Персональные данные сотрудников: обеспечение сохранности

Содержание

Хранение и использование персональных данных работников

Персональные данные сотрудников: обеспечение сохранности
Энциклопедия МИП » Трудовые споры » Защита прав работников » Хранение и использование персональных данных работников

Чтобы обезопасить граждан от неправомерного использования личных данных трудовым законодательством разрабатываются специальные нормативные акты.

Трудовые отношения предусматривают составление специальной документации и заключение трудовых договоров, распоряжений и приказов. Обязательным условием для подписания данных бумаг является внесение достоверных личных данных сторон (инициалов, фактического адреса, сведений о рабочей квалификации, должностных обязанностях и др.).

Чтобы обезопасить граждан от неправомерного использования личных данных трудовым законодательством разрабатываются специальные нормативные акты, в которых регламентируется обработка, передача и защита информации о сотрудниках работодателем. Поэтому все работодатели обязаны соблюдать порядок хранения и использования персональных данных работников.

Хранение персональных данных работников

Специальное нормативное положение, в котором определяются правила по распоряжению личной информацией сотрудников работодателем, предусматривает соблюдение определенных требований:

  • конкретная форма, в которой хранятся личные данные сотрудников, должна соответствовать всем требованиям и полностью идентифицировать субъекта личной информации;
  • срок сохранения информации не должен превышать времени, которого будет достаточно для воплощения целей, в соответствии с которой требуется обработка;
  • данные необходимо уничтожать непосредственно после достижения всех целей, для которых была организована обработка информации;
  • информация должна быть удалена в случае отсутствия необходимости дальнейшей обработки и использования данных.

Обработка, передача и защита личных сведений сотрудников поручается ответственному оператору, который должен соблюдать все правила и специальное законодательное положение.

Если же по каким-либо причинам должностное лицо не может самостоятельно выполнять свои прямые обязанности, то он должен поручить обработку и защиту информационных данных иному сотруднику на основании официально заключенного договора.

Важнейшим условием данного документа является указание специальной обязанности, в соответствии с которой обеспечивается обработка, передача и защита личной информации при соблюдении конфиденциальности и полной безопасности. 

Кто имеет право обрабатывать и использовать персональные данные

Должностные лица, которые сталкиваются с обработкой и сохранением личной информации сотрудников, должны исполнять специальное положение. Подобные документы и правила составляются работодателем, а также чаще всего издаются в форме должностных инструкций, коллективных и индивидуальных трудовых договоров и др.

Положение или распоряжение включает правила защиты данных сотрудников, устанавливает перечень лиц, которым подлежит обработка и эксплуатация информации, срок обработки, основания и условия предоставления информации и др.    

Хранение и использование личной информации сотрудников входит в компетенцию должностных лиц, которые назначаются непосредственно работодателем.

В обязанности данных граждан входит соблюдение всех норм по обработке и распоряжению личными данными подчиненных.

Законодательными актами регламентируется срок, правила, а также перечень лиц на руководящих должностях, которые должны работать с личной информацией сотрудников:

  • главный специалист, который занимается защитой данных;
  • заместитель директора, в обязанности которого входит администрирование персоналом;
  • менеджер по управлению персоналом;
  • начальных отдела кадров.

На предприятиях и в компаниях обработка и сохранение личной информации также поручается рядовым работникам, например, бухгалтерам, инженерам по защите информации, управлению и подготовке кадров, документоводам, специалистам по защите данных и др.

Рядовые исполнительные должностные лица также сталкиваются с использованием и защитой информации в процессе выполнения своих обязанностей, например, секретари, референты, инспекторы и др., которые принимают заявления и различные документы.  

Порядок хранения персональных данных работников

Должностное лицо обязано соблюдать специальное положение, в котором регламентируется обработка, сохранение и защита личной информации, личных дел сотрудников. Правила и порядок эксплуатации должны соблюдаться стороной работодателей.  Данные лица должны обеспечить выполнение следующих функций:

  • составление и хранение первичной документации, которая издается в унифицированной форме;
  • сохранность бумаг, в которых ведется учет рабочих кадров;
  • хранение документации, в которой учитывается специфика распределения рабочего времени;
  • сохранность пакета документов, в котором ведется расчет об оплате труда рабочему персоналу.

Порядок и срок сохранения личной информации гражданских служащих определяет трудовое законодательство, а также специальное ведомственное положение.

Срок хранения

Специальное положение о сохранении и защите личной информации регламентирует срок, в пределах которого допускается использование и хранение личных данных.

Соответственно, трудовые книжки и дубликаты, которые не были забраны или в случае смерти работников, размещаются в активах предприятиях на срок до востребования.

Если же такие документы относятся к классу невостребованных бумаг, то они размещаются в архивах компаний на срок не менее пятидесяти лет.

Положение, в котором определяется специфика индивидуального учета в системе пенсионного страхования, устанавливает срок сохранения личных данных граждан работниками государственного пенсионного фонда.  Срок хранения таких бумаг составляет не менее шести лет. Данные документы должны соответствовать следующим требованиям:

  • содержать в себе какие-либо данные об индивидуальном счете лица, которое застраховано программой социального страхования;
  • быть оформлены в установленной письменной форме и заверены соответствующими подписями граждан;
  • быть представлены в электронной форме, так как юридическая сила таких документов должна подтверждаться электронной цифровой подписью, при условии соблюдения законной процедуры подписания;
  • содержать в себе данные о всех страховых взносах лиц и страховом стаже граждан;
  • предоставляться работодателями в государственные заведения по пенсионному страхованию с целью индивидуального учета граждан в общей системе обязательного страхования для предоставления социальных пенсий.  

Иные документы, которые содержат в себе данные о пенсионном страховании, хранятся в архивах пенсионных учреждений не мене трех лет. Соответствующие документы подлежат уничтожению, когда срок их хранения истекает.

В таком случае уничтожение бумаг возможно исключительно после факта ознакомления застрахованным лицом со всеми данными о лицевом счете и страховом стаже.

Акты, в которых указываются случаи расследований профессиональных заболеваний должны храниться не менее 75 лет в активах государственного учреждения, которое специализируется на санитарно-эпидемиологическом надзоре и вело дело о расследовании конкретного происшествия. Работодатели должны хранить следующие документы на протяжении 45 лет с копиями и материалами расследования:

  • акты о несчастных случаях на производстве;
  • акты о несчастных случаях, которые касаются группы лиц;
  • документы о расследовании тяжелого несчастного случая;
  • бумаги о несчастных случаях сл смертельным исходом и др.

Нормативные акты о защите данных

При разработке локальных нормативных актов, которые касаются защиты личной информации сотрудников, учитывается законодательное положение, а также специфика работы предприятия. В соответствующих нормативных актах регламентируются следующие положения:

  • перечень личной информации сотрудников, которые нужны работодателю для выполнения всех трудовых обязанностей;
  • список лиц, которые имеют право получать личные данные;
  • правила хранения, обработки, передачи, защиты и предоставления личной информации;
  • должностное лицо, которое имеет право хранить персональные данные сотрудников, а также осуществлять контроль за процессом сохранения информации.

Помимо обязанностей работодателя, нормативные акты включают перечень прав и обязанностей сотрудников, которые касаются необходимости предоставления достоверной информации, а также обеспечения надежного хранения данных и соблюдения конфиденциальности. 

Здравствуйте. Могут ли вносить паспортные данные в пропуск в детском саду?

Александр14.12.2021 09:37

Добрый день! Одним из способов обеспечения безопасности в школе, детском саду, в любом другом образовательном учреждении является введение пропускного режима: при входе в учреждение у посетителя просят удостоверяющий его личность документ и сведения из этого документа (фамилию, имя, отчество, номер документа и др.

) вносятся в журнал учёта посетителей. Записываемая в журнал информация является персональными данными. Однако письменное согласие на сбор (т.е. обработку) персональных данных у посетителя не запрашивается. Является ли это нарушением? Нет, не является.

 По общему правилу обработка персональных данных допускается с согласия субъекта персональных данных (в рассматриваемом случае — посетителя образовательного учреждения). Под обработкой закон понимает любое действие с персональными данными, в т.ч.

их сбор и занесение в материальный хранитель информации (например, в журнал учёта посетителей). Закон разрешает получать согласие в любой форме.

При этом важно, чтобы были соблюдены следующие условия: – во-первых, субъект должен иметь возможность отказаться от предоставления персональных данных; – во-вторых, предоставление персональных данных осуществляется в интересах субъекта; – в-третьих, субъект должен осознавать, для чего он передаёт свои персональные данные, для каких целей. Юридическая группа МИП составит для Вас все документы, жалобы и заявления по промокоду МИП 9. Консультации бесплатные. Услуги по составлению документов платные. Представление интересов в суде тоже платное. По стоимости услуг обратитесь по телефону +7 (495) 228-26-51 г. Москва, Старопименовский переулок 18 nm@advokat-malov.ru  http://advokat-malov.ru/kontakty.html

Дубровина Светлана Борисовна14.12.2021 09:44

Задать дополнительный вопрос

Согласна с коллегой.

Захарова Елена Александровна15.12.2021 10:00

Задать дополнительный вопрос

Источник: https://advokat-malov.ru/zashhita-prav-rabotnikov/hranenie-i-ispolzovanie-personalnyh-dannyh-rabotnikov.html

Персональные данные сотрудников: хранение, обработка, использование — Контур.Бухгалтерия

Персональные данные сотрудников: обеспечение сохранности

Сотрудники кадровых отделов работают с персональными данными работников организации: получают, обрабатывают, хранят и передают сведения. Работа с этой информацией регламентируется законом (ТК РФ и ФЗ №152- ФЗ «О персональных данных»). Нужно знать правила обращения с персональными сведениями, чтобы избежать нарушений и штрафов.

Что относится к персональным данным

Статья 3 Закона  №152-ФЗ говорит, что персональные данные — это информация о лице:

  • ФИО;
  • дата рождения;
  • место рождения;
  • адрес;
  • семейное положение;
  • образование;
  • профессия;
  • доходы.

Приведенный перечень сведений является открытым, его дополняют необходимыми пунктами. Персональные данные нужны работодателю для оформления и поддержания трудовых отношений (см. ст. 85 ТК РФ). Информация о работнике содержится в таких документах:

  • документ, удостоверяющий личность (паспорт, заграничный паспорт, военный билет, временное удостоверение личности);
  • трудовая книжка;
  • СНИЛС;
  • военный билет;
  • документ об образовании;
  • ИНН;
  • водительское удостоверение;
  • медицинская книжка (если требуется).

Важно! Персональные данные работника — конфиденциальная информация. Это значит, что их нельзя разглашать ее без письменного согласия сотрудника (ст. 3 Закона №152-ФЗ).

Обработка персональных данных сотрудника

Обработка персданных — это действия с личной информацией работника, когда работодатель принимает сотрудника в штат или заключает договор ГПХ; работник продвигается по карьерной лестнице и т.д. Во время обработки соблюдайте требования статьи 86 ТК РФ:

  • у обработки должна быть цель и основания;
  • запрещена передача личных сведений работника третьим лицам без его письменного согласия; 
  • персональные сведения передает сам гражданин.

В локальных актах предприятия нужно прописать Правила защиты личных сведений о работниках. Работники обязаны ознакомится с этими правилами и расписаться о согласии с документом. Для порядка и безопасности организации нужно создать положения и приказы для работы с персданными.

Во время проверки у вас должны быть подготовлены: Положение о персональных данных, Заявление работника с согласием на обработку личных данных, Приказ о назначении ответственных за работу с личной информацией работников, Приказ об обеспечении безопасности личных сведений работников.

Категории персональных данных

К первой категории относятся личные сведения о расовой принадлежности, состоянии здоровья, политических взглядах.

Ко второй категории относится информация, благодаря которой можно получить дополнительную информацию о субъекте — номер телефона, семейное положение, прежнее место работы и т.д.

В третьей категории содержится информация, позволяющая идентифицировать работника (ФИО+ паспортные данные).

В последней, четвертой категории находятся общедоступная информация(данные о профессии и квалификации).

Хранение и использование данных о персонале

Работодатель обязан ввести порядок хранения и использования сведений о работниках (ст. 87 ТК РФ). Документы по сотруднику объединяются в личное дело. Порядок хранения и ведения личных дел вводит и контролирует работодатель.

 Личные дела руководителей компании, работников, имеющих государственные звания, и так далее хранятся постоянно. Личные дела других работников храните 75 лет.

 Ответственность по хранению, ведению, учету, выдаче трудовых книжек тоже возлагается на работодателя. 

Правила передачи персданных налагают на работодателя ряд ограничений. Ограничения устанавливаются согласно статье 88 ТК РФ:

  • известите лиц, которые получили доступ к информации о работнике, что ее следует использовать только в тех целях, для которых они были сообщены;
  • передача данных внутри одной компании должна проходить согласно правилам локального акта, с которым работник был ознакомлен;
  • доступ к данным получают только специально уполномоченные лица;
  • запрещено делать запрос о здоровье работника у медицинского учреждения.

Работники имеют право на предоставление полной информации об их личных сведениях и их обработке (кому передавались сведения и для чего).

Также нужно обеспечить сотрудникам свободный доступ к своим личным сведениям и медицинским данным.

Помните, что работник имеет право обжаловать в суде незаконные действия работодателя и привлечь должностное лицо-нарушителя к уголовной или административной ответственности.

Ответственность за нарушение правил работы с личной информацией

В соответствии с ТК РФ, нарушители норм обработки и защиты личных сведений работника привлекаются к разным видам ответственности.

  • К дисциплинарной ответственности относятся замечание, выговор, увольнение. 
  • К административной ответственности относятся предупреждение или штраф от 3 до 5 МРОТ.
  • К материальной ответственности привлекаются работники, которые непосредственно обрабатывают  персональную информацию. В случае незаконного распространения информации сотрудник организации может заявить о моральном вреде и потребовать его возмещения у работодателя. 
  • Уголовная ответственность по ст. 137 УК РФ за незаконное распространение сведений о лице без его согласия предусматривает штраф в сумме до 200 000 рублей, либо обязательные работы от 120 до 180 часов, либо арест до 4 месяцев.

Работа с личными сведениями требует высокого уровня ответственности. Соблюдайте правила и помните о контроле Трудовой инспекции.

Александра Аверьянова

Ведите простой кадровый учет в веб-сервисе Контур.Бухгалтерия. Начисляйте зарплату, легко считайте пособия, удержания и командировочные, автоматически готовьте отчеты по сотрудникам и отправляйте их через интернет. А еще — ведите учет, платите налоги, сдавайте налоговую и бухгалтерскую отчетность и пользуйтесь поддержкой наших экспертов. Первый месяц работы в сервисе — бесплатно.

Источник: https://www.b-kontur.ru/enquiry/420-personalnye-dannye-sotrudnikov

Персональные данные работника: как обеспечить сохранность информации

Персональные данные сотрудников: обеспечение сохранности

К персональным данным работников относится не только информация, которая создается в ходе рабочего процесса, но и любые иные сведения, касающиеся личной жизни как самого сотрудника, так и его семьи.

Что относится к персональным данным работника

Законодательство четко определяет понятие персональных данных. Регулирование и контроль в этой области важны и для работодателя, и для сотрудника фирмы.

Персональные данные в соответствии со статьей 3 Федерального закона от 27.07.2006 №152 «О персональных данных» представляют собой сведения, которые имеют отношение к определенному или определяемому на базе таких сведений гражданину, в том числе его:

  • фамилия, имя и, если есть, отчество;
  • год, месяц, дата и место рождения;
  • адрес регистрации;
  • семейное, социальное и имущественное положение;
  • образование и специальность;
  • доходы и иные сведения.

Этот закон содержит объемный список данных, которые имеют отношение к персональным данным гражданина.

Но, например, сведения о социальном и имущественном статусе человека не имеют отношения к его трудовому процессу. В связи с этим Трудовой кодекс РФ и более точно дает определение персональных данных сотрудника.

Например, согласно статье 85 Трудового кодекса Российской Федерации персональные данные работника — это сведения, которые нужны работодателю для того, чтобы сформировать трудовые отношения с сотрудником его компании. Иными словами, это та информация, которая дает характеристику гражданину как работнику.

Часто возникают ситуации, в ходе которых работодатель нарушает право сотрудников на сохранение конфиденциальности их персональных данных. Одновременно с этим законодательство устанавливает серьезные меры ответственности за игнорирование норм хранения и передачи персональных данных работников. 

Обычно процессом сбора и использования персональных данных сотрудников в компании занимаются специалисты отдела кадров и бухгалтерии. В трудовом договоре с работниками, которые проводят обработку персональных данных, должны быть указаны обязательства о неразглашении.

Какие персональные данные работника нужны кадровой службе

Каких-то показателей, как и точного списка персональных данных сотрудника, Трудовой кодекс Российской Федерации не содержит. Обычно это сведения, требующиеся для формирования трудового договора, составления личной карточки сотрудника, перевода на другую должность компании и т.д.

При выяснении объема и содержания требующихся персональных данных сотрудника директор компании должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и другими федеральными законами. В ходе рабочего процесса руководитель организации использует документы двух видов.

1. Документы, предъявляемые при заключении трудового договора:

  • паспорт или любой другой документ, который подтверждает личность сотрудника;
  • трудовая книжка;
  • СНИЛС;
  • военный билет;
  • диплом об образовании, свидетельства о прохождении курсов повышения квалификации, документы, подтверждающие наличие специальных знаний;
  • другие документы, наличие которых предусматривается на законодательном уровне.

Эти виды документов предоставляют следующую информацию о сотруднике: фотографию, полное имя, фамилию и, если есть, отчество, дату и место рождения сотрудника, семейное положение, наличие детей, отношение к воинской службе, гражданство, город и место, в котором было получено образование, профессию сотрудника.

2. Документы, создаваемые работодателем

Документацию данной группы создаются работодателем. Трудовая книжка сотрудника может быть причислена к любой группе. Это зависит от того, была ли она у работника до того момента, как он пришел устраиваться на работу в данную организацию. На законодательном уровне она именуется как «первичная учетная документация по учету труда и его оплаты».

К подзаконным актам относят распоряжения о:

  • приеме сотрудника на определенную должность в компанию;
  • переводе работника на другую должность, в другое подразделение компании;
  • расторжении трудового договора с сотрудником;
  • премировании работника.

Также к ним относятся:

  • личная карточка сотрудника;
  • документация по выплатам сотрудникам заработной платы.

Помимо данных, которые дублируют информацию из первой группы документации, эти акты включают в себя сведения об общем и непрерывающемся трудовом стаже сотрудника, о датах приема на должность в компанию и о датах перевода на другую должность или в другое подразделение организации, о прохождении аттестации и ее результатах, о прохождении курсов повышения квалификации, о премировании работников, о видах и сроках отпусков, о социальных льготах, правом на которые обладает сотрудник.

Список документов, из которых работодатель может узнать персональные данные сотрудника, находится в свободном доступе. Помимо этого, в зависимости от особенностей ситуации сведения могут быть озвучены работникам в устной форме или прописаны в разнообразных анкетах. Основная часть бумаг, в которых указаны персональные данные сотрудника, находится в его личном деле.

Как должна проходить обработка персональных данных работника

Так как персональные данные работника являются сведениями, с которыми необходимо в дальнейшем совершать действия (например, сотрудникам в отделе кадров), на законодательном уровне внедрено такое понятие, как «обработка персональных данных», которое устанавливает определенные условия при работе с ними.

При работе с персональными данными необходимо соблюдать нормы, установленные российским законодательством. При работе с документацией, базами данных нужен грамотный, четкий и системный подход. Все должно быть разложено по полочкам, храниться в положенном месте и в течение определенного срока.

Залогом успеха организации такой работы будут аккуратность ответственного сотрудника, а также четкие указания руководителя.

В процессе обработки массива данных используют математические и компьютерные модели, статистические методы, которые помогают анализировать информацию в случае необходимости и приходить к определенным выводам.

Согласие на обработку персональных данных работника может быть отозвано их субъектом. Однако в случаях, установленных Законом № 152‑ФЗ, обработка может осуществляться и без согласия работника.

Статья 86 Трудового кодекса Российской Федерации определяет следующие требования к использованию персональных данных сотрудника, предъявляемые к предпринимателю (логично, что и к сотруднику отдела кадров) и нацеленные в первую очередь на сохранение конфиденциальности персональных данных.

  1. Обработка персональных данных работника может осуществляться в строго определенных целях, а именно, для выполнения действующего на сегодняшний день законодательства, помощи сотрудникам в устройстве на работу, обеспечения личной безопасности сотрудников, контроля уровня качества осуществляемого рабочего процесса, гарантии сохранности имущества. Таким образом, в каких-либо иных целях использование персональных данных работника запрещено. Независимо от целей проведения такой процедуры субъект, личные данные которого подвергаются анализу и проверяются, должен дать своё согласие на обработку.
  2. Сущность такой обработки регулируется нормативно-правовыми актами, при определении объема и содержания обрабатываемых персональных данных работодатель должен руководствоваться действующим законодательством. Следовательно, информация, которая не дает никакой характеристики человеку как специалисту, не может быть запрошена у него или разглашена третьей стороне и т.д.
  3. Значимое условие, которое на практике часто игнорируется, зафиксировано в пункте 3 статьи 86 Трудового кодекса Российской Федерации: все персональные данные работника должны быть получены от него самого. В ситуации, когда указанную информацию можно получить только у третьего лица, сотрудника необходимо поставить об этом в известность заблаговременно. Но одного предупреждения будет недостаточно, требуется также взять с него согласие в письменной форме. При разговоре с работником нужно рассказать ему о целях, предполагаемых источниках и методах получения его персональных данных, о характере этой информации и о последствиях. Если при работе с персональными данными согласие сотрудника в письменной форме отсутствует, такая обработка становится незаконной.
  4. Во всех случаях работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и о частной жизни. Следует помнить о том, что если запрет на использование и сбор персональных данных работника о его политических и религиозных мнениях является безусловным, то Трудовой кодекс Российской Федерации допускает получение информации о личной жизни, но только в тех ситуациях, которые имеют связь с рабочим процессом, и исключительно с согласия самого работника, данного в письменной форме. В таком случае работодатель сможет оперировать вышеуказанными данными сотрудника, которые могут быть полезны при разработке систем мотивации, элементов корпоративной культуры и в прочих случаях.
  5. Работодателю запрещается получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или о его профсоюзной деятельности. Как бы ни хотелось многим работодателям собирать и использовать такую информацию, законом это запрещено.
  6. При принятии решений, затрагивающих интересы работника, нельзя основываться на его персональных данных, собранных исключительно путем их автоматизированной обработки или электронного сбора. Указанный запрет имеет связь с тем, что собранные персональные данные работника могут быть применены не в том контексте. В каждом случае следует руководствоваться сведениями, которые были получены при помощи использования комплексного способа сбора информации. В любом случае, какой бы продвинутой ни была система, она не может учесть человеческий фактор. Поэтому нужно анализировать все предварительные данные, полученные автоматизированным способом.
  7. Защита персональных данных от их неправомерного использования или утраты обеспечивается работодателем за счет его средств и в порядке, зафиксированном в Трудовом кодексе Российской Федерации и в прочих федеральных законах.
  8. Работники и их представители должны быть ознакомлены под подпись с документами работодателя, устанавливающими порядок обработки персональных данных, а также о своих правах и обязанностях в этой сфере. Это могут быть положение, инструкция и др. Если при трудоустройстве вновь принятого на работу сотрудника не ознакомили с этими документами, это означает, что работодатель нарушает действующие нормативно-правовые акты.
  9. Работники не должны отказываться от своих прав на сохранение и защиту тайны. Если в трудовом договоре будет прописано условие о том, что сотрудник отказывается от данного права, то в этой части документ не может считаться действительным. Он не имеет юридической силы, так как противоречит законодательству РФ.
  10. Работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных. Примером таких мер является принятие локальных нормативных документов о персональных данных работников. В результате такой совместной работы повышается качество внутренних актов.

Хранение и использование персональных данных работника

В соответствии со статьей 87 Трудового кодекса Российской Федерации директор компании обязан утвердить порядок хранения и обработки персональных данных сотрудников.

Данные правила могут быть закреплены в локальной нормативной документации о персональных данных работников.

При этом эти нормы должны соответствовать требованиям, установленным Трудовым кодексом Российской Федерации и прочими федеральными законами.

Кроме того, при составлении документации нужно ориентироваться на примерные формы из открытых источников. Например, для разработки положения о персональных данных работников существует образец.

Ключевая документация, которая содержит персональные данные сотрудника, обычно формирует его личное дело.

Источник: https://www.gd.ru/articles/9273-personalnye-dannye-rabotnika

5 шагов по организации учета и хранения персональных данных

Персональные данные сотрудников: обеспечение сохранности

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Работодатель, принимая сотрудника на работу, должен запросить у него определенные сведения, которые необходимы в рамках трудового, налогового и бухгалтерского законодательства.

Федеральный закон от 27.07.

2006 № 152-ФЗ «О персональных данных» требует от работодателя, который в данном случае является оператором персональных данных и выполняет их обработку, обеспечить безопасность этой информации.

Какие данные являются персональными

Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», далее — Закон о персональных данных).

К общим персональным данным можно отнести следующие сведения:

  • фамилия, имя, отчество;
  • дата и место рождения;
  • адрес (место регистрации);
  • образование, профессия;
  • изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (Разъяснения Роскомнадзора от 30 августа 2013 года «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»);
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);
  • финансовое положение. Сведения о заработной плате также являются персональными данными (письмо Роскомнадзора от 07.02.2014 № 08КМ-3681);
  • деловые и иные личные качества, которые носят оценочный характер;
  • прочие сведения, которые могут идентифицировать человека.

Кроме того, в Законе о персональных данных упоминаются:

  • специальные персональные данные (касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни). По общему правилу обработка этих данных не допускается. Исключение — случаи, предусмотренные частью 2 статьи 10 Закона о персональных данных;
  • биометрические персональные данные (характеризуют физиологические и биологические особенности человека, на основании которых можно идентифицировать его личность). Для обработки таких сведений необходимо согласие субъекта персональных данных. Исключение — случаи, установленные ч. 2 ст. 11 Закона о персональных данных.

Работодатель вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора (например, сведения о социальном и имущественном статусе человека не имеют отношения к его трудовому процессу). Эта информация содержится в следующих документах, предъявляемых работником при приеме на работу:

  • в паспорте или ином документе, удостоверяющем личность;
  • трудовой книжке;
  • документах о воинском учете, образовании, составе семьи;
  • справке о доходах с предыдущего места работы;
  • анкете, заполняемой при трудоустройстве;
  • личной карточке работника (форма Т-2);
  • свидетельствах о заключении брака, рождении ребенка;
  • медицинских справках и др.

У работодателя хранятся копии перечисленных документов, за исключением анкет, трудовых книжек и личных карточек.

Обработка персональных данных

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение данных (ст. 3 Закона о персональных данных).

Закон о персональных данных обязывает работодателя соблюдать определенные требования по обработке этих данных. Например, обработка персональных данных осуществляется только с согласия работника (п. 1 ст. 6, ст. 9 Закона о персональных данных). Во избежание судебных споров лучше, если это согласие будет оформлено письменно. То же самое правило действует в отношении соискателей.

В некоторых случаях письменная форма согласия прямо предусмотрена законом (ч. 4 ст. 9 Закона о персональных данных). Например, письменное согласие работника на обработку его персональных данных требуется:

1) при получении персональных данных работника у третьей стороны (п. 3 ст. 86 ТК РФ). Но в этом случае работника нужно предварительно уведомить об этом и получить его письменное согласие (п. 3 ст. 86 ТК РФ).

В уведомлении необходимо указать (п. 3 ст. 86 ТК РФ):

  • цели получения персональных данных работника у третьего лица;
  • предполагаемые источники информации (лица, у которых будут запрашиваться данные);
  • способы получения данных, их характер;
  • возможные последствия отказа работодателю в получении персональных данных работника у третьего лица. При отказе работника ознакомиться с уведомлением о предполагаемом получении его персональных данных у другого лица целесообразно составить соответствующий акт.

Если работник передумал, то в любое время вправе отозвать согласие на обработку персональных данных (ч. 2 ст. 9 Закона о персональных данных).

В такой ситуации продолжение обработки персональных данных работника без его согласия возможно при наличии веских причин. Они перечислены в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10, части 2 статьи 11 Закона о персональных данных (ч. 2 ст. 9 Закона о персональных данных).

Определенную информацию (которая не имеет отношения к перечисленным в пункте 1 статьи 86 ТК РФ целям), работодатель не вправе запрашивать у третьих лиц даже, если работник согласен.

2) при передаче персональных данных работника третьим лицам, кроме тех случаев, когда это необходимо для предупреждения угрозы жизни и здоровью работника (абз. 2 ст. 88 ТК РФ);

3) для обработки специальных категорий персональных данных работника, непосредственно связанных с вопросами трудовых отношений (п. 4 ст. 86 ТК РФ, п. 1 ч. 2 ст. 10 Закона о персональных данных). К этим данным относятся сведения о расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни.

При недееспособности работника письменное согласие на обработку его данных дает его законный представитель (родитель, опекун) (ч. 6 ст. 9 Закона о персональных данных). А в случае смерти работника такое согласие оформляют его наследники, если только оно не было получено от самого работника при его жизни (ч. 7 ст. 9 Закона о персональных данных).

Не во всех случаях требуется согласие работника на обработку персональных данных. Например, в том случае, если данные получены (п. 2 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 Закона о персональных данных, абз. 1 Разъяснений Роскомнадзора):

  1.  из документов (сведений), предъявляемых при заключении трудового договора;
  2. по результатам обязательного предварительного медицинского осмотра о состоянии здоровья (ст. 69 ТК РФ, п. 3 Разъяснений Роскомнадзора от 14 декабря 2012 года «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», далее — Разъяснения Роскомнадзора от 14.12.2012);
  3. в объеме, предусмотренном унифицированной формой № Т-2, в том числе персональных данных близких родственников, и в иных случаях, установленных законодательством РФ (получение алиментов, оформление допуска к государственной тайне, оформление социальных выплат) (п. 2 Разъяснений Роскомнадзора от 14.12.2012);
  4. от кадрового агентства, действующего от имени соискателя (абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012);
  5. от соискателя, который сам разместил свое резюме в Интернете, сделав его доступным неограниченному кругу лиц (п. 10 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ, абз. 12 п. 5 Разъяснений Роскомнадзора от 14.12.2012).

Работодатель с согласия работника может поручить обработку его персональных данных другому лицу (ч. 3 ст. 6 Закона о персональных данных, абз. 2 п. 5 Разъяснений Роскомнадзора от 14.12.2012). Но при этом именно работодатель несет ответственность перед работником за действия указанного лица (ч. 5 ст. 6 Закона о персональных данных).

Вебинары для бухгалтеров в Контур.Школе: изменения законодательства, особенности бухгалтерского и налогового учета, отчетность, зарплата и кадры, кассовые операции.

Организация учета и хранения персональных данных

Работодатель должен обеспечивать защиту персональных данных работника от неправомерного их использования или утраты за счет своих средств (п. 7 ст. 86 ТК РФ).

Разберем пошагово действия работодателя по учету и хранению персональных данных в организации.

Шаг 1. Работодатель должен издать локальный акт, который будет регулировать порядок хранения и использования персональных данных. Таким актом обычно является Положение о персональных данных работников, с которым работники должны быть ознакомлены под подпись (п. 8 ст. 86 ТК РФ).

Ознакомиться с Положением о персональных данных, как и с остальными локальными нормативными актами, работник должен до подписания трудового договора (ст. 68 ТК РФ). Ознакомить работника с документом путем рассылки его по электронной почте нельзя, это не будет считаться ознакомлением под подпись.

При отсутствии подписи работника работодатель не сможет доказать, что работник был ознакомлен с данным документом.

Положение о персональных данных, как и любой другой локальный нормативный акт, издается и утверждается приказом, который подписывает руководитель организации или иное уполномоченное на это лицо. 

В случае проверки организации, проверяющие органы могут запросить данный документ и проверить, ознакомлены ли с ним работники.

Отсутствие такого документа или неознакомление работников с ним может являться основанием для привлечения работодателя к ответственности согласно части 1 статьи 5.27 КоАП РФ, а в случае совершения аналогичного нарушения повторно — по части 2 статьи 5.27 КоАП РФ.

Такой вывод также подтверждается судебной практикой (Постановление ФАС Московского округа от 26.10.2006 № КА-А40/10220-06 № А40-20745/06-148-194).

Шаг 2. Работодатель утверждает документ, содержащий перечень персональных данных, которые используются в деятельности организации. В этот документ включаются все сведения, которые работник письменно сообщает о себе при поступлении на работу, а также используемые в дальнейшем при оформлении кадровой документации.

Помимо этого в перечне должны быть указаны документы, содержащие те сведения о сотрудниках, которые организация представляет в различные государственные органы (налоговую и трудовую инспекции, органы статистики).

Шаг 3. Работодатель приказом должен назначить ответственных за работу с персональными данными и ответственных за обеспечение безопасности персональных данных.

Таким ответственным может быть как конкретное лицо, так и подразделение. В последнем случае личную ответственность несет руководитель такого подразделения.

Этот приказ необходимо довести до сведения всех указанных в нем сотрудников, что должно подтверждаться их подписью.

Шаг 4. На случай проверки во избежание споров с проверяющими лучше подготовить следующие документы:

  • заявления работников о согласии на обработку персональных данных;
  • журналы учета персональных данных, их выдачи и передачи другим лицам и представителям различных организаций, государственным органам;
  • журнал проверок наличия документов, содержащих персональные данные работника.

Шаг 5. Приказом руководителя организации установить перечень мест хранения документации, являющейся носителем персональных данных работников, а также перечень мер, необходимых для обеспечения сохранности персональных данных, порядок их принятия.

Все документы, содержащие персональные данные работников, такие как личные дела, картотеки, учетные журналы, следует хранить в специально оборудованных шкафах или сейфах, которые запираются и опечатываются.

Трудовые книжки работников нужно хранить в сейфе отдельно от личных дел.

Подведем итоги

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

  • от всех ли работников получено согласие на обработку персональных данных;
  • ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
  • должным ли образом осуществляется хранение и защита персональных данных;
  • соответствует ли документация об их обработке требованиям законодательства и т.д.

Источник: https://school.kontur.ru/publications/1583

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.