Должность работника является персональными данными

Персональные данные работника

Должность работника является персональными данными

* Документы кадровой службы
* локальные нормативные акты, порядок разработки и принятия
* штатное расписание
* график отпусков
* график отпусков на следующий год – вопросы декабря, имеется еще время доработать!
* правила внутреннего трудового распорядка
* коллективный договор
* положение об оплате труда
документы, устанавливающие порядок обработки персональных данных
* должностные инструкции, кем разрабатываются их форма и содержание
* порядок изменения должностной инструкции
* варианты должностных инструкций
* этапы разработки положений о структурных подразделениях, согласование и подписание
* планы работы отдела кадров, движение персонала и его анализ

Защита персональных данных сотрудников организации

Персональные данные – это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных). В контексте трудовых отношений персональные данные – это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника (ст.85 ТК РФ).

В соответствии со ст.3 Федерального закона №152-Ф3 (2007г.) “О защите персональных данных”, к персональным данным относятся:- фамилия, имя, отчество;- год, месяц, дата и место рождения;- адрес;- семейное, социальное, имущественное положение;- образование;- профессия;- доходы;- другая информация.

Работодатель обязан осуществить сбор, хранение и обработку персональных данных в строгом соответствии с требованиями законодательства. Для регламентации всех вопросов, связанных с охраной персональных данных работников, в организации должен быть разработан и принят соответствующий документ.

ДОКУМЕНТЫ, УСТАНАВЛИВАЮЩИЕ ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВЭти документы – новшество ТК РФ.

Если ранее за отсутствие таких локальных нормативных актов не наказывали, то статьей 90 ТК РФ установлено, что виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, лица несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность.

Поскольку ТК РФ говорит о документах, устанавливающих порядок обработки персональных данных во множественном числе, то таких документов должно быть как минимум два: – Положение о защите персональных данных работников (утверждается и вводится в действие приказом руководителя организации) – Обязательство о неразглашении персональных данных работников (подписывается теми, кто имеет доступ к таким данным (сотрудниками отдела кадров, бухгалтерии, службы охраны и др.).Проверив наличие документов по защите персональных данных работников, государственный инспектор по труду поинтересуется, как в организации собираются данные о работниках (насколько законно). По общему правилу всю информацию о работнике можно узнать только у него самого. Если приходится обращаться в другие организации, даже для того, чтобы просто поинтересоваться, работал ли там человек, не говоря уже о получении о нем каких-то оценочных данных, необходимо получить письменное согласие работника.В связи с этим кадровики идут на хитрость. При поступлении на работу работник заполняет анкету, содержащую пункт следующего содержания: “не возражаю против получения данных обо мне в…”, а затем сам вписывает те организации, в которые работодатель может обратиться за получением сведений о нем. Иногда в анкете указывается отдельной строчкой: “Не возражаю против проверки представленных данных”.Будьте очень осторожны, если у вас спрашивают персональные сведения о работнике, который когда-то у вас работал. Уже имеются случаи, когда работники подают в суд за разглашение их персональных данных. Ни в коем случае нельзя давать подобную информацию по телефону. Обязательно попросите заявление о передаче данных о работнике от самого работника или запрос от работодателя с приложением письменного согласия работника. Если персональные данные о работнике требуют сотрудники милиции или других контролирующих организаций попросите письменный запрос, а если они пришли к вам лично – служебное удостоверение и приказ, где указаны цели сбора подобной информации.ТК РФ требует знакомить работников под расписку с документами организации, устанавливающими порядок обработки персональных данных работников. Кто разрабатывает эти документы и как они должны называться?С вступлением в силу ТК. РФ перед работниками кадровых служб была поставлена задача защиты персональных данных работников от неправомерного их использования или утраты (гл. 14 ТК РФ).Порядок хранения и использования персональных данных работников в организации устанавливается работодателем (ст. 87 ТК РФ).Передача персональных данных работников в пределах одной организации должна осуществляться в соответствии с локальным нормативным актом организации, с которым работник должен быть ознакомлен под расписку (ст. 88 ТК РФ).Локальный нормативный акт, связанный с проблемой сбора, обработки, передачи, хранения и защиты от несанкционированного доступа персональных данных работника, разрабатывается кадровой службой организации в виде положения, инструкции, правил или в какой-либо другой форме.Круг лиц, участвующих в согласовании, устанавливается по усмотрению организацииКак и все документы этой группы, положение (инструкция, правила) должно быть подписано разработчиком (руководителем кадровой службы) и утверждено работодателем. Работодатель может утвердить документ лично, расписавшись в грифе утверждения, или издать приказ, об утверждении данного документа и вводе его в действие.Наряду с названным локальным нормативным актом следует разработать форму обязательства о неразглашении персональных данных работника, т. к. лица, получающие персональные данные, обязаны соблюдать режим секретности (конфиденциальности), о чем прямо сказано в ст. 88 ТК РФ.

ИНСТРУКЦИЯ по правилам обработки, хранения и передачи персональных данных работника (вариант)

I. Общие положения.Нормативной базой, регламентирующей положения настоящей Инструкции, является статья 24 Конституции Российской Федерации, глава 14 Трудового кодекса Российской Федерации, статья 137 Уголовного кодекса Российской Федерации. II. К персональным данным работника, необходимым работодателю всвязи с трудовыми отношениями относятся:- сведения об образовании;- сведения о предыдущем месте работы, опыте работы и занимаемой должности;- сведения о составе семьи и наличии иждивенцев;- сведения о состоянии здоровья и наличии заболеваний (когда это необходимо в случаях, установленных законом);- сведения об отношении к воинской обязанности;III. Порядок обработки персональных данных работника.1. При обработке персональных данных работника то есть их получении, хранении, комбинировании, передаче или любом другом использовании персональных данных работника, сотрудники отдела кадров обязаны соблюдать следующие общие требования:1.1. Обрабатывать персональные данных работника может исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;1.2. Все персональные данные работника следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие;1.3. Сотрудник отдела кадров не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни, членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев непосредственно связанных с вопросами трудовых отношений с письменного согласия работника, а также случаев предусмотренных федеральным законом;1.4. Персональную ответственность за соблюдение всеми сотрудниками отдела кадров настоящей Инструкции, а также контроль за ее соблюдением возложен на Начальника отдела кадров (ФИО)1.5. Все сотрудники отдела кадров должны быть ознакомлены с настоящей Инструкцией под расписку.IV. Хранение персональных данных работников.Хранения документов содержащих персональные данные работник осуществляется в несгораемых шкафах (сейфах), ключи от которых находятся у Начальника отдела кадров, а в его отсутствие у лица его замещающего. Другие сотрудники отдела кадров могут использовать данные документы только с разрешения вышеназванных лиц. V. Передача персональных данных работника.1. При передаче персональных данных работника сотрудник отдела кадров должен соблюдать следующие требования:1.1. Не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом, а также не сообщать соответствующие сведения в коммерческих целях без письменного согласия работника;1.2. При передаче персональных данных работников предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены.1.3. Сотруднику отдела кадров разрешается доступ только к тем персональным данным работников, которые необходимы для выполнения им его должностных обязанностей;1.4. Сотрудник отдела кадров не имеет права запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;VI. Ответственность.

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

Источник: http://www.bizneshaus.ru/person.html

Персональные данные работника: как обеспечить сохранность информации

Должность работника является персональными данными

К персональным данным работников относится не только информация, которая создается в ходе рабочего процесса, но и любые иные сведения, касающиеся личной жизни как самого сотрудника, так и его семьи.

Что относится к персональным данным работника

Законодательство четко определяет понятие персональных данных. Регулирование и контроль в этой области важны и для работодателя, и для сотрудника фирмы.

Персональные данные в соответствии со статьей 3 Федерального закона от 27.07.2006 №152 «О персональных данных» представляют собой сведения, которые имеют отношение к определенному или определяемому на базе таких сведений гражданину, в том числе его:

  • фамилия, имя и, если есть, отчество;
  • год, месяц, дата и место рождения;
  • адрес регистрации;
  • семейное, социальное и имущественное положение;
  • образование и специальность;
  • доходы и иные сведения.

Этот закон содержит объемный список данных, которые имеют отношение к персональным данным гражданина.

Но, например, сведения о социальном и имущественном статусе человека не имеют отношения к его трудовому процессу. В связи с этим Трудовой кодекс РФ и более точно дает определение персональных данных сотрудника.

Например, согласно статье 85 Трудового кодекса Российской Федерации персональные данные работника — это сведения, которые нужны работодателю для того, чтобы сформировать трудовые отношения с сотрудником его компании. Иными словами, это та информация, которая дает характеристику гражданину как работнику.

Часто возникают ситуации, в ходе которых работодатель нарушает право сотрудников на сохранение конфиденциальности их персональных данных. Одновременно с этим законодательство устанавливает серьезные меры ответственности за игнорирование норм хранения и передачи персональных данных работников. 

Обычно процессом сбора и использования персональных данных сотрудников в компании занимаются специалисты отдела кадров и бухгалтерии. В трудовом договоре с работниками, которые проводят обработку персональных данных, должны быть указаны обязательства о неразглашении.

Какие персональные данные работника нужны кадровой службе

Каких-то показателей, как и точного списка персональных данных сотрудника, Трудовой кодекс Российской Федерации не содержит. Обычно это сведения, требующиеся для формирования трудового договора, составления личной карточки сотрудника, перевода на другую должность компании и т.д.

При выяснении объема и содержания требующихся персональных данных сотрудника директор компании должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и другими федеральными законами. В ходе рабочего процесса руководитель организации использует документы двух видов.

1. Документы, предъявляемые при заключении трудового договора:

  • паспорт или любой другой документ, который подтверждает личность сотрудника;
  • трудовая книжка;
  • СНИЛС;
  • военный билет;
  • диплом об образовании, свидетельства о прохождении курсов повышения квалификации, документы, подтверждающие наличие специальных знаний;
  • другие документы, наличие которых предусматривается на законодательном уровне.

Эти виды документов предоставляют следующую информацию о сотруднике: фотографию, полное имя, фамилию и, если есть, отчество, дату и место рождения сотрудника, семейное положение, наличие детей, отношение к воинской службе, гражданство, город и место, в котором было получено образование, профессию сотрудника.

2. Документы, создаваемые работодателем

Документацию данной группы создаются работодателем. Трудовая книжка сотрудника может быть причислена к любой группе. Это зависит от того, была ли она у работника до того момента, как он пришел устраиваться на работу в данную организацию. На законодательном уровне она именуется как «первичная учетная документация по учету труда и его оплаты».

К подзаконным актам относят распоряжения о:

  • приеме сотрудника на определенную должность в компанию;
  • переводе работника на другую должность, в другое подразделение компании;
  • расторжении трудового договора с сотрудником;
  • премировании работника.

Также к ним относятся:

  • личная карточка сотрудника;
  • документация по выплатам сотрудникам заработной платы.

Помимо данных, которые дублируют информацию из первой группы документации, эти акты включают в себя сведения об общем и непрерывающемся трудовом стаже сотрудника, о датах приема на должность в компанию и о датах перевода на другую должность или в другое подразделение организации, о прохождении аттестации и ее результатах, о прохождении курсов повышения квалификации, о премировании работников, о видах и сроках отпусков, о социальных льготах, правом на которые обладает сотрудник.

Список документов, из которых работодатель может узнать персональные данные сотрудника, находится в свободном доступе. Помимо этого, в зависимости от особенностей ситуации сведения могут быть озвучены работникам в устной форме или прописаны в разнообразных анкетах. Основная часть бумаг, в которых указаны персональные данные сотрудника, находится в его личном деле.

Как должна проходить обработка персональных данных работника

Так как персональные данные работника являются сведениями, с которыми необходимо в дальнейшем совершать действия (например, сотрудникам в отделе кадров), на законодательном уровне внедрено такое понятие, как «обработка персональных данных», которое устанавливает определенные условия при работе с ними.

При работе с персональными данными необходимо соблюдать нормы, установленные российским законодательством. При работе с документацией, базами данных нужен грамотный, четкий и системный подход. Все должно быть разложено по полочкам, храниться в положенном месте и в течение определенного срока.

Залогом успеха организации такой работы будут аккуратность ответственного сотрудника, а также четкие указания руководителя.

В процессе обработки массива данных используют математические и компьютерные модели, статистические методы, которые помогают анализировать информацию в случае необходимости и приходить к определенным выводам.

Согласие на обработку персональных данных работника может быть отозвано их субъектом. Однако в случаях, установленных Законом № 152‑ФЗ, обработка может осуществляться и без согласия работника.

Статья 86 Трудового кодекса Российской Федерации определяет следующие требования к использованию персональных данных сотрудника, предъявляемые к предпринимателю (логично, что и к сотруднику отдела кадров) и нацеленные в первую очередь на сохранение конфиденциальности персональных данных.

  1. Обработка персональных данных работника может осуществляться в строго определенных целях, а именно, для выполнения действующего на сегодняшний день законодательства, помощи сотрудникам в устройстве на работу, обеспечения личной безопасности сотрудников, контроля уровня качества осуществляемого рабочего процесса, гарантии сохранности имущества. Таким образом, в каких-либо иных целях использование персональных данных работника запрещено. Независимо от целей проведения такой процедуры субъект, личные данные которого подвергаются анализу и проверяются, должен дать своё согласие на обработку.
  2. Сущность такой обработки регулируется нормативно-правовыми актами, при определении объема и содержания обрабатываемых персональных данных работодатель должен руководствоваться действующим законодательством. Следовательно, информация, которая не дает никакой характеристики человеку как специалисту, не может быть запрошена у него или разглашена третьей стороне и т.д.
  3. Значимое условие, которое на практике часто игнорируется, зафиксировано в пункте 3 статьи 86 Трудового кодекса Российской Федерации: все персональные данные работника должны быть получены от него самого. В ситуации, когда указанную информацию можно получить только у третьего лица, сотрудника необходимо поставить об этом в известность заблаговременно. Но одного предупреждения будет недостаточно, требуется также взять с него согласие в письменной форме. При разговоре с работником нужно рассказать ему о целях, предполагаемых источниках и методах получения его персональных данных, о характере этой информации и о последствиях. Если при работе с персональными данными согласие сотрудника в письменной форме отсутствует, такая обработка становится незаконной.
  4. Во всех случаях работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и о частной жизни. Следует помнить о том, что если запрет на использование и сбор персональных данных работника о его политических и религиозных мнениях является безусловным, то Трудовой кодекс Российской Федерации допускает получение информации о личной жизни, но только в тех ситуациях, которые имеют связь с рабочим процессом, и исключительно с согласия самого работника, данного в письменной форме. В таком случае работодатель сможет оперировать вышеуказанными данными сотрудника, которые могут быть полезны при разработке систем мотивации, элементов корпоративной культуры и в прочих случаях.
  5. Работодателю запрещается получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или о его профсоюзной деятельности. Как бы ни хотелось многим работодателям собирать и использовать такую информацию, законом это запрещено.
  6. При принятии решений, затрагивающих интересы работника, нельзя основываться на его персональных данных, собранных исключительно путем их автоматизированной обработки или электронного сбора. Указанный запрет имеет связь с тем, что собранные персональные данные работника могут быть применены не в том контексте. В каждом случае следует руководствоваться сведениями, которые были получены при помощи использования комплексного способа сбора информации. В любом случае, какой бы продвинутой ни была система, она не может учесть человеческий фактор. Поэтому нужно анализировать все предварительные данные, полученные автоматизированным способом.
  7. Защита персональных данных от их неправомерного использования или утраты обеспечивается работодателем за счет его средств и в порядке, зафиксированном в Трудовом кодексе Российской Федерации и в прочих федеральных законах.
  8. Работники и их представители должны быть ознакомлены под подпись с документами работодателя, устанавливающими порядок обработки персональных данных, а также о своих правах и обязанностях в этой сфере. Это могут быть положение, инструкция и др. Если при трудоустройстве вновь принятого на работу сотрудника не ознакомили с этими документами, это означает, что работодатель нарушает действующие нормативно-правовые акты.
  9. Работники не должны отказываться от своих прав на сохранение и защиту тайны. Если в трудовом договоре будет прописано условие о том, что сотрудник отказывается от данного права, то в этой части документ не может считаться действительным. Он не имеет юридической силы, так как противоречит законодательству РФ.
  10. Работодатели, работники и их представители должны совместно вырабатывать меры защиты персональных данных. Примером таких мер является принятие локальных нормативных документов о персональных данных работников. В результате такой совместной работы повышается качество внутренних актов.

Хранение и использование персональных данных работника

В соответствии со статьей 87 Трудового кодекса Российской Федерации директор компании обязан утвердить порядок хранения и обработки персональных данных сотрудников.

Данные правила могут быть закреплены в локальной нормативной документации о персональных данных работников.

При этом эти нормы должны соответствовать требованиям, установленным Трудовым кодексом Российской Федерации и прочими федеральными законами.

Кроме того, при составлении документации нужно ориентироваться на примерные формы из открытых источников. Например, для разработки положения о персональных данных работников существует образец.

Ключевая документация, которая содержит персональные данные сотрудника, обычно формирует его личное дело.

Источник: https://www.gd.ru/articles/9273-personalnye-dannye-rabotnika

Как защитить персональные данные сотрудников и не попасть на повышение штрафов с 1 июля 2017 года

Должность работника является персональными данными

ФИО и любая другая личная информация о гражданине – это персональные данные.

Если у компании есть сотрудники, либо хранятся персональные данные клиентов или других физических лиц, она должна выполнять требования Федерального закона № 152-ФЗ «О персональных данных».

За их соблюдением строго следит Роскомнадзор. Требований много, и ответственность за их несоблюдение предусмотрена серьезная.

Как защитить персональные данные сотрудников и клиентов и правильно организовать работу с персональными данными, чтобы избежать штрафов, читайте в нашей публикации.

Что такое персональные данные?

Согласно закону № 152-ФЗ, персональные данные – это любая информация, которая прямо или косвенно относится к определенному или определяемому физическому лицу. То есть о персональных данных можно говорить, если по информации или ее совокупности можно понять, о ком именно идет речь. Если же идентифицировать личность нельзя, то такие сведения нельзя отнести к персональным данным.

Исчерпывающего списка персональных данных в законодательстве не приводится. Относятся данные к персональным или не относятся, решается в каждой ситуации отдельно.

Но обычно к ним принято относить:

  • фамилию, имя, отчество;
  • адрес проживания;
  • электронный адрес;
  • номер телефона;
  • дата рождения;
  • место рождения;
  • национальность;
  • вероисповедание;
  • место работы;
  • должность;
  • рост;
  • вес;
  • и т.д.

Как должен защищать персональные данные отдел кадров

Обязанности в сфере защиты персональных данных отделом кадров четко прописаны в главе 14 Трудового кодекса РФ и ст. 18.1 Закона № 152-ФЗ.

Итак, кадровым сотрудникам следует:

  1. Проходить обучение, повышать квалификацию по обработке персональных данных (если работодатель ответственно относится к вопросу соблюдения кадровой службой законодательства о персональных данных – он потратится на учебу).
  2. Осуществлять все действия с персональными данными (документами, содержащими персональные данные) только с письменного согласия работника. Кстати, сообщение информации о работе того или иного сотрудника кредитным организациям по телефону также должно быть произведено только с письменного согласия работника.
  3. Знакомить перед заключением трудового договора сотрудников с локальным нормативным актом, определяющим порядок обработки персональных данных в компании.
  4. Соблюдать режим ограниченного допуска к персональным данным (разграничивать доступ между специалистами по кадрам в соответствии с функционалом, использовать в работе запирающиеся шкафы, сейфы, запирающие и блокирующие устройства).

Как избежать претензий со стороны контролирующих органов и сотрудников

Во-первых, необходимо выяснить состав физических лиц, чьи персональные данные обрабатываются.

Если компания имеет дело лишь с персональными данными:

  • сотрудников, работающих по трудовым договорам;
  • работающих по договорам ГПХ;
  • и иными физическими лицами.

Когда обработка персональных данных отделом кадров ограничивается лишь фамилией, именем и отчеством – достаточно разработать единый комплексный документ, определяющий политику компании в области обработки персональных данных, как работников, так и иных лиц, вступающих в отношения с компанией и чьи персональные данные обрабатываются.

Если круг субъектов и перечень персональных данных шире (например, компания занимается обработкой и хранением персональных данных своих клиентов), то ограничиться локальными нормативными актами не получится. В таком случае Закон № 152-ФЗ обязывает компанию:

  1. уведомить Роскомнадзор о намерении обрабатывать персональные данные;
  2. подготовить перечень документов, определяющий порядок обработки и защиты персональных данных. Перечень таких документов достаточно обширный. Практика показывает, что это:
    • Приказ о назначении ответственного за организацию обработки персональных данных;
    • Документ, определяющий политику оператора в отношении обработки персональных данных;
    • Согласия сотрудников на обработку персональных данных (в т.ч. на передачу третьим лицам и получение у третьих лиц);
    • Документ, содержащий положения о принятии оператором правовых, организационных и технических мер для защиты персональных данных;
    • Документы по организации приема и обработке обращений и запросов субъектов персональных данных;
    • Документы, определяющие категории обрабатываемых персональных данных, особенности и правила их обработки без использования средств автоматизации;
    • Документ, устанавливающий требования к ведению журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию;
    • Документ, устанавливающий требования к хранению материальных носителей содержащих персональные данные;
    • Документ о классификации информационных систем;
    • Список лиц, которым необходим доступ к персональным данным, обрабатываемым в информационной системе, утвержденный оператором или уполномоченным лицом;
    • Документ, устанавливающий порядок обработки персональных данных работников.

Если обработку персональных данных по поручению компании выполняет провайдер, (например, аутсорсинговая бухгалтерская компания), то вышеперечисленный перечень документов дополняется:

  1. Письменным поручением на обработку персональных данных. Такое поручение может быть внесено в основной договор об оказании услуг и должно включать не только поручение провайдеру осуществлять от имени компании обработку персональных данных, но и цели такой обработки, перечень действий с ними, их состав, а также обязательство провайдера соблюдать конфиденциальность и безопасность персональных данных, а также требования к их защите.
  2. Согласиями на передачу персональных данных провайдеру – от каждого сотрудника

Как видим, перечень документов, регламентирующий обработку персональных данных, достаточно обширный.

Чтобы не перегружать документооборот огромным количеством локальных нормативных актов (приказов, положений, инструкций и т.д.

), а процесс приема на работу в бесконечный процесс ознакомления с локальными документами, рекомендуется утвердить один документ, регламентирующий все аспекты работы с персональными данными в компании.

Как проверить свою бухгалтерскую компанию на предмет защиты персональных данных

Все ранее перечисленные требования относятся и к провайдеру, в том числе, компаниям, оказывающим услуги бухгалтерского аутсорсинга.

Добросовестный провайдер:

  • По запросу клиента предоставит выписку из федерального реестра операторов персональных данных (компания-провайдер попадает в этот реестр после уведомления Роскомнадзора).

Важно!

Проверить провайдера на соблюдение порядка уведомления Вы можете самостоятельно на сайте Роскомнадзора: https://pd.rkn.gov.ru/operators-registry/operators-list/.

  • Ознакомит со своей Политикой в отношении персональных данных клиентов.
  • Включит в договор обслуживания условия о поручении и обязанности провайдера осуществлять обработку персональных данных от имени компании, а также обязанности, связанные с защитой этих данных.

Важно!

Провайдер не обязан брать согласия с субъектов персональных данных, которые он обрабатывает в связи с исполнением договора на обслуживание, поэтому обязательно возьмите письменные согласия с работников на передачу персональных данных провайдеру.

Ответственность за нарушение закона 152-ФЗ

Возможные нарушения в области защиты персональных данных и суммы штрафов мы привели в таблице:

За что могут штрафоватьСумма штрафа
Персональные данные обрабатываются не в тех целях, на которое дано согласиеНапример, персональные данные работника обрабатываются в целях расчета заработной платы, ведения кадрового делопроизводства, но никак не для оформления кредита, открытия лицевых счетов в банках, продажи чего-либо. В согласии на обработку персональных данных обязательно указываются цели обработки – это требование Закона 152-ФЗ.от 30 000 до 50 000 руб.
Обработка персональных данных отделом кадров без письменного согласия (когда оно, естественно, требуется)от 15 000 до 75 000 руб.
Политика по обработке персональных данных не опубликована или отсутствует в свободном доступе (на стенде, на сайте и т.д.)от 15 000 до 30 000 руб.
Оператор персональных данных не отреагировал на запрос сотрудника (субъекта персональных данных)Например, на электронную почту приходит регулярная рассылка с сайта ***, принадлежащего компании ААА. Получатель рассылки направляет в компанию ААА запрос о подтверждении факта обработки его персональных данных, их состава, целей такой обработки и т.д. В течение 30 дней компания ААА должна дать официальный ответ. Если такого ответа не последовало, то это нарушение.от 20 000 до 45 000 руб.
Нарушены условия защиты бумажных документов, содержащих персональные данные Например, произошла утечка данных вследствие случайного доступа постороннего лица, уничтожение персональных данных, их распространение и т.д.от 25 000 до 50 000 руб.

Что говорят суды о плохо защищенных персональных данных

  • В тексте договора об оказании бухгалтерских услуг отсутствовали существенные условия об обеспечении конфиденциальности и безопасности персональных данных при их обработке, не был приведен перечень действий с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, а также не указаны требования к защите обрабатываемых персональных данных. Компании выписали предписание устранить нарушение (Постановление ФАС Северо-Западного округа от 29.04.2013 по делу № А44-5910/2012).

Источник: https://1c-wiseadvice.ru/company/blog/kak-zashchitit-personalnye-dannye-sotrudnikov-i-ne-popast-na-povyshenie-shtrafov-s-1-iyulya-2017-god/

Персональные данные: что грозит за нарушение закона

Должность работника является персональными данными

Работодатель, принимая сотрудника на работу, запрашивает у него определенные сведения. В статье расскажем, что считается персональными данными, какие обязанности по их защите установлены для работодателей и какая ответственность за их несоблюдение ждет нарушителей.

Персональные данные — это любая информация, прямо или косвенно относящаяся к субъекту персональных данных — определенному или определяемому физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

К персональным данным могут быть отнесены:

  • фамилия, имя, отчество;
  • пол, возраст;
  • образование, квалификация, профессиональная подготовка и сведения о повышении квалификации;
  • место жительства;
  • семейное положение, наличие детей, родственные связи;
  • факты биографии и предыдущая трудовая деятельность (место работы, судимость, служба в армии, работа на выборных должностях, на государственной службе и др.);

Кстати, сведения о заработной плате относятся к персональным данным.

Систематизируйте или обновите знания, получите практические навыки и найдите ответы на свои вопросы на курсах повышения квалификации в Школе бухгалтера. Курсы разработаны с учетом профстандарта «Бухгалтер».

Можно ли номер телефона отнести к персональным данным?

Абонентский номер (номер телефона) это выделяемый абоненту номер, (совокупность цифровых знаков) при заключении с абонентом договора об оказании услуг телефонной связи. Данный номер служит для обозначения и возможности идентификации конечного оборудования абонента в сети связи при соединении с ним абонентских устройств.

Из чего следует, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо (субъекта персональных данных) можно однозначно идентифицировать и его использование не может подразумевать обработку персональных данных его владельца.

Поэтому номер телефона сам по себе не относится к персональным данным.

А вот фотография относится к биометрическим персональным данным.

Так как это изображение человека (фотография и видеозапись), которое позволяет установить личность и с этой целью используется оператором (См.

Разъяснения Роскомнадзора «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки»).

Персональные данные, набор которых не позволяет идентифицировать субъект, являются обезличенными. К защите обезличенных персональных данных требования законодательства минимальны.

Ответственность работодателя за нарушение норм, регулирующих защиту персональных данных

С 1 июля 2017 года органом, осуществляющим контроль и надзор за соответствием обработки персональных данных требованиям Закона о персональных данных и нормативных правовых актов, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (ст.

23 Закона о персональных данных). Есть плановые проверки, которые Роскомнадзор совершает раз в три года, а есть внеплановые ревизии, и о них не стоит забывать. Они могут быть проведены, к примеру, с целью выяснить, устранила ли компания нарушения, допущенные и выявленные ранее.

Кроме того, проверку также стоит ждать, если компания претендует на выполнение госзаказа.

За нарушение порядка получения, обработки, хранения и защиты персональных данных сотрудников предусмотрена дисциплинарная, материальная, административная и уголовная ответственность (ст. 90 ТК РФ, ч. 1 ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ). Разберем каждый вид ответственности.

Дисциплинарная ответственность

Неправомерное разглашение персональных данных лицом, в чьи обязанности входит соблюдение правил хранения, обработки и использования такой информации, является основанием для привлечения этого лица к дисциплинарной ответственности (ст. 90 ТК РФ). Трудовой договор с работником может быть, расторгнут по причине разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей (подп. «в» п. 6 ч. 1 ст. 81 ТК РФ).

Материальная ответственность

Eсли вред работнику был причинен по вине лица, которое было ответственно за неразглашение персональных данных, то работодатель может привлечь последнего к материальной ответственности за ущерб, который был нанесен работнику такими действиями. В соответствии с пунктом 7 части 1 статьи 243 ТК РФ материальная ответственность в полном размере причиненного ущерба возлагается на работника в случае разглашения сведений, составляющих охраняемую законом тайну.

Административная ответственность

С 1 июля статья 13.11 КоАП РФ претерпела значительные изменения и теперь применяется в новой редакции.

Был детализирован перечень нарушений в области персональных данных и увеличен размер административной ответственности за них. Теперь новая формулировка статьи 13.

11 содержит семь составов правонарушений (вместо одного). Проверяющ ие могут составить отдельный протокол за каждое нарушение и назначить отдельный штраф.

То есть, если до 1 июля 2017 года максимальный штраф по статье 13.11 КоАП РФ составлял 10 тыс. руб. и состав нарушения был одним, то на данный момент размер штрафа увеличен до 75 тыс. руб., и составов преступлений стало семь. Соответственно, за разные нарушения на одну компанию могут наложить несколько разных штрафов.

Кроме того, должностных лиц могут оштрафовать на сумму от 3 000 до 20 000 руб., индивидуальных предпринимателей — на сумму от 5 000 до 20 000 руб., организации — на сумму от 15 000 до 75 000 руб.

Практическая ситуация

В коллективном договоре закреплено, что одним из видов поощрения работников является размещение фотографии работника на Доске почета. Работник обратился к работодателю с требованием не размещать его фотографию для всеобщего обозрения. Какие риски несет работодатель, если разместит фотографию без согласия работника?

Согласно Закону о персональных данных фотографию работника можно отнести к персональным данным. Доска почета, размещенная публично, является общедоступным источником персональных данных.

Статья 8 Закона о персональных данных устанавливает, что в общедоступные источники персональных данных сведения о персональных данных могут включаться только с письменного согласия субъекта персональных данных.

То есть работодатель должен перед размещением фотографии на доске почета запросить письменное разрешение работника. Если фотография работника размещена без его согласия, работодатель может быть привлечен к административной ответственности с наложением штрафа до 75 тыс. руб., при этом работник может также потребовать компенсации морального вреда за нарушение его прав.

Если будет установлено, что разглашение персональных данных произошло по вине работника, ответственного за хранение, обработку и использование персональных данных других работников, то его могут привлечь к административной ответственности в виде штрафа (ст. 13.14 КоАП РФ) (за исключением случаев, если такое разглашение влечет уголовную ответственность):

  • на граждан — от 500 до 1 000 руб.;
  • на должностных лиц — от 4 000 до 5 000 руб.

С работником, допущенным к обработке персональных данных, подписывается обязательство о неразглашении персональных данных.

Можно ли условие о неразглашении персональных данных включать в трудовой договор с работником? Только в отношении тех работников, которые непосредственно работают с персональными данными: кадровиков, бухгалтеров, секретарей и т.п. (ст. 57 ТК РФ). В этом случае при приеме на работу ознакомьте работника с Положением о работе с персональными данными.

Уголовная ответственность

Если работник, ответственный за хранение, обработку и использование персональных данных других работников, злоупотреблял своими служебными полномочиями, распространял сведения о частной жизни других работников без их согласия, он может быть привлечен и к уголовной ответственности. Наказывается такое деяние (ст. 137 УК РФ):

  • штрафом в сумме до 200 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период до 18 месяцев;
  • либо обязательными работами на срок от 120 до 180 часов;
  • либо исправительными работами на срок до одного года;
  • либо арестом на срок до четырех месяцев.

Те же деяния, совершенные лицом с использованием своего служебного положения, наказываются (ч. 2 ст. 137 УК РФ):

  • штрафом в сумме от 100 тыс. до 300 тыс. руб. или в размере заработной платы, либо иного дохода осужденного за период от одного года до двух лет;
  • либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет;
  • либо арестом на срок от четырех до шести месяцев.

Подведем итоги

Что можно порекомендовать работодателям во избежание привлечения к ответственности, а также дополнительных затрат в случае проведения проверок? Обязательно проверьте:

  • от всех ли работников получено согласие на обработку персональных данных;
  • ознакомлены ли работники с локальными актами, устанавливающими порядок обработки таких данных, и с их правами и обязанностями в этой области;
  • должным ли образом осуществляется хранение и защита персональных данных;
  • соответствует ли документация об их обработке требованиям законодательства и т.д.

Источник: https://school.kontur.ru/publications/1624

Персональные данные работника: когда можно сказать стоп работодателю?

Должность работника является персональными данными

Защита персональных данных работника является актуальной проблемой, обсуждаемой юристами разных отраслей. Все чаще мы сталкиваемся с тем, что при приеме на работу требуется информация, предоставление которой нам кажется абсурдной.

Работники, связанные с наймом людей, составляют анкеты, содержащие вопросы, которое явно не ставят своей задачей выяснение профессиональных качеств личности. Работник оказывается в безвыходной ситуации: желание получить долгожданную работу превышает нежелание открывать о себе личную информацию. Таким образом, работодатель узнает о работнике подробности его внеслужебной жизни.

Где та грань, за которую не имеет право заходить работодатель? Где заканчиваются вопросы профессионализма и начинает затрагиваться частная жизнь?

Трудовой кодекс РФ закрепляет данный вопрос в главе 14 раздела III, который относится к трудовому договору. Получается, что вопрос персональных данных регулируется наряду с вопросами, которые непосредственно относятся к трудовому договору.

Помещение главы о персональных данных в раздел, касающийся исключительно трудового договора, вызывается недоумение у многих специалистов.

Вопрос персональных данных является вопросом защиты работника, не имеющим непосредственного отношения к трудовому договору.

Существует специальный Федеральный закон «О персональных данных» (от 27.07.2006 №152-ФЗ). Статья 3 данного закона содержит открытый перечень информации, которая может относится к персональным данным.

Трудовой кодекс РФ в ст. 86  под персональными данными работника понимает «информацию, необходимую работодателю в связи с трудовыми отношениями и касающуюся конкретного работника». Данная норма дает право работодателю требовать от работника информации, которая хотя и относится логически к персональным данным, однако в законе не закреплена.

Формулировка Трудового кодекса «…необходимая работодателю в связи с трудовыми отношениями…» является очень пространной. На практике можно встретить вопросы в анкетах при приеме на работу, которые явно не могут относиться к трудовым отношениям, однако непредоставление данной информации будет причиной неполучению заветного места на работе.

Основной проблемой при предоставлении работником своих персональных данных является то, что именно от того, какая информация попадет к работодателю, зависит получение или неполучение должности. Приведу случай из жизни.

При приеме на работу служба безопасности компании нашла сведения на соискателя, что он судится за квартиру бабушки со своими родственниками (такими же наследниками, как и он). После того, как эта информация попала в руки работодателю, работнику было отказано в должности.

Оказалось, работодатель посчитал потенциального работника мелочным человеком.

Очень часто соискателям задают вопросы для того, чтобы выяснить характер человека. В некоторых случаях такие вопросы оправданы.

Ведь нельзя забывать о том, что работодатель ищет не только профессионала, но и человека с такими качествами, которые не помешают работе всего коллектива.

Вопрос заключается в том, насколько глубоко можно выяснять обстоятельства личной жизни человека для получения информации о его характере.

Одного моего знакомого при приеме на работу спросили, любит ли он деньги. Он оказался в неловкой ситуации: при отрицательном ответе его могли счесть «неинициативным» (подобная формулировка сейчас очень распространена), а при положительным ответе – корыстным и т.д. Мой знакомый выкрутился и сказал, что он деньги уважает.

Для того, чтобы избегать подобных нелепых ситуаций и быть готовыми защищать свои права, есть несколько выходов решения данной проблемы.

Во-первых, нельзя забывать о тех гарантиях, которые нам предоставляет Конституция РФ( ст. 23 и ст. 24) . Исходя из этого, можно заключить, что работодатель, вторгаясь в частные вопросы, нарушает конституционные права гражданина.

Во-вторых, важно помнить, что работодатель, работники и их представители должны совместно вырабатывать меры защиты персональных данных работников. Для этого должно быть создано Положение о защите персональных данных работников.

В-третьих, важно помнить, что под обработкой персональных данных понимается не только получение, но и хранение, комбинирование, передача и любое другое использование данных работника (ст. 85 Трудового кодекса РФ).

Итак, как и в случае с перечнем персональных данных, законодатель закрепил открытый перечень действий работодателя по обработке персональных данных работника. При этом нельзя не учесть обязанность работодателя получать все персональные данные работника у него самого.

Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие (п. 3 ст.86 Трудового кодекса РФ). Именно этот пункт считаю наиболее важным при защите своих прав в данной области.

Основные проблемы и споры между работником и работодателем возникают именно по поводу той информации, которую работодатель приобрел за спиной работника. Важно помнить, что это незаконно, именно это основание может лечь в основу судебного решения в пользу работника.

В-четвертых, принятому работнику важно внимательно читать локальный нормативный акт, который регулирует вопрос персональных данных.

Особое внимание хочу уделить разграничению вопросов личного и профессионального характера. Постановление Пленума Верховного Суда РФ от 17.03.

2004 № 2 «О применении судами Российской Федерации Трудового кодекса Российской Федерации» под деловыми качествами данного работника понимает «способности физического лица выполнять определенную трудового функцию с учетом имеющихся у него профессионально-квалификационных качеств (например, наличие определенной профессии, специальности, квалификации), личностных качеств работника (например, состояние здоровья, наличие определенного уровня образования, опыт работы по данной специальности, в данной отрасли)» (п. 10).

Постановление также указывает, что работодатель вправе предъявить к лицу, претендующему на вакантную должность или работу, и иные требования, обязательные для заключения трудового договора в силу прямого предписания федерального закона, либо которые необходимы в дополнение к типовым или типичным профессионально-квалификационным требованиям в силу специфики той или иной работы (например, владение одним или несколькими иностранными языками, способность работать на компьютере). Если судом будет установлено, что работодатель отказал в приеме на работу по обстоятельствам, связанным с деловыми качествами данного работника, такой отказ является обоснованным.

Следовательно, при отказе работодатель должен дать четкое обоснование своего решения.

Исходя из вышеизложенного, видно, что работнику нельзя отказать при приеме на работу на основании его личных качеств (информацию о которых раскрывают персональные данные).

Однако очень сложно понять, где проходит та грань, разделяющая личные качества и качества, необходимые для выполнения той или иной работы. 

Источник: https://zakon.ru/Blogs/personalnye_dannye_rabotnika_kogda_mozhno_skazat_stop_rabotodatelyu/632

Область права
Добавить комментарий