно немножко снизить с помощью эффективного управленияМожно, когда на смену людям придут технологии (роботы) Посмотреть результаты Как бороться с воровством в ритейле? Грамотно подбирать персоналКонтролем и жесточайшими санкциямиВовлеченностью, лояльностью Посмотреть результаты Если у вас как клиента будет альтернатива покупки без участия человека (вендинг, чат-боты), то вы … будете пользоваться только этим способом расчетабудете пользоваться и одним и другим способами расчетаподождете, пока новая технология станет популярнойпродолжите рассчитываться как прежде, т.е.
Ответственным за соблюдение настоящего положения является руководитель службы безопасности компании.
Понятие конфиденциальной коммерческой информации Конфиденциальная коммерческая информация — любая информация, полученная сотрудником при исполнении своих обязанностей в рабочее или сверхурочное время, кроме информации, о которой прямо указано, что она не является коммерческой тайной, либо информации, являющейся общедоступной из публичных источников.
Разглашение конфиденциальной коммерческой информации может принести компании ущерб, прямые или косвенные финансовые или репутационные потери. Сотрудники обязаны сохранять в тайне любую конфиденциальную коммерческую информацию компании.
К документам, содержащим конфиденциальную информацию, коммерческую тайну, относятся все документы, содержащие информацию, касающуюся деятельности компании, кроме общедоступных публичных материалов.Приложение N 4 к Приказу ФМС России от 14 марта 2007 г.
N 48 ОБЯЗАТЕЛЬСТВО о неразглашении конфиденциальной информации (персональных данных), не содержащей сведений, составляющих государственную тайну Я, (специальное звание/классный чин, Ф.И.О.
сотрудника (государственного гражданского служащего, работника)) , исполняющий(ая) должностные обязанностипозамещаемойдолжности (должность, наименование структурного подразделения территориального органа ФМС России) , назначенный(ая) приказом (наименование территориально органа ФМС России) от » » N , предупрежден(а), что на период (число)(месяц) (год) исполнения должностных обязанностей в соответствиисдолжностной инструкцией(должностнымрегламентом)мнебудетпредоставлен допуск к конфиденциальной информации (персональным данным
Источник: https://impotencemeds.info/punkt-dolzhnostnoy-instruktsii-nerazglashenii-personalnykh-dannykh/
Как защитить персональные данные сотрудников и не попасть на повышение штрафов с 1 июля 2017 года
ФИО и любая другая личная информация о гражданине – это персональные данные.
Если у компании есть сотрудники, либо хранятся персональные данные клиентов или других физических лиц, она должна выполнять требования Федерального закона № 152-ФЗ «О персональных данных».
За их соблюдением строго следит Роскомнадзор. Требований много, и ответственность за их несоблюдение предусмотрена серьезная.
Как защитить персональные данные сотрудников и клиентов и правильно организовать работу с персональными данными, чтобы избежать штрафов, читайте в нашей публикации.
Что такое персональные данные?
Согласно закону № 152-ФЗ, персональные данные – это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу. То есть о персональных данных можно говорить, если по информации или ее совокупности можно понять, о ком именно идет речь. Если же идентифицировать личность нельзя, то такие сведения нельзя отнести к персональным данным.
Исчерпывающего списка персональных данных в законодательстве не приводится. Относятся данные к персональным или не относятся, решается в каждой ситуации отдельно.
Но обычно к ним принято относить:
- фамилию, имя, отчество;
- адрес проживания;
- электронный адрес;
- номер телефона;
- дата рождения;
- место рождения;
- национальность;
- вероисповедание;
- место работы;
- должность;
- рост;
- вес;
- и т.д.
Как должен защищать персональные данные отдел кадров
Обязанности в сфере защиты персональных данных отделом кадров четко прописаны в главе 14 Трудового кодекса РФ и ст. 18.1 Закона № 152-ФЗ.
Итак, кадровым сотрудникам следует:
- Проходить обучение, повышать квалификацию по обработке персональных данных (если работодатель ответственно относится к вопросу соблюдения кадровой службой законодательства о персональных данных – он потратится на учебу).
- Осуществлять все действия с персональными данными (документами, содержащими персональные данные) только с письменного согласия работника. Кстати, сообщение информации о работе того или иного сотрудника кредитным организациям по телефону также должно быть произведено только с письменного согласия работника.
- Знакомить перед заключением трудового договора сотрудников с локальным нормативным актом, определяющим порядок обработки персональных данных в компании.
- Соблюдать режим ограниченного допуска к персональным данным (разграничивать доступ между специалистами по кадрам в соответствии с функционалом, использовать в работе запирающиеся шкафы, сейфы, запирающие и блокирующие устройства).
Как избежать претензий со стороны контролирующих органов и сотрудников
Во-первых, необходимо выяснить состав физических лиц, чьи персональные данные обрабатываются.
Если компания имеет дело лишь с персональными данными:
- сотрудников, работающих по трудовым договорам;
- работающих по договорам ГПХ;
- и иными физическими лицами.
Когда обработка персональных данных отделом кадров ограничивается лишь фамилией, именем и отчеством – достаточно разработать единый комплексный документ, определяющий политику компании в области обработки персональных данных, как работников, так и иных лиц, вступающих в отношения с компанией и чьи персональные данные обрабатываются.
Если круг субъектов и перечень персональных данных шире (например, компания занимается обработкой и хранением персональных данных своих клиентов), то ограничиться локальными нормативными актами не получится. В таком случае Закон № 152-ФЗ обязывает компанию:
- уведомить Роскомнадзор о намерении обрабатывать персональные данные;
- подготовить перечень документов, определяющий порядок обработки и защиты персональных данных. Перечень таких документов достаточно обширный. Практика показывает, что это:
- Приказ о назначении ответственного за организацию обработки персональных данных;
- Документ, определяющий политику оператора в отношении обработки персональных данных;
- Согласия сотрудников на обработку персональных данных (в т.ч. на передачу третьим лицам и получение у третьих лиц);
- Документ, содержащий положения о принятии оператором правовых, организационных и технических мер для защиты персональных данных;
- Документы по организации приема и обработке обращений и запросов субъектов персональных данных;
- Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки без использования средств автоматизации;
- Документ, устанавливающий требования к ведению журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию;
- Документ, устанавливающий требования к хранению материальных носителей содержащих персональные данные;
- Документ о классификации информационных систем;
- Список лиц, которым необходим доступ к персональным данным, обрабатываемым в информационной системе, утвержденный оператором или уполномоченным лицом;
- Документ, устанавливающий порядок обработки персональных данных работников.
Если обработку персональных данных по поручению компании выполняет провайдер, (например, аутсорсинговая бухгалтерская компания), то вышеперечисленный перечень документов дополняется:
- Письменным поручением на обработку персональных данных. Такое поручение может быть внесено в основной договор об оказании услуг и должно включать не только поручение провайдеру осуществлять от имени компании обработку персональных данных, но и цели такой обработки, перечень действий с ними, их состав, а также обязательство провайдера соблюдать конфиденциальность и безопасность персональных данных, а также требования к их защите.
- Согласиями на передачу персональных данных провайдеру – от каждого сотрудника
Как видим, перечень документов, регламентирующий обработку персональных данных, достаточно обширный.
Чтобы не перегружать документооборот огромным количеством локальных нормативных актов (приказов, положений, инструкций и т.д.
), а процесс приема на работу в бесконечный процесс ознакомления с локальными документами, рекомендуется утвердить один документ, регламентирующий все аспекты работы с персональными данными в компании.
Как проверить свою бухгалтерскую компанию на предмет защиты персональных данных
Все ранее перечисленные требования относятся и к провайдеру, в том числе, компаниям, оказывающим услуги бухгалтерского аутсорсинга.
Добросовестный провайдер:
- По запросу клиента предоставит выписку из федерального реестра операторов персональных данных (компания-провайдер попадает в этот реестр после уведомления Роскомнадзора).
Важно!
Проверить провайдера на соблюдение порядка уведомления Вы можете самостоятельно на сайте Роскомнадзора: https://pd.rkn.gov.ru/operators-registry/operators-list/.
- Ознакомит со своей Политикой в отношении персональных данных клиентов.
- Включит в договор обслуживания условия о поручении и обязанности провайдера осуществлять обработку персональных данных от имени компании, а также обязанности, связанные с защитой этих данных.
Важно!
Провайдер не обязан брать согласия с субъектов персональных данных, которые он обрабатывает в связи с исполнением договора на обслуживание, поэтому обязательно возьмите письменные согласия с работников на передачу персональных данных провайдеру.
Ответственность за нарушение закона 152-ФЗ
Возможные нарушения в области защиты персональных данных и суммы штрафов мы привели в таблице:
Персональные данные обрабатываются не в тех целях, на которое дано согласие Например, персональные данные работника обрабатываются в целях расчета заработной платы, ведения кадрового делопроизводства, но никак не для оформления кредита, открытия лицевых счетов в банках, продажи чего-либо. В согласии на обработку персональных данных обязательно указываются цели обработки – это требование Закона 152-ФЗ. | от 30 000 до 50 000 руб. |
Обработка персональных данных отделом кадров без письменного согласия (когда оно, естественно, требуется) | от 15 000 до 75 000 руб. |
Политика по обработке персональных данных не опубликована или отсутствует в свободном доступе (на стенде, на сайте и т.д.) | от 15 000 до 30 000 руб. |
Оператор персональных данных не отреагировал на запрос сотрудника (субъекта персональных данных) Например, на электронную почту приходит регулярная рассылка с сайта ***, принадлежащего компании ААА. Получатель рассылки направляет в компанию ААА запрос о подтверждении факта обработки его персональных данных, их состава, целей такой обработки и т.д. В течение 30 дней компания ААА должна дать официальный ответ. Если такого ответа не последовало, то это нарушение. | от 20 000 до 45 000 руб. |
Нарушены условия защиты бумажных документов, содержащих персональные данные Например, произошла утечка данных вследствие случайного доступа постороннего лица, уничтожение персональных данных, их распространение и т.д. | от 25 000 до 50 000 руб. |
Что говорят суды о плохо защищенных персональных данных
- В тексте договора об оказании бухгалтерских услуг отсутствовали существенные условия об обеспечении конфиденциальности и безопасности персональных данных при их обработке, не был приведен перечень действий с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, а также не указаны требования к защите обрабатываемых персональных данных. Компании выписали предписание устранить нарушение (Постановление ФАС Северо-Западного округа от 29.04.2013 по делу № А44-5910/2012).
Источник: https://1c-wiseadvice.ru/company/blog/kak-zashchitit-personalnye-dannye-sotrudnikov-i-ne-popast-na-povyshenie-shtrafov-s-1-iyulya-2017-god/