Порядок хранения и использования персональных данных работников

Хранение персональных данных в организации

Для тех, кто намерен заняться бизнесом или организовать работу некоммерческой организации, в том числе заниматься продажей товаров через Интернет, важно продумать, каким образом будет обеспечено правильное хранение и использование персональных данных работников и клиентов. Существуют требования, четко прописанные в ФЗ-152 и других нормативно-правовых актах, но многое остается на усмотрение руководителя компании или предпринимателя. Во втором случае законом прописана необходимость достижения определенного результата, например, предупреждения несанкционированного доступа к физическим и электронным носителям, но как этого достигнуть, придется решать самостоятельно.

Определить порядок хранения персональных данных в организации на начальном этапе функционировании организации требуется по нескольким причинам:

• за игнорирование правил в отношении ПДн сотрудников и заказчиков положены внушительные штрафы;
• при многократных нарушениях возникает вероятность потери клиентов и партнеров, а также несения не только административной, но и уголовной ответственностей;
• не будет возникать трудностей при прохождении проверок контролирующими структурами;
• удастся приобрести репутацию надежного партнера и работодателя;
• грамотно организованные обработка, хранение и использование персональных данных позволяют сократить время и трудозатраты отдела кадров, то есть можно будет не держать большой штат специалистов;
• снизится вероятность получения вызовов с суд по делам о неправомерном получении либо применении конфиденциальной информации граждан;
• не будет накапливаться ненужная документация;
• процесс поиска нужной информации о сотрудниках будет требовать минимальных усилий.

В 1990-х годах в России персональные данные сотрудников и клиентов организаций продавались на дисках. Их можно было купить на рынке или в подземном переходе. В те годы законодательство РФ не предполагало какой-либо ответственности за разглашение конфиденциальной информации. Впервые понятие «персональные данные» упоминается в российском законодательстве в указе Президента «Об утверждении перечня сведений конфиденциального характера» от 6 марта 1997 года. В этом указе лишь перечисляется то, что относится к конфиденциальной информации, но там ничего не сказано ни об обработке персональных данных, ни о видах ответственности за неправомерную обработку.

В 2001 году Государственной Думой был принят Трудовой Кодекс РФ, в котором глава 14 посвящена защите персональных данных работников. В этой главе было определено понятие «обработка персональных данных работника» следующим образом: «Обработка персональных данных работника — получение, хранение, комбинирование, передача или любое другое использование персональных данных работника». Согласно Трудовому кодексу РФ, работодатель не имеет права на обработку персональных данных без ведома и согласия работника, не может получать данные о его религиозных, политических и иных убеждениях, а также несёт ответственность за потерю, искажение и неправомерную обработку персональных данных.

Следующим важным шагом было принятие Федерального закона № 152-ФЗ от 27 июля 2006 года «О персональных данных». Цель этого закона — обеспечение защиты прав и свобод человека, при обработке его персональных данных.

Положение о персональных данных

В первую очередь коммерсант должен составить внутренний документ, где будут урегулированы вопросы хранения и обработки сведений о сотрудниках – положение о персональных данных работников. Разработать внутренний регламент требует и Закон № 152-ФЗ. Каких-либо требований или унифицированной формы положения нет, исходя из требований законодательства основные разделы, положения приведены в таблице 2.

Положение утверждается приказом коммерсанта. Затем все работники под роспись должны быть ознакомлены с этим документом. Можно сделать отдельный журнал (лист) со списком сотрудников, где каждый напротив свой фамилии поставит подпись и дату. Для работников, которые будут оформляться после утверждения положения, факт ознакомления можно зафиксировать в тексте трудового договора.

Далее следует установить перечень сотрудников, которым будет разрешен доступ к персональным данным. Для этого необходимо составить отдельный приказ, где будет названо лицо, ответственное за сбор, обработку, хранение персональных данных (либо оформить это назначение отдельным приказом), а также лица, имеющие доступ к информации (должности должны быть прописаны в положении о персональных данных) и перечень данных, которыми вправе пользоваться тот или иной специалист. Многие данные хранятся в электронном виде. Доступ к этой информации должен быть ограничен (пароли доступа, другие средства электронной защиты), но это не все – необходимо составить список лиц, имеющих доступ к базам данных. Поэтому придется составить либо еще один приказ, либо указать лиц, имеющих доступ к информации в электронном виде в общем приказе.

Сотрудники, получившие доступ к персональным данным других работников, обязаны не разглашать информацию. Проследить за этим сложно, но обезопасить себя коммерсант сможет, если получит от работника письменное обязательство о неразглашении данных.

Основные разделы, которые должны содержаться в положении о персональных данных работников

№ п/п

Раздел

Содержание

Цель создания документа (защита данных), вопросы, которые регулирует положение (порядок получения, обработки, хранения), ссылки на нормативные документы, на основании которых разработано положение (Конституция, Трудовой кодекс, Закон о защите персональных данных)

Понятия и состав персональных данных

Все определения, связанные с персональными данными («персональные данные», «обработка персональных данных» и др.) можно взять из статьи 3 Закона № 152-ФЗ, а также статьи 85 ТК РФ.

Далее перечислить документы, в которых содержатся персональные данные, и перечислить состав персональных данных (анкетные данные, домашний адрес, телефон, сведения о стаже, зарплате и т.п.)

Требования, которые должен соблюдать работодатель, названы в статье 88 ТК РФ, а также статьях 18 – 21 Закона № 152-ФЗ

Отдельной статьи, регулирующий этот вопрос, нет. Но в числе обязанностей работника можно назвать обязанность передавать работодателю документы, содержащие персональные данные, перечень которых установлен трудовым и налоговым законодательством, а также своевременно сообщать работодателю об изменении персональных данных

Права работника перечислены в статье 89 ТК РФ

Обработка персональных данных

Обработка персональных данных работника – это получение, хранение, комбинирование любое другое использование информации о работнике. Общие требования, которые должны соблюдаться при обработке приводятся в статье 86 ТК РФ, а также в статьях 6 и 9 Закона № 152-ФЗ. Здесь можно указать, что всю информацию работодатель собирает и хранит для трудоустройства и дальнейшего контроля за качеством выполняемой сотрудником работы (или сделать отдельный раздел «Использование персональных данных», где указать цели использования личной информации). Также можно указать сроки хранения документов

Передача персональных данных

Порядок передачи персональных данных внутри (это актуально для организаций), сторонним лицам, государственным ведомствам. Здесь перечисляются требования, которые должен соблюдать работодатель при передаче данных. В частности, нельзя сообщать сведения без письменного согласия сотрудника. Исключение – случаи, предусмотренные законодательством (представление сведений о доходах в налоговую, отчет в фонды)

Доступ к персональным данным

Оговаривается круг лиц, имеющих доступ к персональным данным (внутренний и внешний). Перечислить сотрудников, имеющих доступ к персональным данным (индивидуальный предприниматель, бухгалтер, сам работник). Достаточно назвать должности, а конкретных лиц утвердить отдельным приказом, указав, к каким именно сведениям тот или иной работник имеет право доступа. Далее следует назвать лиц внешнего доступа, то есть, кому могут быть предоставлены сведения: государственные и негосударственные функциональные структуры (налоговые инспекции, фонды, правоохранительные органы, страховые агентства, подразделения муниципальных органов управления и др.), другие организации (в случае запроса о работающем или уволенном сотруднике, сведения предоставляются с письменного согласия работника; можно еще указать необходимость письменного запроса от организации), родственники и члены семьи (сведения могут быть предоставлены родственникам или членам семьи только с письменного разрешения самого работника)

Защита персональных данных

Основные действия работодателя для обеспечения защиты и сохранности сведений: лица, осуществляющие оформление, ведение, хранение информации (только ИП, ИП и бухгалтер, сотрудники отдела кадров); форма хранения (в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа); хранение сведений в электронном виде (персональные компьютеры, защищенные паролем доступа); лица, которые вправе отвечать на письменные запросы о предоставлении информации (только лица, осуществляющие оформление и хранение, либо лица, имеющие доступ в пределах предоставленных полномочий); возможность передачи информации по телефону, факсу, электронной почте (обязательно письменное согласие работника)

Ответственность за нарушение норм, регулирующих обработку и защиту персональной информации

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами (ст. 90 ТК РФ)

Порядок и мероприятия по защите персональных данных работников

Порядок обработки персональных данных работников жестко регламентирован законом, и нормативно-правовыми актами. Защитные мероприятия разрабатываются работодателями, работниками (их представителями) совместно. Обработка и защита данных направлены исключительно на:

• содействие в трудоустройстве;
• получение необходимого образования;
• продвижение по служебной лестнице;
• обеспечение безопасности;
• контроль качества и количества работы;
• обеспечение сохранности имущества.

Обрабатывая, используя и защищая данные, работодатель обязан придерживаться определенного алгоритма:

1. Сформировать документ, регулирующий правила хранения и использования информации, с которым ознакомить всех сотрудников.
2. Утвердить акт с перечнем используемых в рабочем процессе данных о сотруднике, поданных последним письменно и используемых в работе отдела кадров и при подаче документов в госорганы.
3. Назначить лиц, которые должны отвечать за обработку и осуществление безопасность собранных данных.
4. Собирать все заявления о разрешении сотрудников на обработку их личной информации, журналы по учету движения данных и проверок документов.
5. Определить места хранения документов в сейфах и оборудованных шкафах с необходимостью опечатывания.

Хранение и использование данных о персонале

Работодатель обязан ввести порядок хранения и использования сведений о работниках (ст. 87 ТК РФ).

Документы по сотрудникам рекомендуется не объединять в личное дело. Так как позиции Роскомнадзора и судов не однозначные — личные дела считают избыточным по отношению к заявленным целям обработки.

Правила передачи персданных налагают на работодателя ряд ограничений. Ограничения устанавливаются согласно статье 88 ТК РФ:

• известите лиц, которые получили доступ к информации о работнике, что ее следует использовать только в тех целях, для которых они были сообщены;
• передача данных внутри одной компании должна проходить согласно правилам локального акта, с которым работник был ознакомлен;
• доступ к данным получают только специально уполномоченные лица;
• запрещено делать запрос о здоровье работника у медицинского учреждения.

Работники имеют право на предоставление полной информации об их личных сведениях и их обработке (кому передавались сведения и для чего). Также нужно обеспечить сотрудникам свободный доступ к своим личным сведениям и медицинским данным. Помните, что работник имеет право обжаловать в суде незаконные действия работодателя и привлечь должностное лицо-нарушителя к уголовной или административной ответственности.

Ответственность за нарушение правил работы с личной информацией

В соответствии с ТК РФ, нарушители норм обработки и защиты личных сведений работника привлекаются к разным видам ответственности.

Работодателя могут привлечь к административной ответственности по ст. 13.11 КоАП РФ. Так, за обработку персональных данных без письменного согласия работника или с нарушением требований к нему будет наложен штраф:

Для работников, имеющих доступ к персональным данным, предусмотрены различные виды ответственности за их разглашение:

• Кдисциплинарной ответственности относятся замечание, выговор, увольнение.
• К административной ответственности относится штраф: для граждан — 500-1000 рублей, для должностных лиц — 4000-5000 рублей,
• К материальной ответственности привлекаются работники, которые непосредственно обрабатывают персональную информацию. В случае незаконного распространения информации сотрудник организации может заявить о моральном вреде и потребовать его возмещения у работодателя.
• Гражданско-правовая ответственность также накладывается за причинение морального вреда гражданину, чьи права были нарушены. На нарушителя может быть наложена обязанность компенсации вреда по ст. 151, 152 ГК РФ.
• Уголовная ответственность по ст. 137 УК РФ за незаконное собирание и распространение сведений о лице без его согласия предусматривает штраф в сумме до 200 000 рублей или в размере зарплаты за период до 18 месяцев, либо обязательные работы на срок до 360 часов, либо исправительные работы на срок до года, либо принудительные работы на срок до двух лет, либо арест до 4 месяцев или лишение свободы на срок до двух лет.

Работа с личными сведениями требует высокого уровня ответственности. Соблюдайте правила и помните о контроле Трудовой инспекции.

Автор статьи: Александра Аверьянова

Ведите простой кадровый учет в веб-сервисе Контур.Бухгалтерия. Начисляйте зарплату, легко считайте пособия, удержания и командировочные, автоматически готовьте отчеты по сотрудникам и отправляйте их через интернет. А еще — ведите учет, платите налоги, сдавайте налоговую и бухгалтерскую отчетность и пользуйтесь поддержкой наших экспертов. Первый месяц работы в сервисе — бесплатно.

Источник получения персональных данных

Если персональные данные работника можно получить только у третьей стороны, работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных.

Например, если работодатель решит получить дополнительную информацию о профессиональной подготовке работника в другой организации, то ему необходимо получить письменное согласие работника на такой запрос. Для получения согласия работодатель может направить работнику уведомление о получении персональных данных работника от третьих лиц с просьбой дать согласие на получение таких данных.

Когда за разглашение информации могут уволить

Уволить за разглашение информации можно только тех сотрудников, которым такие сведения стали известны в связи с исполнением ими трудовых обязанностей. Это прямо указано в пп. «в» п. 6 ч. 1 ст. 81 ТК РФ. К таким сотрудникам относятся руководители организаций, работники кадровых служб, бухгалтерии и иные лица, чья работа непосредственно связана с обработкой персональных данных. Но если работник узнал данные случайно (например, из-за халатности сотрудника, ответственного за сохранность информации), и в его должностные обязанности не входит работа с личными сведениями, увольнение по такому основанию незаконно.

Увольнение по этому основанию является мерой дисциплинарного воздействия, поэтому при его осуществлении следует соблюдать порядок наложения дисциплинарного взыскания, предусмотренный ст. 193 ТК РФ.

В случае оспаривания работником увольнения по пп. «в» п. 6 ч. 1 ст. 81 ТК РФ работодатель обязан предоставить доказательства того, что сведения, которые трудящийся разгласил, относятся к личным данным другого сотрудника, они стали известны при исполнении работником трудовых обязанностей, и он обязывался не разглашать такие сведения (п. 43 Постановления Пленума ВС РФ «О применении судами РФ Трудового кодекса РФ»).

Судебная практика

Н. обратился в суд с иском о признании увольнения незаконным, возмещении морального вреда.

В судебном заседании было установлено, что Н. работал электромонтером и был вызван в отдел кадров для устранения порыва телефонного кабеля. Во время починки кабеля он успел прочитать соглашение об увольнении работника М. с выплатой значительной денежной компенсации, которое кадровик оставила без присмотра на своем рабочем столе. На следующий день Н. обратился к директору, заявив, что он тоже хочет уволиться по соглашению сторон с такой же денежной компенсацией. Получив отказ, электромонтер обиделся и стал рассказывать об этой ситуации другим работникам. В результате приказом директора Н. был уволен по пп. «в» п. 6 ч. 1 ст. 81 ТК РФ за разглашение персональных данных другого работника.

Решением суда исковые требования Н. были удовлетворены. Суд пришел к выводу, что в трудовые обязанности Н. работа с личными данными других сотрудников не входила, и сведения стали ему известны в результате халатности кадровика, который не обеспечил сохранность информации.